Searchinform как обнаружить на компьютере и удалить
Перейти к содержимому

Searchinform как обнаружить на компьютере и удалить

  • автор:

Как найти DLP агент в системе?

Добрый день.
На работе УБ внедрил DLP. Скорее всего FalconGaze SecureTower.
Как агент проявляется в системе? Например Win7 x64. Где искать агента? каким ПО можно посмотреть куда он шлет запросы и тд.
Очень хотелось бы найти DLP-агент в системе.
Спасибо.

  • Вопрос задан более трёх лет назад
  • 30186 просмотров

Комментировать
Решения вопроса 1

Первым делом Вам нужны админские права на машине. Они есть?

Если есть, то ProcessHacker в помощь.

Ответ написан более трёх лет назад
Комментировать
Нравится Комментировать
Ответы на вопрос 4

Доброго времени суток!
Хочется поделиться своими наблюдениями — может кому и пригодится.

Все нижесказанное будет относится к Falcongaze SecureTower.
Несмотря на то, что клиент пытается любыми способами скрыть свое присутствие, все тайное, рано или поздно становится явным.

1. Подмена сертификата.
Отрываем в браузере любой ресурс, который использует https и смотрим данные сертификата. При установленном DLP-клиенте, в разделе «Certification Path» будет присутствовать сертификат, подписанный Falcongaze SecureTower.
При установке, клиент SecureTower добавляет свой сертификат в доверенное хранилище корневых сертификатов (Trusted Root Certification Authorities).
Вообще, при любых подозрениях, данное хранилище можно периодически просматривать — вдруг найдете что-то интересное.

2. Расположение файлов.
Если вы будете искать файлы и каталоги установки клиента визуально, или используя механизм поиска в проводнике (любом другом файловом менеджере) — скорее всего ничего так и не будет найдено.
Но выход есть, все оказывается куда проще — берем пути:

C:\Program Files\Falcongaze SecureTower C:\Program Files (x86)\Falcongaze SecureTower #для x64 C:\Users\%username%\AppData\Local\Falcongaze SecureTower

и по-очереди вставляем в адресную строку проводника — давим Enter.
Если клиент присутствует — в открытом окне вы будете лицезреть его файлы и следы жизнедеятельности.

Данный способ проверен на OS Windows 7 и выше.

3. Реестр.
При установке клиента Secure Tower, будет создан следующий раздел реестра:
[HKEY_LOCAL_MACHINE\SOFTWARE\FalconGaze]
Внутри данного раздела, если таковой существует, будет несколько подразделов. Из них можно почерпнуть немного дополнительной информации: путь установки, текущая версия, адрес сервера и порт подключения.

4. Сеть.
По-умолчанию, для связи с сервером, Secure Tower использует порт 10500.

5. Процессы.
Как и в случае с каталогами и файлами, клиент умеет отлично маскировать свои процессы (если захочет) в Диспетчере задач Windows.
Вот список наиболее вероятных процессов:

FgstEpaCss.exe FgstEpaCssHlp.exe FgStEPAgentSvcHost.exe

Для того, что бы их «выщемить», нужно запустить старый добрый Process Monitor и открыть Process Tree — от него еще никто не уходил.

6. Skype
Как известно, многие DLP-системы умеют перехватывать сообщения (некоторые, особо продвинутые — даже записывать разговоры) Skype. Вы, наверное, хотите спросить: Как они это делают? Ведь протокол Skype надежно зашифрован, и никому (практически) не удалось приблизиться к его расшифровке.
На самом деле, до дешифровки данных, переданных по закрытым протоколам, дело как-раз и не доходит вовсе. Клиент Secure Tower извлекает данные непосредственно из самого Skype.

Способ номер раз: он (клиент) регистрирует один из своих модулей, как доверенное приложение Skype. Последнее извлекает данные, используя документированное и открытое API.
Проверить Skype на наличие незваных гостей можно, выбрав пункт меню Инструменты -> Настройки. -> Дополнительно -> Расширенные настройки -> Контроль доступа других программ к Skype (проверено для Skype 6.20.0.104).
В окне «Контроль доступа программного интерфейса» будут перечислены все приложения, которые имеют доступ к вашим данным в Skype. Возможно, у себя, открыв данное окно, вы найдете много чего нового и интересного!
В настоящее время данный способ практически не используется, т.к. все (в край обнаглели) перешли к способу номер два.

Способ номер два: Skype хранит историю переписки БД SQLite в лучших традициях жанра — в открытом виде.
Путь расположения файла БД:

C:\Users\%username%\AppData\Roaming\Skype\[имя_пользователя_Skype]\main.db

Вот именно этот файл периодически и дергает DLP-клиент.

Ставим растяжку
Запустить Process Monitor и создать новый фильтр:

---------------------------------------- | Column | Relation | Value | Action | ---------------------------------------- Path contains main.db Include

Нажать OK и ждать, пока сработает. В идеально чистой системе, кроме самого Skype, к данному файлу никто обращаться не должен. Если в системе завелась «живность» — ждать придется недолго.

Заключение
Всегда стоит учитывать тот факт, что разработчики не сидят сложа руки, DLP-системы постоянно совершенствуются (усложняются, порождается большее число новых багов) и методы, описанные выше, могут не сработать для новых версий.

Кроме этого, многое зависит от политик безопасности, согласно которым настроен клиент. Отдельные модули (перехват сообщений Skype, контроль https трафика и т.д.) могут быть отключены и соответственно, каждый отдельный пункт не может дать 100%-го результата.

Для обнаружения ПО такого рода всегда следует использовать комплексный подход, который включает проверку по всем пунктам. Кроме этого, используя некоторые из данных методов, существует вероятность отследить не только Secure Tower, но и его «конкурентов».

P.S. В завершение обращаюсь ко всем, кого заинтересовал данный вопрос: если Вам известны другие способы (методы, действия и т.д.) по обнаружению DLP-клиентов — пишите здесь (думаю, что автор вопроса будет не против). Любая информация всегда будет полезной!

Неожиданные находки с DCAP, или как мы разгребали свою файловую систему. Часть 1

В 2020 году мы выпустили свою DCAP — «СёрчИнформ FileAuditor» для контроля и защиты данных в покое. С тех пор сотни раз презентовали заказчикам, как система полезна «в быту» и помогает держать в порядке корпоративные хранилища. У клиентов собрали статистику: аудит, мол, в 99% случаев выявляет ошибки в распределении прав доступа, неправильное хранение конфиденциальных файлов и перерасход ресурсов. Но прежде всего мы тестируем продукты на себе. Сегодня решили поделиться несколькими кейсами о том, как проверяли собственные файловые хранилища, и показать, что цифра — не преувеличение.

Наш начИБ Алексей Дрозд (aka@labyrinth) рассказывает, как мы поставили эксперимент на себе и что обнаружили.

Стартовые данные

Основных задач у любой DCAP две: поиск файлов и управление доступом к ним. В этом посте мы поговорим о первой. У нас стояла задача инвентаризации файловых хранилищ. Эксперимент начали с того, чтобы выяснить, как используется дисковое пространство и как хранятся критичные категории документов. Озадачили FileAuditor.

Он действует по следующей логике:

  • Сканирует все хранилища и классифицирует файлы в них по содержимому: например, «персданные» или «исходные коды», и присваивает соответствующие метки.
  • Мониторит все операции с файлами: кто, когда и что именно делал с документом, например, перемещал или переименовывал.
  • Вычитывает пользовательские права и находит ошибки в распределении доступов к файлам и папкам, позволяет управлять правами пользователей на совершение определенных операций: «чтение», «изменение», «удаление» и т. п.
  • Блокирует нежелательные действия с файлами по заранее заданным правилам, например, запрещает открывать их с помощью выбранных приложений или прикреплять во вложения в переписке.
  • «Бэкапирует» нужные категории файлов на случай их порчи или утери.

Программа работает через агенты на пользовательских ПК, сетевые папки сканирует, что логично, с помощью сетевой службы. «Фронт работ» для системы составил 170 ПК, на каждом в среднем по 750 Гб памяти. Несколько подразделений, плюс общие сетевые папки по отделам.

Заранее оговоримся, что описываем здесь в основном специфические задачи, либо актуальные конкретно для нашей компании, либо нечасто встречающиеся — чтобы показать, как именно настраивали систему. Подавляющее большинство типовых вопросов, вроде категоризации разных видов ПДн, корреспонденции, документов с грифами, договоров, актов, счетов и пр. еще до старта эксперимента «закрыли» с помощью предустановленных правил классификации в FileAuditor. Их в решении больше 80, если что, расскажем о них в комментариях. А пока к делу.

Перерасход ресурсов

Начали с прикладных задач — некоторые менеджеры жаловались на то, что на машинах мало места. Прежде чем выделять им допресурсы, решили проанализировать, чем забиты их компьютеры. Из клиентских кейсов мы знали, что с FileAuditor освобождают до 40% объема файловых хранилищ, в основном за счет удаления копий, устаревших документов и откровенного «мусора», не имеющего отношения к работе. Было подозрение, что здесь история та же.

Для ревизии настроили несколько правил. Чтобы централизованно смотреть, сколько документов попали в категорию и сколько они весят, в каждом случае мы использовали отчет «Статистика по ПК» и уже по нему оценивали результаты.

1. Поиск тяжелых файлов

Самое весомое, что могло храниться у менеджеров — виртуальные машины с нашими продуктами, они используют их для живых демонстраций клиентам. У сейлов, работающих на внутренний рынок, должна была быть только последняя русскоязычная виртуалка. У зарубежных — соответственно, английская.

Периодически мы выпускаем обновления в виде новых виртуалок, т.к. это более универсальный подход, чем писать инструкции, как перенастроить и что куда добавить в старые. Но менеджеры могли забыть или полениться удалить старые файлы — учитывая, что каждая виртуалка весит по 40–60 Гб, это объяснило бы нехватку места.

В FileAuditor создали «лобовое» правило классификации — по расширению для виртуальных машин «.vdi». Сканирование запустили на всех ПК, но при анализе результатов не учитывали машины тестировщиков и разработки — для них нормально хранить у себя по нескольку сред.

Образы виртуалок нашли на 17 компьютерах, в общей сложности на них лежало 33 машины общим весом 1,39 Тб. У четверых менеджеров их обнаружили по несколько штук, максимум было 8. Пришлось делать внушения и еще раз напоминать, что старые версии виртуальных машин нужно удалять.

2. Поиск мультимедиа

Исходили из того, что прямая необходимость работать с аудио и видео есть только у пиарщиков — они готовят медиаконтент. В остальных случаях это риск нерационального использования ресурсов компании: мультимедиа много весят, то есть снова забивают диски, а если их еще и качают в огромных количествах с рабочего Wi‑Fi — без надобности нагружают сеть.

В FileAuditor создали правило классификации по расширениям файлов — mp4, wav, avi и пр. Сканирование запустили на всех ПК и в сетевых папках, но при анализе результатов не учитывали хранилища PR.

Настройка правила классификации

Нашли больше 626 Гб потенциального мусора, в топе нарушителей оказались разработчики и тестировщики. На двоих из них пришлась треть всего этого объема — у одного 144, у другого 75 Гб музыки. Для сравнения, во всем PR‑отделе с их видеопродакшеном хранится только 25 Гб медиа.

Аудиотека одного из сотрудников

Остальное — условно‑легитимные находки, например, пару сотен Гб занял «ползучий бэкап» записей внутренних обучений. Это вебинары, которые мы проводим для сейлов и других нетехнических подразделений по обновлениям продуктов, потом по ним принимаем экзамен, так что записи выкладываем. Некоторые сохраняют их с NAS на локальные ПК и, опять же, забывают удалить. Из необычного: у сотрудников, которые работают 10+ лет, нашли древние презентации софта и фотки с первых корпоративов. Это настоящая историческая ценность, потому что общий архив стал формироваться позже и там этих данных не было. Находки перенесли туда во имя ностальгии.

3. Поиск устаревших документов

От топ‑менеджмента была задача — зачистить компы от неактуальной техдокументации. Например, описания с упоминанием продуктов, вышедших из продажи, неактуальных характеристик, старых названий — например, «контроллеры» в КИБ раньше назывались «снифферы», и пр. Если такие документы есть в обороте, это может ввести в заблуждение заказчиков, запутать рабочие процессы, создает простор для махинаций. А если такие файлы лежат, но не используются — это мертвый груз, от которого можно без потерь избавиться.

Искали по двум параметрам. Во‑первых, в FileAuditor задали правила классификации по тексту: названиям продуктов, с одной стороны, и устаревшим значениям технических требований, с другой. Старыми мы признавали, например, то, где написано sniffer, а не controller. Но со sniffer могли встретиться разные слова, поэтому дополнили правило поиском по последовательности символов.

Во‑вторых, задали правило классификации по атрибутам: последнее обращение к файлу более 5 лет назад — чтобы найти неиспользуемые файлы.

Настройка правила поиска неиспользуемых документов

В общей сложности нашлось 2726 устаревших документов. У пиарщиков в сетевой папке обнаружился большой архив старых маркетинговых материалов, они же дублировались у менеджеров. Другое дело, что неактуальные технические описания нашлись у программистов, тестировщиков и даже инженеров техподдержки. Некоторые документы активно использовались: по истории операций видно, кто и когда с ними работал. К счастью, заказчикам устаревшие файлы не пересылали, но для подстраховки мы все равно сделали рассылку по компании с рекомендациями, где найти актуальную документацию по продуктам.

Неиспользуемые файлы нашли абсолютно у всех, правда, в общей сложности всего 214 Гб. В большинстве случаев это архивы документов. Часто — «наследство» от бывших сотрудников. По идее передача дел должна способствовать тому, чтобы не останавливались бизнес‑процессы, так что эти находки мы отнесли к условно‑легитимным, но по факту к ним никто не притрагивался. Так что мы кинули клич по начальникам подразделений, чтобы отделы «запарковали» нужные им архивы в сетевых папках. А хлам с ПК велели удалить.

Дополнительно мы решили избавиться от всех документов в неактуальном дизайне — настоял PR. Несколько лет назад мы провели ребрендинг и сменили фирменный стиль, но по‑прежнему и во внутреннем документообороте, и в материалах для клиентов встречались файлы с устаревшим оформлением.

Задача оказалась посложнее: в FileAuditor нужно было найти документы разных форматов, типов, содержания. Поэтому настроили поиск по фразе — слогану из старого логотипа, который раньше обязательно размещался в колонтитулах.

Условия поиска документов с устаревшим слоганом

Документов на старых бланках нашлось порядочно, зато всего у двух сотрудников. Один из них при этом тестировал на «старье» возможности КИБ и самого FileAuditor — забивал ими тестовые машины. Со вторым достаточно было провести беседу, и он старые шаблоны просто удалил. Остальным для профилактики пиарщики напомнили про бренд‑бук.

Неправильное хранение

Главная цель была найти у сотрудников документы, которых у них быть не должно. Для этого можно было проанализировать бизнес‑процессы — кто задействован в тех или иных операциях, куда перемещаются документы и кому предназначаются. Ищем по сотрудникам, все несовпадения с «эталоном» записываем в нарушения. Второй путь — отталкиваться от документов и фиксировать нарушения, если эти документы обнаруживаются не там, где нужно. Второй путь проще, когда речь о больших массивах и большом количестве сотрудников.

Когда ставили ТЗ, что искать, мы опирались на операционные риски. Например, любое хранение и обработка персданных строго регламентируются ФЗ-152, нарушения грозят штрафами. Еще учитывали вероятность мошенничества, «боковиков» и других угроз экономической безопасности. Итого искали документы из категории «ПД» и подозрительные файлы, которые указывали бы на махинации.

1. Поиск персданных

Проиллюстрируем задачу на поиске сканов паспортов. В эксперименте не участвовали ПК кадровиков и бухгалтерии, так что любая находка по этому правилу приравнивалась к нарушению — зачем другим сотрудникам хранить у себя паспорта?

В FileAuditor настроили поиск по регулярным выражениям (номер паспорта), плюс подключили OCR, чтобы вычитывать текст с изображений. Для верности уточнили запрос фразовым поиском: задали слова «Паспорт», «Выдан» и пр. И выставили атрибуты, чтобы под правило попадали только файлы графических форматов.

Настройка правила классификации по поиску паспортов

Коллектив у нас дисциплинированный, так что «сработок» по сути не было. Чужие персональные данные обнаружились у одного сотрудника, и у того по недоразумению. Выяснилось, проблема в общем сканере. В нем есть возможность сканировать сразу в папку определённого ПК. Компьютеры выбираются в МФУ из списка перед сканированием. Некоторые сотрудники ошибочно, на автомате, выбирали первый компьютер из списка. В итоге на этом ПК без ведома владельца (потому что сотрудники забывали ему сказать, а он сам в папку «Документы» не заглядывал) скопилась куча самых разных сканов. В том числе и паспорт, который мы нашли.

2. Поиск чужих уставов

Уставные документы сторонних компаний на ПК сотрудников — это риск, что они мошенничают: например, в сговоре с подрядчиком или ведут «боковой» бизнес.

В FileAuditor настроили правило на поиск похожих. Загрузили в качестве образца пример устава, в исключения задали название и реквизиты нашей компании — вуаля.

Настройка правила классификации

Нашлось несколько таких документов, все у тестировщиков. На проверку эти уставы оказались скачанными из сети «болванками» для ООО «Ромашка» — на них сотрудники тестировали поиск уставов в нашей же DLP и в самом FileAuditor.

Один из найденных тестовых уставов

Кстати, почти также настроены стандартные правила классификации, о которых мы говорили выше, с ними можно искать любые типовые документы — акты, счета‑фактуры и т. п., избегая ложно‑позитивных сработок. То есть решать с DCAP не только задачи безопасности (в данном случае экономической), но и обычной организации документооборота.

Немного выводов

Как и ожидалось, в ходе эксперимента недочеты у нас нашлись. Аудит пошел на пользу. Пусть не в гигантских объемах, но мы расчистили место на дисках, еще некоторый «буст» дали профилактические беседы — теперь, когда сотрудники в курсе, что мы проверяем хранение файлов, постараются держать их в порядке. К тому же аудит помог проверить «на прочность» бизнес‑процессы — некоторые мы скорректировали, получили пищу для ума на будущее.

Бороться с перерасходом ресурсов — не типичная задача для ИБ, но это только первый шаг. В следующих постах расскажем, как провели аудит доступов и разобрались с правами пользователей. Если интересно, в комментариях покажем в деталях, как настраивали те или иные правила. А пока рекомендуем наведаться в блог к @labyrinth : на примере поиска аддонов в браузеры он в подробностях разбирал, как настраивается и работает наш DCAP.

А если вдруг хотите попробовать его на себе — мы как раз раздаем лицензии бесплатно, принимаем заявки до 31 марта. FileAuditor будет у вас в полном доступе и функционале на три месяца, как раз успеете навести в порядок. Все подробности тут.

