Сертификат AM Test Lab
Номер сертификата: 167
Дата выдачи: 01.08.2016
Срок действия: 01.08.2021
4. Особенности Solar Dozor 6.1
6. Управление событиями и инцидентами
7. Аналитический инструментарий
8. Контроль информационных объектов
10. Галерея скриншотов рабочего стола
11. Граф взаимосвязей сотрудников
12. Уровень доверия к сотрудникам
14. Поиск по архиву событий и инцидентам в Solar Dozor 6.1
16. Тепловая карты коммуникаций
Введение
На протяжении многих лет ключевой функцией любой DLP-системы была возможность контролировать выход защищаемой информации за периметр организации. В центре внимания сначала были электронная почта, USB, интернет-мессенджеры и т. д. Постепенно критерием зрелости DLP-системы стало число каналов передачи данных, которые она способна контролировать. В результате этого в фокусе внимания информационной безопасности оказывались инциденты, на которые срабатывала политика безопасности. Но, как показала практика, такой подход был эффективен в большей степени для выявления случайных утечек информации. Собственно, многие производители DLP-решений честно позиционировали свои продукты именно как системы предотвращения случайных утечек.
При таком использовании фиксация целенаправленных внутренних угроз, прежде всего, корпоративного мошенничества, оставалась делом случая. Вот и получилось, что сами утечки информации могли выступать только сигналом к проведению полномасштабного расследования, которое фактически начиналось с большим опозданием. Требовался новый подход, который позволил бы действительно эффективно использовать информацию, накопленную в DLP, ведь именно с помощью последующего разбора инцидента удается понять причины и следствия действий нарушителей, выявить круг причастных лиц и собрать необходимые доказательства.
В результате на первый план вышли уже не только технологии перехвата трафика, но и создание долгосрочного архива перехваченной информации, а также аналитические инструменты для работы с большими объемами накопленных в DLP-системе данных. Именно к таким выводам пришла команда Solar Dozor после проведения масштабного исследования, которое включало в себя общение с DLP-практиками и анализ лучших подходов служб информационной безопасности к расследованию инцидентов.
Исходя из предпосылок, выявленных в ходе опроса ИБ-специалистов, в новой версии Solar Dozor был сделан упор на изменение принципа работы с системой. Был кардинально переработан интерфейс, который стал удобным инструментом для оперативного мониторинга и разбора инцидентов. Продвинутые аналитические возможности системы и действительно быстрый поиск по архиву помогают офицерам информационной безопасности работать с большими объемами информации и выявлять ключевые направления расследования. Таким образом, новая версия Solar Dozor позволяет не только бороться с утечками информации, но и дает огромный набор возможностей и методологических подходов для выявления признаков корпоративного мошенничества. Обо всем этом и пойдет речь в нашем обзоре.
Системные требования Solar Dozor 6.1
Минимальная установка
Для минимальной установки достаточно одного или двух узлов со следующей конфигурацией:
- Количество ядер — 6
- Тактовая частота — 2.2 ГГц
- Объем оперативной памяти — 24 ГБ
- Объем жесткого диска — 600 ГБ
Крупная установка
Для крупных установок рекомендуется использовать следующую конфигурацию
оборудования:
- Количество ядер — 16
- Тактовая частота — 2.2 ГГц
- Объем оперативной памяти — 40 ГБ
- Объем жесткого диска — 1 ТБ
В дополнение к указанному размеру системы хранения рекомендуется использовать дисковые полки или СХД для хранения баз данных и для долговременного файлового хранилища.
Требования к инфраструктуре
Для поддержания нормальной работоспособности Solar Dozor инфраструктура должна соответствовать следующим требованиям:
- Наличие доступа в интернет.
- Наличие DNS-сервера (желательно), почтового сервера и сервера точного времени.
- Сеть должна пропускать трафик между компонентами Solar Dozor в соответствии с матрицей доступа.
Необходимое ПО для установки
Для установки Solar Dozor необходимо наличие следующего ПО:
- ОС RHEL/CentOS версии 6.7.
- Дистрибутив Solar Dozor.
- Обновления ОС (доступ в интернет или к локальной копии).
- SSH-клиент.
- Лицензия на Solar Dozor.
- СУБД на выбор: Oracle Database Enterprise Edition или PostgreSQL.
Требования к аппаратному обеспечению контролируемых рабочих станций
Для установки и эффективной работы агента Solar Dozor рекомендуется следующая конфигурация рабочей станции:
- CPU — не менее 2-ядерного.
- ОЗУ — 2 ГБ (Windows), 1 ГБ (Linux).
- Свободное место в системном разделе жесткого диска — 50 ГБ (Windows), 10 ГБ (Linux).
Агент Solar Dozor функционирует под управлением операционных систем:
- Windows XP 32 bit
- Windows 7 32/64 bit
- Windows 8 32/64 bit
- Windows Server 2003 32 bit
- Windows Server 2008 64 bit
- Windows Server 2012 32/64 bit
- Astra Linux v. 1.4
Контроль коммуникаций в Solar Dozor 6.1
Solar Dozor 6.1 как классическая DLP-система обеспечивает перехват по широкому спектру каналов передачи данных, закрывая все самые хитроумные лазейки.
В зависимости от технической возможности и требований производительности для каждого канала подобрана оптимальная точка сбора трафика — на сетевом шлюзе, прокси-сервере или рабочей станции.
Solar Dozor совместим с любым прокси-сервером, а также может поставляться с собственным модулем Dozor Web Proxy. Кроме этого, Dozor Web Proxy может использоваться как самостоятельное решение для защиты от рисков, связанных с использованием веб-ресурсов.
Solar Dozor покрывает все самые популярные каналы передачи данных и обеспечивает мониторинг и контроль коммуникаций по электронной почте, через интернет-ресурсы, в мессенджерах, а также отслеживает активности сотрудников на их рабочих станциях и проводит аудит хранилищ информации.
Рисунок 1. Каналы перехвата Solar Dozor
Solar Dozor 6.1 в зависимости от задач заказчика может работать как в режиме мониторинга, так и в режиме блокировки передачи данных. Таким образом, решение способно не только фиксировать нарушения, но и в случае необходимости предотвратить кражу конфиденциальных данных. Кроме этого, система может вносить изменения в содержимое пересылаемого сообщения или вложения — исключать или заменять информацию. А чтобы привить сотрудникам культуру обращения с конфиденциальными данными, Solar Dozor выводит пользователю окно с предупреждением, если тот нарушил политику безопасности.
На данный момент Solar Dozor является единственным отечественным DLP-решением, имеющим агентский модуль для ОС Linux, что является неоспоримым преимуществом для организаций, перешедших на СПО.
Также из функционала агента стоит отметить контроль буфера обмена и снимки рабочего стола. Хотя эти инструменты реализованы не у всех производителей DLP-систем, по факту они давно стали необходимыми и выручают офицера безопаности при проведении расследований.
Особенности Solar Dozor 6.1
Создатели любого программного продукта в свое время проходят один и тот же путь быстрого наращивания функционала для удовлетворения потребностей растущего рынка. Но в один прекрасный момент оказывается, что пользователь вырабатывает для себя лучшие практики решения своих задач, оперируя достаточно простыми функциями, которые составляют не более 10% от всех заявленных возможностей продукта. Аналогичная ситуация произошла и с DLP-системами.
На практике оказывается, что офицер информационной безопасности уделяет работе с решением в среднем 2 часа в день. За это время безопасник должен понять, что произошло с момента последней сессии работы с системой и какие события требуют незамедлительной реакции. Чтобы специалист мог выполнить все задуманное в срок, разработчики Solar Dozor 6.1 сконцентрировались на принципах простоты работы с интерфейсом, быстроте и удобстве взаимодействия с системой при каждодневном применении.
Одним из основных принципов организации нового интерфейса является наличие необходимых срезов данных для решения стандартных задач, без построения поисковых запросов и отчетов. В новой версии Solar Dozor был сделан упор на максимальную автоматизацию процессов: все самые важные функции всегда оказываются под рукой, а сквозной drill-down-подход позволяет быстро получить всю необходимую информацию.
Чтобы облегчить жизнь безопасника, создатели Solar Dozor включили в поставку отраслевые настройки, позволяющие быстрее разворачивать решение и получать первые результаты без сложной конфигурации. В целом при эксплуатации системы заметны мелкие, но приятные функции, в которых прослеживается забота о пользователе: это и предикативный набор при поиске, и подсказки следующего шага при проведении расследований. В общем, решение стало удобным и эффективным инструментом расследования и принятия решений по инцидентам информационной и экономической безопасности.
Ситуационный центр в Solar Dozor 6.1
Первым интерфейсом, который видит офицер информационной безопасности в Solar Dozor, становится Рабочий стол. Этот пульт управления системой построен по принципу «ситуационного центра» и позволяет выполнять основные задачи, которые стоят перед сотрудником ИБ:
- Оценка и мониторинг оперативной обстановки
- Управление событиями и инцидентами
- Мониторинг групп особого контроля
- Расследование в отношении персоны
- Мониторинг движения и хранения информации
- Расследование инцидента
В первую очередь рабочий стол позволяет провести быструю оценку оперативной обстановки и, выбрав первоочередные задачи на данный момент, углубиться в разбор конкретных событий и инцидентов.
Виджеты на рабочем столе собраны таким образом, чтобы под рукой оказалась вся самая необходимая информация. В поле зрения безопасника попадают три основные сущности: а) критичная информация в виде информационных объектов; б) сотрудники — они же персоны; в) нарушения — события информационной безопасности.
Рисунок 2. Фокусы внимания
Данная концепция позволяет пользователю системы взглянуть на одно и то же нарушение с трех разных точек зрения, получив всеобъемлющую информацию, которая станет «топливом» для «машины расследований».
Рисунок 3. Рабочий стол в Solar Dozor 6.1
Взглянув на главный рабочий стол Solar Dozor, можно быстро понять, какие нарушения система фиксирует в данный момент времени, как перемещается в организации защищаемая информация, чем занимаются люди (персоны), за которыми установлен особый контроль.
Управление событиями и инцидентами
Для эффективной работы с инцидентами в Solar Dozor реализована полноценная система кейс-менеджмента, позволяющая управлять жизненным циклом инцидента на всех этапах расследования.
Solar Dozor, как любая классическая DLP-система, фиксирует нарушения политик безопасности и отображает их в виде событий. Каждый элемент списка событий представляет собой информационную строку, в которой приведены основные сведения о событии. Такое представление позволяет офицеру безопасности просматривать множество событий, зарегистрированных в системе, при этом получая информацию о каждом из них.
Рисунок 4. События и инциденты в Solar Dozor 6.1
Проводя оперативный мониторинг, специалист по безопасности может быстро выявить в потоке критичные события, перевести их в статус инцидента и назначить ответственного сотрудника для расследования нарушения.
Рисунок 5. Создание инцидента в Solar Dozor 6.1
Таким образом удается построить эффективный конвейер по разбору инцидентов. Информация обо всех назначенных на офицера безопасности инцидентах будет отображаться в разделе «Мои инциденты».
Рисунок 6. Раздел «Мои инциденты» в Solar Dozor 6.1
Тут же отображаются сообщения, передача которых была заблокирована системой. Они всегда находятся на главном экране для быстрой обработки и обеспечения непрерывности бизнес-процессов.
Рисунок 7. Заблокированные письма в Solar Dozor 6.1
Аналитический инструментарий
Если проводить аналогию с расследованиями в реальном мире, то результаты работы DLP-системы схожи с донесениями агентурной сети. Аналитик получает огромные объемы оперативной информации «с полей», и чтобы принимать правильные решения, ему нужны эффективные и удобные инструменты анализа. Чтобы выделить из информационного шума самые важные доказательства, офицер безопасности постоянно задает себе (и DLP-системе) различные вопросы, как например:
- Кто этот сотрудник? В каком подразделении он работает? Какая у нас есть контекстная информация из других систем? Как долго он работает, есть ли привилегированные права, кто руководитель?
- Что у нас есть на этого сотрудника? Какова история его нарушений? С кем он общается? По каким каналам, с какой интенсивностью? Что он обсуждает в переписке? Какие файлы он получает и отправляет?
- Кто его контакты? С кем человек общается в рамках бизнес-процессов? А с кем просто дружит? Его наиболее частые связи? Нехарактерные или случайные контакты?
- Как сотрудник ведет себя на работе? Что для него является нормой, а какая активность вызывает подозрение?
То же самое касается информации — офицера интересует, как перемещается критичная информация в организации: кто, когда, по каким каналам, как часто и что пересылает, какие есть типичные и нетипичные информационные потоки, что является нормой, а что аномалией.
Это далеко не полный список, но на эти и многие другие вопросы помогает быстро ответить мощный и удобный инструментарий аналитики в Solar Dozor.
Контроль информационных объектов в Solar Dozor 6.1
Для контроля распространения конфиденциальной информации в Solar Dozor реализована сущность под названием информационный объект. Она описывает класс информации, имеющей ключевое значение для бизнеса и требующей особого внимания со стороны службы безопасности. Данные могут передаваться в различных форматах: в виде электронных документов, в тексте сообщения, в виде отсканированных изображений, внутри архивов и т. п. Поэтому целесообразно задать как можно больше разных представлений этой информации, сгруппированных по каким-либо общим критериям. Информационный объект помогает описать понятные в обращении документы: финансовые документы, резюме, стратегические планы, протоколы совещаний и т. п.
Мониторинг осуществляется с Рабочего стола или из раздела «Информационные объекты». Для удобства пользователя информационные объекты могут быть сгруппированы по категориям. При этом каждая категория может содержать либо подкатегории, либо непосредственно информационные объекты.
Рисунок 8. Информационные объекты в Solar Dozor 6.1
Например, для мониторинга и контроля движения финансовых документов можно объединить соответствующие информационные объекты в категорию «Финансовые документы». Информационные объекты, содержащие документы, с которыми работают специалисты кадрового отдела, объединяются в категории «Кадровый отдел». При этом к каждому информационному объекту можно применить разные правила контроля.
Чтобы собрать всеобъемлющую информацию о движении информационных объектов в Solar Dozor, нужно обратиться к карточке-досье на информационный объект. Она содержит подробные сведения о том, кто и по каким каналам передавал защищаемую информацию.
Информация в карточке информационного объекта представлена в следующих срезах:
- Список событий и инцидентов ИБ, связанных с информационным объектом.
- Сведения о фактах передачи информационного объекта, в том числе передача от человека на ресурс, копирование на флешку, печать и т. п.
- Сводные данные о местах размещения информационного объекта (вкладка «Места хранения»).
Рисунок 9. Сведения о передаче Информационных объектов в Solar Dozor 6.1
Досье на сотрудников в Solar Dozor 6.1
Традиционно DLP-системы были построены вокруг концепции защиты информации, и весь принцип работы с ними также вращался вокруг данных — сообщений, файлов, категорий и т. д. За это в решении отвечает контроль информационных объектов. Но что если взглянуть на нарушение политик глазами самого нарушителя, вжиться в его роль, проследить его активность?
Для этих целей в Solar Dozor разработан инструментарий ведения «Досье» на сотрудников и группы лиц, требующих особого контроля. В такие группы обычно помещаются новые сотрудники, персоны, заявившие о скором увольнении, и прочие сотрудники, вызывающие подозрение у службы безопасности или своих руководителей. Проводя глубокую аналитику действий и коммуникаций сотрудников, офицер безопасности шаг за шагом собирает доказательства и составляет досье на людей и информационные объекты. Краткую информацию о сотруднике можно получить, открыв его карточку.
Рисунок 10. Краткая карточка персоны в Solar Dozor 6.1
В полной карточке персоны можно просмотреть:
- Всю имеющуюся личную, контактную и сетевую информацию о персоне, а также сведения об уровне доверия, присвоенном сотруднику (подробнее об уровне доверия см. ниже).
- Список событий и инцидентов ИБ, связанных с персоной.
- Список сообщений о фактах передачи информации персоной.
- Сведения о фактах передачи файлов персоной.
- Данные о связях персоны.
Рисунок 11. Полная карточка персоны в Solar Dozor 6.1
Solar Dozor поддерживает интеграцию с кадровыми системами и системами класса IdM, что позволяет офицеру безопасности собирать ценную контекстную информацию о сотруднике, например, сведения о дате приема на работу и дате предполагаемого увольнения, а также сведения о выданных ему привилегированных правах.
Досье является центром консолидации данных о сотруднике и позволяет офицеру безопасности прикреплять к карточке файлы с комментариями, например, анкетой соискателя или данными из внешних систем проверки контрагентов. Благодаря этому офицер безопасности может в одном месте легко накапливать и связывать информацию, которую он «накопал» на подозреваемого сотрудника.
Галерея скриншотов рабочего стола в Solar Dozor 6.1
Скриншоты с рабочих станций сотрудников являются ценнейшим источником доказательств при расследовании инцидентов информационной безопасности. По сути они выступают в качестве фотографий с места преступления и помогают поймать нарушителя с поличным. В Solar Dozor скриншоты рабочего стола входят в функционал «Досье». Данный инструмент позволяет настроить снятие скриншотов по расписанию или нажатию заданной комбинации клавиш на рабочей станции, например, после Enter или PrintScr. В новой версии Solar Dozor 6.1 кардинально переработана система визуальной работы с базой скриншотов. Архив изображений представлен в виде привычной для пользователей галереи, поддерживающей всевозможные фильтры для удобного отображения и визуализации. Решение также представляет список процессов и приложений, запущенных на рабочей станции в момент снятия скриншота, что значительно ускоряет процесс просмотра и получения нужной информации.
Граф взаимосвязей сотрудников Solar Dozor 6.1
Справедливо высказывание, что связи правят миром, но при этом самые тяжкие правонарушения совершаются не в одиночку, а совместно с подельниками. Расследуя инцидент, очень важно знать всех участников событий. Для выявления сообщников и нетипичных контактов пользователей Solar Dozor предлагает инструмент «Граф связей». В отличие от классических DLP-систем, где пользователи и их связи отображаются списками, визуализация в виде социального графа помогает легко оценить контакты пользователя. Инструмент дает понимание устойчивых связей сотрудников, случайных контактов и общих знакомых как внутри организации, так и за ее пределами.
Рисунок 12. Граф связей сотрудников в Solar Dozor 6.1
Уровень доверия к сотрудникам в Solar Dozor 6.1
Как обнаружить угрозу еще до того, как она реализовалась? Нужно наблюдать за людьми и пристально отслеживать любые изменения в их обыденном поведении. Злоумышленник обязательно себя выдаст. У любого человека есть некоторый нормальный сценарий поведения, который непрерывно рассчитывается и анализируется интеллектуальной системой Solar Dozor.
Как только в активности пользователя появляются нарушения политик безопасности, уровень доверия снижается, таким образом показывая, что сотруднику следует уделить особое внимание.
Рисунок 13. Уровень доверия к сотрудникам в Solar Dozor 6.1
Группы риска в Solar Dozor 6.1
Контролировать всех значит не контролировать никого. Сконцентрировать внимание на сотрудниках и группах, вызывающих подозрение, в Solar Dozor помогают группы особого контроля.
Для мониторинга действий сотрудников, требующих особого внимания со стороны службы безопасности (уволенных, увольняющихся, на испытательном сроке и т. п.), можно добавить соответствующих сотрудников в определенные группы категории «На особом контроле». Внешних сотрудников можно объединить в группах категории «Внешние персоны». При этом к каждой группе можно применить разные правила контроля.
Рисунок 14. Группы особого контроля в Solar Dozor 6.1
Поиск по архиву событий и инцидентам в Solar Dozor 6.1
Архив событий и инцидентов любой DLP-системы содержит огромные массивы данных, включая переписку сотрудников и вложенные файлы. Одним из регулярных сценариев работы офицера безопасности становится поиск нужной информации в этом архиве, т. к. простой просмотр карточек сотрудников, их сообщений будет отнимать слишком много времени. Традиционно поставщики DLP-решений шли по пути работы с архивом как с СУБД. Многие помнят, как приходилось писать поисковые запросы на SQL. Но такая практика ушла в историю. Поиск в Solar Dozor построен по принципу «проще — лучше — быстрее». Пользователю системы не нужно обладать какими-либо специальными знаниями. Если вы хорошо справляетесь с поиском писем в Microsoft Outlook, то у вас все получится. Для первого опыта будет достаточно разобраться с «Быстрым поиском» и попрактиковаться с вводом собственных поисковых запросов, как это делается в Google.
При поиске офицер безопасности задает критерии поиска: что, где и за какой период искать:
- Что можно искать: сообщения (при этом также можно указать искомый текст), события и инциденты, персоны, файлы.
- Где можно искать: в переписке между указанными источником и назначением. При этом источником/назначением могут быть персоны и группы персон, а также адреса/сетевые данные, тип которых (логин Skype, логин в социальных сетях и т. д.) выбирается из списка.
Рисунок 15. Поиск по архиву событий и инцидентам в Solar Dozor 6.1
Такие запросы можно сохранить для использования в будущем в «Шаблонах поиска», там же находится и библиотека готовых поисковых запросов.
Рисунок 16. Шаблоны поиска в Solar Dozor 6.1
В Solar Dozor реализована уникальная технология быстрого поиска. На получение результатов поиска после введения запроса требуется не более 1 секунды даже при работе с большими архивами, в которых хранится, например, 17 млн сообщений.
Отчеты в Solar Dozor 6.1
Руководители информационной безопасности и высшее руководство регулярно задаются вопросом, как в компании обстоят дела с угрозами, исходящими от сотрудников. Для оценки ситуации в макромасштабе в Solar Dozor предусмотрен богатый функционал отчетности.
Разработчики системы понимают, насколько важно качественно презентовать результаты своей работы руководителям. На таких встречах нет времени углубляться в детали, и важно быстро и грамотно отразить ключевые события. В разделе «Отчеты» веб-интерфейса Solar Dozor офицер безопасности может построить статистические выборки, проследить динамику развития событий и сформировать разнообразные отчеты, которые наглядно визуализируют исчерпывающую информацию по инцидентам.
Рисунок 17. Пример отчета в интерфейсе Solar Dozor 6.1
Благодаря отчетам в Solar Dozor службе безопасности не придется вручную просчитывать и визуализировать накопленные данные. Отчеты строятся автоматически за считанные секунды, что позволяет быстро подготовиться к важной презентации.
Рисунок 18. Пример отчета в интерфейсе Solar Dozor 6.1
Кроме этого, есть возможность настроить рассылку отчетов на email всем заинтересованным лицам по расписанию, чтобы они всегда были в курсе актуальных рисков и контролировали процесс расследования. Отчеты можно просматривать как в веб-интерфейсе решения, так и выгружать в формате PDF и/или XML.
Рисунок 19. Сводный отчет в Solar Dozor 6.1. Пример в формате PDF
Краткие сводные отчеты позволяют руководителям служб безопасности видеть общую картину и текущее состояние защищаемой информации, более подробные отчеты могут помочь выявить ошибки в политике безопасности компании. Solar Dozor позволяет формировать следующие виды отчетов:
- отчет по инцидентам за период (отчет Сводный отчет по инцидентам), в котором отражены:
- общие показатели (общее количество событий, количество обработанных событий, общее количество инцидентов ИБ, количество открытых и закрытых инцидентов);
- распределение инцидентов ИБ по различным критериям (каналам связи, уровню критичности, группам персон, типам информации);
- топ-5 персон, фигурирующих в инцидентах.
- статистические данные по адресам отправителей и получателей с указанием количества переданной и принятой информации (отчет Статистика по адресам).
- отчет, предоставляющий пользователю сведения о соответствующих поисковым критериям объектах в виде списка: это может быть список сообщений, список событий или список файлов (Отчет в виде списка).
Тепловая карты коммуникаций в Solar Dozor 6.1
Продолжая развитие инструментов для визуализации коммуникаций, в Solar Dozor 6.1 появился новый уникальный для DLP-систем отчет — «Тепловая карта коммуникаций», который визуализирует интенсивность коммуникаций сотрудников или движения информации, при этом интенсивность коммуникаций в разрезе каналов кодируется цветом. Данный инструмент дает офицеру по безопасности возможность быстро оценить обстановку, увидеть потенциальные риски и «горячие точки». Используя этот инструмент, офицер по безопасности может построить графическую карту по интересующему его информационному объекту или персоне.
Рисунок 20. Отчет «Тепловая карта коммуникаций персон» в Solar Dozor 6.1
Выводы
Рынок DLP-систем в России и СНГ продолжает расти, и в новых экономических условиях проблематика угроз со стороны собственных сотрудников актуальна как никогда. Если еще несколько лет назад наблюдался некоторый паритет в направлениях развития основных отечественных игроков и местами слепое копирование функционала зрелых западных решений, то сегодня такие компании, как Solar Security, вырабатывают свое уникальное рыночное предложение, соответствующее ожиданиям российских заказчиков.
Так уж случилось, что некоторый функционал DLP-систем вызывает множество дискуссий, затрагивающих этические вопросы слежения за сотрудниками. Вследствие этого на протяжении долгого времени производители и клиенты делали упор на защиту данных от утечки, как бы сглаживая углы. Но реальность такова, что корпоративное мошенничество наносит гораздо более серьезный урон, нежели потеря информации. Solar Dozor 6.1 — это смелый шаг в рамках уже сложившейся индустрии и, по сути, единственное на рынке решение, оптимизированное для выявления корпоративного мошенничества и расследования инцидентов информационной безопасности.
Развитые аналитические возможности продукта позволяют копнуть гораздо глубже и выявить угрозы и косвенные признаки мошенничества, которые остались бы незамеченными при использовании классических DLP-систем. Solar Dozor может похвастаться продвинутым архивом, куда попадает весь перехваченный трафик, а поиск по нему занимает считанные секунды, что обеспечивает полноту запрошенной информации и экономию времени при проведении расследований.
Стоит отметить инновационную технологию выявлений аномалий в поведении пользователей «Индекс доверия», позволяющую детектировать отклонения в поведении сотрудников и на ранней стадии выявлять скрытые угрозы. В этом ключе очень перспективно выглядят возможности автоматического анализа уровня риска сотрудников, распределение их в группы риска, построение графов взаимосвязей и тепловых карт коммуникаций.
Solar Dozor служит наглядным примером того, как DLP-система трансформировалась из архива инцидентов с возможностью написания поисковых запросов в полномасштабное решение по выявлению признаков корпоративного мошенничества. Новая версия Solar Dozor эволюционирует в сторону BI-системы, которая помогает проводить глубокую аналитику инцидентов информационной безопасности и выявлять сложные мошеннические схемы на предприятии.
На момент написания обзора Solar Dozor является единственным российским DLP-решением, имеющим агентский модуль для ОС Linux, что является неоспоримым преимуществом для организаций, перешедших на СПО.
К недостаткам Solar Dozor можно отнести отсутствие контроля некоторых сетевых протоколов, например, IMAP, NNTP, P2P и протоколов IP-телефонии. Логично было бы добавить в систему функции контроля действий сотрудников на рабочих местах (время работы с программами, открытие веб-сайтов, файлов, записи видео или звука с микрофона).