Новая версия Zecurion DLP 11: рисковая модель, интегрированная IRP, учёт рабочего времени и в 2 раза больше данных о сотрудниках

Zecurion, российский разработчик решений для кибербезопасности, выпустил новую версию DLP-системы с возможностью управления инцидентами и рисками информационной безопасности и защитой от широкого спектра корпоративных нарушений. В новой версии существенно изменился интерфейс, был добавлен собственный модуль для учёта рабочего времени и эффективности сотрудников (Staff Control), появилась современная рисковая модель, обновлена диаграмма связей, добавлены технологии предотвращения утечек и сценарии реагирования (IRP) — всего несколько десятков новых показателей о сотрудниках и инцидентах и точечных улучшений.

Обновлённый интерфейс

Список сотрудников и отделов
Список пополнился большим количеством полезной информации и оптимизирован для работы с десятками тысяч сотрудников и отделов. Можно моментально просмотреть показатели уровня риска, продуктивности, сработавшие политики и эмоциональное состояние и в пару кликов настроить отображение с помощью фильтрации и быстрого поиска.

Карточка сотрудников и отделов
Появилось большое количество новой информации о работе сотрудника и отдела: уровень риска с пятью дополнительными показателями, аномалии и профили поведения, продуктивность и срезы по рабочему времени, обновлённая диаграмма связей и многое другое. Также в режиме реального времени можно подключиться к веб-камере или просмотреть рабочий стол сотрудника.
 
Вместе с тем для повышения удобства работы с массивами данных и скорости поиска нужной информации была добавлена шапка с ключевыми показателями и быстрыми действиями, новые вкладки с периодом времени и лентой событий.

Сравнение сотрудников и отделов
Добавлена возможность сравнения сотрудников, отделов и сотрудников с показателями отделов. В сравнение можно добавлять персонал и отделы и быстро сопоставить их между собой по различным показателям. Новый инструмент позволит аналитикам существенно экономить время на одной из базовых операций и выступает в качестве дополнительного отчёта для руководства и материала при расследовании инцидентов.

Лента событий
В карточки сотрудника и отдела добавлена подробная лента событий по аналогии с соцсетями для более быстрого и удобного получения доступа к оперативной информации без построения дополнительных отчётов прямо в карточке сотрудника. При необходимости в ленте можно сразу просмотреть инцидент или перейти в отчёт.

Режим предпросмотра инцидентов
Теперь инциденты можно сразу просматривать в правой стороне экрана (по аналогии, например, с Microsoft Outlook) из классического отчёта и карточки сотрудника.

Рисковая модель и профили поведения

Новая версия позволяет видеть уровень риска (risk score) и динамику изменения для каждого сотрудника. В карточке также отображаются 5 дополнительных риск-показателей для понимания текущей ситуации и её динамики. Уровень риска выступает в качестве дополнительного источника информации при расследованиях и расширяет область применения DLP-системы.
 
Также вспомогательным источником выступает новый показатель — близкие профили поведения, представляющий собой шаблон характерного поведения, по которому можно определять сотрудников со схожими признаками, например, угрожающих утечкой информации, и ставить их под особое наблюдение.

Учёт рабочего времени — Zecurion Staff Control

Карточка сотрудника
В карточке отображается общая сводка эффективности использования рабочего времени в периоде, динамика и ключевые показатели по активности на рабочем месте. В карточке также видна подробная лента Staff-событий с удобным форматом отображения инцидентов.

Конструктор отчётов с 10+ показателями
С выходом модуля Zecurion Staff Control в Zecurion Reports были добавлены новые виды отчётов, включая специальный табличный с быстрыми фильтрами, группировкой и поддержкой работы с данными с десятков тысяч ПК.

Использование ресурсов и табели
Дополнительно были добавлены отчёты, с помощью которых удобно контролировать использование веб-ресурсов и приложений с разбивкой по категориям и времени использования, а также отслеживать присутствие персонала на рабочих местах вплоть до минут. С помощью табелей можно подготовить удобные отчёты по использованию сотрудниками принтеров и соблюдению дисциплины — приходов-уходов с рабочего места в специализированных форматах.

Система управления задачами и расследованиями (IRP)

Управление процессами реагирования на инциденты
IRP-модуль позволяет управлять процессами реагирования на инциденты, организовать среду совместной работы и видеть общую картину по задачам с текущими статусами, стадиями расследования, исполнителями и сроками. При расследовании специалисты службы безопасности могут оставлять комментарии к задаче и обсуждать ход её выполнения с другими участниками — офицерами и аналитиками ИБ, прикреплять документы и инциденты в качестве доказательств.

Внутренний таск-менеджер
Также IRP может использоваться в качестве таск-менеджера ИБ-отдела. В системе реализован специальный конструктор типов задач (шаблонов расследований), где легко и быстро создаются различные типы задач: от расследования действий конкретного сотрудника до отчёта по выполнению задач испытательного срока для младших ИБ-сотрудников или других административных типовых задач. Для разных типов задач доступно добавление произвольных (кастомных) полей и конструирование такого ИБ-фреймворка, который реально необходим. Инструмент позволяет упростить и сократить цикл реагирования на инциденты, минимизировать нагрузку на работу службы ИБ за счёт быстрого решения прикладных задач и сделать работу с типовыми задачами более комфортной.

Обновление модуля Screen Photo Detector

В новой версии модуля защиты от съёмки экрана Screen Photo Detector используются 2 нейросети, которые распознают смартфоны и фиксируют нарушение буквально в мгновение (от 0,06 с), предотвращая утечку за счёт новых вариантов реакции в DLP-политиках, например, временной блокировки учётной записи сотрудника до окончания расследования.

Новые технологии детектирования

Также IRP может использоваться в качестве таск-менеджера ИБ-отдела. В системе реализован специальный конструктор типов задач (шаблонов расследований), где легко и быстро создаются различные типы задач: от расследования действий конкретного сотрудника до отчёта по выполнению задач испытательного срока для младших ИБ-сотрудников или других административных типовых задач. Для разных типов задач доступно добавление произвольных (кастомных) полей и конструирование такого ИБ-фреймворка, который реально необходим. Инструмент позволяет упростить и сократить цикл реагирования на инциденты, минимизировать нагрузку на работу службы ИБ за счёт быстрого решения прикладных задач и сделать работу с типовыми задачами более комфортной.

Водяные знаки (Screen Watermarks)

Опциональные экранные водяные знаки для приложений Screen Watermarks поверх окна приложения позволяют детектировать источник (сотрудника, ПК, дату и время) утечки информации после её появления в открытом доступе как в случае фотографирования экрана, так и снятия скриншота.

Новые виды отчётов: диаграмма связей и "Беседа"

В новой версии кардинальным образом обновлена диаграмма связей. Кроме более удобной визуализации были добавлены инструменты для быстрой работы с данными и существенно оптимизирована скорость работы с большим количеством связей. Теперь оперативная обработка информации возможна за счёт настройки внешнего вида отчёта с помощью легенды, быстрых фильтров и отображения на диаграмме до 1000 объектов.

В качестве дополнительных возможностей в DLP 11 был добавлен отчёт «беседа», который по аналогии с Telegram отображает сообщения (инциденты) в виде диалога из всех мессенджеров. В нём можно как просматривать сообщения и прикреплённые файлы, так и прослушивать аудиосообщения и звонки. Отчёт помогает быстро выявлять подозрительную переписку двух сотрудников и не тратить время на поиск и сопоставление сообщений из разных мессенджеров.

Новые возможности DLP-политик

В версии 11 появилась возможность блокировки учётной записи сотрудника при срабатывании политик безопасности, чтобы вовремя предотвратить эскалацию особо опасных инцидентов. Дополнительно в новой версии появилась возможность настройки каскадного срабатывания политик — одна политика применяется при условии срабатывания другой.

Дополнительные возможности

Была дополнительно расширена поддержка работы в бездоменных (одноранговых) сетях и добавлена возможность установки тайм-аут блокировки веб-консоли на случай, если сотрудник службы безопасности какое-то время отсутствует за рабочим столом. Также была реализована поддержка контроля популярного мессенджера Microsoft Teams.

Тематики: Безопасность

Ключевые слова: информационная безопасность, DLP, Zecurion