компанія SearchInform повністю оновила «Контур інформаційної безпеки SearchInform», комплексне рішення для запобігання витоків даних і контролю інформаційних потоків в організаціях. Істотні зміни торкнулися архітектуру продукту, і версія EndpointSniffer оновилася до 5.0.

Зміни в архітектурі платформ EndpointSniffer і NetworkSniffer

Головною подією стало тотальне оновлення SearchInform EndpointSniffer - платформи для перехоплення трафіку через агенти на робочих станціях, лептопах і мобільних пристроях працівників - до версії 5.0. В першу чергу була змінена архітектура платформи. Раніше для повного контролю інформаційних каналів SearchInform EndpointSniffer необхідно було використовувати спільно з мережевою платформою SearchInform NetworkSniffer, що відповідає за «розбір» трафіку за деякими протоколами. У версії 5.0 EndpointSniffer повністю увібрав в себе цей функціонал, ставши повністю автономним продуктом. Іншими словами, тепер платформа може самостійно перехоплювати і аналізувати будь-який трафік:

• вхідну і вихідну електронну пошту (в тому числі і захищену), включаючи передану і отриману через поштові веб-сервіси;
• повідомлення інтернет-пейджерів (ICQ, QIP, Mail.Ru Агент, JABBER і ін.), а також спілкування в популярних соціальних мережах (Однокласники, LinkedIn, Facebook і т.д.);
• голосові і текстові повідомлення Skype, отримані елементи і SMS;
• інформацію, яка записується на різні зовнішні пристрої (наприклад, USB-флешки, CD / DVD диски);
• інформацію, що відправляється на інтернет-форуми, блоги та інші web-сервіси;
• інформацію, передану по протоколу FTP;
• вміст документів, відправлених на друк;
• операції з файлами, що зберігаються на серверах і в загальних мережевих папках;
• інформацію, що відображається на моніторах користувачів;
• діяльність співробітників, що працюють з корпоративними мобільними пристроями на базі iOS.

Проте, мережева платформа SearchInform NetworkSniffer, призначена для контролю мережевої активності співробітників, як і раніше залишиться в портфелі пропозицій компанії, а роботи над вдосконаленням цього продукту тривають. Підтвердженням цього став випуск 64-бітової версії SearchInform NetworkSniffer. За рахунок реалізації більш просунутою архітектури, платформа отримала можливість працювати з ще більш серйозними навантаженнями без втрати продуктивності. Цей аспект особливо критичний для великих організацій. Також в оновленому SearchInform NetworkSniffer, в модулі Mail Integration, крім збільшення швидкості розбору листів, була реалізована можливість вичитки листів відразу з декількох поштових скриньок. Іншими словами, при інтеграції з поштовими серверами, з'явилася можливість вичитувати листи відразу в кілька потоків.

Нові модулі «КІБ SearchInform»: ProgramSniffer і LyncSniffer

Крім змін архітектури, в SearchInform EndpointSniffer були додані нові модулі, що розширюють можливості перехоплення інформації на кінцевих точках. До складу платформи увійшли:

• ProgramSniffer - модуль, що веде облік активності користувачів в запускаються додатках протягом робочого дня;

  Фіксується час, яке співробітник проводить в кожному додатку. Надалі, на основі зібраної інформації можуть бути побудовані детальні звіти щодо ефективності використання співробітниками робочого часу. Цей модуль з'явився за численними побажаннями клієнтів SearchInform.

• LyncSniffer - модуль, який відповідає за перехоплення інформації з Microsoft Lync (чати, дзвінки, отримані елементи).

  На сьогоднішній день LyncSniffer є єдиним рішенням, перехоплює як текстові, так і голосові комунікації співробітників в Microsoft Lync. Варто відзначити, що компанія SearchInform не в перший раз виступає в якості першопрохідника. Так, в 2008 році компанія випустила продукт SkypeSniffer - однозначної відповіді, здатного перехоплювати текстові і голосові повідомлення Skype, отримані елементи і SMS. Реалізувати подібний перехоплення інші вендори змогли лише в минулому році.

єдиний клієнт

Важливими поліпшеннями відзначилися і інші продукти. Модуль SearchInform Client, який відповідає за роботу з серверів пошуку, почав підтримувати роботу зі знімками екрана, зробленими за допомогою MonitorSniffer. Тим самим, було поставлено крапку в процесі переходу компанії до єдиних консолей управління. Тепер за допомогою SearchInform Client можна переглядати будь-яку перехоплену інформацію: від дзвінків в Skype до дій користувача з файлами в загальних мережевих папках. Також в SearchInform Client стала більш наочної колірна диференціація результатів пошуку в залежності від їх типу. Таким чином, вдалося уникнути зайвого підсвічування результатів пошуку (наприклад, при наявності GET-запитів через SSL), а також поліпшити навігацію за результатами видачі.

Покращена аналітика AlertCenter

Головним же поліпшенням SearchInform AlertCenter - продукту, що відповідає за автоматичний аналіз перехопленої інформації по заздалегідь налаштованим критеріям - стала підтримка роботи не тільки з індексами, а й безпосередньо з базами даних SearchInform FileSniffer, SearchInform MonitorSniffer і ін., Що, в кінцевому рахунку, дозволило істотно знизити обсяг «ручного» праці фахівців з інформаційної безпеки. Дане поліпшення дозволяє автоматично виявляти дані, що не піддаються індексації (тобто ті, в яких немає тексту), за певними атрибутами: датою, облікового запису користувача і т.д. Наприклад, можна автоматично перехоплювати знімки екрану тих машин, на яких запущено певний процес. За рахунок роботи функції в режимі реального часу, відповідальний за інформаційну безпеку може отримувати дані аналізу і пов'язані з ними повідомлення точно тоді ж, коли користувач робить спробу порушити політику безпеки. Також в новій версії SearchInform AlertCenter була істотно вдосконалена робота з регулярними виразами. З одного боку, був оптимізований алгоритм перевірки за регулярними виразами, що дозволило підвищити швидкість його роботи більш ніж в 10 разів. З іншого боку, добавлена ​​верифікація по іменах і номерам банківських карт і паспортів, що дозволяє пропускати дані, схожі на вигляд на номери банківських карт або паспортів, але не відповідають алгоритмам генерації відповідних номерів.