  • информационная безопасность
  • dcap
  • данные
  • персональные данные
  • Блог компании SearchInform
  • Информационная безопасность

Обходим DLP систему или как обмануть безопасников, которые читают почту на работе

Обход запретов

Автор Martyshkin На чтение 9 мин Опубликовано 20.07.2018

Самым популярным способом обмена корпоративной информацией на сегодняшний день остается электронная почта. Именно там работники отправляют скан-копии документов, проекты на согласования, приглашают на встречи, информируют о событиях и т.д. Иногда переписку по электронной почте приравнивают к официальной переписке между организациями на уровне писем от первых лиц. Поэтому этот канал передачи информации является объектом пристального внимания со стороны представителей отделов/служб ИБ (они следят за утечкой конфиденциальной информации) и экономического блока безопасности (они следят за перепиской, ищут откаты, сговоры, поиски новой работы, подделку документов и т.д.)

Немного о теории. Вы наверняка замечали что ваша почта не доходит сразу до контрагентов и/или же злые дяди из службы безобразности интересуются той или иной вашей отправкой спустя какое-то время, особенно если вы отправляете какие либо персональные данные без использования принятых мер защиты. Эти обстоятельства говорят о том, что в вашей организации установлена какая либо так называемая DLP-система. Не вдаваясь в технические подробности приведу информацию из вики :

Система предотвращение утечек (англ. Data Leak Prevention, DLP ) — технологии предотвращения утечек конфиденциальной информации из информационной системы вовне, а также технические устройства (программные или программно-аппаратные) для такого предотвращения утечек.DLP-системы строятся на анализе потоков данных, пересекающих периметр защищаемой информационной системы. При детектировании в этом потоке конфиденциальной информации срабатывает активная компонента системы, и передача сообщения (пакета, потока, сессии) блокируется или проходит но оставляет метку.

А вообще грубо говоря это средство слежения за действиями сотрудников и основная цель ее – “найти то , что запрещено”. Законно ли это поговорим в следующей статье. А принцип работы системы можно сравнить с фильтром, то есть вы отправили письмо, и если оно попало в фильтр по критериям и, в зависимости от настроек системы, заблокировалось или ушло получателю, но при этом уведомив товарищей безопасников.

Давайте посмотрим как можно определить установлена ли одна из таких систем у Вас в организации. Для того чтобы узнать установлена ли у Вас в организации такая система слежения в первую очередь можно посмотреть заключенные договора на покупку или сопровождение таких систем. Среди них ищем самые популярные компании разработчики:

и менее популярные:

McAfee, Falcongaze, GTB, «Трафика», Iteranet, RSA, Trend Micro ,Verdasys, Стахановец.

Если нет доступа к договорам, то можно помониторить сайт госзакупок (если ваша контора государева). Как видно из изображения ниже предмет договора может быть различным – от приобретения неисключительных прав до технической поддержки, главное в поиске вбивайте название компаний разработчиков из списка, что я привел.

Если же и эти способы не помогают, то понять что за вами следят можно уточнив у получателя по телефону – долго ли к ним поступают письма (только в случае блокировки письма до отправки), а можно спросить у друзей-айтишников установлена ли система контроля почтовых сообщений в организации. Можно еще конечно попытаться найти запущенные процессы на вашем компьютере, т.к. агенты системы (компоненты системы) слежения устанавливаются персонально на все АРМ’ы работников, но дело в том, что эти процессы умело скрываются под стандартные процессы MS Windows и без должного уровня знаний определить процесс запущенный агентом будет довольно сложно.

Теперь давайте рассмотрим каким образом, мы сможем обойти эту систему. Помните, что реализация приемов из статьи зависит от конкретных настроек DLP и возможна к реализации только путем проб и ошибок. Так что на своей страх и риск.

Самое главное не пытайтесь обойти системы, попытавшись сделать шрифт документа белым или пытаясь скрыть листы и сроки в документах MS Exel, все это сразу увидят товарищи чекисты!

Итак, наша задача передать информацию в виде файлов или текста по электронной почте, зная, что в организации развернута и функционирует DLP- система. Конечно многие из Вас скажут зачем такие сложности – “я могу сфотографировать содержимое экрана на телефон и дело с концом”, но где-то телефонами запрещено пользоваться, а где-то коллеги недобро посмотрят на это (особенно в офисах типа “опен-спейс”) , а иной раз и сообщат куда следует, иногда же необходим именно документ в редактируемом формате, а не его фотография на мобильном телефоне, в общем-то вариантов много. Итак давайте приведем примеры передачи такой информации:

1. Отправка после окончания рабочего дня.

Самое простое и банальное, что может получится это просто отправить Ваше письмо на нужный адрес электронной почты после окончания рабочего дня. Данный метод успешен в случае, если система настроена на перехват почтовых сообщений, например, с 9-00 до 18-00 по рабочим дням и их блокировку в указанное время. Это связано с тем, что товарищи безопасники, которые смогут в случае чего разблокировать застрявшее письмо также как и Вы работают по трудовому договору те же часы, что и Вы, поэтому после окончания рабочего дня они отключают систему или она останавливается автоматически. Вы можете проверить актуальна ли эта настройка отправив пару безобидных сообщений после 18-00 и посмотреть дойдут ли сразу сообщения, которые например не доходили сразу втечении рабочего дня. Сразу скажу не самый лучший вариант, т.к. в независимости от результата отправки в системе останется след того, что Вы отправили, и в случае грамотного мониторинга системы безопасниками они увидят Вашу отправку.

2. Удаление слов маячков

Этот метод предполагает настройку DLP на поиск по ключевым словам, т.е. в отправленном документе он ищет совпадения по словарю. В случае мониторинга откатов такой словарь может содержать следующую группу слов : бабки, зелень, капуста и тд. В случае же предотвращения утечек конфиденциальной информации данный словарь может содержать следующий словарный набор: коммерческая тайна, секрет фирмы, конфиденциально, ДСП, персональные данные, снилс, доверенность, паспорт, серия номер и т.д. Метод заключается в удалении таких слов, которые явно будут присутствовать в конфиденциальном документе и идентифицировать его к закрытой информации. Просмотрите документ которых необходимо отправить на наличие таких слов и удалите. Метод также не самый лучший т.к. конкретный набор слов, содержащийся в словаре Вам никто никогда не скажет.

3. Архив с паролем.

Данный метод заключается в шифровании документа в стандартном *.rar архиве и направлении на электронную почту. Сразу отмечу, что архив под паролем сразу вызывает подозрения и во многих системах блокируется, и даже расшифровывается. Чтобы максимально обезопасить себя необходимо:

а) При установке пароля на архив поставить галочку на значении “шифровать имена файлов”. Это необходимо для того чтобы имена файлов в архиве были не видны до открытия архива паролем.

б) При выборе пароля стоит обратить внимание на его длину и сложность. Да-да это необходимо для предотвращения перебора по словарю, если такой используется в системе. Используйте минимум 10 символов, содержащих буквы строчного и прописного регистров, специальные символы,пробелы, цифры. Например наш пароль будет таким $Op123KLM!987@. Не спешите набирать его в поле ввода, смотрите часть “в”.

в) Самое главное правильно ввести пароль в поле ввода в архиваторе, сейчас объясню почему. Дело в том на агенты которые уставнолены на АРМ’ах работников могут содержать функционал клавиатурного шпиона и записывать все Ваши действия (нажатия клавиш) на клавиатуре. Стоит отметить что запись ввода клавиш привязана к определенному процессу где осуществляется набор (word, exel, winrar и тд.). Чтобы запутать следы можно сделать следующее (для примера будем использовать наш пароль $Op123KLM!987@): Например так: откроем блокнот и Введем первые 4 символа из середины пароля “KLM!” и после этого копируем и вставляем в winrar, затем в MS Word’e впишем первые 5 символов пароля “$Op123”, копируем и вставляем в начало поля ввода winrar, последние 4 “987@” ,чтобы вообще не оставлять следов ввода, вводим в виртуальной клавиатуре онлайн клавиатуре используя мышку, и копируем в конец поля ввода пароля и нажимаем “ок”, пароль записываем на бумажку, отправляем архив в письме и сообщаем по телефону принимающей стороне, а бумажку съедаем:

Таких виртуальных клавиатур полно в интернете. Стоит отметить что Вы можете как угодно экспериментировать – набирать неправильный пароль, стирать, перемещать символы, при этом в системе слежения будет отображаться полная каша.В поле отображать пароль при вводе галку лучше не ставить – так как в системе может быть установлен модуль фотографирования вашего монитора.

3. Кодируем онлайн

Для передачи документа проще всего использовать онлайн-сервисы обмена файлами, для примера мы рассмотрим www.rgho.st

Заливаем наш файл “База контрагентов.docx” туда и получаем ссылку:

Теперь нам необходимо зашифровать ссылку и передать ее письмом. Для примера шифрования используем онлайн-сервис http://crypt-online.ru/crypts/aes/ с симметричным антигоритом AES. В поле текста вставляем адрес нашей ссылки, выбираем размер ключа шифрования 128-256 бит. Вводим пароль, в данном случае “itsecforu.ru”, нажимаем кодировать и получаем шифрованный текст:

Копируем полученный результат и отправляем в электронном сообщении, сообщив пароль и длину ключа по альтернативному каналу связи (телефону). Получатель проделывает обратное преобразование, вводит шифрованный текст и пароль и получает ссылку:

4. Cтеганография онлайн

Для того чтобы не отправлять подозрительный зашифрованный текст мы также можем использовать стеганографию онлайн. Подумайте какие документы Вы чаще всего отправляете контрагентам (акты сверок, счета и т.д.) и вставляйте в тело этих файлов код. Для примера мы будем использовать карточку предприятия и онлайн сервис http://stylesuxx.github.io/steganography/. Карточка предприятия в формате обычной картинки, где указаны реквизиты организации. Загружаем карточку (файл karto4ka.png), вставляем текст, который хотим зашифровать (все та же наша ссылка) и жмем “Encode”

Далее идем вниз страницы и сохраняем полученный файл, отправляем контрагенту электронным письмом.

Получатель проделывает обратное действие. Загружает файл “karto4ka2.png” и нажимает “Decode” и получает желанную ссылку.

Вдобавок можно использовать portable утилиты стеганографии, рассмотрим их в следующих статьях

Примечание: Информация для исследования, обучения или проведения аудита. Применение в корыстных целях карается законодательством РФ.

Пожалуйста, не спамьте и никого не оскорбляйте. Это поле для комментариев, а не спамбокс. Рекламные ссылки не индексируются!

Добавить комментарий Отменить ответ
Тупой безопасник 26.07.2018 в 10:21

Огромное ,тебе, человеческое спасибо! Ты даже не представляешь как ты облегчил работу тупым безопасникам, написав столько бреда. Если раньше надо было искать инциденты, то теперь, благодаря твоим “умным” опусам, инциденты сами будут валиться. PS И да! Все, что ты написал – не работает. Искренне твой,
Тупой безопасник.

Обзор DLP-системы «Контур информационной безопасности SearchInform».

«Контур информационной безопасности SearchInform», разработанный российской компанией ООО «СёрчИнформ», – это комплексная DLP-система для защиты от действий инсайдеров и утечек конфиденциальных данных. В системе реализован широкий спектр возможностей для контроля каналов передачи данных и контроля эффективности сотрудников. В первой части обзора представлены архитектура решения, системные требования и основные функциональные возможности продукта. Сертификат AM Test Lab Номер сертификата: 174 Дата выдачи: 19.10.2016 Срок действия: 19.10.2021 Реестр сертифицированных продуктов »

1. Введение
2. Архитектура решения
3. Системные требования
4. Основные функциональные возможности продукта
4.1. Контроль информационных потоков и перехват данных
4.2. Аналитические возможности
4.3. Система отчетов
4.4. Распознавание ухищрений инсайдеров
4.5. Контроль эффективности работы сотрудников
4.6. Предустановленные политики безопасности
5. Соответствие требованиям регуляторов

romashka.jpg

Утечка важной информации или ее непреднамеренный «слив» могут нанести бизнесу существенный вред. Как правило, источниками таких угроз являются недобросовестные или ущемленные в том или ином аспекте сотрудники компаний. Мотивы у сотрудников могут быть совершенно различные: подкуп со стороны конкурентов или заинтересованных лиц, шантаж, личная выгода и многое другое. В условиях кризиса проблема утечки информации только возрастает. Компания SearchInform провела исследование и выяснила, что с 2014 по 2016 год число попыток «слива» информации сотрудниками российских компаний выросло на 17,3%. Согласно исследованию, 31,4% — это умышленная кража информации (в том числе сохранение информации на личном носителе «на всякий случай» или ввиду смены работы), 17,9% — случайные «сливы» данных или результат деятельности социальных инженеров. 50,7% — это инциденты, мотивы которых однозначно установить не удалось. В связи с этим все больше компаний задумывается о надежной защите. Традиционно для защиты от утечек и контроля информационных потоков в организациях применяются системы класса DLP. В данном обзоре мы подробно рассмотрим DLP-систему «Контур информационной безопасности SearchInform» (российское наименование продукта – «Контур информационной безопасности Серчинформ»), разработанную отечественной компанией ООО «СёрчИнформ». В материале будут рассмотрены архитектура решения, системные требования и основные функциональные возможности продукта. О работе компонентов системы и механизмах контроля информационных потоков, реализованных в продукте, речь пойдет уже в следующей статье.

1_13.png

Архитектура решения
«Контур информационной безопасности SearchInform» предназначен для контроля информационных потоков в рамках локальной вычислительной сети. Контроль возможен двумя способами, в зависимости от используемого серверного компонента: SearchInform EndpointSniffer или SearchInform NetworkSniffer. Серверные компоненты представляют собой платформы, на которых работают модули перехвата данных. Каждый модуль перехвата выступает в роли анализатора трафика и контролирует свой канал передачи данных.

Рисунок 1. Архитектура DLP-системы «Контур информационной безопасности SearchInform»

«Контур информационной безопасности SearchInform» имеет модульную структуру, и условно ее можно сгруппировать следующим образом:

Модули контроля информации:

SearchInform EndpointSniffer — платформа для перехвата и блокировки информационных потоков посредством агентов, установленных на рабочие станции.
Платформа Endpoint позволяет перехватывать информацию при помощи агентов, которые устанавливаются на ПК сотрудников. При этом контролируются: интернет, корпоративная и личная электронная почта, все популярные мессенджеры (Viber, ICQ, и др.), Skype, облачные хранилища, FTP, Sharepoint, вывод документов на принтеры, использование внешних устройств хранения. Контролируется файловая система ПК, активность процессов и сайтов, информация, отображаемая на мониторах ПК и улавливаемая микрофонами, нажатые клавиши, доступно удаленное онлайн-наблюдение за ПК. Также агент позволяет принудительно шифровать любые пользовательские данные, записываемые на носитель. Доступен контроль как открытых, так и шифрованных соединений. Возможна установка запрета на использование портов ввода-вывода или определенных устройств. Также в системе реализована защита локальных ресурсов. Функционал позволяет регулировать доступ к критичным данным: скрывает/закрывает папки топ-менеджмента, запрещает доступ к информации даже привилегированным пользователям (системным администраторам, техническим специалистам и т.д.). Разграничение доступа к ресурсам (папкам и дискам) производится только на уровне DLP и не может быть отменено ни на уровне системы, ни на уровне домена. Агенты SearchInform EndpointSniffer производят теневое копирование перехваченной информации и направляют полученные данные серверу SearchInform EndpointSniffer. Сервер помещает перехваченные данные в базу под управлением СУБД Microsoft SQL Server.

2_15.png

Рисунок 2. Типовая схема работы SearchInform EndpointSniffer

3_15.png

SearchInform NetworkSniffer — платформа перехвата и блокировки информационных потоков на уровне сети. SearchInform NetworkSniffer позволяет работать с зеркалируемым трафиком, прокси-серверами (ICAP либо ISA\TMG), почтовыми серверами (интеграция через почтовый ящик (POP3, IMAP, EWS), через SMTP, путем транспортных правил или журналирования), прочим корпоративным ПО, например, Lynс. Перехват сетевого трафика производится на уровне сетевых протоколов (Mail, HTTP, IM, FTP, Cloud). Возможна фильтрация по доменному имени пользователя, имени компьютера, IP- и MAC-адресам. Перехваченные сообщения помещаются в базу данных SQL.

Рисунок 3. Типовая схема работы SearchInform NetworkSniffer

Для комплексного контроля передаваемых данных целесообразно использовать одновременно и SearchInform NetworkSniffer и SearchInform EndpointSniffer. Например, если агент сумел перехватить сообщения, не перехваченные на «зеркале», то имеет место шифрование трафика, которое может использоваться для передачи конфиденциальных данных за пределы организации. Использование двух платформ сбора также позволяет сбалансировать нагрузку на систему и агента.

Модули анализа информации:

Search Server — сервер индексации и поиска.
Продукт собственной разработки, не использует чужие технологии индексации, например, elasticsearch или sphinx. Представляет собой высокопроизводительное решение для индексации любых типов данных, бесшовно интегрированное в структуру «Контура информационной безопасности SearchInform». Также позволяет индексировать документы «в покое» — на рабочих станциях пользователей или сетевых устройствах. Может индексировать любую текстовую информацию из любых источников, которые имеют API или возможность подключения через ODBC.
SearchInform AlertCenter — является «мозговым центром» системы «Контур информационной безопасности SearchInform».
В AlertCenter задаются политики безопасности, модуль следит за их исполнением, а при их нарушении оповещает ИБ-специалиста об инциденте. SearchInform ReportCenter — модуль собирает статистику и генерирует отчеты по инцидентам с нарушением политик информационной безопасности, следит за связями сотрудников с внешним миром и внутри коллектива.

Модуль администрирования:

SearchInform DataCenter — предназначен для автоматизированного и ручного управления различными аспектами работы системы. Инструмент управляет базами данных и индексами, созданными компонентами «Контура информационной безопасности», а также осуществляет автоматический мониторинг их состояния.

Модули перехвата:

  • SearchInform KeyLogger — позволяет перехватывать данные, вводимые пользователем с клавиатуры.
  • SearchInform FileSniffer — предназначен для контроля операций с файлами, хранящимися на серверах и в общих сетевых папках.
  • SearchInform Сloud & SharePoint — предназначен для контроля трафика из облачных хранилищ.
  • SearchInform FTPSniffer — предназначен для контроля входящего и исходящего FTP-трафика на уровне рабочих станций.
  • SearchInform ProgramSniffer — предназначен для ведения учета активности пользователей в запускаемых ими приложениях и на посещаемых веб-ресурсах на протяжении рабочего дня.
  • SearchInform PrintSniffer — предназначен для контроля содержимого документов, отправленных пользователем на печать посредством как сетевых, так и локальных принтеров.
  • SearchInform HTTPSniffer — предназначен для перехвата сообщений, передаваемых по НТТР-протоколу, индексирования перехваченных сообщений и полнотекстового поиска по ним. Модуль также позволяет контролировать работу сотрудников и отслеживать их общение в рабочее время.
  • SearchInform MonitorSniffer — предназначен для перехвата информации, отображаемой на мониторах пользователей. Решение поставляется совместно с программным модулем KeyLogger.
  • SearchInform MicrophoneSniffer — предназначен для записи разговоров, ведущихся сотрудниками внутри офиса и в командировках.
  • SearchInform MailSniffer — предназначен для перехвата почтового трафика на уровне рабочих станций и сетевых протоколов, индексирования полученных сообщений и осуществления поиска по ним.
  • SearchInform IMSniffer — предназначен для перехвата сообщений популярных IM-клиентов.
  • SearchInform SkypeSniffer — приложение перехватывает сеансы голосовой и текстовой связи, SMS-сообщения и файлы, передаваемые при помощи Skype.
  • SearchInform DeviceSniffer — программный модуль, перехватывающий информацию, передаваемую пользователем на внешние устройства, а также отслеживающий сам факт подключения такого рода устройств.
  • SearchInform ADSniffer — контроль и анализ событий журналов Active Directory позволяет выявлять подозрительные действия, которые могут совершаться системным администратором компании.
  • Телефония — модуль обеспечивает перехват аудиозвонков и текстовых сообщений телефонии SIP через стандарты GSM, A-Law, u-Law и G.722.
  • Модуль шифрования данных — обеспечивает шифрование всех типов данных, записываемых на внешние устройства хранения USB.

