InfoWatch представила DLP-систему нового поколения

InfoWatch представила DLP-систему нового поколения

Компания InfoWatch, лидер российского рынка систем защиты корпоративной информации от внутренних угроз, представила новую версию флагманского решенияInfoWatch Traffic Monitor 5.0. Эта разработка выводит направление DLP на уровень бизнеса и открывает для компаний новые возможности в сфере сокращения затрат и снижения операционных рисков.

InfoWatch Traffic Monitor 5.0 наследует передовые технологии предыдущих версий, но впервые на рынке предлагает логику взаимодействия с пользователем, подразумевающую главенствующую роль бизнеса в управлении безопасностью.

«Первыми о появлении информации, которую необходимо защищать, узнают не ИБ-специалисты, а сотрудники бизнес-подразделений. Они же лучше кого бы то ни было знают о том, кто и как может с этой информацией работать. И только владельцы информации могут понять, что за безобидными на первый взгляд действиями скрывается злой умысел инсайдера. Логично, что и сам процесс управления безопасностью должен находиться в тесной взаимосвязи с бизнесом», – комментирует Александр Клевцов, менеджер по направлению DLP компании InfoWatch.

В условиях быстро меняющихся задач бизнеса DLP-система должна обеспечивать простую и гибкую систему трансформации регламентов компании в политики безопасности, отражающие весь спектр внутренних угроз и рисков при потере информации. InfoWatch Traffic Monitor 5.0 создана на базе принципиально новой платформы, которая самостоятельно анализирует полноту заданных условий и позволяет легко и без применения специальных знаний формировать политики ИБ.

Среди прочего, такая простота в настройке и использовании кардинальным образом позволит изменить ситуацию с распространением DLP-систем в сегменте СМБ, который страдает от утечек данных не меньше крупных компаний, но обычно не имеет ресурсов для внедрения и эксплуатации таких решений.

InfoWatch Traffic Monitor 5.0 учитывает больше данных для формирования картины угроз, чем традиционные DLP-системы. Например, встроенные инструменты взаимодействия с HR-службой позволяют настраивать и применять особые целевые политики контроля персонала, входящего в т.н. «группу риска», с созданием специальных отчетов по активности подобных сотрудников. В «группе риска» находятся, прежде всего, недавно нанятые и увольняющиеся люди – в исследованиях Аналитического центра InfoWatch неоднократно отмечалось, что чаще всего ценную информацию «выносят» именно они.

Концепция продукта состоит в вовлечении всех бизнес-подразделений в управление безопасностью корпоративных данных. InfoWatch Traffic Monitor 5.0 предоставляет ролевой доступ для разных групп пользователей – HR-службы, юридического департамента, маркетингового подразделения, топ-менеджеров и др. с возможностью контроля и защиты информации, которую они относят к конфиденциальной.

В целях предотвращения нарушений реализована возможность уведомления руководителя об инцидентах, в которых задействованы его подчиненные. Это касается как прямого нарушения политик ИБ (пересылки, копирования конфиденциальной информации), так и нелегитимного хранения. Такие оповещения позволяют предотвратить как простую халатность в обращении с информацией, так и вероятную злонамеренную утечку.

InfoWatch Traffic Monitor идентифицирует нарушителей и круг причастных лиц, ведет статистику нарушений, что позволяет предупредить наиболее опасные угрозы, включая комбинированные (внутренние и внешние нарушители, действующие в сговоре). Вся информация хранится в единой базе для дальнейшего расследования инцидентов, построения отчетов и оперативного реагирования на инцидент. Продукт представляет  информацию о нарушениях в разрезе: выбранного периода времени; уровня нарушения: низкий, средний, высокий; типов нарушенных правил: передачи, хранения и  копирования.

Доступ к консоли управления системы осуществляется через удобный пользовательский веб-интерфейс, установка специального программного обеспечения не требуется. Пользователь может получить доступ к управлению системой с любой рабочей станции, вне зависимости от операционной системы (Windows, Linux, Apple Mac OS) и браузера, благодаря чему уровень простоты и удобства администрирования решения существенно возрастает.

Технологии перехвата и анализа информации также были усовершенствованы. InfoWatch Traffic Monitor 5.0 детектирует передачу конфиденциальной информации, вне зависимости от того, представлена ли она в виде выдержки из текста, графического файла (например, фотографии) или бинарных данных. При этом злоумышленник не может обмануть систему, сменив разрешение файла, добавив «шумы» в изображение и т.п. – в отличие от других DLP-систем, InfoWatch Traffic Monitor 5.0 понимает содержание файла, а не только определяет его соответствие формальным критериям.

Современные бизнес-приложения – это необходимый инструмент, который помогает организациям принимать более эффективные решения, сокращать расходы и повышать производительность труда. В них хранится огромный объем корпоративных данных, в том числе конфиденциальных, поэтому в новой версии InfoWatch Traffic Monitor особое внимание уделено технологии защиты от утечек баз данных. Эта технология обнаруживает выгрузки баз данных из бизнес-приложений, оперативно реагирует на передачу такой информации и блокирует ее несанкционированное распространение. В случае наступления инцидента цифровые доказательства можно использовать для проведения расследования или судебного разбирательства.

Продукт поставляется в двух конфигурациях – InfoWatch Traffic Monitor Enterprise для крупных организациях и InfoWatch Traffic Monitor Standard, оптимизированной для работы в СМБ-компаниях. Благодаря повышенной производительности решения не создают избыточной нагрузки на сеть и не влияют на привычные рабочие процессы сотрудников.

«Новая версия InfoWatch Traffic Monitor – это огромный шаг в развитии DLP-систем в целом, – комментирует Татьяна Белей, директор по маркетингу компании InfoWatch. – Если раньше данные системы использовали преимущественно для задач информационной безопасности, то теперь с их помощью можно эффективно решать задачи бизнеса. DLP-система нового поколения помогает бизнесу получить уверенность в безопасности ценных и конфиденциальных данных, дает понимание всех внутренних и внешних потоков информации в организации, позволяет выявить сговоры, злоумышленников, лиц, занимающихся промышленным шпионажем, помогает осуществлять бизнес-разведку с целью контроля деятельности персонала и определения степени их лояльности к компании. Это прямым образом ведет к сокращению затрат, снижению бизнес-рисков и защите предприятия от внутренних угроз. При создании новой версии InfoWatch Traffic Monitor мы руководствовались этой концепцией бизнес-ориентированности, и теперь готовы предложить заказчикам новую, более эффективную модель управления информационными потоками в компании».

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Инфостилер Jarka прожил год на PyPI под видом инструментов интеграции ИИ

Эксперты «Лаборатории Касперского» нашли на PyPI два схожих пакета, якобы реализующих доступ к API популярных ИИ-моделей — GPT-4 Turbo и Claude AI. Анализ показал, что истинной целью в обоих случаях является внедрение зловреда JarkaStealer.

Вредоносные библиотеки gptplus и claudeai-eng были загружены в репозиторий Python-кодов в ноябре прошлого года, притом из-под одного и того же аккаунта. До удаления с подачи Kaspersky их скачали более 1700 раз пользователи из 30 стран (в основном жители США, Китая, Франции, Германии и России).

 

Описания содержали инструкции по созданию чатов для ИИ-ботов и примеры работы с большими языковыми моделями (БЯМ, LLM). Для имитации заявленной функциональности в код был встроен механизм взаимодействия с демопрокси ChatGPT.

При запуске параллельно происходит загрузка с GitHub файла JavaUpdater.jar — инфостилера Jarka. При отсутствии у жертвы софта Java с Dropbox скачивается JRE.

Внедряемый таким образом вредонос умеет выполнять следующие действия в системе:

  • собирать системную информацию;
  • воровать информацию из браузеров;
  • прерывать процессы Google Chrome и Microsoft Edge (чтобы вытащить сохраненные данные);
  • отыскивать сессионные токены в Telegram, Discord, Steam, чит-клиенте Minecraft;
  • делать скриншоты.

Украденные данные архивируются и передаются на C2-сервер. После этого файл с добычей удаляется с зараженного устройства, чтобы скрыть следы вредоносной активности.

Как оказалось, владельцы JarkaStealer продают его в Telegram по модели MaaS (Malware-as-a-Service, «вредонос как услуга»), однако за доступ уже можно не платить: исходники были опубликованы на GitHub. В рекламных сообщениях и коде зловреда обнаружены артефакты, позволяющие заключить, что автор стилера владеет русским языком.

«Обнаруженная кампания подчёркивает постоянные риски, связанные с атаками на цепочки поставок, — отметил эксперт Kaspersky GReAT Леонид Безвершенко. — При интеграции компонентов с открытым исходным кодом в процессе разработки критически важно проявлять осторожность. Мы рекомендуем организациям внедрять строгую проверку целостности кода на всех этапах разработки, чтобы убедиться в легитимности и безопасности внешнего программного обеспечения или внешних компонентов».

Тем, кто успел скачать gptplus или claudeai-eng, рекомендуется как можно скорее удалить пакет, а также обновить все пароли и сессионные токены.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru