Solar Dozor 7.9 интегрируется с различными SIEM-системами

Solar Dozor 7.9 интегрируется с различными SIEM-системами

Solar Dozor 7.9 интегрируется с различными SIEM-системами

«Ростелеком-Солар» представил новую версию системы предотвращения утечек информации Solar Dozor 7.9. В обновлении появилась возможность создавать иерархию групп рабочих станций, развертывать Linux-агент на рабочих станциях через веб-интерфейс Solar Dozor, контролировать передачу данных через VK Teams, eXpress и Airdrop, передавать события и инциденты из Solar Dozor в различные SIEM-системы в режиме реального времени и ряд других опций.

В Solar Dozor 7.9 заметно улучшены функции управления endpoint-агентами. Так, повысилось удобство управления группами рабочих станций. В предыдущих версиях нельзя было создать подгруппы рабочих станций – все группы находились на одном уровне иерархии. Теперь такая возможность появилась, и она будет особенно востребована крупными мультифилиальными компаниями с разветвленной структурой групп рабочих станций.

 

Начиная с версии 7.9, Linux-агент Solar Dozor можно развертывать с помощью веб-интерфейса DLP-системы. Ранее установка проводилась только посредством shell-скрипта. Теперь же в веб-интерфейсе можно запускать процесс развертывания агента и всех необходимых пакетов на рабочих станциях, управлять дистрибутивами агента и наборами этих дистрибутивов, учетными записями пользователей с правами на установку Linux-агента. Реализация этой функции ускоряет и упрощает процесс массовой установки агента на компьютерах пользователей, особенно для крупных компаний с большим парком рабочих мест на базе Linux и для тех, кому предстоит перейти на эту ОС

В модуле Dozor Endpoint Agent для Windows разработан новый, не зависящий от протокола механизм перехвата сообщений, передаваемых в WhatsApp Desktop, обеспечивающий более надежный по сравнению с предыдущей реализацией перехват. Перехватываются данные, передаваемые окну приложения (мессенджера), которое сотрудник использует на своей рабочей станции. Кроме того, в новой версии Solar Dozor существенно расширен набор контролируемых каналов передачи данных. В частности, на рабочих станциях под управлением macOS обеспечивается перехват и блокировка передачи файлов через AirDrop. Осуществляется перехват файлов (документов и изображений), передаваемых с помощью AirDrop с рабочего стола компьютера пользователя, из файлового менеджера Finder или напрямую из приложений, а также блокировка передачи файлов через AirDrop при соответствующей настройке политики.

Также взята под контроль коммуникация в отечественных мессенджерах VK Teams и eXpress. Отправляемые сотрудниками через эти мессенджеры сообщения и файлы перехватываются системой Solar Dozor и проходят проверку в соответствии с условиями политики безопасности организации. Теперь офицер безопасности может найти и просмотреть переписку сотрудника в VK Teams и eXpress, сообщения в групповом чате eXpress и список участников чата, настроить политику безопасности с учетом перехвата сообщений и файлов в eXpress и VK Teams. Улучшение значимо снижает риск утечки конфиденциальных данных из компаний.

«Вопрос контроля передачи информации в мессенджерах сегодня весьма актуален — это очень важный канал коммуникаций, который по интенсивности общения не уступает корпоративной почте, а в части передачи чувствительной информации даже и превосходит ее. Сотрудники компаний пользуются для обмена информацией и корпоративными – теперь преимущественно отечественными, и публичными мессенджерами, а значит, риски утечек конфиденциальных данных существуют в обоих случаях, и такие коммуникации обязательно нужно контролировать», – подчеркнул Илья Лушин, руководитель продукта Solar Dozor компании «Ростелеком-Солар».

Досье сотрудников в Solar Dozor 7.9 может пополняться данными из нового источника: реализована поддержка LDAP-сервера со свободной лицензией и открытым программным кодом – FreeIPA (389 Directory Server). Помимо сведений о сотрудниках, из этого источника также можно получить список рабочих станций (например, для установки на них агентов).

Также в версии 7.9 расширены интеграционные возможности DLP-системы. В интерфейсе реализована настройка передачи событий и инцидентов из Solar Dozor в различные SIEM-решения в режиме реального времени с помощью выгрузки необходимых данных в syslog – журнал, который поддерживается большинством SIEM-систем. Это позволяет пользователям централизованно обрабатывать события безопасности сразу из нескольких систем.

Пользователи Solar Dozor 7.9 заметят некоторые обновления интерфейса системы. Так, раздел Перехватчики был разделен на разделы Endpoint Agents и File Crawler. В каждый из разделов добавлены новые возможности навигации, поиска, настройки отображения элементов. В разделе Поиск переработан интерфейс форм запроса для быстрого и расширенного поисков, а также для шаблонов. Расширены возможности использования быстрого поиска по беседам и работы с результатами поиска.

И, наконец, разработчики новой версии уделили внимание повышению контроля за работоспособностью системы. В Solar Dozor версии 7.9 появились новые триггеры, позволяющие оперативно контролировать: отсутствие входящего трафика от Dozor Traffic Analyzer, истечение срока действия пароля учетной записи для синхронизации с AD, недоступность мастер-узла и подчиненных узлов кластера, имеющих сервис Досье. Теперь администратор системы может использовать больше инструментов для анализа текущего состояния и работоспособности Solar Dozor.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Давно не обновляли 7-Zip? В нем может присутствовать RCE-уязвимость

Участник проекта Trend Micro Zero Day Initiative (ZDI) выявил в 7-Zip уязвимость, позволяющую выполнить вредоносный код в Windows. Патч вышел в составе сборки 24.07; обновление архиватора возможно лишь вручную.

Согласно бюллетеню ZDI, причиной появления проблемы CVE-2024-11477 является некорректная реализация механизма разуплотнения данных Zstandard, а точнее, неадекватная проверка пользовательского ввода.

Из-за этого возник риск возникновения целочисленного переполнения через нижнюю границу представления. Данную ошибку, по словам автора находки, можно использовать для выполнения произвольного кода в контексте текущего процесса.

Эксплойт возможен с помощью специально созданного архива; автору атаки также придется убедить пользователя открыть вредоносный файл. В случае успеха последствия могут быть различными, от кражи данных до полной компрометации целевой системы.

Получив отчет ZDI, разработчики создали патч и включили его в выпуск 24.07. Пользователям 7-Zip настоятельно рекомендуется обновить продукт до последней версии (текущая — 24.08).

Формат 7z не менее популярен, чем ZIP и RAR; в прошлом году его поддержка была добавлена в Windows 11. Сам архиватор с открытым кодом поддерживает MotW — защиту Windows от drive-by-загрузок, однако оказалось, что он плохо распознает угрозы, спрятанные путем конкатенации архивных файлов.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru