InfoWatch Traffic Monitor. По лезвию багов и фич
«Игорь, у него ДВА сердца. »
Анна Попова, руководитель Блока DLP ГК Инфосекьюрити, продолжает делиться своими впечатлениями от использования разных DLP-систем. В прошлой статье она рассказала о плюсах и минусах решения КИБ SearchInform. Сегодня, как и было обещано, поговорим про линейку продуктов InfoWatch. Только давайте сразу определимся, что на объективное сравнение мы не претендуем.
Вообще сложно понять, что такое объективное мнение о системе. Объективные характеристики – это соответствие DLP-системы техническим требованиям заказчика, требованиям ФСТЭК и т.п., а также соотнесение их с необходимыми мощностями. Все прочее – субъективно, ибо реальность такова, что функциональность, которая у одного клиента «взлетела», у другого упадет. И уж тем более не приходится говорить об объективном превосходстве одной системы над другой, если речь идет о её эксплуатации аналитиками. Кому-то нравится один интерфейс, кому-то другой, кому-то не нравится выгрузка событий, кому-то она не важна.
Про продукт DLP от компании InfoWatch сказано много; много копий сломано вокруг него. Мнения встречаются самые разнообразные – от самых полярных до нейтральных. С течением времени и компании, и продукту довелось пройти долгий и тернистый путь развития, отрастить не одну полезную функцию и даже попасть в «магический квадрант» Gartner. Так попробуем же разобраться, чего удалось достигнуть продукту, так ли он хорош (или плох), как о нём говорят.
Архитектура (who is who)
Прежде всего нужно понять, с чем мы работаем. Программный комплекс InfoWatch Traffic Monitor состоит из следующих компонентов:
InfoWatch Traffic Monitor – основной компонент, отвечающий за сетевой перехват и анализ перехваченных данных (собранных по сети и с агентов). Работает на RHEL/CentOS 6. Также отвечает за отрисовку веб-интерфейса, который является основной точкой входа для офицера ИБ при работе с системой.
InfoWatch Device Monitor – этот компонент отвечает за управление агентами (в том числе за агентские политики). Работает на Windows Server. Имеет отдельную консоль управления, которую можно инсталлировать на любую машину с Windows – главное, чтобы был открыт сетевой доступ до сервера Device Monitor.
InfoWatch Crawler – модуль, дающий возможность сканирования указанных пользовательских каталогов и сетевых директорий. Работает на Windows Server (может быть установлен на машину с сервером Device Monitor), но интерфейсно интегрируется в веб-консоль Traffic Monitor и управляется оттуда же.
InfoWatch Vision – опциональный компонент, позволяющий существенно упростить процесс расследования инцидентов ИБ за счёт визуализации. Представляет события из Traffic Monitor в виде автоматически перестраиваемых интерактивных графиков. Работает на Windows Server и базируется на платформе QlikSense.
InfoWatch Person Monitor – также опциональный модуль, предоставляющий функционал контроля рабочего времени. Работает на Win Server, берёт свои корни от легендарной, в некотором роде, системы «Стахановец».
Функционал блокировки
Так как система носит гордый статус DLP (что, напомним, означает Data Leakage Prevention – предотвращение утечки данных), в первую очередь рассмотрим «классический» функционал для таких систем – предотвращение. Что же может предложить нам рассматриваемый программный комплекс?
Даже в минимальной инсталляции (Traffic Monitor, Device Monitor) функционал достаточно богат: возможна блокировка почты, предотвращение записи на съёмные носители по результатам контентного анализа или по белым спискам носителей, запрет запуска приложений, запрет использования FTP. С подключением модуля Person Monitor функционал несколько расширяется: добавляется возможность очистки буфера обмена, запрет загрузки файлов в интернет.
Неподготовленному пользователю будет сперва непросто разобраться во всём многообразии различных консолей управления: так, одной из особенностей при работе с системой является необходимость «включения» некоторых каналов перехвата в Device Monitor.
В целом, функционал предотвращения не вызывает вопросов, здесь есть, где разгуляться; хотя самым требовательным клиентам, наверное, всё же придётся обратиться к более гибким конкурирующим продуктам. Что касается функционала учета рабочего времени, то в IWTM он реализован оригинальным, но достаточно удобным способом.
Функционал контроля рабочего времени
Рынок DLP, особенно в странах СНГ, сегодня не ограничивается исключительно функционалом предотвращения. Системы DLP мало-помалу вбирают в себя функционал другого класса продуктов – систем мониторинга рабочей деятельности сотрудников.
Рассматриваемый продукт не стал исключением и тоже вобрал кое-что. Насколько качественно?
Контролировать сотрудников можно при помощи модуля Person Monitor – начиная с кейлогера и заканчивая видео с рабочего стола, а также контролем веб-камеры и звука с микрофона. Однако не всё так радужно. Выше упомянуто, что данный модуль является интерпретацией нашумевшего «Стахановца». Отсюда и минусы – например, абсолютное отсутствие интеграции с остальными модулями комплекса и гарантированное покрытие «полным контролем» лишь пятидесяти машин. Особое умиление доставила защита БД – шифрование не нужно, данные в базе хранятся всего лишь в изменённой кодировке. «Чтобы никто не догадался. »
Кстати, касательно умилений: при первом открытии веб-интерфейса Person Monitor предупреждает, что соединение не зашифровано (обычный http, то бишь) и предлагает ссылку на мануал, по которому каждый может сам себе настроить https. Почему этого было не сделать «из коробки» – неясно.
Ещё есть очень интересная функция распознавания голоса в текст. Реализовано это через API Google, что для многих заказчиков будет проблемой: во-первых, требуется подключение сервера к интернету, а во-вторых, не каждый согласится передавать свою конфиденциальную информацию третьей стороне.
При проведении расследований по собранной Person Monitor’ом информации мы испытывали дискомфорт, потому что привыкли работать со всей доступной информацией со всех доступных каналов и по всем сотрудникам. К тому же местный поиск по насниффанным кейлогером данным обладает лишь самым базовым функционалом – например, есть морфология, но интересные и сложные правила текстового поиска построить не удастся. Тем не менее, на небольших объёмах трафика и в малых компаниях с этим всем вполне можно жить.
С технической точки зрения Person Monitor состоит из агента, собирающего данные с рабочей станции пользователя, сервера с БД (MSSQL), где эти данные потом хранятся, и Apache для Windows, отрисовывающего веб-интерфейс системы. По запросу пользователя составляется SQL-запрос, и его результат предстаёт перед юзером в виде html-страницы отчёта.
Говоря о малых и больших компаниях, плавно переходим к ещё одному модулю – Vision. Он был словно создан по нашему заказу – позволяет упорядочить перехваченные Traffic Monitor’ом данные для наглядного представления и помимо этого даёт возможность на лету перестраивать запросы. Всё это возможно не в последнюю очередь благодаря платформе QlikSense, оперирующей вытянутыми из Traffic Monitor событиями в оперативной памяти сервера Vision.
События нужно подгружать раз в определённый промежуток времени – например, каждую ночь, поскольку выгрузка больших объёмов данных занимает продолжительное время.
Общее впечатление
Рассматриваемая система, как и любая другая, не лишена недостатков. К сожалению, до сих пор остаются некоторые «детские болячки», тянущиеся с ранних версий (например, перечисленные проблемы Person Monitor’а); некоторые решения выглядят спорно – не всегда понятно, баг это или фича (разобщённость консолей и использование разных БД для хранения событий). Если вам необходим упор на какой-то конкретный функционал, а не комплексное решение, рекомендуется продолжить изучение рынка DLP.
Когда-то мы начали изучение рынка DLP именно с InfoWatch Traffic Monitor, поэтому минусы сразу бросились в глаза:
Нас порадовало стремление вендора реализовывать доработки для потенциальных клиентов, т.е. без наличия обязывающих договорных отношений. Это абсолютно реальный пример: через полгода после обсуждения кучи доработок, заявленных нами на пилоте в одном из клиентов, мы увидели их в реализованном функционале, что было крайне приятно.
Причем, IW один из немногих вендоров, который внимательно относится к обсуждению таких проблем, не отфутболивает по тегу – а зачем это нужно, вы первые, кто спрашивает об этом и т.п. (Саша Клевцов, передаем тебе отдельный привет и самые лучшие пожелания :)).
В сухом остатке имеем достаточно сбалансированную систему, закрывающую большинство требований самых занудных заказчиков и не обладающую завышенными системными требованиями. InfoWatch последовательно «прокачивает» свой комплекс, добавляя новые крутые функции. Остаётся только аккуратно сшить их между собой :).
Анна Попова, руководитель Блока DLP, ГК Инфосекьюрити
Никита Шевченко, руководитель группы инженерного сопровождения Блока DLP, ГК Инфосекьюрити
InfoWatch Person Monitor расширил перехват сообщений в Telegram, Skype
ГК InfoWatch объявляет о выходе новой версии системы InfoWatch Person Monitor 8.57 для мониторинга действий персонала. Новая версия расширена возможностями для перехвата сообщений в популярных коммуникационных приложениях, включая голосовые вызовы и отправленные файлы, а также улучшенными инструментами отчетности. Совместное использование InfoWatch Person Monitor с DLP-системой InfoWatch Traffic Monitor является комплексной мерой для полноценной защиты данных, мониторинга эффективности и выявления рисков в действиях каждого сотрудника.
В InfoWatch Person Monitor 8.57 реализован ряд дополнительных возможностей и доработок существующих функций. В частности, система дополнена технологией распознавания лиц на базе искусственного интеллекта. Благодаря биометрической авторизации сотрудников через веб-камеру, под контролем находятся факты присутствия на рабочем месте и использования компьютера другим пользователем, что сокращает риски неправомерного использования информационных активов.
Помимо функции перехвата сообщений в мессенджерах Lync, Skype, Viber, Telegram, Bitrix24 и отправляемых файлов WhatsApp, реализованной в предыдущих версиях, теперь система осуществляет поддержку Slack, Webex Teams, Myteam и Zoom.
Также с целью контроля нелегитимных действий и пресечения попыток хищения конфиденциальной информации в новой версии детектируется факт съёмки экрана компьютера на мобильное устройство. Что позволяет системе отвечать существующим потребностям бизнеса.
Для правомерного использования возможностей решения в ГК InfoWatch предусмотрена консалтинговая поддержка с целью подготовки локальных нормативных актов: для этого проводится аудит работы организаций и готовятся необходимые внутренние документы. Во избежание нарушений гражданских прав, сотрудники должны иметь полные и достоверные сведения об условиях труда и знать о контроле эффективности работы в компании и средствах защиты информации для предотвращения рисков утечек и неправомерных действий сотрудников.
«Данные о действиях сотрудников на рабочих местах, собираемые InfoWatch Person Monitor, позволяют службам ИБ и кадровой безопасности получить максимально полную картину о событиях, происходящих как внутри организации, так и за ее пределами. В том числе, эффективно осуществлять контроль сотрудников на удаленке, внешних подрядчиков, аудиторов и т.д. Это становится возможным благодаря сведению системой данных, полученных из разных источников. Сегодня, когда корпоративный периметр максимально размыт, крайне важно иметь надежный инструмент, который позволит сохранять эффективность персонала и, как следствие, всего бизнеса. Обновленная версия системы предоставляет возможность для руководителей сохранить должный уровень контроля над деятельностью сотрудников и их занятости в рамках работы организаций», — говорит менеджер по развитию продуктов InfoWatch Александр Коробко.
InfoWatch Person Monitor
Содержание
InfoWatch Person Monitor — система непрерывного мониторинга рабочих процессов и резервов роста производительности бизнеса.
Продукт разработан для руководителей подразделений и топ-менеджмента компаний. InfoWatch Person Monitor помогает находить резервы оптимизации рабочих процессов и расходов. Веб-консоль продукта позволяет отслеживать обстановку в компании в режиме реального времени и своевременно принимать решения в отношении неэффективных сотрудников.
2020: InfoWatch Person Monitor 8.57 с возможностью перехвата сообщений в коммуникационных приложениях
24 ноября 2020 года ГК InfoWatch сообзщила о выходе обновленной версии системы InfoWatch Person Monitor 8.57 для мониторинга действий персонала. Данная версия расширена возможностями для перехвата сообщений в коммуникационных приложениях, включая голосовые вызовы и отправленные файлы, а также улучшенными инструментами отчетности.
Совместное использование InfoWatch Person Monitor с DLP-системой InfoWatch Traffic Monitor является комплексной мерой для полноценной защиты данных, мониторинга эффективности и выявления рисков в действиях каждого сотрудника.
В InfoWatch Person Monitor 8.57 реализован ряд дополнительных возможностей и доработок существующих функций. В частности, система дополнена технологией распознавания лиц на базе искусственного интеллекта. Благодаря биометрической авторизации сотрудников через веб-камеру, под контролем находятся факты присутствия на рабочем месте и использования компьютера другим пользователем, что сокращает риски неправомерного использования информационных активов.
Помимо функции перехвата сообщений в мессенджерах Lync, Skype, Viber, Telegram, Битрикс24 и отправляемых файлов WhatsApp, реализованной в предыдущих версиях, теперь система осуществляет поддержку Slack, Webex Teams, Myteam и Zoom.
Также с целью контроля нелегитимных действий и пресечения попыток хищения конфиденциальной информации в данной версии детектируется факт съёмки экрана компьютера на мобильное устройство. Что позволяет системе отвечать существующим потребностям бизнеса.
Для правомерного использования возможностей решения в ГК InfoWatch предусмотрена консалтинговая поддержка с целью подготовки локальных нормативных актов: для этого проводится аудит работы организаций и готовятся необходимые внутренние документы. Во избежание нарушений гражданских прав, сотрудники должны иметь полные и достоверные сведения об условиях труда и знать о контроле эффективности работы в компании и средствах защиты информации для предотвращения рисков утечек и неправомерных действий сотрудников.
InfoWatch Person Monitor 7
29 мая 2018 года группа компаний (ГК) InfoWatch сообщает о выпуске версии решения для мониторинга активности сотрудников организаций — InfoWatch Person Monitor 7. Программный комплекс позволяет непрерывно получать информацию о работе персонала на корпоративных компьютерах и мобильных устройствах, и направлен на выявление небезопасных действий сотрудников и неправомерного использования информационных активов, а также сбор доказательной базы при расследовании инцидентов информационной безопасности (ИБ) в организации.
Архитектура продукта основана на работе клиентских приложений, которые собирают информацию об активности пользователей на рабочих станциях и мобильных устройствах на базе Android и передают ее на центральный сервер. Данные с сервера, например, информация о посещении развлекательных ресурсов, социальных сетей, отправке писем и т.д., отображаются на веб-консоли InfoWatch Person Monitor в режиме реального времени для непрерывного мониторинга ситуации в компании. Система направляет администратору уведомления об инцидентах по SMS, электронной почте и в мессенджере. Продукт также предоставляет инструменты для анализа работы на удаленных ПК.
Отчеты InfoWatch Person Monitor 7 позволяют поминутно визуализировать действия пользователя: использование приложений и веб-ресурсов, работу с документами, отправку или удаление файлов и прочее. Такая детализация направлена на быстрое обнаружение подозрительной активности персонала, обработку инцидентов ИБ и снижение ложно-положительных срабатываний при работе систем безопасности, например, решений для защиты от утечек.
В продукте полностью переработан Android-клиент для мониторинга рабочей активности на мобильных устройствах персонала. Приложение фиксирует посещения сайтов, звонки и SMS, активность пользователя в рабочие часы. Другим ключевым инструментом стала функция «черного ящика», который сохраняет на рабочей станции пользователя резервные копии снимков экрана и аудиозаписей с динамиков и микрофона в зашифрованном виде, и предоставляет к ним доступ администратору по запросу. В решение добавлена возможность фиксации голосовых и текстовых данных в десктопной версии Skype и мониторинга сообщений в WebSkype, реализована функция «геолокация», которая позволяет определять точное местоположение корпоративных ноутбуков, планшетов и смартфонов.
Функцией продукта стало формирование отчетов о загрузке графического процессора видеокарты рабочей станции для обнаружения скрытого майнинга на ресурсах компании.
Информация, получаемая при помощи Person Monitor, доступна на любом доверенном устройстве независимо от операционной системы: компьютере, ноутбуке, планшете или телефоне. Продукт использует клиент-серверную архитектуру и поддерживает базы данных MySQL и Microsoft SQL Server. Для внедрения InfoWatch Person Monitor 7 не требуется изменения структуры локальной сети.
Особенности, решаемые задачи и архитектура InfoWatch Person Monitor
(данные актуальны на апрель 2018 года)
InfoWatch Person Monitor использует клиент-серверную архитектуру и поддерживает базы данных MySQL и Microsoft SQL Server.
Клиентские приложения собирают информацию об активности сотрудников на рабочих станциях и мобильных устройствах на базе Android и передают ее на аналитический сервер.
Веб-консоль в режиме реального времени получает обработанные данные от сервера и выводит их в наглядном виде для мониторинга ситуации в компании. Офицеры безопасности и администраторы системы могут получать уведомления об инцидентах по SMS и электронной почте.
Для снижения нагрузки на сервер может использоваться режим отложенного мониторинга. В этом случае данные мониторинга сохраняются локально на устройствах сотрудника и не передаются на сервер для анализа, за счет чего сокращается сетевой трафик.
InfoWatch Person Monitor
Продукт разработан для руководителей подразделений и топ-менеджмента компаний. InfoWatch Person Monitor помогает находить резервы оптимизации рабочих процессов и расходов. Веб-консоль продукта позволяет отслеживать обстановку в компании в режиме реального времени и своевременно принимать решения в отношении неэффективных сотрудников
РЕШАЕМЫЕ ЗАДАЧИ РУКОВОДИТЕЛИ
• Анализ рабочей активности персонала
• Адаптация и развитие персонала, повышение дисциплины труда
• Выявление неэффективных сотрудников и необходимости привлечения дополнительных ресурсов
• Оптимизация расходов компании
• Оценка кадровых рисков
• Раннее обнаружение и предотвращение ущерба прибыли и репутации компании
ИТ И ИБ ОТДЕЛЫ
• Выявление фактов нерационального использования ИТ-ресурсов
• Экономия на закупках программного обеспечения и оборудования
• Обнаружение нетипичного поведения персонала и утечек конфиденциальных
• Защита информационных активов компании
• Быстрое расследование инцидентов
• Полный контроль над информационными потоками компании
Онлайн-мониторинг рабочей активности персонала
Что, если ваши сотрудники посещают развлекательные сайты в ущерб выполнению важных проектов? InfoWatch Person Monitor позволяет вести онлайн-мониторинг рабочей активности персонала и создавать картину рабочего дня сотрудников.
Выявление нелояльных сотрудников и мошенников
Оптимизация расходов компании
Быстрое локальное расследование инцидентов и привлечение нарушителей к ответственности
InfoWatch Person Monitor включает инструменты, необходимые для сбора доказательной базы при расследовании инцидентов. Граф связей наглядно демонстрирует контакты сотрудника через электронную почту и мессенджеры. Кейлоггер фиксирует текст, набираемый в приложениях. Отчет по файловым операциям показывает операции с данными: копирование, удаление, перенос файлов, доступ к теневым копиям.
ДЛЯ РУКОВОДИТЕЛЕЙ
ДЛЯ ИТ И ИБ ОТДЕЛОВ
Айдеко / КОМПЛЕКТ «ИНТЕРНЕТ-ШЛЮЗ IDECO ICS + КОНТЕНТ-ФИЛЬТР SKYDNS» ДЛЯ ШКОЛ
Контент-фильтр SkyDNS.Школа является двухуровневой системой фильтрации, специально созданной для использования в российских учебных заведениях и полностью соответствующей всем требованиям российских законов и правил Министерства образования РФ.
ПРЕИМУЩЕСТВА КОМПЛЕКТА
Контент-фильтр SkyDNS
Разработан с учетом требований российских законов и методик фильтрации, рекомендованных Министерством образования РФ.
Возможность блокировки
по более чем 50 категориям сайтов (в том числе по спискам экстремистских материалов Министерства юстиции РФ), с возможностью ведения собственных списков фильтрации.
Безопасная поисковая система
poisk.skydns.ru с фильтрацией всего запрещенного контента, как на уровне запросов, так и выдаваемых результатов.
Выгодная цена
Cтоимость комплекта существенно ниже, чем стоимость Ideco ICS Enterprise Edition и SkyDNS.Школа по отдельности.
Подробная статистика
по посещаемым веб-ресурсам.
Целый комплекс инструментов
для защиты локальной сети и пользователей.
Защита
персональных данных (ФСТЭК версия Ideco ICS).
Возможность
поставки в виде аппаратного решения.