табл1.png

Системные требования «Контура информационной безопасности SearchInform» напрямую зависят от размера инфраструктуры компании. Ниже приведены минимальные системные требования для сервера DLP-системы в зависимости от количества контролируемых рабочих станций в инфраструктуре.

Таблица 1. Минимальные системные требования для сервера «Контура информационной безопасности SearchInform»

  • интеграция с доменной структурой Active Directory;
  • интеграция с SearchInform Event Manager (SIEM);
  • интеграция c почтовыми серверами Microsoft Exchange, Lotus Domino и др.;
  • интеграция c Microsoft ISA / Forefront TMG и прочими прокси-серверами, работающими по протоколу ICAP.

Контроль информационных потоков и перехват данных

  • сообщения электронной почты, отправленные или полученные по протоколам SMTP, POP3, IMAP, MAPI, NNTP, HTTP(S);
  • мгновенные сообщения, переданные по протоколам OSCAR (службы ICQ, AIM), MMP (Mail.ru Agent), MSNP (Windows Live/MSN), XMPP (Google Hangouts, Jabber), а также текстовые/голосовые сообщения и файлы, передаваемые посредством Microsoft Lync и Viber Desktop;
  • сообщения и файлы, отправленные при помощи браузера в чаты, форумы, блоги, социальные сети (Facebook, LinkedIn, В Контакте, Moй Мир@Mail.Ru, Одноклассники.ru, Google+, Mamba.ru и др.);
  • входящие и исходящие данные облачных сервисов при работе через веб-интерфейс (Google Docs, OneDrive (Microsoft), Office 365 (Office Online), DropBox, Evernote, Яндекс.Диск Cloud.mail.ru, SharePoint);
  • остановка трафика на уровне сети на уровне ICAP — HTTP, FTP;
  • данные, передаваемые на внешние устройства;
  • история операций с файлами, расположенными на ноутбуках;
  • файлы, отправленные или полученные по FTP-соединению;
  • содержимое мониторов ноутбуков пользователей, а также нажатия клавиш;
  • разговоры сотрудника, находящегося вне офиса;
  • документы, отправленные на печать. текстовые и голосовые сеансы связи по Skype, файлы и SMS-сообщения, переданные или полученные при помощи Skype;
  • активность пользователей и запускаемых ими приложений. контроль устройств на рабочих станциях.

Аналитические возможности

4_13.png

Контроль информационных потоков и перехват данных — только часть функционала DLP-системы «Контур информационной безопасности SearchInform». Чтобы проанализировать весь массив информации и обнаружить инцидент, необходимы мощные поисковые и аналитические инструменты. Совместное использование всех типов поиска позволяет максимально эффективно защищать конфиденциальные данные в корпоративной сети и, что особенно важно в современных условиях, — резко сократить трудозатраты на их анализ. Поисковые механизмы, встроенные в DLP-систему «Контур информационной безопасности SearchInform», позволяют эффективно работать со всеми видами конфиденциальной информации, содержащейся в перехваченных данных. В решении заложены разнообразные технологии поиска:

  • Поиск по словам с учетом морфологии и синонимов. Простейший вид поиска, позволяющий находить документы, содержащие заданные слова, их различные формы и синонимы, вне зависимости от того, в каком месте документа они находятся.
  • Поиск по фразам с учетом порядка слов и расстояния между ними. С помощью данного вида поиска можно анализировать документ не по отдельным словам, а по словосочетаниям (например, фамилии и имени) или устоявшимся определениям.
  • Поиск по атрибутам. Использование этого вида поиска позволяет искать документы по их признакам (формату, имени отправителя или получателя и др.). Также можно отслеживать активность отдельных доменных пользователей, IP-адреса, определенные адреса электронной почты, документы и т. д.
  • Поиск по регулярным выражениям. Такой поиск позволяет отследить последовательности символов, характерные для различных форм персональных данных: содержащихся в финансовых документах, структурированных записях баз данных и т. п. С его помощью система оперативно реагирует на попытку отправки записи с такими персональными данными, как фамилия человека, день его рождения, номера кредитных карт, телефонов и т. д.

Рисунок 4. Пример отбора по регулярным выражениям в модуле AlertCenter

5_8.png

  • Поиск по цифровым отпечаткам. Этот вид поиска предполагает выявление группы конфиденциальных документов и снятие с них цифровых отпечатков, по которым в дальнейшем и будет осуществляться поиск. С помощью данного метода можно быстро отследить в информационных потоках файлы, содержащие большие фрагменты текста из документов, относящихся к конфиденциальным.
  • «Поиск похожих» (запатентованный алгоритм компании «SearchInform»). Интеллектуальные возможности данного типа поиска позволяют отслеживать отсылку конфиденциальных документов даже в том случае, если они были предварительно отредактированы. В качестве поискового запроса используются как фрагменты документов, так и документы целиком. В результате поиска выявляются документы, содержащие не только весь поисковый запрос, но и файлы, похожие на него по смыслу. Данный алгоритм позволяет существенно сократить временные затраты на анализ информации, значительно упрощая работу специалиста по безопасности.

Рисунок 5. Пример «поиска похожих» средствами модуля AlertCenter

6_6.png

  • Комплексные поисковые запросы. Сложные запросы могут включать в себя два и более простых запросов, объединенных с помощью логических операторов AND, OR, NOT. C их помощью можно решать нестандартные поисковые задачи, выбирая именно те данные, которые нужны в данный момент специалисту по информационной безопасности.

