Zecurion DLP 11 с IRP-модулем и новой рисковой моделью

Компания Zecurion выпустила новую версию своей DLP-системы с возможностью управления инцидентами и рисками ИБ и защитой от широкого спектра корпоративных нарушений. В Zecurion DLP 11 существенно изменился интерфейс, добавлен собственный модуль для учета рабочего времени и эффективности сотрудников (Staff Control), появилась современная рисковая модель, обновлена диаграмма связей, добавлены технологии предотвращения утечек и сценарии реагирования (IRP).

Система оптимизирована для работы с десятками тысяч сотрудников и отделов. Можно моментально просмотреть показатели уровня риска, продуктивности, сработавшие политики и эмоциональное состояние и в пару кликов настроить отображение с помощью фильтрации и быстрого поиска.

Появилось много новой информации о работе сотрудника и отдела: уровень риска с пятью дополнительными показателями, аномалии и профили поведения, продуктивность и срезы по рабочему времени, обновленная диаграмма связей и многое другое. Также в режиме реального времени можно подключиться к веб-камере или просмотреть рабочий стол сотрудника.

Для повышения удобства работы с массивами данных и скорости поиска нужной информации была добавлена шапка с ключевыми показателями и быстрыми действиями, новые вкладки с периодом времени и лентой событий.

Добавлена возможность сравнения сотрудников, отделов и сотрудников с показателями отделов. В сравнение можно добавлять персонал и отделы и быстро сопоставить их между собой по различным показателям. Новый инструмент позволит аналитикам экономить время на одной из базовых операций и выступает в качестве дополнительного отчета для руководства и материала при расследовании инцидентов.

В карточки сотрудника и отдела добавлена подробная лента событий по аналогии с соцсетями для быстрого получения доступа к оперативной информации без построения дополнительных отчетов прямо в карточке сотрудника. При необходимости в ленте можно сразу просмотреть инцидент или перейти в отчет. Инциденты теперь можно сразу просматривать в правой стороне экрана (по аналогии, например, с Microsoft Outlook) из классического отчета и карточки сотрудника.

Новая версия позволяет видеть уровень риска (risk score) и динамику изменения для каждого сотрудника. В карточке также отображаются пять дополнительных риск-показателей для понимания текущей ситуации и ее динамики. Уровень риска выступает в качестве дополнительного источника информации при расследованиях. Кроме того, в качестве вспомогательного источника выступает новый показатель – близкие профили поведения, представляющий собой шаблон характерного поведения, по которому можно определять сотрудников со схожими признаками, например, угрожающих утечкой информации, и ставить их под особое наблюдение.

В карточке отображается общая сводка эффективности использования рабочего времени в периоде, динамика и ключевые показатели по активности на рабочем месте. В карточке также видна подробная лента Staff-событий с удобным форматом отображения инцидентов.

С выходом модуля Zecurion Staff Control в Zecurion Reports были добавлены новые виды отчетов, включая специальный табличный с быстрыми фильтрами, группировкой и поддержкой работы с данными с десятков тысяч ПК. Дополнительно были добавлены отчеты, с помощью которых удобно контролировать использование веб-ресурсов и приложений с разбивкой по категориям и времени использования, а также отслеживать присутствие персонала на рабочих местах вплоть до минут. С помощью табелей можно подготовить удобные отчеты по использованию сотрудниками принтеров и соблюдению дисциплины – приходов-уходов с рабочего места в специализированных форматах.

IRP-модуль позволяет управлять процессами реагирования на инциденты, организовать среду совместной работы и видеть общую картину по задачам с текущими статусами, стадиями расследования, исполнителями и сроками. При расследовании специалисты службы безопасности могут оставлять комментарии к задаче и обсуждать ход ее выполнения с другими участниками – офицерами и аналитиками ИБ, прикреплять документы и инциденты в качестве доказательств.

Также IRP может использоваться в качестве таск-менеджера ИБ-отдела. В системе реализован специальный конструктор типов задач (шаблонов расследований), где можно создать различные типы задач: от расследования действий конкретного сотрудника до отчета по выполнению задач испытательного срока для младших ИБ-сотрудников или других административных типовых задач. Для разных типов задач доступно добавление произвольных (кастомных) полей и конструирование такого ИБ-фреймворка, который реально необходим. Инструмент позволяет упростить и сократить цикл реагирования на инциденты, минимизировать нагрузку на работу службы ИБ за счет быстрого решения прикладных задач и сделать работу с типовыми задачами более комфортной.

В новой версии модуля защиты от съемки экрана Screen Photo Detector используются две нейросети, которые распознают смартфоны и фиксируют нарушение буквально в мгновение (от 0,06 с), предотвращая утечку за счет новых вариантов реакции в DLP-политиках, например, временной блокировки учетной записи сотрудника до окончания расследования.

Также IRP может использоваться в качестве таск-менеджера ИБ-отдела. В системе реализован специальный конструктор типов задач (шаблонов расследований), где легко и быстро создаются различные типы задач: от расследования действий конкретного сотрудника до отчета по выполнению задач испытательного срока для младших ИБ-сотрудников или других административных типовых задач. Для разных типов задач доступно добавление произвольных (кастомных) полей и конструирование такого ИБ-фреймворка, который реально необходим.

Опциональные экранные водяные знаки для приложений Screen Watermarks поверх окна приложения позволяют детектировать источник (сотрудника, ПК, дату и время) утечки информации после ее появления в открытом доступе как в случае фотографирования экрана, так и снятия скриншота.

В новой версии существенно обновлена диаграмма связей. Кроме более удобной визуализации добавлены инструменты для быстрой работы с данными и оптимизирована скорость работы с большим количеством связей. Теперь оперативная обработка информации возможна за счет настройки внешнего вида отчета с помощью легенды, быстрых фильтров и отображения на диаграмме до 1000 объектов.

В качестве дополнительных возможностей в DLP 11 был добавлен отчет «беседа», который по аналогии с Telegram отображает сообщения (инциденты) в виде диалога из всех мессенджеров. В нем можно как просматривать сообщения и прикрепленные файлы, так и прослушивать аудиосообщения и звонки. Отчет помогает быстро выявлять подозрительную переписку двух сотрудников и не тратить время на поиск и сопоставление сообщений из разных мессенджеров.

Появилась возможность блокировки учетной записи сотрудника при срабатывании политик безопасности, чтобы вовремя предотвратить эскалацию особо опасных инцидентов. Дополнительно в новой версии можно настроить каскадное срабатывание политик – одна политика применяется при условии срабатывания другой.

Дополнительно расширена поддержка работы в бездоменных (одноранговых) сетях и добавлена возможность установки тайм-аут блокировки веб-консоли на случай, если сотрудник службы безопасности какое-то время отсутствует за рабочим столом. Также реализована поддержка контроля мессенджера Microsoft Teams.