Рисунок 6. Пример сложного запроса средствами модуля AlertCenter

7_3.png

Поисковые возможности «Контура информационной безопасности SearchInform» позволяют проводить аналитику любой сложности и адаптировать DLP-систему под конкретные задачи и корпоративные стандарты. В консоли модуля AlertCenter, отвечающего за автоматическое выявление нарушений политик безопасности, задаются критерии политики ИБ и расписание их автоматической проверки. При обнаружении инцидента система оповещает сотрудника службы ИБ о нарушении политики или блокирует потенциально опасное действие до его завершения.

Рисунок 7. Настройка в модуле AlertCenter критериев и расписания проверок на примере политики безопасности «Поиск резюме»

8_1.png

Рисунок 8. Список инцидентов, зафиксированных в соответствии с критериями политики безопасности «Поиск резюме»

Система отчетов

  • Отчеты по связям пользователей наглядно отображают всю собранную информацию о внешних и внутренних контактах пользователей и каналах их связи.

9_0.png

Рисунок 9. Отчет по связям пользователей, формируемый в модуле ReportCenter

  • Отчеты по продуктам системы позволяют вывести в структурированном виде статистические данные перехвата за некий промежуток времени, например, количество сообщений по пользователям и продуктам, количество сообщений по протоколам, датам и т. д.

10_0.png
Рисунок 10. Отчет о количестве сообщений по протоколам, формируемый в модуле ReportCenter

  • Группа отчетов ProgramSniffer позволяет фиксировать опоздания, ранние уходы и отсутствие на рабочем месте сотрудника, оценивать эффективность сотрудников, промежутки неактивности, а также активность процессов и/или сайтов на компьютерах пользователей системы и многое другое.

11_3.png
Рисунок 11. Отчет о суммарном времени активности сайтов пользователей по группам, формируемый в модуле ReportCenter

12_0.png

  • Группа отчетов AlertCenter позволяет формировать статистические отчеты по зафиксированным инцидентам.
  • Группа отчетов по программам позволяет формировать статистические отчеты о выполненных действиях с программным обеспечением и наличии его на компьютерах.

Рисунок 12. Отчет об установленных программах на компьютере, формируемый в модуле ReportCenter

  • Группа отчетов по подключаемым устройствам позволяет формировать статистические отчеты о подключаемых устройствах, установленном оборудовании и об их изменении.
  • Группа системных отчетов позволяет анализировать операции с агентами, протоколами, например, выводят список компьютеров без агентов, список компьютеров, выполнивших вход в домен, но не имеющих установленного агента и др.

Распознавание ухищрений инсайдеров

13_0.png

Зачастую недобросовестные сотрудники, пытаясь обмануть службу безопасности, изменяют расширение передаваемого документа либо запаковывают данные в запароленный архив. Для распознавания ухищрений «КИБ SearchInform» позволяет:

  • распознавать текст в графических файлах и осуществлять поиск по ним;
  • обнаружить передачу защищенных паролем архивов по всем каналам возможной утечки информации;
  • выявлять пересылку файлов с умышленно измененным типом документа.

Рисунок 13. Пример выявления пересылки файла с умышленно измененным типом документа

Контроль эффективности работы сотрудников

14_0.png

Исследования показывают, что типичный офисный сотрудник использует от 30 до 70% рабочего времени в личных целях. Игры, чаты и социальные сети отнимают львиную долю оплаченного работодателем времени, снижают эффективность работы персонала и конкурентоспособность компании. Контроль соблюдения сотрудниками трудового распорядка, их активности в течение рабочего дня, а также анализ их работы в запускаемых приложениях позволяют не только решить вопросы безопасности и дисциплины, но и стимулируют сотрудников эффективно использовать рабочее время в целях организации. В ReportCenter предусмотрена возможность формирования разнообразных отчетов, позволяющих составить представление о рациональности использования рабочего времени тем или иным пользователем, а также о соблюдении им политик безопасности организации, например:

  • ТОП по числу перехваченных файлов и сообщений;
  • ТОП пользователей по числу инцидентов; визуализация связей сотрудников с их адресатами;
  • средняя продолжительность рабочего дня и суммарное время работы сотрудников;
  • среднесуточная и суммарная активность запускаемых пользователями процессов;
  • среднесуточная и суммарная активность на посещаемых пользователями веб-сайтах;
  • детальная информация по работе пользователей;
  • журнал рабочего времени пользователей;
  • отчет по нарушениям рабочего режима; отчет по установленному и измененному на компьютерах пользователей оборудованию и др.

Рисунок 14. Отчет об эффективности пользователей, формируемый в модуле ReportCenter

Кроме того, в «Контуре информационной безопасности SearchInform» существует возможность мониторинга активности пользователей в режиме реального времени.

Предустановленные политики безопасности

15.png

«Контур информационной безопасности SearchInform» включает более 150 готовых политик безопасности: Универсальные политики безопасности (актуальны для любой организации):

  • контроль откатов и взяточничества;
  • выявление негативных настроений и сговоров в коллективе;
  • определение групп риска (проблемы с алкоголем, наркотиками, крупные долги и т. д.);
  • контроль персональных данных (паспорта, номера банковских карт и др.);
  • выявление общения с конкурентами, с уволенными сотрудниками;
  • посещение запрещенных сайтов;
  • антитеррористические политики и др.

Отраслевые политики безопасности (учитывают сферу деятельности компании):

  • банки и финансы;
  • добывающая и химическая промышленность;
  • транспорт и логистика;
  • газо-, электро- и водоснабжение;
  • строительство, связь.

Индивидуальные политики безопасности — политики, которые специалисты компании бесплатно разрабатывают под запросы клиента.

Рисунок 15. Предустановленные политики безопасности «Контура информационной безопасности SearchInform»

Соответствие требованиям регуляторов

«Контур информационной безопасности SearchInform» сертифицирован по требованиям безопасности ФСТЭК России (сертификат ФСТЭК России № 3598 на соответствие ТУ и 4 уровню РД НДВ, действителен до 14.07.2019 г). Сертификация по требованиям безопасности ФСТЭК России дает возможность использовать «Контур информационной безопасности SearchInform» в составе системы защиты информационных систем, где применение сертифицированных продуктов обязательно, например, в информационных системах персональных данных, государственных информационных системах (ГИС), автоматизированных системах управления технологическим процессом (АСУ ТП). Во второй части обзора мы покажем работу основных модулей «Контура информационной безопасности SearchInform» и сделаем общие выводы о системе.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *