Обзор подробно описывает средство защиты от сложных и целенаправленных атак для рабочих станций FireEye Endpoint Security (HX), разработанное компанией FireEye — одним из мировых лидеров в области кибербезопасности. Решение обеспечивает защиту и мониторинг рабочих станций внутри и за пределами корпоративной сети, осуществляет автоматический поиск, выявление, идентификацию и нейтрализацию угроз. ВведениеФункциональные возможности FireEye HXСостав компонентов FireEye Endpoint SecurityЗащита от целенаправленных атак средствами FireEye Endpoint Security4.1. Обнаружение и идентификация угроз в FireEye Endpoint Security4.2. Предотвращение целенаправленной атаки в FireEye Endpoint Security4.3. Расследование целенаправленной атаки в FireEye Endpoint Security4.4. Минимизация последствий целенаправленной атаки в FireEye Endpoint SecurityВыводы ВведениеЗащита от сложных и целенаправленных атак (Advanced Persistent Threats, APT) —одна из ключевых проблем информационной безопасности последних лет. Целевая атака может быть направлена против конкретной организации, отрасли экономики или государственной структуры. Спланированные действия могут осуществлять наемные киберпреступники, террористические организации, иностранные спецслужбы. В настоящий момент нет универсального средства противодействия сложным и целенаправленным атакам, требуется комплексное решение по обеспечению безопасности на всех уровнях, включая подготовку и проверку персонала.Компания FireEye, один из мировых лидеров по вопросам кибербезопасности, разработала широкий набор инструментов, применяемых для защиты от целенаправленных атак. Решения могут обеспечивать защиту как независимо друг от друга, так и совместно. Продукты FireEye нацелены на борьбу с вредоносными программами и обеспечивают глубокий анализ и корреляцию различных факторов и событий для обнаружения сложных атак.На территории Российской Федерации продукты FireEye распространяются через ряд дистрибьютеров, в их число входит компания Axoft. Рисунок 1. Компоненты защиты от сложных и целенаправленных атак платформы FireEye Одним из ключевых моментов защиты от передовых атак является противодействие сложным угрозам на уровне рабочих станций. Реализация защиты на этом уровне позволяет получить выгодное соотношение «удобство-безопасность», позволяя перенести часть функций блокировки с охраняемого периметра сети на конечные точки, тем самым сохраняя функциональность всей системы и не замедляя бизнес-процессы.Средство защиты FireEye НХ (полное название продукта — FireEye Endpoint Security) обеспечивает защиту от АРТ и предназначено для защиты конечных станций. Возможности обнаружения и реагирования на инциденты на конечных точках (Endpoint Detection and Response, EDR) позволяют быстро определить точный объем и уровень действий атаки, связанных как с известными, так и с неизвестными угрозами. С подробным контекстом блокированных и неизвестных угроз аналитики могут адаптировать систему защиты и ответы на все кибератаки.FireEye HX состоит из двух компонентов:программного агента, обеспечивающего защиту рабочей станции и сбор информации, необходимой для поиска показателей компрометации (Indicators of Compromise, IoC) и расследования инцидентов;аппаратного контроллера, собирающего данные со всех агентов и обеспечивающего управление ими.FireEye НХ использует следующие функции:сопоставление в реальном времени с базой данных показателей компрометации, которые могут поддерживаться FireEye посредством регулярных обновлений или автоматически совместно с сетевыми устройствами FireEye, а также создаваться вручную администратором;Triage Viewer и Audit Viewer для отслеживания и анализа показателей угроз;Enterprise Search для быстрого поиска и нейтрализации угроз;Exploit Guard для выявления процессов использования уязвимостей конечных станций и отправки оповещений;механизмы защиты от вредоносных программ для обнаружения известных угроз и вредоносного кода на основе подписей, поддерживаемых поставщиком. Функциональные возможности FireEye HXFireEye НХ обеспечивает противодействие всем известным атакам на конечные станции, основанным на использовании вредоносных файлов, эксплойтах и разведке. Рисунок 2. Категории атак, направленные на конечные станции Основные возможности FireEye НХ:защита и мониторинг станций внутри и за пределами корпоративной сети или за уровнем трансляции сетевых адресов (NAT);возможность быстрого развертывания агентов, в том числе и на удаленных компьютерах;поиск, выявление, идентификация и нейтрализация угроз;обнаружение вредоносных программ;тщательная проверка конечных станций и создание временных шкал по показателям компрометации;предоставление единого интерфейса администратора (контроллер FireEye HX в виде аппаратного устройства или виртуальной машины) для быстрого реагирования на инциденты безопасности, анализа использованных уязвимостью ресурсов конечной станции с помощью утилит Triage Viewer и Audit Viewer, а также для принятия ответных мер в системе Endpoint Security;изоляция скомпрометированного хоста для обеспечения безопасной среды для проведения удаленного всеобъемлющего расследования;централизованный сбор оповещений, системных данных и данных конечных станций в одном месте;настройка конфигурации функций продукта в зависимости от групп хостов;обмен информацией об угрозах между конечными точками и глобальной облачной сетью FireEye Dynamic Threat Intelligence (DTI);интеграция с SIEM-системами;соответствие Общим критериям и Федеральным стандартам обработки информации (FIPS).Подробная информация о возможностях FireEye HX приведена ниже. Состав компонентов FireEye Endpoint SecurityКак уже было сказано выше, средство защиты FireEye НХ состоит из двух компонентов:контроллер FireEye НХ, поставляемый в виде специального аппаратного устройства либо виртуальной машины;агент FireEye НХ, устанавливаемый на защищаемых хостах.Агент FireEye НХ — программный компонент, записывающий всю активность на конечной станции (операции с файлами, сетевая активность, изменение записей в реестре Windows, запуск процессов и загрузка DLL). Записи хранятся в кэше агента в течение нескольких дней и автоматически передаются на контроллер в виде пакета логов соответствующих событий (Triage) при возникновении инцидента на этой станции. Содержимое кэша агента можно также получить по требованию администратора.Технология Agent Anywhere позволяет распространять агенты на удаленные конечные станции за пределами корпоративной сети и за NAT. Чтобы обеспечить высокий уровень безопасности системы защиты конечных точек, FireEye рекомендует развертывать выделенный DMZ-контроллер, который перехватывает связь между удаленными агентами и основным контроллером FireEye НХ в сети LAN.Агенты поставляются в формате MSI с конфигурационным файлом и легко устанавливаются через корпоративные средства внедрения программного обеспечения (Enterprise Software Deployment, ESD). Процесс установки не требует перезагрузки конечной станции и действий со стороны пользователя. Агенты оснащены функцией автоматического обновления. После установки агента конечная станция автоматически попадает в систему НХ и доступна для мониторинга в интерфейсе администратора. Рисунок 3. Схема распространения агентов FireEye НХ Агент FireEye НХ совместим со следующими операционными системами:Microsoft Windows (XP SP2, Vista SP1, 7 SP1, 8, 8.1, 10);Microsoft Windows Server (2003 R2/SP2, 2008 R2/SP2, 2012 R2, 2016);macOS (Mavericks, Yosemite, El Capitan, Sierra);Red Hat Linux (6.8, 7.2, 7.3).Аппаратный контроллер FireEye НХ предоставляет единую консоль администрирования и позволяет соотносить сетевую активность с активностью конечных станций. Это дает администраторам безопасности возможность автоматически получить подтверждение о том, действительно ли угроза, обнаруженная на сетевом уровне, была успешной на хосте. В результате администратор получает информацию об активности вредоносных программ на хосте и может немедленно начать расследование атаки. Рисунок 4. Внешний вид контроллера FireEye НХ 4402 Устройство FireEye НХ 4402 действует как основной системный контроллер (так называемый LAN-контроллер). Опционально другой контроллер (устройство FireEye НХ 4400D) может быть развернут в демилитаризованной зоне клиента для перехвата связи между основным контроллером и удаленными агентами.Взаимодействие компонентов FireEye НХ представлено ниже. Рисунок 5. Взаимодействие компонентов FireEye НХ и других средств защиты информации Контроллеры FireEye НХ доступны в качестве физического или виртуального устройства (Endpoint Security Virtual Appliance). Аппаратные контроллеры обеспечивают аналитическую емкость и поддерживают связь с 100 000 конечных точек сети, в то время как виртуальные версии контроллера FireEye НХ поддерживают до 15 000 агентов (HX 2502V) или до 100 000 агентов (HX 4502V).Виртуальный контроллер является альтернативным вариантом для небольших организаций и обеспечивает управление агентами без снижения скорости обнаружения и реагирования на угрозы безопасности. Виртуальный контроллер использует ресурсы VMware.Доступ к графическому интерфейсу администратора осуществляется через веб-интерфейс. Рисунок 6. Главное окно консоли администратора FireEye НХ Интерфейс консоли администратора используется для управления политиками агентов, для отслеживания и расследования инцидентов.С помощью консоли администратора задаются ключевые политики безопасности. Параметры конфигурации позволяют выполнять детальную настройку функций агента FireEye HX. Конкретные профили политики могут быть назначены подмножеству защищенных хостов. FireEye HX предоставляет гибкие методы создания групп хостов (так называемые хост-установки). Рисунок 7. Настройка обнаружения вредоносной активности в реальном времени Рисунок 8. Настройка защиты от атак, использующих эксплойты Защита от целенаправленных атак средствами FireEye Endpoint SecurityКонцепция защиты рабочих станций от целенаправленных атак заключается в непрерывном мониторинге и анализе активности станций для обнаружения (detect), предотвращения (prevent), расследования (analyze) атак и своевременного реагирования (respond) на инциденты. Рисунок 9. Концепция FireEye НХОбнаружение и идентификация угроз в FireEye Endpoint SecurityОсновная идея обнаружения угроз и целенаправленных атак FireEye НХ заключается в присутствии средств анализа в точке, на которую направлена атака. Агенты FireEye НХ, установленные на конечных точках, автоматически получают необходимые правила для определения атак, IoC и обновления от других компонентов FireEye. Дополнительно существует возможность создания собственных правил определения атак (в форме IoC) и использовать их либо в режиме реального времени для обнаружения новых угроз, либо для поиска признаков заражения. При обнаружении компрометации рабочей станции в результате поиска по IoC на консоль администратора поступает предупреждение, содержащее подробные сведения об инциденте. Рисунок 10. Инциденты, сгруппированные в соответствии с именами и типами IoC в интерфейсе администратора в FireEye НХ FireEye НХ применяет как традиционный метод защиты конечных точек (Endpoint Protection Platform, EPP), так и средство Exploit Guard, использующее аналитические мощности FireEye для соотнесения множества отдельных событий между собой и выявления вредоносных или подозрительных действий. В средстве Exploit Guard реализованы методы обнаружения атак и реагирования на них (Endpoint Detection and Response, EDR). Эта функциональность FireEy HX использует результаты мероприятий по ненадлежащему реагированию, предоставляемых подразделением консультантов по безопасности FireEye Mandiant.Средство защиты конечных точек FireEye НХ позволяет администратору установить:через какие векторы произошло проникновение в конечную станцию;совершена ли атака на конкретную конечную точку;произошло ли горизонтальное распространение атаки и на какие конечные точки;как долго одна или несколько конечных точек подвергались атаке;произошла ли эксфильтрация ценной информации;какие конечные точки и системы необходимо изолировать, чтобы предотвратить дальнейшее распространение атаки. Рисунок 11. Детали оповещения, сгенерированного в результате выполнения подозрительной DLL, связанной с деятельностью по проверке учетных данных MIMIKATZ, на конкретной конечной станции Рисунок 12. Детали оповещения, сгенерированного в результате исполнения эксплойта, использующего уязвимости Internet Explorer Рисунок 13. Детали оповещения о записи подозрительного файла Дополнительно администратору доступны функции проактивного корпоративного поиска Enterprise Search, который позволяет искать артефакты и признаки заражения по десяткам различных параметров и их комбинаций. Данный инструмент позволяет аналитикам отслеживать угрозы, не попадающие под настроенные показатели компрометации, создавать широкие поисковые запросы по каждой конечной станции или группе хостов и получать быстрый результат. Рисунок 14. Инструмент проактивного корпоративного поиска Enterprise SearchПредотвращение целенаправленной атаки в FireEye Endpoint SecurityПосле выявления нарушений безопасности на рабочей станции необходимо предотвратить дальнейшее распространение атаки и провести расследование инцидента. Администратор через консоль изолирует скомпрометированную станцию, блокируя ей любые сетевые взаимодействия, кроме связи с консолью управления FireEye НХ. Такой метод позволяет сохранить наибольший объем информации, связанной с атакой и хранящейся в энергозависимой памяти, во временных файлах и т.д. Рисунок 15. Заблокированные рабочие станции в консоли FireEye НХ В дополнение к автоматической профилактике эксплойтов, обнаруженных агентами FireEye НХ, вся сетевая связь станций может быть заблокирована и разблокирована администратором безопасности. Рисунок 16. Изоляция скомпрометированной рабочей станции в консоли FireEye НХ Средство Exploit Guard может выявлять подозрительный код и блокировать его активность на конечной станции до завершения действий, влекущих нарушение безопасности. Рисунок 17. Пример блокирования вредоносного макроса, запускаемого после открытия документа Microsoft Word После обнаружения и блокировки активности подозрительного эксплойта агент FireEye НХ отправляет оповещение на консоль FireEye НХ для дальнейшего рассмотрения. Рисунок 18. Сведения об обнаруженном эксплойте FireEye НХ может функционировать совместно с другими средствами защиты информации (антивирусы, хостовые системы обнаружения вторжений и т. д.), установленными на конечных точках. Для предотвращения конфликтов необходимо настроить соответствующие исключения для процессов и каталогов FireEye НХ.FireEye НХ может использоваться как изолированно, так и в более продвинутом режиме интеграции с другими компонентами платформы FireEye. В последнем случае аппаратный контроллер НХ получает новые IoC, сформированные при обнаружении угроз в электронной почте системой FireEye Email Security (FireEye EX), в сетевом трафике решением FireEye Network Security (FireEye NX), на общих файловых ресурсах решением FireEye File Malware Protection System (FireEye FX), через центральную систему управления FireEye (Central Management System, CMS). Рисунок 19. Интеграция FireEye НХ с другими компонентами платформы FireEye FireEye НХ также обменивается данными об угрозах и IoC с облаком FireEye Dynamic Threat Intelligence (DTI) в зависимости от типа лицензии. При однонаправленной лицензии все устройства и агенты получают новые правила анализа и IoC из DTI. При двунаправленной лицензии в облако со стороны FireEye НХ отправляются обнаруженные угрозы и результаты применения IoC для их последующей валидации и гарантируют сохранение эффективности продуктов FireEye на протяжении всего их жизненного цикла.Расследование целенаправленной атаки в FireEye Endpoint SecurityАгент постоянно регистрирует все изменения, произошедшие на конечной точке (запуск процессов, доступ к файловой системе и реестру, установленные сетевые подключения и т. д.) и хранит их в кэше несколько дней. Эти логи постоянно проверяются по совпадению IoC. При обнаружении нового эксплойта или совпадении IoC агент формирует архив логов соответствующих событий (Triage), который включает сведения об активности процессов, связанных с инцидентом безопасности. Администратор безопасности в консоли управления анализирует содержимое Triage и принимает решение об изолировании скомпрометированной станции. Для детального расследования агент позволяет удаленно выгружать со станции файлы, дампы логов по любым процессам и событиям, историю команд shell, дампы оперативной памяти, жесткого диска и др. Рисунок 20. Расследование целенаправленной атаки в консоли администратора FireEye НХ Минимизация последствий целенаправленной атаки в FireEye Endpoint SecurityВ настоящее время FireEye HX не предоставляет инструменты для автоматического устранения следов заражения на скомпрометированной рабочей станции, поскольку этот процесс может удалить ценные артефакты, которые имеют решающее значение при расследовании инцидента. Как только расследование будет завершено, исправление может быть выполнено ИТ-персоналом. Кроме того, результаты анализа атак и нарушений безопасности с использованием FireEye HX являются ценным вкладом в дальнейшие обновления и улучшения политик системы безопасности компании. ВыводыСредство защиты конечных точек FireEye НХ обеспечивает безопасность организации от современных сложных угроз. Оно является важным компонентом широкой платформы FireEye и реализует защиту на уровне рабочих станций, не ухудшая работоспособность информационной системы заказчика и сохраняя функциональность бизнес-процессов.FireEye НХ содержит не только классический набор средств защиты от вредоносного кода и для обнаружения вторжений, но и расширенные методы расследования атак (Enterprise Search) и методы реагирования на них (Exploit Guard). Администратору предоставляются мощные инструменты расследования инцидентов, позволяющие проанализировать атаку и пути ее проникновения в систему для предотвращения подобных атак в дальнейшем и повышения безопасности организации.Важным аспектом использования FireEye НХ является возможность быстрой изоляции скомпрометированной рабочей станции во время проведения расследования. Блокировка гарантирует сохранение важной информации, используемой при проведении расследования, и невозможность дальнейшего распространения атаки внутри локальной сети предприятия.Простота развертывания и администрирования компонентов FireEye НХ снимает нагрузку с ИТ-персонала, позволяя направить силы на расследование и предотвращение атак. Агенты FireEye НХ поддерживают все популярные версии операционных систем Microsoft Windows и macOS. В недавнем выпуске программного обеспечения FireEye НХ добавлена поддержка Red Hat Linux.Данный продукт подходит как для среднего бизнеса, так и для крупных корпораций.Преимущества:Простота развертывания, масштабирования и управления продуктом.Широкий набор инструментов для расследования инцидентов, использующих лучшие методы, разработанные в ходе реагирования на инциденты, проводимые Mandiant (подразделение FireEye).Блокировка скомпрометированной рабочей станции для анализа целенаправленной атаки и предотвращения ее дальнейшего распространения внутри сети.Интеграция с другими продуктами FireEye и SIEM-системами.Комплексный интерфейс API, который делает возможной интеграцию с сторонними системами.Недостатки:Отсутствие русской локализации.Отсутствие сертификата соответствия новым требованиям ФСТЭК России к системам обнаружения вторжений.

Компания InfoWatch выпустила версию 1.1 своего продукта InfoWatch Vision — системы визуализации информационных потоков и поддержки полного цикла расследований инцидентов, работающей в связке с DLP-системой InfoWatch Traffic Monitor. В обзоре изложены возможности InfoWatch Vision 1.1, сделан акцент на ключевых нововведениях, описаны системные требования и архитектура, представлены характерные сценарии использования. ВведениеФункциональность продуктаНовые возможности InfoWatch VisionАрхитектура решенияСистемные требованияСценарии использования6.1. Анализ аномальной активности сотрудников: выявление неправомерной передачи конкурсной документации6.2. Анализ нарушений настроенных политик безопасности: слив лицензионных ключей6.3. Анализ «серой зоны» информационных потоков компании6.4. Выявление связанных инцидентов (развитие инцидента в «серой зоне»)6.5. Контроль сотрудников под подозрением6.6. Формирование досье на сотрудника6.7. Вовлечение бизнеса в мониторинг ИБ: создание листа мониторинга для руководителяВыводы   ВведениеСегодня при мониторинге событий, которые проходят через DLP-систему, компании оперируют огромными массивами информации. Из этих потоков в сжатые сроки требуется выделить фрагменты данных и факты, которые помогут пройти весь цикл проведения расследований инцидентов  — от обнаружения косвенных признаков нарушений до выявления круга причастных лиц и нарушителей. В повседневной работе офицерам информационной безопасности необходим инструмент, который максимально автоматизирует весь процесс проведения расследований, делая его понятным и удобным. А руководителям бизнес-подразделений и топ-менеджменту зачастую требуются сводные данные по нарушениям в компании либо, наоборот, детализированный отчет по конкретному сотруднику (досье), находящемуся под подозрением. Сценарии применения InfoWatch Vision позволяют удовлетворить запросы одновременно двух групп пользователей — офицеров ИБ и представителей бизнеса. В данном обзоре будут рассмотрены сценарии применения продукта в разрезе этих целевых групп пользователей.   InfoWatch Vision 1.1 интегрируется с DLP-системой InfoWatch Traffic Monitor и учитывает логику ее работы. Загружая данные из DLP-системы InfoWatch Traffic Monitor, InfoWatch Vision в режиме реального времени выстраивает информационно-аналитические выкладки: карта коммуникаций того или иного объекта, отчетность и визуализация по различным срезам данных. Имея в своем арсенале такой мощный тандем решений, офицер безопасности при проведении расследований может конструировать различные модели, смотреть на комбинации данных под тем или иным углом.Продукт InfoWatch Vision 1.1 ориентирован на анализ подозрительных активностей и связей сотрудников, которые могут оставаться за пределами политик использования DLP-системы (не подпадают ни под одну принятую в компании политику). Таким образом, InfoWatch Vision обеспечивает контроль за «серыми зонами» информационных потоков компании, выявляя аномальные события и фиксируя нетипичное поведение сотрудников. Продукт позволяет не только оперативно визуализировать данные по конкретному запросу, но и представить дополнительную информацию, которая поможет в расследовании инцидентов.Вывод InfoWatch Vision на рынок состоялся в ноябре 2016 г. Таким образом, менее чем через год компания InfoWatch представляет обновленный релиз, в котором разработаны дополнительные средства аналитики и визуализации информационных потоков. Функциональность продуктаInfoWatch Vision 1.1 — инструмент визуальной аналитики информационных потоков в режиме реального времени. Работая в связке с InfoWatch Traffic Monitor, он обеспечивает:создание интерактивного графа связей, построение карты внешних коммуникаций;выявление контактов между несвязанными подразделениями;определение нестандартных схем движения конфиденциальных данных;управление потоками информации в филиалах, контроль действий региональных администраторов системы;мгновенный доступ к деталям любой подозрительной активности;гибкую отчетность в режиме реального времени, по различным параметрам;управление филиальной структурой — возможность контроля расследования инцидентов ИБ на местах.InfoWatch Vision 1.1 состоит из шести функциональных блоков (листов):Сводка — удобный инструмент для бизнес-пользователей системы, позволяет вести ежедневный мониторинг ситуации в компании, служит для расследования инцидентов при отсутствии прямых входящих данных (таких как инцидент, дата, сотрудник и т. д.). Рисунок 1. Сводка в InfoWatch Vision 1.1 Граф связей — инструмент визуального анализа связей сотрудников, внешних контактов и перемещения информации на веб-ресурсы, печатающие устройства и USB-накопители. Граф можно мгновенно перестраивать в зависимости от выбранных параметров: сотрудники, период времени, политики безопасности, пересылаемые файлы, объекты защиты и пр. Узлы и связи на выстроенном графе кликабельны — можно просмотреть события любой связи. Граф позволяет быстро выявить нетипичные связи в информационных потоках. Рисунок 2. Граф связей в InfoWatch Vision 1.1 Досье — консолидированная база информации по активностям сотрудников и внешним контактам. Используя досье, можно оценить связи сотрудника, проконтролировать назначенные политики, определить характер полученных и отправленных файлов. Досье на внешний контакт формируется автоматически. Рисунок 3. Досье сотрудника в InfoWatch Vision 1.1 Детали — функциональность для изучения событий. Позволяет «провалиться» в конкретное событие, просмотреть сообщения, выгрузить вложения и представить список событий по выборке. Рисунок 4. Лист «Детали» в InfoWatch Vision 1.1  Филиальная структура — приложение для мониторинга событий и инцидентов по всем филиалам компании. В консоли InfoWatch Vision офицер безопасности головной организации получает обобщенные данные о событиях InfoWatch Traffic Monitor, инцидентах и расследованиях в филиалах. Статистика сгруппирована по политикам, объектам защиты и вердиктам. Приложение содержит лишь агрегированную информацию, что снижает нагрузку на сеть и повышает скорость обработки запросов.Карточка филиала — средство удобной визуализации данных по каждому филиалу. Отображаются события, сгруппированные по политикам, тегам и объектам защиты: история работы региональных администраторов с событиями, объем обработанных событий, назначенные вердикты. «Карточка филиала» — эффективный инструмент контроля действий офицеров безопасности на местах.В структуре продукта InfoWatch Vision 1.1 есть удобный конструктор отчетов. Он обеспечивает формирование отчетности по инцидентам информационной безопасности, в том числе по специфическим разрезам статистики и графики в одном окне, с возможностью добавлять комментарии и изображения, выгружать результаты в PDF и PPTX.В основе решения — ассоциативная модель данных, которая связывает все загруженные данные и представляет их в виде единой таблицы. При этом сквозная фильтрация данных затрагивает все связанные метрики. В результате система подсказывает каждый следующий шаг при проведении расследований инцидентов — для офицера ИБ этот процесс становится интуитивно понятным. Новые возможности InfoWatch VisionВ InfoWatch Vision 1.1 реализовано несколько важных нововведений.Поддержка управления инцидентами информационной безопасности в крупных территориально-распределенных компаниях благодаря приложению «Филиальная структура». Таким образом, используя InfoWatch Vision 1.1, компания с сетью филиалов может создать своеобразный ситуационный центр для централизованного мониторинга внутренних угроз.  Вся статистика по филиалам сгруппирована по политикам, объектам защиты и вердиктам.Офицер информационной безопасности может просматривать данные о филиалах в удобной графической форме — все филиалы отображаются на карте с привязкой к GPS-координатам.Являясь отдельным приложением, «Филиальная структура» содержит лишь агрегированную информацию о пользователях. Все данные передаются через приложение, что снижает нагрузку на сеть и повышает скорость обработки запросов.Контроль действий администраторов системы на местах обеспечивает инструмент «Карточка филиала».  В карточке филиала отображаются данные о событиях в филиале, сгруппированные по политикам, тегам и объектам защиты:история взаимодействия офицеров ИБ с событиями;объем обработанных событий;назначенные событиям вердикты.Поддержка английского языка. Продукт полностью адаптирован для зарубежных заказчиков.Оптимизация процесса загрузки событий из InfoWatch Traffic Monitor: появилась возможность загружать данные «скользящим окном», например, за последний месяц. Архитектура решенияПродукт InfoWatch Vision обогащает функционал DLP-системы необходимыми средствами анализа и визуализации. При установке InfoWatch Vision происходит автоматическая загрузка информации из базы данных InfoWatch Traffic Monitor. Загруженная информация находится в оперативной памяти InfoWatch Vision.  Использование принципа in-memory позволяет значительно ускорить вычисления и подготовку отчетов. Поэтому любой срез информации в InfoWatch Vision доступен буквально по одному клику мыши. Рисунок 5. Архитектура решения InfoWatch Vision 1.1  Архитектура решения также включает веб-консоль, которая служит рабочим инструментом для регулярной работы с событиями и проведения расследований. При таком подходе использование веб-консоли InfoWatch Traffic Monitor необходимо лишь для корректировки и обновления политик безопасности. Системные требованияПри подборе аппаратной основы для работы InfoWatch Vision самым важным параметром является объем оперативной памяти, так как именно в ней производятся все действия с данными. Для расчета необходимых параметров памяти заказчику необходимо учитывать следующие  параметры:Количество рабочих станций под управлением системы InfoWatch Traffic Monitor.Период времени для анализа событий: то есть за какой временной отрезок требуется загружать информацию из InfoWatch Traffic Monitor в InfoWatch Vision. Можно ограничиться 1 месяцем, а можно выбрать более длительный исторический период, предшествующий загрузке, — даже все время хранения данных в базе InfoWatch Traffic Monitor. Компания InfoWatch рекомендует ограничиваться следующим горизонтом постоянного контроля: при регулярной работе офицеру безопасности вполне может быть достаточно статистики за 1-2 месяца.Количество событий в базе данных за требуемый период анализа (например, за 3 последних месяца в компании произошло 3,4 млн событий). Таблица 1. Объемы оперативной памяти (в Гигабайтах), необходимые для разных временных отрезков при определенном количестве рабочих станций под контролем DLP-системы InfoWatch Traffic MonitorРабочие станции InfoWatch Traffic Monitor1002003004005006007008009001001500200025003000350040001 мес.8888816161616162432404856643 мес.816162424324040484872961201441681926 мес.1624324048647280969614419224028833638412 мес.2440648096115134154173192288384480576672768 Объем оперативной памяти для анализа информации в компаниях с количеством рабочих станций от 4500 рассчитывается индивидуально.Опционально для заказчиков InfoWatch Vision 1.1 доступна функция загрузки данных по периодам. Это позволяет решить проблему высоких технических требований.Процессор: для сервера 8-16 ядер — 2800-3500 Гц.Жесткий диск: 500 Гб — 1 Тб.Операционная система: Windows Server 2008/2012/2016. Сценарии использованияВсе интерактивные листы InfoWatch Vision 1.1 связаны между собой и отображают единый срез данных. Информационные потоки визуализируются с графом связей. Система позволяет фильтровать любые метрики из InfoWatch Traffic Monitor, внешние и внутренние связи, количество событий в каждой связи.  Анализ аномальной активности сотрудников: выявление неправомерной передачи конкурсной документацииОфицер ИБ обнаруживает аномальный рост активности, приходящийся на определенную дату (в данном примере — 23 мая). Рисунок 6. Просмотр событий в конкретный день  Выбрав дату, на которую приходится пиковая активность, можно просмотреть все события за этот день/период: по уровню нарушений, по политикам, объектам защиты, нарушителям и т. д. Сводка показывает, что за рассматриваемый период наиболее активно информацию рассылали только два сотрудника компании. Рисунок 7. Выявление нарушителей политики   Следующим шагом, выбрав высокий уровень нарушений, офицер безопасности обнаруживает, что произошел слив информации в локальное хранилище. Перейдя во вкладку «Детали», можно просмотреть список событий, соответствующих инциденту. Офицер безопасности обладает информацией, что в этот день компания участвовала в крупном конкурсе, поэтому его интересуют события, связанные с передачей финансовой информации. При выборе соответствующих событий ситуация проясняется: сотрудник А передавал данные, относящиеся к условиям конкурса, хотя по характеру своей деятельности и должности он не должен иметь доступа к условиям конкурса.Проведение такого интуитивного расследования позволило офицеру не просто выявить нарушителя, но и найти «узкие» места в распределении прав доступа к информационным активам компании. Рисунок 8. Детали нарушения, совершенного сотрудником Анализ нарушений настроенных политик безопасности: слив лицензионных ключейОфицер безопасности проводит ежедневный мониторинг нарушений ряда политик, в числе которых политика «Лицензионные ключи». Все нарушения по настроенным политикам отображаются в листе «Сводка». Рисунок 9. Определение подозрительного всплеска событий по интересующей политике  Из общей сводки офицер безопасности может перейти в детали и посмотреть, в каких событиях было зафиксировано нарушение. Оказалось, что лицензионные ключи активно сливались на внешнее устройство. Далее одним кликом мыши определяются нарушители политики и дата инцидента: нарушителями оказались два сотрудника, дата инцидента — 18.04.2017. Рисунок 10. Определение нарушителей политики и даты инцидента  Офицер безопасности определяет сотрудника, который сливал лицензионные ключи на внешний носитель. Также его интересует, с кем коммуницирует нарушитель, и офицер переходит во вкладку «Граф cвязей». Граф показывает, что два сотрудника параллельно скидывали лицензионные ключи на свои внешние накопители. Для изучения временного разреза инцидента офицер безопасности переходит во вкладку «Сводка» и определяет, кто был инициатором нарушения политики. Рисунок 11. Выявление связей в рамках инцидента  В ходе расследования инцидента выяснилось, что инициатор нарушения выгрузил лицензионные ключи без умысла. Однако этим воспользовался второй сотрудник и растиражировал информацию с корыстной целью, умышленно нарушая политики безопасности компании.Анализ «серой зоны» информационных потоков компанииВ этом сценарии демонстрируется исследование «серой зоны» информационных потоков, то есть тех данных, которые остаются за пределами корпоративных политик безопасности. Для этого в  листе «Сводка» необходимо выбрать уровень нарушений: «без нарушений». Рисунок 12. Изучение событий в «серой зоне»  В общей сводке «серых» событий  можно выявить наиболее активных нарушителей. Рисунок 13. Выявление активных нарушителей в событиях «серой зоны»  Двигаясь в логике продукта, можно построить граф связей самого активного нарушителя. На графе в числе прочих отразилась связь сотрудника с подозрительным источником — FTP DARPA. Рисунок 14. Подозрительный источник (DARPA) на графе связей  Кликнув по этой подозрительной связи, InfoWatch Vision предлагает просмотреть детали. В «Деталях» видно, что сотрудник обменивался документами с этим ресурсом (стандартами и другой официальной документацией). Рисунок 15. Детали взаимодействия сотрудника с подозрительным ресурсом Выявление связанных инцидентов (развитие инцидента в «серой зоне»)После выявления инцидента, связанного с передачей файлов на FTP DARPA, можно изучить случаи обращения к данному хранилищу других сотрудников. Для этого необходимо в фильтре «Узлы» задать поисковую маску «*darpa*». Система по запросу выдает все события, связанные с объектом DARPA. Рисунок 16. Выдача системой событий по конкретному запросу  На графе связей отобразилось несколько параллельных коммуникаций по данному запросу. Предположим, офицер безопасности хочет углубиться в детали этих коммуникаций и начать исследование активностей одного из сотрудников (в данном примере — Марии Тихой). Для этого достаточно кликнуть мышью по связи на графе. Рисунок 17. Узлы связей сотрудника  В «Деталях» видно, что Мария Тихая передавала персональные данные на FTP DARPA, а именно ID малайского гражданина (Malaysia ID). Рисунок 18. Детали события: передача ID  Развивая расследование, можно изучить досье подозреваемого сотрудника. Из досье становится очевидным, что этот сотрудник отправлял какие-то данные на неизвестные мобильные номера. Переходя в «Детали», офицер безопасности обнаруживает, что помимо персональных данных гражданина Малайзии, сотрудник отправлял по SMS паспортные данные других сотрудников компании. Рисунок 19. Детали события: передача персональных данных по SMS Контроль сотрудников под подозрениемРассмотрим ситуацию, когда в компании работает иностранный сотрудник (экспат), который находится у службы ИБ под подозрением — Джейсон Борн (Jason Bourne). Рисунки 20. Досье на сотрудника  Для постоянного контроля такого сотрудника прежде всего необходимо сформировать на него подробное досье. Во вкладке «Досье» можно просмотреть политики, которые нарушает такой сотрудник. Предположим, офицера безопасности интересуют случаи нарушения международных политик (в консоли они отображаются с приставкой INT — international).По выборке видно, что наиболее часто Джейсон Борн нарушает политики, связанные с финансовой информацией и персональными данными. Рисунок 21. Нарушаемые политики и связанные с ними объекты защиты  Кому передавал нарушитель эти данные? Диаграмма показывает, кто из сотрудников чаще всех получал информацию и копировал ее на накопитель. Рисунок 22. Получатели конфиденциальных данных от нарушителя  Продвигаясь в расследовании дальше, офицер безопасности анализирует события «серой зоны». В «серой зоне» отобразилась коммуникация с единственным сотрудником, что вызывает подозрение. Перейдя в «Детали», выясняется, что сотрудник под подозрением передавал своему подельнику конструкторскую документацию. Рисунок 23. Случай передачи конструкторской документации Формирование досье на сотрудникаОчень часто офицерам безопасности необходимо регулярно предоставлять отчеты по сотрудникам в особой группе риска их непосредственным руководителям или даже топ-менеджменту. В InfoWatch Vision эту рутинную задачу можно автоматизировать. Для этого на начальном экране консоли InfoWatch  Vision необходимо создать новую историю. Рисунок 24. Создание досье на персону для руководителя  К отчету можно прикрепить фотографию пользователя, а само досье наполнять контентом по принципу подготовки презентации в Power Point — вставлять необходимые диаграммы и срезы данных в виде слайдов презентации. Отчет сохраняется в формате PPTX для отправки по электронной почте, а при просмотре через консоль продукта — все данные обновляются в автоматическом режиме. Рисунки 25-26. Пример возможной структуры досье  Вовлечение бизнеса в мониторинг ИБ: создание листа мониторинга для руководителяВ InfoWatch Vision 1.1 можно создать специальный лист, который будет служить «окном» мониторинга для топ-менеджмента. Рисунок 27. Создание нового листа мониторинга для топ-менеджера  Для этого в консоли InfoWatch Vision создается новый лист (Мои листы — Создать новый лист). На изначально пустой лист по принципу «виджетов» добавляются нужные графики и метрики. Лист будет всегда отражать актуальную информацию, потому что он динамически обновляется. Рисунок 28. Аналитический отчет  Отметим, что благодаря веб-интерфейсу, этот инструмент мониторинга доступен руководителю не только с компьютера, но и с мобильного устройства. Рисунок 29. Мобильность: ИБ-аналитика в любом месте и в любое время  ВыводыВ обзоры мы детально рассмотрели новую версию решения для визуальной аналитики корпоративных информационных потоков и проведения расследований — InfoWatch Vision 1.1. Сочетание мощных средств мониторинга, анализа, отчетности и визуализации данных позволяет руководителям бизнеса и офицерам безопасности держать руку на пульсе событий в компании, оперативно реагируя на нештатные ситуации.  В поле зрения системы даже «серые зоны», которые обычно остаются за пределами досягаемости DLP-решений.В InfoWatch Vision все необходимые данные всегда под рукой — операции происходят в оперативной памяти и для уточнения информации не нужно делать новый запрос. На фильтрацию миллионов событий требуются считанные секунды. Конструктор отчетов позволяет представлять данные в различных разрезах. Правда, разработчики по-прежнему предлагают весьма небольшой пакет шаблонов для формирования отчетности.В InfoWatch 1.1 реализована поддержка филиальной структуры — теперь у заказчиков появилась возможность создать единый центр статистики и управления инцидентами в удаленных офисах.Кроме того, компания InfoWatch адаптировала новую версию продукта для использования зарубежными заказчиками, реализовав локализацию на английский язык.Стоит отметить, что продукт предназначен для использования в крупных компаниях, включая территориально-распределенные. При этом продукт весьма требователен к объему серверной оперативной памяти, поскольку все вычисления ведутся в режиме in-memory. Для небольших предприятий использование Vision 1.1 может быть нецелесообразным.Достоинства Легкое управление, интуитивно понятное не только специалистам по ИБ, но и бизнес-подразделениям.Отличные средства визуализации потоков данных и анализа активностей благодаря интерактивному веб-интерфейсу.Поддержка филиальной структуры с возможностями контроля офицеров ИБ на местах.Удобный конструктор отчетов.НедостаткиВысокие требования к аппаратному обеспечению (требуется мощный сервер).Решение заточено на работу в крупных компаниях, не подходит для малого и среднего бизнеса.Ограниченный выбор шаблонов для формирования отчетов. 

В статье представлен обзор новой версии продукта SafeInspect компании «Новые технологии безопасности» для контроля привилегированных пользователей. В версии 2.3 реализованы функции управления паролями для контролируемых учетных записей, расширена поддержка протоколов для контроля сессий администрирования, добавлены поддержка новых криптографических алгоритмов, интеграция с дополнительными типами DLP-систем и многое другое.   1. Введение2. Функциональные возможности SafeInspect 2.33. Системные требования SafeInspect 2.34. Развертывание SafeInspect 2.35. Эксплуатация SafeInspect 2.36. Выводы  ВведениеОсенью 2016 года мы опубликовали на нашем сайте обзор SafeInspect версии 1.3, с того времени компания «Новые технологии безопасности» выпустила несколько обновлений продукта, текущая версия — SafeInspect 2.3. В рамках данного обзора рассмотрим, что изменилось в процессе установки, настройки и управления продуктом, а также расскажем о новых функциональных возможностях. Но для начала напомним, что SafeInspect — это средство контроля привилегированных пользователей, работающее по принципу перенаправления управляющего сетевого трафика через сервер SafeInspect с дополнительной авторизацией суперпользователей и контролем всех сеансов управления.Аналитическое агентство Gartner отмечает значительный рост рынка PUM (Privileged User Management), в последнем отчете указывается, что количество внедрений выросло на 35% за один год. Такой впечатляющий рост подтверждает эффективность применения средств контроля привилегированных пользователей для защиты от неправомерных или опасных действий, а также утечек конфиденциальных данных со стороны системных администраторов, аутсорсинговых компаний и других пользователей, обладающих повышенными привилегиями в ИТ-системах. Функциональные возможности SafeInspect 2.3В новой версии SafeInspect список поддерживаемых протоколов не изменился, однако функциональность работы с протоколами во многих из них расширился. В частности, появилась возможность анализа протокола SQL с использованием анализатора протокола TCP, а также добавлена поддержка анализа и записи работы администраторов, подключающихся к виртуальным средам. Основные изменения коснулись следующих протоколов:SSH:поддержка криптографических алгоритмов Elliptic Curve, SHA-2 и RSASSA-PSS;новые режимы проверки ключа — добавление в доверенные при первом использовании, выбор доверенного сертификата вручную и отключение проверки доверия;реализован аудит туннелированных в SSH соединений по протоколам TCP, HTTP, SSH и RDP.SCP/SFTP:поддержка криптографических алгоритмов Elliptic Curve, SHA-2 и RSASSA-PSS;контроль направления передачи файлов и данных в подканалах с возможностью запрета передачи данных в зависимости от направления загрузки.RDP:поддержка RSASSA-PSS и технологии NLA;контроль направления передачи файлов и данных в перенаправлении буфера обмена и устройств;заключительная/финальная обработка передаваемой информации в перенаправлении буфера обмена и устройств;поддержка новых версий протокола RDP, реализованных в Windows 10 и Windows Server 2016;поддержка нескольких мониторов при подключении по протоколу RDP;поддержка сжатия и кэширования растровых изображений.HTTP/HTTPS:поддержка криптографических алгоритмов SHA-2 и RSASSA-PSS.Значительная работа была проведена над функциональностью контроля защиты от утечек информации и автоматического контроля сеансов. Для поддержки сторонних DLP-систем в протоколе ICAP реализована поддержка RESPMOD — возможность анализа ответного трафика от сервера и блокировки ответа. В предыдущих версиях поддерживался только режим REQMOD, т. е. возможность контроля только запросов администраторов. Также в версии 2.3 в сопряжении с DLP-системой появилась поддержка режима postcheck — проверки трафика уже после его пропуска. Благодаря перечисленным доработкам SafeInspect 2.3 совместим с большинством DLP-систем, представленных на российском рынке.Продолжая тему автоматического контроля, стоит упомянуть, что в SafeInspect 2.3 реализован новый модуль, обеспечивающий контроль передаваемых исполняемых команд, и блокировка соединения, если команды нежелательны, средствами самого продукта, без применения внешней DLP. Благодаря реализации в отдельном модуле анализ и блокировку соединения можно возложить на отдельный сервер, не нагружая основной прокси-сервер SafeInspect, если необходима работа с высокой сетевой нагрузкой. Рисунок 1. Схема включения коллектора SafeInspect 2.3 в режиме L2-мост В прозрачном режиме работы L2-Мост в новой версии SafeInspect может устанавливаться в разрыв trunk-соединения типа «точка-точка», с помощью которых обеспечивается передача трафика по нескольким виртуальным локальным сетям (VLAN) между коммутаторами. При этом SafeInspect позволяет контролировать VLAN-соединения избирательно и применять правила только для выбранных сетей.В версии 2.3 в SafeInspect реализованы функции управления паролями для учетных записей контролируемых серверов и оборудования на большинстве поддерживаемых платформ. Управление паролями осуществляется с помощью политик безопасности, поддерживается автоматическая смена паролей по расписанию и групповое ручное изменение паролей.В SafeInspect 2.3 полностью изменена система добавления учетных записей привилегированных пользователей. Теперь появилась возможность более гибким способом задавать правила доступа пользователей к ресурсам. Пользовательские токены доступа могут создаваться по паролю или SSL-ключу. Поддерживаются следующие варианты предоставления доступа:постоянный доступ;ежедневный доступ с ограничением по времени;одноразовый доступ;доступ с заданным периодом действия;выделенный доступ к отдельным хостам.Для упрощения интеграции со сторонними системами управления учетными записями реализовано API по протоколу REST с доступом через HTTP. Интеграция с каталогами была дополнена поддержкой вложенных групп в Active Directory и работой по защищенной версии протокола LDAP — LDAPS. Системные требования SafeInspect 2.3В версии 2.3 добавлены: поддержка работы в VMware ESXi версии 6.0 и, соответственно, VMware Fusion версий 7.xx, поддержка Microsoft Hyper-V, поддержка OpenStack, ведутся работы по встраиванию в Azure и возможности предоставления его в облаках Microsoft. В остальном требования остались неизменными.Минимальные системные требования инсталляции «Менеджер» + «Коллектор»:4 Гб оперативной памяти;80 Гб дисковый накопитель;4 сетевых адаптера (e1000 или vmxnet3).Поддерживается установка продукта на следующих системах виртуализации:VMware Workstation версии 9.0 и выше;VMware Fusion версии 7.1.1;VMware ESXi 5.5 и 6.0;Microsoft Hyper V;KVM;OpenStack;XEN.Протестированная производительность модуля «Коллектор» на физических серверах HP Proliant DL360 gen9 — порядка 3000 одновременных SSH-подключений или 300 одновременных RDP-сессий. Развертывание SafeInspect 2.3Как и прошлая версия, SafeInspect 2.3 поставляется в виде ISO-образа, который может быть записан на носитель информации (компакт-диск), либо в виде IMG образа для записи на USB Flash. Обновление с предыдущих версий выполняется без переустановки путем загрузки образа обновления через веб-интерфейс или указания ссылки на обновление на сайте производителя. Рисунок 2. Интерфейс обновления версии в SafeInspect 2.3 Процесс установки не претерпел значительных изменений: система автоматически разворачивается на виртуальной машине на доступном жестком диске без дополнительных настроек. После установки выполняется настройка IP-адреса через командную строку, и в дальнейшем вся работа с программным комплексом осуществляется через веб-интерфейс. Эксплуатация SafeInspect 2.3Веб-интерфейс SafeInspect 2.3 по сравнению с версией 1.3 практически не изменился. Основная навигация также выполняется по разделам «Главная», «Журналы подключений», «Отчеты», «Политики», «Администраторы», «Настройки», «Система» и «Ожидающие изменения». Подробное описание разделов и их наполнения можно найти в нашем предыдущем обзоре, в данной статье рассмотрим новые функции — модуль автоматизированного контроля команд и новую систему управления паролями от защищаемых узлов.Настройка встроенных функций DLP вынесена в раздел «Внешние сервисы», подраздел «Профили проверки содержимого». Включение фильтрации осуществляется с помощью команды «Добавить профиль ICAP». Параметры настраиваются в соответствии с документацией, в качестве адреса сервера указывается локальный адрес Коллектора (127.0.0.1) или адрес другого сервера SafeInspect. Рисунок 3. Настройка профиля ICAP на встроенный модуль фильтрации в SafeInspect 2.3 Настройка списка запрещенных команд и параметров осуществляется в соседнем разделе — «Контроль команд». В иерархическом списке представлены четыре группы настроек — политики, пользователи, списки и команды. Из набора команд формируется список запрещенных к запуску функций. Собранный список привязывается к определенной политике, которую потом можно применить к защищаемым серверам или пользователям. Команды можно добавить вручную или выбрать из заданного списка, отсортированного по алфавиту. Чтобы запомнить изменения, следует нажать на кнопку «Перегрузить ICAP». Рисунок 4. Настройка контроля команд в SafeInspect 2.3 Функциональность данного модуля реализована таким образом, чтобы можно было делать гибкие политики проверки трафика в контролируемом канале. На рисунке показан список, который облегчает выбор команд. Прочие команды и/или значения (например, номера кредитных карт) можно вводить в поле сверху. На основе выбранных или введенных данных формируется политика. Таких политик может быть неограниченное количество. К одному серверу могут быть применены разные политики, в том числе одновременно. При отслеживании сетевого трафика производится поиск заданных команд или введенных данных, и при их обнаружении происходит разрыв сетевого соединения. Данный подход позволяет администраторам гибко использовать разные политики для блокировки команд или для предотвращения передачи номеров кредитных карт или другой конфиденциальной информации. Одна и та же информация (политика) может быть использована для любых соединений с помощью гибко настраиваемых политик, которые можно «отрегулировать» до конкретного адреса или имени пользователя (или для комбинации пользователя, пришедшего с конкретного адреса), которого нужно мониторить и проверять на конкретные политики доступа. Рисунок 5. Результаты работы контроля команд в SafeInspect 2.3 Управление политиками работы с учетными записями защищаемых узлов осуществляется из нового раздела — «Управление паролями» в меню «Политики». Для работы с паролями необходимо завести учетные записи в системе и сохранить их, нажав на кнопку «Сохранить авторизацию». Рисунок 6. Добавление учетной записи защищаемого сервера для управления паролями в SafeInspect 2.3 Далее создается политика, включающая в себя настройки частоты смены пароля и требования к их сложности — минимальная и максимальная длина, количество спецсимволов, заглавных букв и чисел и разрешенные к использованию в пароле символы. Политика применяется к отдельным хостам или целым группам и начинает действовать — сервер SafeInspect подключается к сохраненным системам и автоматически заменяет пароли, сохраняя их в своей базе. Данная функция позволяет повысить уровень защиты для систем, настроенных на подключение к удаленным компьютерам с использованием учетных данных пользователей SafeInspect, так как все контролируемые привилегированные пользователи не имеют парольной информации и получают доступ к серверам на сеанс: по завершении сессии (сеанса) эти пароли будут изменены. В режиме входа «Ретранслировать пароль и ввод с клавиатуры» функция управления паролями не может применяться, так как заданный SafeInspect пароль недоступен обычным пользователям. Данный режим используется в случаях, когда учетные записи и пароли управляются другими системами, и позволяет не дублировать их в самой системе SafeInspect. Рисунок 7. Настройка политики управления паролями в SafeInspect 2.3 ВыводыВ прошлом нашем обзоре мы показали, что SafeInspect является полноценным и многофункциональным продуктом сегмента PAM/PUM — системой контроля доступа привилегированных пользователей.Основные изменения в SafeInspect версии 2.3:1 Улучшение интеграции с DLP-системами для автоматизации процесса контроля сеансов работы привилегированных пользователей на защищаемых серверах. За счет добавления нового модуля, реализующего блокировку команд или других данных, передаваемых в канале, применение автоматического контроля становится доступным даже для небольших организаций, в которых нет действующей профессиональной DLP-системы.2. Улучшение алгоритмов разбора трафика, расширение функций безопасности, поддержка новых технологий и расширение функциональности работы с административными протоколами. В предыдущих версиях SafeInspect уже присутствовала поддержка полного спектра сетевых протоколов, используемых в администрировании, в версии 2.3 внесено множество улучшений, позволяющих более гибко и глубоко контролировать данные внутри поддерживаемых протоколов.3. Внедрение собственного модуля блокировки команд в административных протоколах, позволяющего не только блокировать сами команды, но и осуществлять поиск любых данных (слов, номеров и пр.) в контролируемых соединениях и гибко, на основе правил, осуществлять блокировку передачи чувствительной информации вне компании или блокировать вредоносные действия привилегированных пользователей.Стоит отметить, что технология позволяет «выносить» данный модуль за пределы системы, что необходимо в высоконагруженных сетях, а также использовать сразу несколько модулей. Это дает возможность увеличить нагрузку на систему в целом, избежав сбоя.4. Внедрение собственной системы управления паролями на целевых серверах, а также парольных политик для администраторов, которые внесены во внутренние базы.Достоинства:Поддержка большого числа протоколов передачи данных.Три варианта внедрения продукта в сетевую инфраструктуру, покрывающие все возможные варианты встраивания продукта, включая поддержку trunk и выборочного анализа VLAN, что обеспечивает наиболее гибкое внедрение продукта в своем классе среди остальных решений.Поддержка распределенных инфраструктур, кластеризации и балансировки нагрузки. Особенно это важно при наличии у клиента нескольких ЦОД.Возможность автоматической смены паролей на защищаемых серверах по расписанию.Интеграция с большинством DLP-систем, представленных на российском рынке, с поддержкой анализа отправляемых привилегированным пользователем команд и возвращаемых результатов (поддержка RESPMOD).Интеграция с системами IPS/IDS, антивирусными шлюзами и шлюзами контроля веб-трафика и др.Широкая интеграция с системами SIEM (поддерживаются и российские системы), а также с системами Big Data (путем дешифровки зашифрованного трафика и передачи расшифрованного трафика в эти системы).Наличие встроенного модуля автоматического анализа и блокировки команд.Внесение SafeInspect в Реестр российских программ.Минимальные системные требования: для функционирования требуется меньше аппаратных ресурсов.Совместимость с большинством виртуальных инфраструктур, в том числе и с OpenStack.Готовность к работе в облачных технологиях и в коммерческих облаках с предоставлением услуг MSSP.Недостатки:Компания поддерживает установку продукта на определенных аппаратных платформах: связано это с необходимостью поддержки режима L2. Однако по желанию клиента вендор осуществляет доработку продукта для установки в серверных платформах заказчика.При работе в виртуальной инфраструктуре на базе Hyper-V недоступен прозрачный режим (L2) из-за технологических особенностей гипервизора. Остальные режимы работают штатно.Отсутствие сертификата ФСТЭК России. На момент выпуска обзора продукт проходит испытания по требованиям НДВ-4, СВТ-5 и на соответствие ТУ. Этот сертификат позволит использовать систему контроля привилегированных пользователей SafeInspect как средство защиты информации от НСД. Завершение сертификации Safeinspect запланировано на 3 квартал 2017 года.

Как осуществлять контроль и управление доступом к неструктурированным данным? Рассмотрим системы, выполняющие эти функции (Data Access Governance — DAG), в контексте мирового и российского рынков. В статье дается определение базовой терминологии, история возникновения и развития DAG, приводятся краткие обзоры наиболее популярных решений.    ВведениеЧто такое контроль и управление доступом к неструктурированным данным?2.1. Контроль активностей с данными2.2. Управление правами доступа к ресурсам2.3. Реагирование на события и отчетностьМировой рынок систем контроля и управления доступом к неструктурированным даннымРоссийский рынок систем контроля и управления доступом к неструктурированным даннымКраткий обзор продуктов, предназначенных для контроля и управления доступом к неструктурированным данным5.1. Netwrix Auditor5.2. SailPoint SecurityIQ5.3. Varonis Data Governance Suite5.4. Veritas Data Insight5.5. One Identity — Data Governance Edition5.6. STEALTHbits StealthAUDIT5.7. НАУТИЛУС (Cross Technologies)Выводы  ВведениеОдной из наиболее насущных проблем в сфере ИТ сегодня, в эпоху больших данных, является бурный рост объемов неструктурированного контента. Практически в любом корпоративном центре обработки данных (ЦОД) есть файловые сервера, корпоративные порталы, папки Microsoft Exchange, сетевые и облачные хранилища, в которых находится множество различных документов, в том числе и с содержанием критически важной информации. При этом многократный рост объемов и нарастающее разнообразие хранимой и обрабатываемой информации существенно усложняют задачу управления этими данными.Согласно исследованиям Gartner, приведенным в отчете компании EY — Big Data & Analytics, почти 80% корпоративных данных являются неструктурированными. Это означает, что данные хранятся в неподдающемся управлению формате, в котором отсутствует формальное назначение прав приложением или процессом. Процентная доля неструктурированных данных сохраняется, но при этом объем данных постоянно растет. По оценкам многих организаций, ежегодный прирост объема данных в файловых системах составляет 30-40%. Кроме того, до 60% корпоративных хранилищ занимает информация, не приносящая организации никакой пользы: многочисленные копии документов, файлы, к которым никто не обращался несколько лет, данных больших объемов, папок с нерабочим контентом и прочий «корпоративный мусор».Управление такими массивами данных вызывает затруднения не столько из-за их объема, сколько из-за непрозрачности и отсутствия полноценной системы контроля над ними, в особенности за файлами с критичными данными. Зачастую владельцы бизнеса, руководители подразделений и ИТ- и ИБ-специалисты затрудняются ответить на вопросы: на каких серверах какая информация хранится, кто является владельцем этих данных, кто и как их использует. Неэффективное управление информацией ведет к увеличению рисков для бизнеса: хранение персональных данных и прочей конфиденциальной информации на общедоступных информационных ресурсах, появление подозрительных пользовательских зашифрованных архивов, нарушения политик доступа к важной информации и т. д. Таким образом, управление доступом к неструктурированным данным становится проблемой каждой крупной компании.Штатные средства операционных систем имеют ограниченный набор функций и не позволяют получить такую ​​информацию быстро и в полном объеме, а ручное назначение и отслеживание прав доступа требует значительных человеческих и временных затрат и не гарантирует успешного результата.Почти все лидирующие на российском рынке DLP-системы несколько лет назад получили функции обнаружения и анализа структурированных и неструктурированных данных. Однако они не ориентированы на управление этими данными, а являются по сути лишь инструментами аудита хранения этих данных и минимизации рисков, связанных с их случайным разглашением.Поэтому на рынке и стали появляться специализированные решения для контроля и управления доступом к неструктурированным данным (DAG-решения). Что такое контроль и управление доступом к неструктурированным данным?Встречаются различные англоязычные аналоги наименования решений для контроля и управления доступом к неструктурированным данным, такие как Data Access Governance (DAG), Unstructured Data Management (UDM), Data Security Governance (DSG).  В этом обзоре мы будем придерживаться аббревиатуры DAG как наиболее распространенной.Согласно концепции Gartner, решения для контроля и управления доступом к неструктурированным данным являются сегментом более крупного рынка защиты данных — Data-Centric Audit and Protection (DCAP). Системы класса DAG также относят к рынку программного обеспечения для аналитики файлов — File Analysis (FA).Системы класса DAG представляют собой комплексные решения по управлению доступом к неструктурированным данным и контролю за активностями с этими данными, которые позволяют выявить, категоризировать и классифицировать ценные с коммерческой точки зрения данные, предоставляя возможность централизованно управлять, а также контролировать к ним доступ с применением целостной системы административных процессов, политик и руководств.Системы класса DAG направлены на защиту критичных данных, отвечают за выдачу прав доступа к ресурсам, контролируя каждую из операций, способных привести к неправомерному использованию данных. Все критичные данные должны иметь владельцев, которые обязаны нести ответственность за их сохранность. В зависимости от принятых в компании политик, контроль за данными и выдача прав доступа к ним осуществляется владельцами и/или офицером информационной безопасности.Принцип работы DAG основан на сборе и анализе метаданных. Системой анализируется содержимое файлов и проводится их категоризация, классификация. Собирается информация о группах и пользователях из Active Directory, LDAP, NIS, SharePoint, о разрешениях на доступ к файлам. Системой проводится аудит доступа — анализируется, какие пользователи, когда и с какими данными работали и как именно их использовали.Объектами контроля систем класса DAG могут быть:Файловые сервераСетевые хранилищаКорпоративные и совместные порталыЯщики электронной почтыПапки в облачных сервисахС помощью систем класса Data Access Governance решаются следующие задачи информационной безопасности:Контроль над действиями пользователей с данными, мониторинг активностей с ними.Контроль над массовой и аномальной активностями.Контроль за доступом к критичным данным и их распространением.Реализация модели наименьших привилегий в области прав доступа к ресурсам.Получение актуальной матрицы доступа в разрезе пользователя и ресурса.Возможность отслеживать в автоматическом режиме исполнение политики разграничения прав доступа и политики распространения критичных данных.Возможность получать уведомления о критичных событиях в режиме реального времени.При этом основными функциями систем Data Access Governance являются: контроль активностей с данными; управление правами доступа к ресурсам, реагирование на события и отчетность. Расскажем о каждом подробнее.Контроль активностей с даннымиК данной группе функций систем DAG относится:Поиск данных по различным параметрам.Автоматическая идентификация данных по заданным критериям и последующие действия с ними по архивированию или удалению для высвобождения дискового пространства.Категоризация данных (контентный и/или поведенческий анализ) и классификация данных.Мониторинг всех действий пользователей при работе с данными.Обнаружение аномальной активности пользователей с данными.Анализ действий с данными.Примеры использованияОпределение, где находятся критичные данные компании средствами контентного поиска и поведенческого анализа, например:Подпадающие под соответствие ФЗ №152, ФЗ № 323, стандарта PCI DSS, требований SOX и др.Подпадающих под действие режима коммерческой тайныПроектная документацииДокументы, принадлежащие департаменту финансовКоммерческие предложенияМониторинг и контроль всех действий с данными на файловых ресурсах (открытие, создание, изменение, удаление, пр.), что поможет ответить, например, на следующие вопросы:Кто может читать письма генерального директора?Какие конфиденциальные данные доступны для всех?Кто изменял важные записи, коммерческие предложения?Поиск и автоматическое обнаружение данных по заданным критериям:Данные большого объемаУстаревшие данныеФайлы определенного разрешенияПотерянные, удаленные папки и файлыПапки с нерабочими файлами (музыка, видео, фото)Неиспользуемые ресурсы и директорииКонфиденциальная информацияАнализ всех операций с данными:Совершенных определенным сотрудникомПроизведенных в определенной папкеОбнаружение и получение оповещений об аномальной активности с данными:Копирование информации при увольненииМассовое удаление файловДействия с данными, связанные с вирусными программамиУправление правами доступа к ресурсамК данной группе функций систем DAG относится:Анализ существующих прав доступа пользователей, выявление неиспользуемого и избыточного доступа и ограничение доступа к ресурсам в соответствии с принципом наименьших привилегий.Запрос на предоставление/пересмотр прав доступа через портал самообслуживания.Автоматизированный процесс выдачи прав доступа пользователям.Пересмотр прав доступа к ресурсам на периодической или событийной основе.Определение и назначение владельцев данных, ответственных за хранение и обработку данных.Симуляции доступа, «что, если?». Моделирование последствий различных действий с правами доступа.Рекомендации по накопленной статистике по сокращению избыточного доступа, без негативного влияния на выполнение сотрудником своих прямых обязанностейПримеры использованияАвтоматизированный процесс предоставления/изменения прав доступа к ресурсу на основании:Одобренного решения на запросПересмотра прав доступа.Уведомление сотрудника отдела информационной безопасности:Об изменении прав доступа к конфиденциальным даннымПолучение доступа в обход системы DAG.Пересылка в режиме реального времени оповещений по почте или предупреждений в SIEM о неправомерных действиях с правами доступа.Использование портала самообслуживания:Для запроса нового доступа к ресурсуДля запроса по пересмотру прав доступа (смена должности, департамента)Для проведения плановой аттестации доступа владельцем ресурса.ИТ-департаменту может быть недостаточно информации для принятия верного решения по выдаче прав доступа и корректному контролю за действиями с данными. Только руководители бизнес-подразделений могут точно определить ценность информации и понимать, кто должен иметь к ней доступ в соответствии со своими должностными обязанностями. Поэтому возникают дополнительные задачи.Делегирование ответственности по управлению правами доступами на бизнес-пользователей:Назначение владельцев данныхВедение каталога файловых ресурсов с привязкой к бизнес-владельцам.Пересмотр прав доступа (устранения избыточных прав):к папкам;корпоративным порталам;почтовым ящикам;папкам в облачных хранилищах.Оперативное и наглядное получение информации:список прав доступа для конкретного сотрудника/группы;список сотрудников, имеющих права доступа к конкретной папке/файлу.Возможность смоделировать последствия действий:К каким папкам сотрудник получит доступ, если добавить его в группу.К каким папкам сотрудник потеряет доступ, если удалить его из группы.Реагирование на события и отчетностьК данной группе функций систем DAG относится:Различные настроенные оповещения в режиме реального времени.Помощь в расследовании инцидентов ИБ.Наглядное отображение информации в виде дашбордов, графиков.Формирование отчетов в различных разрезах.Примеры использованияРеагирование на обнаружение активности по обращению к критичным данным от пользователей в нерабочее время, выходные дни или праздники.В качестве владельца данных получать оповещения в режиме реального времени об удалении и изменении данных, определять устаревшие и неиспользуемые ресурсы и пр.Расследование инцидентов, связанных с утечкой конфиденциальных данных по вине сотрудника:Наглядное отображение статистики доступа пользователя к папкам, его активность со временем.Если известно только имя файла, возможен поиск по всем файловым ресурсам для получения информации по операциям со всеми файлами с похожим именем, с отображением полного пути к файлу и имени пользователя.Формирование отчетов, например:об использовании критичных данных в любых разрезах;о ресурсах, которые не используются более года;о пользователях, которые не заходили в AD более года;о папках, занимающих много места и не предназначенных для хранения на серверах компании и др. Мировой рынок систем контроля и управления доступом к неструктурированным даннымИсследовательская компания Gartner в своем отчете Market Guide for Data-Centric Audit and Protection 2017 проанализировала глобальный рынок Data-Centric Audit and Protection и перечислила его представителей, разделив их на несколько сегментов: решения для контроля баз данных (DataBase), решения для контроля файловых хранилищ (File Storage), решения для работы с Big Data, решения контроля для SaaS и IaaS. Рисунок 1. Диаграмма Gartner распределения вендоров рынка DCAP  В статье мы будем рассматривать представителей рынка, которые, по классификации Gartner, специализируются на файловой аналитике и осуществляют управление доступом к неструктурированным данным — Data Access Governance (решения, захватывающие сегмент File Storage на рисунке 1):IBMImpervaOracleNextLabsInformaticaProtegrityAvePointFasooSailPointSTEALTHbitsVaronisVeritasQuestКак можно увидеть, выбор поставщиков на мировом рынке DAG-решений широк.Согласно отчету Data Governance Market by Component (Solution and Service), Application (Incident Adjustment Management, Risk Management, Sales & Marketing Optimization), Deployment, Vertical, Business Function & Region - Global Forecast to 2021, опубликованному MarketsandMarkets, рынок Data Governance, по прогнозам, вырастет с 863,2 млн долларов (2016 г.) до 2234,7 млн долларов к 2021 году. При этом среднегодовой темп роста (CARG) в течение прогнозируемого периода равен 21%. В отчете отмечается, что основными факторами, движущими рынком Data Governance, являются необходимость соблюдения требований по безопасности регуляторов, а также совершенствование и поддержание стратегического управления рисками. Согласно прогнозу на 2016-2020 годы, ожидается, что основная доля рынка Data Governance придется на страны Северной Америки.Основными игроками рынка Data Governance, по данным MarketsandMarkets, являются Collibra, Inc. (Брюссель, Бельгия), Informatica Corporation (Калифорния, США), SAS Institute Inc. (Северная Каролина, США), IBM (Нью-Йорк, США), Oracle (Калифорния, США), SAP SE (Вальдорф, Германия), TIBCO Software Inc. (Калифорния, США), Talend Inc. (Калифорния, США), Information Builders (Нью-Йорк, США), Varonis Systems Inc. (Нью-Йорк, США), и Orchestra Networks (Париж, Франция). К сожалению, мы не располагаем данными об объемах продаж и долях рынка этих компаний и поэтому не сможем в рамках данной статьи провести их ранжирование. Российский рынок систем контроля и управления доступом к неструктурированным даннымРоссийский рынок Data Access Governance на данный момент пока на стадии развития. В основном представлены решения западных вендоров. К российским решениям, пожалуй, можно отнести только продукт НАУТИЛУС от компании Cross Technologies, который является OEM решением модуля DatAdvantage производства компании Varonis Systems с полностью русскоязычным интерфейсом. В настоящий момент рассматривается поданная заявка на внесение данного решения в реестр российского ПО. Также стоит отметить, что некоторые российские решения класса IDM частично имеют функциональность DAG решений в части управления доступом к данным, хранящихся в разделяемых папках и порталах Microsoft SharePoint, без функциональности по категоризации и контроля за активностями с этими данными. Это такие системы, как 1IDM (подробнее с продуктом можно ознакомиться здесь) и КУБ (подробнее с продуктом можно ознакомиться здесь).Среди западных продуктов на российском рынке представлены решения следующих вендоров:NetwrixSailPointVaronisVeritasOne IdentitySTEALTHbitsСтоит отметить, что решение Identity Manager — Data Governance Edition компании One Identity (бывший Dell) для предоставления функциональности по управлению правами доступа к ресурсам использует свой IDM-движок (One Identity Management) для неструктурированных данных, хранящихся на файловых серверах, что позволяет считать этот продукт полноценной DAG-системой.Краткий обзор продуктов, представленных на российском рынке, приведен ниже. Краткий обзор продуктов, предназначенных для контроля и управления доступом к неструктурированным данным Netwrix AuditorКомпания Netwrix предлагает продукт Netwrix Auditor для детализированного и полного контроля доступа к неструктурированным данным в корпоративных сетях.Netwrix Auditor — комплексное решение для аудита ИТ-инфраструктуры, анализа поведения пользователей и управления доступом к данным. Продукт предоставляет информацию по каждому инциденту: кто, что, в какой системе и когда вносил изменения, а также кто и к каким данным имеет доступ.Использование Netwrix Auditor позволяет предотвратить утечки данных, вызванные превышением полномочий, помогает пройти аудит и автоматизировать отчетность по аудиту изменений. Netwrix Auditor поддерживает широкий спектр систем и приложений: Microsoft Active Directory, Microsoft Exchange, Windows Server, файловые сервера, Microsoft SharePoint, VMware, SQL Server, системы хранения EMC2 и NetApp и др.Преимущества:Непрерывный мониторинг сети и полный контроль за событиями в ИТ-инфраструктуре.Отслеживание доступа к неструктурированным данным.Контроль прав доступа и защита уязвимых данных.Обнаружение и анализ аномального поведения пользователей, подозрительной активности на ранних стадиях, используя Enterprise Overview Dashboards.Соответствие ИБ-нормативам и оптимизация ИТ-службы.Инструмент для проведения расследований ИБ.Двухуровневая система хранения данных аудита (БД SQL + файловый архив) AuditArchive.Подробнее с продуктом Netwrix Auditor можно ознакомиться здесь.  SailPoint SecurityIQSailPoint SecurityIQ — это система контроля и управления доступом к неструктурированным данным, которая позволяет выявить ценные/критичные для компании данные, предоставляя возможность централизованно управлять, контролировать, а также определять, кто из пользователей имеет к ним доступ и как они используются (например: чтение, изменение, перемещение, удаление и пр.). Решение позволяет упростить процесс предоставления пользовательского доступа к неструктурированным данным на протяжении всего цикла существования каждой учетной записи в организации, устанавливает контроль за данными, повышает продуктивность сотрудников, уменьшая время, потраченное на диагностику, исследования и на задачи по администрированию данных, а также помогает предприятиям соблюдать требования законодательства посредством предоставления информации для формирования доказательной базы при проведении аудита.Преимущества:Обеспечивает всеобъемлющий поиск, категоризацию и мониторинг неструктурированных данных, хранящихся как внутри организации, так и в облаке.Управление жизненным циклом данных, определение владельцев данных административным путем или путем проведения голосования.Позволяет обнаружить редко используемые, неиспользуемые или устаревшие данные на основании сведений об их создании, размещении и характере использования, а также оповещать их владельцев о необходимости очистки дисковых ресурсов или расширения периода актуальности данных.Автоматизация процессов архивирования и очистки дискового пространства.Возможность совместного использования SailPoint SecurityIQ и решения класса IGA  SailPoint IdentityIQ как единого комплекса по управлению доступом к структурированным и неструктурированным данным, тем самым обеспечивая централизованное администрирование и управление всеми приложениями и данными предприятия.Подробнее с продуктом SecurityIQ можно ознакомиться здесь.  Varonis Data Governance SuiteVaronis Systems предлагает комплексное решение Varonis Data Governance Suite, предоставляя организациям возможность управлять доступом к корпоративной информации, отслеживать каждую операцию по работе с данными, выявлять владельцев данных и категоризировать информацию. Varonis Data Governance Suite предлагает всеобъемлющее и эффективное решение за счет использования масштабируемого и расширяемого каркаса метаданных. Решение позволяет не только систематизировать доступ к неструктурированным массивам информации, но и оперативно оповещать администратора об аномальной активности пользователей, а также моделировать ситуацию с изменениями прав доступа по принципу «что, если».   Преимущества:Varonis DatAdvantage — модуль для автоматизированного контроля данных и управления доступом к файловым хранилищам, Sharepoint-порталам, почтовым ящикам Exchange и папкам общего доступа. Визуально отображает полную картину прав доступа, позволяет проводить аудит использования данных, выявлять их «владельцев» и формировать рекомендации по сокращению избыточного доступа.Varonis DataPrivilege — дополнительный веб-интерфейс, который позволяет делегировать управление правами доступа к данным специалистам, отвечающим за них. Снижает нагрузку на ИТ-персонал и не требует реструктуризации ИТ-инфраструктуры.Varonis Data Classification Framework — модуль контекстного поиска. Выявляет конфиденциальную информацию, хранимую на файловых серверах компании, показывая ее в срезе существующих прав доступа и статистики использования.Подробнее с продуктом Varonis Data Governance Suite можно ознакомиться здесь.  Veritas Data InsightРешение Veritas Data Insight компании Veritas предназначено для отслеживания доступа и упорядочивания, структурирования и анализа информации. Продукт помогает своевременно выявлять информационные риски, оказывает помощь в их устранении, способствует соблюдению нормативных требований, чем позволяет любой организации воплотить свою стратегию управления данными.Преимущества:Позволяет пользователям идентифицировать файлы и приложения, которые подвержены риску, и закрывать доступ к конфиденциальной информации организации.Определяет типы файлов, как и кем они используются, кому принадлежат и в каком доступе находятся.Составляет отчеты, включающие информацию о миграции и удалении данных, а также рекомендации о полном закрытии или частичном ограничении доступа к тем или иным данным.Интеграция с Veritas Enterprise Vault позволит добиться автоматической очистки.При помощи записи потока проводимых операций можно задать политику хранения информации в рабочей среде посредством тегов метаданных: Veritas Data Insight автоматически присваивает всем приложениям, файлам и папкам теги, после чего Veritas Enterprise Vault их распознает и задает политику для архивирования данных.Подробнее с продуктом Veritas Data Insight можно ознакомиться здесь.  One Identity — Data Governance EditionКомпания One Identity предлагает продукт Identity Manager — Data Governance Edition для детализированного и полного контроля доступа к неструктурированным данным в корпоративных сетях. Решение предлагает массу возможностей для автоматизации задач по назначению и контролю доступа силами самих владельцев информации, а не IT-специалистов. В результате линейные руководители могут сами контролировать, кто имеет доступ к данным, и защищать организацию, получая право на анализ, рассмотрение и исполнение запросов на доступ. Ответственные за принятие решений получают в свое распоряжение дашборд для просмотра информации в динамике, анализа хронологии и текущей активности. Кроме того, можно просматривать статус доступа для каждого сотрудника в отдельности, а отчеты, которые генерируется системой, можно использовать для подтверждения соответствия требованиям ИБ перед аудиторами без участия IT-отдела.Преимущества:Делегирование управления доступом руководителям бизнес-подразделений.Возможность просмотра статуса доступа для каждого сотрудника в отдельности.Персонализированные дашборды для просмотра различных сведений и управления доступом.Подробнее с продуктом IdentityManager — Data Governance Edition можно ознакомиться здесь.  STEALTHbits StealthAUDITКомпания STEALTHbits предлагает продукт StealthAUDIT для детализированного и полного контроля доступа к неструктурированным данным в корпоративных сетях и StealthINTERCEPT для детального мониторинга изменений в контролируемых ресурсах.StealthAUDIT предоставляет автоматизированную, масштабируемую и совместимую с другими информационными системами (IDM, SIEM и др.) платформу для управления неструктурированными данными (контроль активностей с данными и управление правами доступа к данным),  для защиты критичных данных, с применением согласованной модели выдачи прав доступа и обеспечения ликвидации глобального доступа/выявление неиспользуемого, избыточного доступа и применения принципа наименьших привилегий/минимизация прав доступа.StealthINTERCEPT — это модуль мониторинга изменений и контроля в режиме реального времени, который защищает от преднамеренных и непреднамеренных изменений, внесенных в MS Active Directory, MS Exchange и файловые системы. StealthINTERCEPT предоставляет оперативную информацию об изменениях и оповещения в режиме реального времени, контролирует использование критичных данных, а также отслеживает злоупотребления, связанные с привилегированными учетными записями, и обнаруживает внесенные несанкционированные изменения.Преимущества: Поиск, категоризация и классификация данных, исходя из их содержимого по заданным администратором правилам, определение папок, где хранятся наиболее важные и критичные для бизнеса данные, организация дополнительного контроля над ними.Выявление владельцев ресурсов на основе анализа системных разрешений и истории доступа к ресурсам (папкам и файлам) защищаемых серверов.Мониторинг активности пользователей при обращении к файлам и объектам и получение оповещений об аномальной активности, связанной с деятельностью инсайдеров (удаление/изменение критичных данных) или вирусных программ (вирусы-шифровальщики/вирусы-вымогатели), о неправомерных действиях с правами доступа и пр.Автоматизированный процесс отзыва прав доступа пользователей к файловым ресурсам при обнаружении аномальной активности.Глубокая интеграция из коробки с SIEM-системами, такими как Splunk, Q-radar и др., с возможностью вывода на единую панель SIEM-системы адаптированных дашбордов по событиям, связанных с правами доступа/активностями с данными.Интеграция с IAM-системами, такими как IBM SIM, Microsoft FIM, Aveksa и SailPoint через IAM frameworks.Подробнее с продуктом StealthAUDIT и модулем StealthINTERCEPT можно ознакомиться здесь.  НАУТИЛУС (Cross Technologies)Компания Cross Technologies (АО «Кросс технолоджис») для контроля доступа к неструктурированным данным в корпоративных сетях предлагает продукт НАУТИЛУС.НАУТИЛУС предназначен для контроля прав доступа к сетевым файловым ресурсам и аудита операций пользователей с этими ресурсами. Может использоваться для контроля соблюдения политик информационной безопасности относительно сетевых файловых ресурсов и для расследования инцидентов информационной безопасности.Преимущества:Двунаправленное отображение прав доступа пользователей к файлам.Аудит действий пользователя.Оповещение в реальном времени о доступе, изменении или удалении файлов, изменениях прав доступа, изменениях в Active Directory, о получении административных привилегий, работе с данными в непредусмотренное время.Назначение прав доступа к файлам сотрудниками, ответственными за информацию (не ИТ-подразделение).Поиск и категоризация информации с помощью регулярных выражений и словарей, анализ содержимого и дополнительных метаданных и атрибутов.Определение мест хранения, пользователей, прав доступа и владельцев конфиденциальных данных, рекомендации по правам доступа.Подробнее с продуктом НАУТИЛУС можно ознакомиться здесь. ВыводыРешения Data Access Governance (DAG) — специализированные системы для контроля и управления доступом к неструктурированным данным, которые помогают удостовериться, что доступ к этим данным имеют только те сотрудники, которые должны иметь его согласно настроенным политикам компании (данные — пользователи — ресурсы — доступ к ним), и обеспечивают мониторинг активностей, оповещения в режиме реального времени и анализ поведения пользователей с данными наряду с корректной выдачей прав доступа. Они значительно сокращают затраты на администрирование и обеспечивают необходимый уровень информационной безопасности. Аналитический подход и интеллектуальное управление доступом к данным помогают структурировать существующие права доступа и обеспечивают аудит использования данных внутри информационной системы.Применение таких систем позволяет:Снизить риски ИБ путем категоризации данных, понимания, кто имеет к ним доступ, кто пользовался этим доступом, и удаления избыточного доступа.Предотвратить утечку данных: путем получения оповещений об аномальной активности с данными, несанкционированном доступе к критичным данным и пр.Соответствовать политике безопасности компании: автоматически отслеживать и исправлять изменения, противоречащие политикам компании.Соответствовать требованиям законодательства и стандартам ИБ, например: №152-ФЗ; № 323-ФЗ; PCI DSS; стандарт СТО БР ИББС; закон SOX и др.Увеличить продуктивность путем сокращения временных затрат департаментов ИТ и ИБ на ручное управление и защиту данных.Оптимизировать системы хранения, выявляя неиспользуемые данные и неправомерную информацию, автоматическое перемещение, удаление и архивирование данных.Визуализация данных и отчетность позволяют упростить ряд бизнес-процессов: нахождение потерянных файлов, назначение владельцев данных, быстрое и эффективное проведение расследований инцидентов.В настоящее время рынок DAG-решений стремительно развивается, при этом выбор поставщиков DAG широк. На мировом рынке представлены уже десятки решений для контроля и управления доступом к неструктурированным данным. Российский рынок Data Access Governance на данный момент пока на стадии раннего развития, но на нем уже представлена значительная часть глобальных производителей.Учитывая постоянно растущие объемы неструктурированных данных, можно утверждать, что решения класса DAG будут актуальны и дальнейший спрос на них будет только расти. И это должно, несомненно, положительно сказаться на развитии российского рынка продуктов этого класса.  Обзор был подготовлен при активной поддержке компании "Информзащита". Соавторами статьи являются:Яна Шевченко, менеджер отдела по продвижению решенийЧерных Александр, начальник отдела систем управления идентификационными данными 

В настоящей статье кратко описываются системы мониторинга эффективности сотрудников, тенденции мирового и российского рынка, рассматриваются популярные системы, представленные на российском рынке, — StaffCop Enterprise, Стахановец, LanAgent, Kickidler, SearchInform TimeInformer, Falcongaze SecureTower, Mipko Employee Monitor и Terminal Monitor, Bitcop Security, CrocoTime, а также приводятся их основные преимущества.   ВведениеСистемы мониторинга эффективности работы сотрудников и учета рабочего времениПринцип работы систем мониторинга эффективности работы сотрудников и учета рабочего времениМировой рынок систем мониторинга эффективности сотрудников и учета рабочего времениРоссийский рынок систем мониторинга эффективности сотрудников и учета рабочего времениКраткий обзор продуктов, предназначенных для мониторинга эффективности сотрудников и учета рабочего времени6.1. Bitcop Security6.2. CrocoTime6.3. Falcongaze SecureTower6.4. Kickidler6.5. LanAgent6.6. Mipko Employee Monitor и Terminal Monitor6.7. Searchinform TimeInformer6.8. StaffCop Enterprise6.9. СтахановецВыводы  ВведениеОдной из главных проблем для большинства работодателей является нецелевое использование сотрудниками рабочего времени. Согласно исследованиям:64% работников компаний тратят от 15 минут до одного часа в день на личные цели;46% ежедневно читают личную почту или новости,33% общаются по личным вопросам в мессенджерах,26% тратят рабочее время на социальные сети.Такое нецелевое использование рабочего времени несет вполне конкретные экономические потери для организации.Еще одна из самых серьезных угроз для бизнеса сегодня — это утечки конфиденциальной информации. Как правило, источниками таких угроз являются недобросовестные сотрудники компаний — инсайдеры. Неконтролируемое использование интернета (социальные сети, мессенджеры, личная почта) может привести к утечкам конфиденциальной информации, что в свою очередь нанесет бизнесу существенный вред.Кроме того, головной болью любого руководителя является мошенничество сотрудников. Различные откаты и серые схемы способны принести не только разовый экономический урон, но и серьезно подмочить репутацию организации на долгое время, что приводит к еще большим суммарным финансовым потерям.И если руководитель не знает, как работают его сотрудники, то и его бизнес не может быть эффективным, продуктивным и защищенным. Учет рабочего времени и контроль сотрудников в подобной ситуации — мера не просто желательная, а жизненно необходимая. И многие работодатели заинтересованы в контроле поведения работника на рабочем месте. Поэтому сегодня все больше компаний присматриваются к системам мониторинга эффективности сотрудников, которые помогают решать комплекс задач по предотвращению утечек информации, расследованию инцидентов, если таковые произошли, а также контролировать бизнес-процессы и то, как рабочее время используется сотрудниками. Системы мониторинга эффективности работы сотрудников и учета рабочего времениСогласно исследованию Gartner Market Guide for Employee-Monitoring Products and Services, системы мониторинга эффективности сотрудников относят к классу систем Employee Monitoring Software, а также к классу User Activity Monitoring.Системы мониторинга эффективности сотрудников применяют для решения следующих задач:Учет рабочего времени сотрудников.Оценка и контроль эффективности работы персонала.Выявление нелояльных сотрудников и мошеннических схем внутри предприятия.Поиск возможных утечек информации и защита от инсайдеров.Расследование инцидентов информационной безопасности.Оперативный контроль сотрудников и определение групп риска.Типовая архитектура таких систем предполагает наличие сервера, базы данных, агента и консоли администратора. При этом можно выделить:системы на толстом клиенте, сервер и агенты обязательно должны находиться в рамках локальной сети,решения, позволяющие работать с агентами, находящимися в других сетях,решение на основе облака — база данных находится у вендора, а агенты не привязаны к локальной сети, управление и просмотр осуществляется через веб-консоль.Если же отталкиваться от концепции решений, то системы можно дифференцировать следующим образом:Первая группа систем позволяет собирать большой объем данных и предоставлять их в виде аналитических отчетов, а также вести статистику продуктивного и непродуктивного рабочего времени.Вторая группа предоставляет руководителю возможность осуществлять мониторинг сотрудников через просмотр онлайн-трансляций или видеозаписи их действий, а также осуществлять контроль нарушений.Третья группа систем обладает достаточно узким набором функций, которые сводятся только к учету рабочего времени персонала. Принцип работы систем мониторинга эффективности работы сотрудников и учета рабочего времениВ общем случае схема работы систем мониторинга эффективности сотрудников выглядит следующим образом: на компьютеры сотрудников устанавливается агент системы, который собирает информацию о действиях пользователя на рабочем месте. Агент передает информацию на сервер для анализа. Администратор или руководитель при помощи консоли («толстый» клиент или веб-консоль) знакомится с результатами деятельности сотрудников: это могут быть отчеты, просмотр онлайн-трансляций с мониторов сотрудников, просмотр скриншотов, видеозапись рабочего стола или перехваченный в переписке файл и т. д.При этом с функциональной точки зрения системы можно поделить на три основные группы:мониторинг событий;мониторинг информации;мониторинг системы.Основным направлением мониторинга событий является контроль факта включения/выключения системы, нажатия клавиш, использования (кликов) мышки, а также факты работы с приложениями и интернетом (посещение веб-сайтов). Факт включения, выключения системы, нажатия клавиш и мышки дает возможность контролировать активность пользователя, которая отображает: приход и уход сотрудников, наличие опозданий, переработок, общее время работы, а также время активности и простоя в часах.Следующий блок, вытекающий из контроля активности, это факты работы с приложением и посещением веб-сайтов, а также разбивка полученной информации на продуктивную и непродуктивную деятельность. Активное время анализируется в процентном соотношении работы с продуктивными, неопределенными и непродуктивными ресурсами. При этом важной составляющей является возможность строить отчеты, топы, а также сравнивать отделы и пользователей.Помимо задачи, связанной с контролем эффективности пользователей, системы мониторинга решают ряд проблем, связанных с контролем каналов передачи данных и предотвращением утечек конфиденциальной информации — системы могут успешно выполнять основную, наиболее востребованную часть функций DLP и отслеживать утечку конфиденциальной информации благодаря наличию контроля всевозможных каналов передачи данных и работы с внешними устройствами.В части мониторинга событий системы может контролироваться реестр ПО, аппаратное обеспечение, порты, использование программ и веб-сайтов. Мировой рынок систем мониторинга эффективности сотрудников и учета рабочего времениНа мировом рынке представлено множество различных систем мониторинга эффективности сотрудников — как от известных вендоров в области безопасности (Symantec и Trend Micro), так и нишевых игроков, занимающихся только этим классом продуктов. Согласно исследованию Hexa Reports Employee Monitoring Software Market Size, Share, Industry Trends, Analysis And Forecast, 2022: Hexa Reports, на мировом рынке представлены следующие основные игроки:TeramindVeriato 360 (SpectorSoft)SentryPCNetVizorInterGuardWork ExaminerStaffCopOsMonitoriMonitor EAMPearl Echo.SuiteWorkTimeSymantecTrend MicroBetterWorksMonitisQuest FoglightStackDriverОтметим, что исследование проводилось для рынков США, Европейского союза, Японии, Китая, Индии и Юго-Восточной Азии. Среди основных игроков на мировом рынке заметен только один российский вендор — компания StaffCop. Российский рынок систем мониторинга эффективности сотрудников и учета рабочего времениРоссийские вендоры также включились в процесс разработки подобных решений для мониторинга эффективности сотрудников.Наиболее известные продукты российских разработчиков: StaffCop Enterprise (компания «Атом Безопасность»), «Стахановец», InfoWatch Person Monitor (компания «Инфовотч», продает под своим брендом тот же «Стахановец»), LanAgent (компания «НетворкПрофи»), TimeInformer (компания «СёрчИнформ»), SecureTower (компания Falcongaze), Mipko Employee Monitor и Terminal Monitor (компания «Мипко»).  Среди новичков можно отметить Zecurion Staff Control (продает под своим брендом StaffCop Enterprise).На российском рынке также присутствуют и зарубежные системы. Система Kickidler от сингапурской компании TeleLink Soft — относительно новый продукт на рынке программного обеспечения для учета рабочего времени сотрудников.  Среди систем, функциональные возможности которых сосредоточены исключительно на учете рабочего времени, можно выделить: Bitcop Security (компания «Биткоп»), CrocoTime (компания «Инфомаксимум»).Краткий обзор продуктов, представленных на российском рынке, приведен ниже. Краткий обзор продуктов, предназначенных для мониторинга эффективности сотрудников и учета рабочего времени Bitcop SecurityРоссийский разработчик программного обеспечения компания «Биткоп» для контроля эффективности персонала предлагает систему учета рабочего времени Bitcop Security. Система ведет количественный и качественный учет отработанного времени сотрудниками в разрезе ряда аналитик, формируя развернутую картину реального положения дел в организации. Система позволяет:Вести учет времени начала и окончания рабочего дня, опозданий и переработок.Контролировать интенсивность занятости сотрудника в рабочее время, а также его активность на протяжении дня.Вести статистику работы с программами, которые запускал определенный коллега, а также видеть, как часто и на какие сайты он заходил.Вести оперативную сводку занятости всего персонала и список существующих нарушений.Оценить продуктивность работы на основании используемых программ и сайтов в рабочее время.Система выдает всю перечисленную выше информацию в определенной, удобной и понятной форме.Анализ данных в системе контроля персонала Bitcop Security происходит на основании наглядных детальных отчетов. Разнообразные отчетные формы отражают реальный график работы сотрудников, помогают установить объем и причины потерь рабочего времени, свидетельствуют о продуктивности служащих применительно к занимаемым должностям.Bitcop Security располагает обширным потенциалом по применению фильтров. Все аналитические отчеты можно строить по выбранному временному интервалу (день, неделя, месяц, год) — что позволяет быстро получить выборку только интересующих результатов.Преимущества и особенности системы:Синхронизация системы Bitcop Security с Active Directory.Оповещения о событиях в режиме реального времени.Высокая степень защиты агента.Подробнее с продуктом Bitcop Security можно ознакомиться здесь.  CrocoTime Саранская компания «Инфомаксимум» для учета рабочего времени предлагает продукт CrocoTime, использующий использует клиент-серверную архитектуру. Сбор статистики осуществляется при помощи агентов мониторинга, которые передают данные на сервер по локальной сети предприятия или по интернету в реальном времени. Также имеется возможность отслеживания некомпьютерных занятий с привязкой к клиентам с помощью функции таймтрекинга, запускаемой вручную.Система учитывает активность периферийных устройств ввода (клавиатура, мышь) и считает время работы с активным окном программы или активной вкладкой браузера. Если в течение 5 минут мышь или клавиатура не используются, система не будет считать это временем активности сотрудника.CrocoTime может быть интегрирован с другими системами, такими как корпоративные календари, системы IP-телефонии, СКУД и др. Для этого был реализован API, с помощью которого можно запрашивать из CrocoTime необходимые данные.Преимущества и особенности системы:Учет времени из разных источников (система предоставит полную картину рабочего дня через интеграцию с IP-телефонией, календарями, POS-терминалами/турникетами).Автоматические табели (фиксация нарушений рабочего регламента для дальнейшего сравнения их с отчетами кадровых служб).Облачная и локальная версии системы.Подробнее с продуктом CrocoTime можно ознакомиться здесь.  Falcongaze SecureTowerДля контроля эффективности сотрудников компания Falcongaze в своей DLP-системе SecureTower реализовала функциональность контроля рабочего времени, позволяющую увидеть, сколько реально времени работник потратил на выполнение той или иной задачи.Благодаря фиксированию системой всех действий работника за компьютером (набранный текст, действия на сайтах и в приложениях, аудио- и видеомониторинг, скриншоты рабочего стола) можно составить полную картину рабочего дня сотрудника.Являясь в первую очередь DLP-системой, SecureTower полностью сохраняет всю деловую переписку персонала. Кроме того, система контролирует время, которое сотрудник проводит в различных программах, сайтах и социальных сетях. Опираясь на эти данные, можно организовать отправление уведомлений при повышении статистики посещения определенных сайтов либо вообще блокировать отдельные веб-ресурсы или программы.Мониторинг рабочих процессов персонала обеспечивается с помощью перехвата электронной почты, переписок в соцсетях и онлайн-чатах, общения в большинстве популярных мессенджеров, таких как Skype, Viber, Telegram и другие. Кроме того, SecureTower анализирует все документы, пересылаемые в почте и по интернету, а также контролирует облачные хранилища — Dropbox, OneDrive, Яндек.Диск, iCloud и Google Drive. Поиск по всей перехваченной информации позволяет найти в переписке нужный документ даже по неполным данным.Для анализа взаимосвязей персонала внутри компании и за ее пределами в SecureTower используется граф-анализатор, позволяющий видеть, с кем и сколько общается каждый сотрудник. Все полученные SecureTower данные может визуализировать в виде отчетов, в которых будут отображаться инциденты безопасности и ежедневная деятельность персонала.Преимущества и особенности системы:Фиксирует время прихода и ухода сотрудника, перекуры, опоздания, прогулы.Просмотр и запись снимков с веб-камеры и звука с микрофона (в т. ч. по расписанию).Контроль времени, проведенного сотрудниками на различных сайтах и в различных приложениях.Контроль SIP-телефонии.Возможность скрытой установкиПодробнее с продуктом SecureTower можно ознакомиться здесь.Отметим, что SecureTower является полновесной DLP-системой, и функциональность контроля эффективности и учета рабочего времени — это одна из подсистем продукта, поэтому ценовая категория SecureTower на порядок выше остальных анонсируемых в данном обзоре систем.Подробный обзор продукта SecureTower  KickidlerKickidler — система мониторинга деятельности персонала с возможностью наблюдения за действиями сотрудников на компьютерах и удаленного подключения к их рабочим столам. Правами на программу владеет сингапурская компания TeleLinkSoft, а эксклюзивной дистрибуцией Kickidler на территории России занимается компания «АйТи Сервис Менеджмент». Kickidler — относительно новый продукт на рынке программного обеспечения для учета рабочего времени сотрудников. Концепция продукта значительно отличается от аналогичных систем контроля сотрудников. Разработчики решения делают упор на возможность наблюдения в режиме реального времени за сотрудниками всей компании одновременно, а также записи видео их активности и фиксации нарушений.Программный комплекс Kickidler имеет клиент-серверную архитектуру. В состав продукта входят:Граббер — программа-агент, которая устанавливается на компьютеры сотрудников, собирает всю информацию об активности на рабочем компьютере и передает ее на сервер.Сервер — занимается хранением информации, полученной от агентов.Вьюер (просмотрщик) — позволяет просматривать собранные данные как в виде онлайн-трансляций режиме реального времени, так и в виде отчетов, гистограмм нарушений и видео. Именно вьюер выступает главным инструментом руководителя для мониторинга персонала. Также с его помощью можно удаленно управлять компьютерами сотрудников.Преимущества и особенности системы:Возможность вести онлайн-наблюдение сразу за большим количеством сотрудников (как в системах видеонаблюдения).Запись видео с экранов сотрудников в специальном экономном формате, позволяющем хранить записи активностей за долгое время.Подробные гистограммы нарушений с возможностью перехода к видеозаписи события.Функция удаленного управления компьютером с возможностью снятия скриншотов экрана сотрудника.Подробнее с продуктом Kickidler можно ознакомиться на сайте дистрибьютора в России.Подробный обзор Kickidler  LanAgentДля мониторинга персонала российская компания ООО «Нетворк Профи» предлагает программный комплекс LanAgent. Он позволяет контролировать основные каналы передачи информации: копирование файлов на флешки, отправку писем, сообщений ICQ, Skype, печать документов на принтер, выгрузку файлов в интернет и др., получать уведомления при нарушении пользователем заданных правил безопасности, а также отследить конкретные действия каждого пользователя (ведется подробный лог всех действий сотрудника на компьютере, в т. ч. делаются снимки экрана монитора) и заблокировать подключение носителей информации, запуск программ, посещение определенных сайтов.Для корпоративного использования предлагается два исполнения — LanAgent Enterprise и LanAgent Terminal. Исполнение LanAgent Terminal предназначено для работы на терминальном сервере (для контроля дистанционной работы пользователей, подключающихся через удаленный рабочий стол (RDP) и с аппаратных «тонких» клиентов.Архитектура программы построена так, что агент может работать автономно, независимо от остальной части системы. То есть, если компьютер с серверной частью программы по какой-то причине выключен или с ним нет связи по локальной сети, то агент будет сохранять информацию в зашифрованных лог-файлах на своем компьютере. И будет хранить эту информацию до тех пор, пока от серверной части не поступит запрос на их получение. После отправки лог-файлы на компьютере агента будут очищены.Преимущества и особенности системы:Возможность работы агента в офлайн-режиме (без сервера).Гибкий механизм распределения прав на просмотр информации между специалистами безопасности.Возможность отправки уведомлений о нарушениях политик безопасности на ICQ или e-mail специалиста безопасности.Визуализации полной картины рабочего дня подчиненных с указанием, сколько времени фактически было затрачено на работу.Наглядные аналитические отчеты с возможностью их отправки на e-mail.Уведомления при нарушении сотрудниками заданных политик безопасности.Подробнее с продуктами LanAgent можно ознакомиться здесь.  Mipko Employee Monitor и Terminal MonitorКомпания «Мипко» для мониторинга деятельности сотрудников в корпоративном окружении предлагает продукты Mipko Employee Monitor и Terminal Monitor. Продукты обеспечивают перехват фраз, вводимых с клавиатуры, перехват чатов и общения в социальных сетях (Facebook и подобные), отслеживает посещаемые веб-ресурсы, осуществляет ведение журнала запущенных приложений, делает снимки экрана компьютера. Фиксирует операции с файлами, а также запуск приложений. Для сотрудников система работает в скрытом режиме.Преимущества и особенности системы:Данные хранятся на том компьютере, на котором они были собраны.Передача данных по сети осуществляется только в момент просмотра.Гибкая система оповещений о потенциальных нарушениях по ключевым словам.Подробнее с продуктами Mipko Employee Monitor и Terminal Monitor можно ознакомиться здесь. Searchinform TimeInformerКомпания SearchInform для автоматического контроля работы сотрудников за компьютерами предлагает продукт TimeInformer.  Система показывает, чем заняты сотрудники, осуществляет прозрачный контроль активности работников в любых программах и приложениях.Агенты TimeInformer устанавливаются на компьютеры сотрудников — есть скрытый и открытый режим работы. Агенты могут быть установлены из консоли удаленно (как в домен, так и в рабочую группу) либо локально (вручную через инсталлятор агента). Агент собирает информацию о времени включения и выключения компьютера, времени простоя, времени использования программ и сайтов. Алгоритмы TimeInformer с точностью до 3 секунд определяют время, когда сотрудник прекратил работу за компьютером.TimeInformer анализирует собранные данные и предоставляет администратору набор отчетов и оповещений, из которых можно сделать выводы о работе как отдельного сотрудника, так и подразделений, и всей компании. В TimeInformer есть 33 предустановленных отчета, есть возможность создавать собственные варианты отчетов, а также настраивать уведомления о запуске тех или иных программ.TimeInformer также имеет инструменты «онлайн»-наблюдения, которые позволяют подключаться к компьютеру в реальном времени (до 16 подключений одновременно), а также отображают статистику и занятость сотрудников на текущий момент.Преимущества и особенности системы:Собирает данные о приложениях, которые сотрудник использует в течение дня, а также проведенное в них время. Система автоматически определяет, работал ли пользователь в приложении, либо оно было просто запущено.Фиксирует все посещенные сайты и время, проведенное на каждом из них. Доступна динамическая категоризация любых сайтов на тематические группы (новости, игры, онлайн покупки и т. д.)  через встроенную БД категорий или подключение к онлайн-категоризатору.Делает снимки экранов рабочих станций сотрудников с привязкой к конкретной активности.Фиксирует время прихода и ухода сотрудника, перекуры, опоздания, прогулы.Может записывать важные разговоры сотрудников с клиентами, партнерами или коллегами для дальнейшего анализа. Запись происходит при помощи микрофона, встроенного в компьютер, или обычной гарнитуры.Перехватывает нажатия клавиш, а также информацию из буфера обмена.Подробнее с продуктом TimeInformer можно ознакомиться здесь.  StaffCop EnterpriseРоссийская компания «Атом Безопасность» продвигает на рынке систему мониторинга StaffCop Enterprise, позволяющую анализировать действия персонала за компьютерами для обеспечения информационной безопасности предприятия, обнаружения утечек конфиденциальных данных, расследования инцидентов, учета рабочего времени и оценки эффективности работы персонала.Продукт призван решать несколько задач. Первая — помочь оптимизировать бизнес-процессы: получить картину рабочего дня сотрудников, выявить «узкие» места в системе, выделить неэффективных сотрудников. Вторая — снизить риски возникновения инцидентов, связанных с утечкой конфиденциальной информации, злонамеренных или случайных действий сотрудников способных привести к финансовым и репутационным потерям компании. Третья — расследование произошедших инцидентов.StaffCop Enterprise достаточно мощное endpoint-решение для мониторинга и анализа действий персонала на рабочих станциях Windows, GNU/Linux и терминальных серверах. Имеет клиент-серверную архитектуру с поддержкой PostgreSQL и обладает современным стеком технологий: «тонкий» клиент, OLAP-кубы, собственные алгоритмы анализа действий сотрудников. Поэтому имеет относительно низкие требования к «железу», гибкую аналитику и возможность мониторинга удаленных офисов и рабочих станций, не находящихся в локальной сети. Веб-интерфейс позволяет получить быстрый доступ к аналитике и управлению системой без установки специальных программ.Решение обладает гибкой настройкой фильтров и оповещений, поэтому возможную утечку или вторжение удается обнаружить на ранней стадии, чем существенно сократить последствия. Глобальная система записи всех возможных событий позволяет в случае произошедшего инцидента быстро добраться до источника утечки и точно назвать время, автора и объем утраченной информации. Графическое представление данных помогает визуализировать аномалии при поведенческом анализе пользователей. Применяемая технология «дрилл-даун» позволяет в несколько кликов установить корреляцию между данными, собранными агентами на конечных точках.Преимущества:Оперативный контроль сотрудников и определение групп риска.Аналитические срезы по любым видам событий и данным (многомерные отчеты).Оценка и контроль эффективности работы персонала с категоризацией работы сотрудников по продуктивности и видам деятельности.Подсчет времени активности сотрудника в приложениях и на сайтах.Блокировка приложений, доступа к сайтам для отдельных пользователей и групп.Учет рабочего времени сотрудников.Подробнее с продуктом StaffCop Enterprise можно ознакомиться здесь.Подробный обзор StaffCop Enterprise  СтахановецДля мониторинга эффективности сотрудников российская компания ООО "Стахановец"предлагает систему «Стахановец».  Основная задача «Стахановца» — помочь руководителю существенно повысить эффективность работы персонала, сократить издержки и предотвратить утечки конфиденциальной информации. Продукт также продается компанией InfoWatch под именем Person Monitor.Среди главных особенностей комплекса — анализатор рисков, нетипичного поведения и отклонений от нормы. Благодаря такой функциональности руководитель может выявить наиболее продуктивных и непродуктивных сотрудников, проанализировать их действия, определить различия и ключевые факторы успешности. На основании полученных данных компания получает возможность повсеместно внедрить модель работы, приносящую максимальную прибыль.Система умеет определять действия, отклоняющиеся от нормы, и оповещает службу безопасности об инциденте, ведь главная задача комплекса — своевременно локализовать угрозу.«Стахановец» позволяет прослушивать переговоры в режиме реального времени, фиксировать и распознавать диалоги в Skype, Lync, Viber и сохранять их в текстовые файлы, а также реагирует на «кодовые фразы».Продукт ориентирован на использование руководителями всех уровней, отделом кадров и ИБ-ИТ-департаментами.Преимущества и особенности системы:Контроль присутствия и активности сотрудников, учет времени работы и контроль опозданий.Анализ клавиатурного почерка, выявление автора документа, сотрудников в состоянии алкогольного опьянения.Перехват изображений с рабочего стола, веб-камеры, звука с микрофона. Хранение видео-, аудиофайлов и скриншотов.Мониторинг звуковых переговоров в мессенджерах (Skype, Lync, Viber), распознавание речи.Подробнее с продуктом «Стахановец» можно ознакомиться здесь.  ВыводыВ статье мы познакомились с системами мониторинга эффективности сотрудников и учета рабочего времени. Системы этого класса представляют собой мощный набор инструментов для анализа событий и информации, что позволяет оценивать и контролировать продуктивность сотрудников за рабочими местами, быстро и точно расследовать инциденты ИБ внутри компании. Кроме того, применение систем мониторинга эффективности позволяет сократить опоздания и использование рабочего времени сотрудниками в личных целях. Помимо задачи, связанной с контролем эффективности сотрудников, системы мониторинга решают ряд проблем, сопряженных с контролем потенциальных каналов утечки данных, т. е. выполнять основную, наиболее востребованную часть функций хостовых DLP.На мировом рынке представлено множество различных систем мониторинга эффективности сотрудников — как от известных вендоров в области безопасности (Symantec и Trend Micro), так и нишевых игроков, занимающихся только этим классом продуктов. Среди основных игроков на мировом рынке присутствует и российский вендор — компания «Атом Безопасность» (StaffCop).На отечественном рынке популярностью пользуются продукты российских разработчиков. Из наиболее известных можно выделить StaffCop Enterprise («Атом Безопасность»), TimeInformer («СёрчИнформ»), SecureTower (Falcongaze), «Стахановец» (продаваемый также под брендом InfoWatch), а также зарубежный Kickidler от сингапурской компании TeleLinkSoft.Перечисленные выше системы мониторинга эффективности концептуально отличаются друг от друга. Некоторые системы, например StaffCop Enterprise, Стахановец, SecureTower, LanAgent, Mipko, способны собирать большой объем данных и предоставлять их в виде аналитических отчетов, вести статистику продуктивного и непродуктивного рабочего времени.При этом StaffCop Enterprise для детектирования инсайдеров использует анализ поведения пользователей и выявление аномалий в их поведении. Подразумевается, что необычная активность, не соответствующая стандартному профилю, может более точно указывать на потенциальные инциденты информационной безопасности. По классификации Gartner, этот класс решений называется User and Entity Behavior Analytics (UEBA).Kickidler предоставляет руководителю возможность осуществлять мониторинг сотрудников через просмотр онлайн-трансляций или видеозаписи их действий.Системы учета рабочего времени CrocoTime, BitCop сохраняют минимум данных: только посещенные сайты и запущенные программы. Системы этого класса делят активность на продуктивную, непродуктивную, нейтральную и формируют отчеты, в которых работодатель сможет увидеть, на что тратили время его подчиненные. Преимущество подобных систем в их простоте и малом объеме данных для хранения и передачи, но в решении проблем утечек информации они мало чем могут помочь.О плюсах и минусах рассмотренных систем в данном обзоре говорить не будем. Чтобы подробно разобраться в преимуществах той или иной системы, в дальнейшем мы проведем детальное сравнение систем мониторинга эффективности сотрудников.

Компания Solar Security сообщила о выходе сканера кода Solar inCode 2.6, который позиционируется как единственное решение, способное без доступа к исходному коду приложений анализировать их на уязвимости. Обзор подготовлен по итогам тестирования новой версии продукта, в том числе уровня реализации его ключевой функциональности — возможности искать и выявлять уязвимости в исполняемых файлах приложений. ВведениеТехнологии и принцип работыАнализ исполняемых файлов программАнализ байткода JavaИнтеграция со средствами защиты информацииВыводы ВведениеПроверка защищенности программного обеспечения сегодня является неотъемлемым этапом процесса его разработки и эксплуатации. Это создает на рынке информационной безопасности нишу для средств автоматического анализа программного кода, к которым относится и решение Solar inCode, разработанное компанией Solar Security.Solar inCode — это инструмент анализа программного кода, который позволяет автоматически обнаруживать ошибки, уязвимости и закладки. Проверка кода осуществляется с помощью статического, динамического и интерактивного методов анализа. Solar inCode 2.6 поддерживает следующие языки программирования: Scala, PHP, Java for Android, PHP, PL/SQL, JavaScript, Python 2, Python 3, Ruby, Objective-C, Swift, С#, C/C++, T-SQL, Delphi, ABAP, Visual Basic 6.0, HTML5, Solidity.По итогам сканирования Solar inCode формирует отчет о найденных уязвимостях с рекомендациями по их устранению и настройке средств защиты. Кроме того, инструмент обладает гибким интерфейсом командной строки и готовыми коннекторами для встраивания в технологический процесс разработки и сопровождения программного обеспечения.Ключевыми нововведениями недавно вышедшей версии Solar inCode 2.6 стала поддержка языков HTML5 и Solidity, а также возможность загружать с локального компьютера проект в виде архива с расширениями .7z, .ear, .aar, .rar, .tar.bz2, .tar.gz, .tar, .cpio. Кроме того, в Solar Security подчеркивают важность направления по легкому встраиванию Solar inCode в процесс безопасной разработки приложений (SDLC), поэтому в дополнение к интеграции со средствами JIRA, Eclipse, maven,gradle, sbt и Visual Studio в версии 2.6 реализован плагин к серверу непрерывной интеграции Jenkins.Однако главным отличием Solar inCode от конкурирующих решений является возможность статического анализа исполняемых файлов. Помимо исходного кода, инструмент позволяет анализировать исполняемые файлы приложений, скомпилированных в байткод Java, в том числе мобильных Android-приложений (.apk-, .jar-, .war-, .class-файлы), а также исполняемые файлы программ C/C++ (.exe- и .dll-файлы, архитектуры x86 и x64), iOS-приложения (.ipa-файлы — armv8/aarch64, Objective-C и Swift). В разработке находится модуль анализа исполняемых файлов приложений для macOS.Анализ двоичного программного кода открывает возможность проводить глубокое исследование безопасности приложений в случаях, когда нет возможности получить исходный код. Например, Solar inCode позволяет проводить анализ мобильных приложений по ссылкам на Google Play или AppStore. При этом результаты такого анализа отображаются на декомпилированном исходном коде. Рисунок 1. Интерфейс Solar inCode. Опция загрузки приложения через Google Play или App Store Рисунок 2. Интерфейс Solar inCode. Опция загрузки приложения c локального компьютера  Рисунок 3. Интерфейс Solar inCode. Опция загрузки приложения из репозитория Технологии и принцип работыПо заявлениям вендора, в основу продукта были положены многолетние научные и технические труды по трем направлениям: обратная инженерия (декомпиляция, деобфускация), статический анализ (и теория построения компиляторов как обобщение) и ручной аудит программного кода по требованиям информационной безопасности (в том числе мобильных и web-приложений). Команду разработки Solar inCode составляют кандидаты физико-математических наук, диссертации которых посвящены темам компиляции и декомпиляции, обфускации и деобфускации, статического анализа программного кода.Solar inCode основан на технологиях статического анализа программ. Статический анализ подразумевает три этапа работы с кодом.Первый — построение промежуточного представления, то есть модели программы. Такое представление позволяет уйти от текстовой формы кода и тем самым осуществлять более глубокий анализ конструкций исходной программы. При анализе исходного кода происходит частичная компиляция (внутренним представлением может являться абстрактное синтаксическое дерево или, например, трехадресный код). При анализе двоичного программного кода происходит дизассемблирование и обратная трансляция, в процессе которой может потребоваться деобфускация программного кода.Второй этап — запуск ядра статического анализа, в результате которого промежуточное представление обогащается дополнительной информацией о данных и коде. Например, на этом этапе используются алгоритмы анализа потока управления и потока данных программы, такие как поиск синонимов, вывод констант и типов переменных, методы taint-анализа и статическая интерпретация программного кода. Эти алгоритмы позволяют обнаруживать сложные уязвимости, связанные с внедрением данных со стороны злоумышленника, такие как SQL-инъекции и многие другие.Наконец, третий этап — поиск программных уязвимостей с помощью базы правил поиска уязвимостей. Правила формируют условия наличия уязвимостей в терминах поточного представления и той информации, которая была дополнена в рамках второго этапа.В процессе аудита защищенности программной системы зачастую возникает необходимость в оценке информационной безопасности программных компонентов, представленных в виде двоичного программного кода. При этом иногда исходный код таких компонентов может быть недоступен. Например, если речь идет об анализе сторонних программных библиотек или программных компонентов, исходный код которых был утрачен.Предположение о том, что уязвимости закрытых программных компонентов невозможно подвергнуть практической эксплуатации, в корне неверно. В информационных системах, полагающихся на антипаттерн информационной безопасности Security through obscurity, чаще всего и обнаруживаются критические уязвимости нулевого дня. При этом, как правило, такие уязвимости нельзя быстро исправить вследствие закрытости программного кода. Если злоумышленнику удалось осуществить вторжение незаметно для наблюдателей, он может скрыто эксплуатировать программную систему годами, поскольку возможности проанализировать исходный код программного компонента и найти уязвимость не существует. Анализ исполняемых файлов программВ Solar inCode реализован набор методов для статического анализа исполняемых файлов программ. Приложение осуществляет декомпиляцию двоичного программного кода для всех актуальных микропроцессорных архитектур в модель исходной программы.Заметно, что разработчик уделяет особое внимание удобству пользовательского интерфейса Solar inCode. С точки зрения пользователя анализ исполняемых файлов программ выглядит очень просто: достаточно загрузить исполняемый файл в любом из современных форматов записи двоичного кода, таком как .exe, .dll, .ipa, и получить результаты анализа. Для всех актуальных компилируемых в двоичный код языков программирования высокого уровня, таких как C/C++, Objective-C и Swift, в статическом анализаторе Solar inCode реализована дополнительная обработка структур данных, идиом и вызовов языка, что позволяет значительно улучшить результаты анализа программного компонента.Для анализа .ipa файлов пользователю достаточно передать ссылку на приложение в AppStore. В процессе подготовки также находится модуль статического анализа masOS-приложений. Для анализа программы, исполняемой на платформе macOS, пользователю необходимо передать пакет приложения через интерфейс статического анализатора или просто ссылку на приложение в AppStore.Используемые методы обратной трансляции позволяют построить представление анализируемой программы с очень высокой точностью: восстановлению подвергаются подпрограммы исходной программы, глобальные и локальные переменный исходной программы и их типы. Важной особенностью подхода является возможность восстановления информации о программе, исходя из информации позднего связывания, например, таблиц виртуальный функций, структур RTTI (Run-Time Type Information) и вспомогательных структур обработки исключений для программ, записанных на языке программирования C++, или информации о классах и методах для программ, записанных на языке программирования Objective-C.Наличие в промежуточном представлении исходной программы, восстанавливаемой в процессе обратной трансляции, и высокоуровневой информации о семантике исходной программы, позволяет применить всю мощь методов статического анализа к исполняемым файлам программ.Внутреннее представление программ, полученных из языков высокого уровня и в результате обратной трансляции, настолько семантически схожи, что в процессе статического анализа они неразличимы. Таким образом, исходная информационная система может быть проанализирована как покомпонентно, так и целиком, что создает неограниченные возможности для оценки информационной безопасности программной системы.Для представления результатов статического анализа двоичного программного кода Solar inCode предлагает методологию интеллектуальной декомпиляции, в контексте которой представление исходной программы записывается в терминах языка высокого уровня, семантически схожего с языками программирования семейства C. Таким образом, результаты статического анализа двоичных образов программных компонентов, предоставляемые системой Solar inCode, не требуют высокой квалификации пользователя и потому могут быть проанализированы как разработчиками информационной системы и экспертами по информационной безопасности, так и их руководителями.Например, в двоичном образе программы, исходный код которой записан в фрагменте программного кода ниже, статический анализатор Solar inCode обнаруживает две программные уязвимости: потенциальное переполнение буфера при осуществлении вызова функции strcpy и небезопасное использование форматной строки при осуществлении вызова функции printf. #include <stdio.h>#include <string.h>int main(int argc, char *argv[]){    char buf[64];    if (argc != 2) {         return 0;    } else {         strcpy(buf, argv[1]);         printf(buf);         return 0;    }}Восстановленное с помощью Solar inCode представление исходной программы, записанное в терминах псевдокода, и результаты статического анализа рассматриваются ниже: Рисунок 4. Пример представления исходной программы, восстановленного с помощью Solar inCode и записанного в терминах псевдокода Рисунок 5. Пример представления исходной программы, восстановленного с помощью Solar inCode и записанного в терминах псевдокода Анализ байткода JavaПри анализе байткода Java (Android-приложения, а также Java/Scala-приложения) в качестве промежуточного представления выступает код, близкий к самому байткоду. При получении байткода для мобильных приложений применяются методы обратной трансляции apk-файлов и деобфускации, так как в таких приложениях чаще всего используются методы запутывания кода для усложнения процесса декомпиляции. При этом для отображения результатов поиска уязвимостей происходит и полная декомпиляция байткода с восстановлением отображения анализируемого байткода на полученный исходный код с точностью до номеров строк.В Solar inCode реализована возможность частичного анализа байткода — в переданном на анализ коде может содержаться как исходный код, так и байткод. При таком анализе будет проанализирован весь байткод приложения, при этом тот байткод, для которого был передан исходный код, в результатах будет отображен на него, а для остального байткода будет проведена декомпиляция.Ниже приведем два примера критических уязвимостей, которые были обнаружены методом анализа байткода в Android-приложении и в Java web-приложении.Первая уязвимость — отсутствие проверки цепочки сертификатов и хоста сертификата при SSL-соединении в мобильном приложении. Анализ данного приложения проводился по ссылке на Google Play. Такая уязвимость позволяет злоумышленнику осуществить атаку типа «человек посередине» и в результате читать и видоизменять все данные, которые отправляются от приложения серверу и наоборот, в том числе логины и пароли, данные кредитных карт и так далее. В коде унаследован класс X509TrustManager, однако его методы являются пустыми, то есть проверка цепочки сертификатов не производится. Также унаследован класс HostnameVerifier, однако метод verify всегда возвращает значение true, то есть не производит проверку хоста сертификата. Ниже приведены участки кода с данной уязвимостью, которые восстановил и отобразил в интерфейсе Solar inCode. Рисунок 6. Пример уязвимости в исходном коде программы, восстановленном с помощью Solar inCode Рисунок 7. Пример уязвимости в исходном коде программы, восстановленном с помощью Solar inCode Вторая уязвимость — недостаточная валидация входных данных, в результате которой злоумышленник может осуществить атаку типа «хранимый межсайтовый скриптинг». Недоверенные данные без проверки попадают в функцию печати данных в web-страницу пользователя. Это означает, что злоумышленник может поместить на страницу пользователя JavaScript-код, который будет действовать от лица web-сервера. Таким образом могут быть раскрыты любые конфиденциальные данные пользователя. Solar inCode показывает декомпилированный код и трассу распространения недоверенных данных по коду между функциями. Рисунок 8. Пример уязвимости в исходном коде программы, восстановленном с помощью Solar inCode Интеграция со средствами защиты информацииПомимо рекомендаций по устранению уязвимостей Solar inCode предоставляет пользователю инструкции по настройке средств защиты (Imperva, F5 и ModSecurity) в качестве временной меры, которая позволяет не допустить эксплуатацию найденных уязвимостей до их устранения. ВыводыВажнейшим достоинством Solar inCode является возможность анализа исполняемых файлов, при этом такой анализ можно запустить в несколько кликов: скопировать ссылку на приложение в магазине или взять рабочий файл с боевого сервера. Поскольку результаты такого анализа отображаются на восстановленный исходный код, их разбор не составляет труда.Также к сильным сторонам продукта можно отнести простоту интерфейса, понятные описания уязвимостей на русском и английском языках, широкую функциональность по аналитике результатов сканирований и модульную архитектуру решения.К главным достоинствам продукта относятся:Возможность анализа исполняемых файлов — по ссылкам на магазины мобильных приложений и рабочим файлам.Простота и удобство интерфейса.Наличие рекомендаций по настройке средств защиты информации в качестве временной меры по закрытию уязвимостей.Гибкие возможности по интеграции в процесс безопасной разработки приложений (SDLC), готовая коробочная интеграция со средствами JIRA, Git, Jenkins, Eclipse, maven,gradle, sbt, Visual Studio.Широкие возможности интерфейса по аналитике результатов сканирований: визуализация динамики безопасности кода внутри и между проектами, качественное сравнение сканирований.Возможность классификации уязвимостей по OWASP Top 10 2013, OWASP Mobile Top 10 2014, OWASP Mobile Top 10 2016, PCI DSS, HIPAA, по критичности.Модульная архитектура решения, которая позволяет пользоваться графическим интерфейсом с помощью web-браузера, при этом основные вычислительные ресурсы системы можно динамически подключать с любой машины.Кроссплатформенность большинства модулей решения.Возможность гибкой настройки системы, в том числе создание собственных правил поиска уязвимостей.Гибкая настройка ролей пользователей и групп пользователей.

Пожалуй, каждый специалист по кибербезопасности может назвать несколько решений в сфере ИБ, даже не относящихся к его предметной области. Как правило, это будут наиболее распространенные и хорошо известные на рынке продукты. Однако существует ряд менее именитых, но не менее функциональных решений. В этом обзоре мы хотели бы обратить внимание профессионалов на некоторые из них — они этого достойны.   ВведениеКраткий обзор малоизвестных, но перспективных решений в сфере ИБ2.1. Зарубежные решения2.1.1. SilentDefenсe (Security Matters)2.1.2. mGuard (Phoenix Contact)2.1.3. TrapX Deception Grid (TrapX)2.1.4. Safetica DLP (Safetica)2.1.5. Thycotic Secret Server (Thycotic)2.1.6. Virtual Data Room, Digital Rights Management (Vaultize)2.1.7. Skybox Security Suite (SkyBox Security)2.1.8. Securonix SNYPR (Securonix)2.2. Российские решения2.2.1. SolidWall WAF (SolidSoft)2.2.2. Active Bot Protection (Variti)Выводы   ВведениеИнформационная безопасность — динамично развивающаяся сфера, чуть ли не каждый день на рынке появляются продукты и решения, о которых вы можете даже не подозревать. Без лишних предисловий расскажем вам о десяти решениях в сфере ИБ, не имеющих пока широкого распространения. Однако в перспективе они могут стать популярными и востребованными на российском и мировом рынке. Краткий обзор малоизвестных, но перспективных решений в сфере ИБЗарубежные решения SilentDefenсe (Security Matters)Страна: НидерландыКласс: Система обнаружения вторжений для сетей ICS/SCADAПрограммная платформа для мониторинга сетей SCADA и промышленных систем управления (ICS) в целях обеспечения устойчивой работы. Система работает в режиме IDS. Рекомендуется применять внутри технологических сегментов, а также на стыке с внешними или корпоративными сетями для контроля периметра при передаче данных.Возможности и особенности:Поддержка 13 открытых промышленных протоколов (Modbus TCP, Ethernet/IP, OPC- DA/OPC-AE, IEC 104, IEC 61850 (MMS, GOOSE, SV), ICCP, Synchrophasor, DNP3, BACnet, ProfiNet) и проприетарных протоколов: ABB (800xA, AC 800M, AC 800F), Siemens (Step7, Step 7+), Emerson (Ovation, DeltaV), Honeywell, Yokogawa (VNet/IP), Rockwell.Возможность передачи данных в различные SIM/SIEM-системы.Обнаружение недекларированных протоколов или команд.Обнаружение инсайдерских угроз.Автоматическая «инвентаризация» сети и построение карты сети. mGuard (Phoenix Contact)Страна: ГерманияКласс: Промышленный маршрутизатор с функцией межсетевого экранаУстройство безопасности для децентрализованной защиты периметра сети, контроля сетевого трафика и создания безопасного удаленного подключения. Как и в вышеописанном примере, рекомендуется применять внутри технологических сегментов, а также на стыке с внешними или корпоративными сетями для контроля периметра при передаче данных.Возможности и особенности: Возможность работы в режиме stealth.DPI промышленных протоколов (OPC, Modbus TCP).Промышленное исполнение с установкой на DIN-рейку и расширенным диапазоном рабочих температур, а также в морском исполнении.Возможность использования в 3G/4G-сетях.Поддержка GPS/GLONASS. TrapX Deception Grid (TrapX)Страна: ИзраильКласс: Защита от таргетированных атакПлатформа для построения многоуровневой системы защиты, в которую входят средства размещения и управления сетевыми сенсорами, decoy-токенами, песочница, анализатор трафика, средства защиты от вирусов-шифровальщиков, система корреляции событий и групповой обработки инцидентов. Мы рекомендуем это решение для постоянного упреждающего мониторинга внешних и внутренних угроз и совершенствования системы информационной безопасности.Возможности и особенности:Технология «сигнальной сети» для защиты инфраструктуры от эксплойтов нулевого дня и направленных атак (APT) без использования агентов и сигнатур. Суть: размещение скрытых ловушек и приманок в рабочей среде, срабатывание предупреждений и автоматическое изолирование скомпрометированного устройства при обнаружении атаки.Ловушки, имитирующие различные ИТ-объекты (сервера, рабочие станции, SCADA-устройства, сетевое оборудование, SWIFT-инфраструктура) для создания виртуального «минного поля» для кибератак.Разработка и развертывание в составе комплексной системы обеспечения безопасности данных организации в качестве упреждающей защиты от направленных атак, защита ядра банковской и финансовой систем, защита слепых зон на стыке различных систем обеспечения ИБ, защита АСУ ТП с имитацией специфических сервисов: Modbus, DNP3, Telnet и др. Safetica DLP (Safetica)Страна: ЧехияКласс: Endpoint DLPSafetica DLP для защиты компании от утечки данных, злонамеренных действий сотрудников и рисков BYOD. Продукт является агентным — устанавливается на конечные точки, применяя способ контекстной фильтрации, что делает решение простым в установке, а также позволяет осуществить полное внедрение всего за восемь недель.Решение модульное, то есть при необходимости можно приобрести только необходимый модуль (например, офисный контроль) и далее делать апгрейд на более высокий уровень, если это необходимо. Мы рекомендуем данное решение для защиты конфиденциальной информации и мониторинга эффективности работы сотрудников.Имеющиеся модули: Auditor (регистрация активности сотрудников), Supervisor (повышение эффективности бизнес-процессов компании), DLP (предотвращение утечки конфиденциальных данных).Возможности и особенности: Выявляет атаки, обусловленные методами социальной инженерии. Отслеживает изменения в производительности сотрудников и опасные тенденции.Контролирует личные устройства сотрудников в корпоративной среде. Thycotic Secret Server (Thycotic)Страна: СШАКласс: PUMРешение по управлению привилегированными учетными записями. Позволяет безопасно хранить в зашифрованном виде «секреты» — сочетание логина, пароля и параметров подключения к сессии, а также выдавать «секреты» пользователям.Возможности и особенности: Автоматическое обнаружение привилегированных учетных записей в системах, доступных по сети.Автоматическая смена паролей приложений и ротация SHH-ключей по расписанию или событию.Возможность организации доступа пользователей к «секретам» по запросу.Бесплатная версия для малого бизнеса (до 25 пользователей и до 100 «секретов»).Техническая поддержка на русском языке.Хочется отметить простоту внедрения и использования решения, а также относительно низкую стоимость — возможно, это связано с относительной новизной Thycotic Secret Server на российском и мировом рынках и с желанием вендора закрепить свою разработку в этом классе решений. Thycotic Secret Server часто обновляется, вместе с обновлениями в продукт добавляется новая функциональность — это происходит чаще, чем у конкурентов. На наш взгляд, это обстоятельство делает покупку продукта одним из лучших вложений в кибербезопасность предприятия. Из последних существенных обновлений — модуль поведенческого анализа, который позволяет строить графические взаимосвязи между пользователями и «секретами», а также своевременно детектировать потенциально опасные аномалии в поведении пользователей, чья работа связана с необходимостью предоставлять им наивысшие привилегии в ИТ системах и сервисах.Подробнее с Thycotic Secret Server вы можете ознакомиться в нашем обзоре. Virtual Data Room, Digital Rights Management (Vaultize)Страна: ИндияКласс: VDR/IRMРешение объединяет в себе виртуальную комнату данных и встроенный модуль DRM-защиты документов, что позволяет защищать документы не только до момента их доставки получателю, как это обычно происходит в виртуальных комнатах данных, но и после загрузки на компьютер, ноутбук либо смартфон внешнего пользователя. Присутствует интеграция с проводником Windows, что создает максимальное удобство для конечного пользователя и дает возможность взаимодействовать с системой привычным образом.Мы рекомендуем это решение для организаций из сфер промышленности, финансового сектора, консалтинга, строительства и др. А также компаниям, которым требуется сохранять контроль над правами доступа к документам на протяжении всего срока их жизни.Возможности и особенности: Позволяет открывать защищенные документы в приложениях Adobe Reader и Microsoft Office с сохранением оригинальной верстки и поддержкой макросов и формул.Присутствует интеграция с Windows Explorer, что создает максимальное удобство для конечного пользователя. Skybox Security Suite (SkyBox Security)Страна: Израиль/СШАКласс: Security Policy Management (Firewall Management) & Vulnerability and Threat ManagementSkybox Security является аналитической платформой, которая, с одной стороны, позволяет визуализировать и оптимизировать процесс управления сетевой безопасностью, а с другой — дает инструмент управления уязвимостями ИТ-инфраструктуры. Поскольку решение сертифицировано ФСТЭК России, мы рекомендуем его самому широкому кругу заказчиков, в том числе государственным.Для ИТ:построение карты сети с возможностью моделирования изменений настроек и конфигураций;автоматизация изменения настроек и конфигураций сети (workflow);оптимизация загрузки межсетевых экранов и их настроек;автоматический контроль корректности сегментации сети;анализ влияния планируемых изменений на доступность и безопасность ИТ-сервисов.Для ИБ:видимость того, что происходит с сетью, с точки зрения безопасности;контроль изменений всех настроек сетевой безопасности;инструменты для выявления и приоритизации уязвимостей:обнаружение уязвимостей;наложение уязвимостей и модели нарушителя на реальную карту сети;моделирование и визуализация векторов атак;выделение реальных уязвимостей, которые могут эксплуатироваться в инфраструктуре заказчика в данный момент.Возможности и особенности: Наибольшее в классе Policy Management (Firewall Management) поддерживаемое количество сетевых устройств (100+), включая IPS.Более 25 источников данных об уязвимостях, включая собственный исследовательский центр в Израиле.Техническая поддержка на русском языке.Единственное на сегодняшний день сертифицированное ФСТЭК России (НДВ 4) решение класса Security Policy Management (Firewall Management). Securonix SNYPR (Securonix)Страна: СШАКласс: Аналитика событий безопасности на базе ИИ и поведенческого анализа (UEBA)Интеллектуальная платформа сбора и анализа данных на основе профилирования поведения пользователей и систем и последующего выявления аномалий. Является лидером в сегменте UEBA (по данным Gartner), но так как тема в России развита еще слабо — про данное решение мало кто знает. Сам продукт позволяет решать широкий спектр задач в области ИБ — от детектирования направленных атак до определения нелояльных сотрудников и случаев корпоративного мошенничества.Возможности и особенностиАрхитектура на базе big data позволяет экономически эффективно собирать, хранить и обрабатывать огромные объемы информации — до 2 000 000 EPS.Securonix интегрируется и использует для принятия решений данные из более чем 400 других продуктов сторонних вендоров: ИТ-продукты, ИБ-решения, облачные среды, бизнес-решения (SAP, Oracle и пр.), социальные сети, неструктурированная информация и т. п.Специальные механизмы и алгоритмы анализа данных позволяют выявлять любые нарушения, даже ранее не известные угрозы, в режиме реального времени на самых ранних стадиях без использования правил корреляции.  Решение будет эффективно для:Проведения эффективных расследований ИБ-инцидентов (и не только) в крупных организациях.Выявления случаев некорректного использования привилегированных учетных записей, передачи паролей третьим лицам, несанкционированного доступа.Обнаружения попыток утечек данных еще на стадии их подготовки.Эффективного детектирования внешних и внутренних атакующих, направленных атак, 0-day-атак.Обнаружения инцидентов безопасности в облачных средах и внутри корпоративных приложений.Выявления мошенничества, сговора и прочих злоупотреблений.Мы рекомендуем Securonix SNYPR как агрегирующую платформу для постоянного упреждающего мониторинга внешних и внутренних угроз и совершенствования системы информационной безопасности. Российские решения SolidWall WAF (SolidSoft)Страна: РоссияКласс: WAFРешение для защиты веб-приложений. Осуществляет мониторинг работы веб-ресурсов, выявляет и блокирует попытки атак в режиме реального времени, контролирует действия пользователей.Возможности и особенности: Высокий уровень защиты. Использование максимально подробных моделей работы защищаемого приложения наряду с сигнатурными и семантическими методами обнаружения аномалий обеспечивают высокую степень защиты как от широко распространенных простых видов атак, так и от сложных направленных воздействий.Эффективная защита от ложных срабатываний. Механизм раннего подавления ложных срабатываний дает возможность минимизировать их влияние на принятие решений и сфокусировать внимание оператора WAF на действительно важных событиях.Специальные функции по анализу бизнес-логики. Определение пользователей, их действий в приложении и параметров действий. Эта информация может быть использована для подавления ложных срабатываний, создания позитивной модели работы приложения или экспортирована в другие системы для дальнейшего анализа.Особые алгоритмы машинного обучения дают возможность оптимизировать производительность WAF, выявлять ложные срабатывания, автоматически строить модели работы приложений, эффективно использовать решение в активном цикле разработки (SDLC).Мы рекомендуем SolidWall WAF для защиты критичных веб-ресурсов от внешних атак, а также для контроля над использованием приложений в разрешенных сценариях. При внедрении архитектура системы дает возможность выбора различных способов установки, а также обеспечивает высокую степень масштабируемости и отказоустойчивости. Возможны следующие режимы работы: «в разрыв», «на зеркальном трафике», а также анализ логов веб-сервера и дампов трафика PCAP.Поддерживаются режимы отказоустойчивости Active-Active, Active-Passive. Режим «программный байпасс» обеспечивает доступность сервисов даже в случае сбоев модулей WAF либо существенного превышения нагрузки. Кроме того, возможно терминирование SSL и балансировка нагрузки.В случае необходимости возможна интеграция с внешними системами с использованием механизмов Syslog, SQL, SNMP, REST API. Есть готовые схемы для интеграции с HPE ArcSight, IBM Qradar, Splunk, Zabbix. Active Bot Protection (Variti)Страна: РоссияКласс: AntiDDoS (SaaS)Интеллектуальная технология защиты от кибер-, DDoS-, хакерских атак, клик-фрода («скликивание» роботами рекламы и онлайн-ресурсов) и парсинга/сканнинга (копирование роботами информации на сайтах). Анализ трафика и фильтрация ботов в режиме реального времени, эффективное противодействие DDoS-атакам на уровнях L3, L4 и L7 без потери конечных пользователей.Возможности и особенности: Фильтрация нелегитимных бот-запросов на уровне сессий без блокировки по IP-адресам.Распознавание ботов с первого запроса в режиме реального времени без каких-либо задержек для наработки статистики.Защита интернет-ресурсов от низкочастотных, трудно распознаваемых атак и даже от одиночных бот-запросов.Анализ как HTTP-трафика, так и HTTPS без раскрытия сертификатов с сохранением указанных выше особенностей: без блокировки IP-адресов и с первого запроса.Мы рекомендуем это решение для защиты:от потерь выручки для компаний, работающих в сфере е-cоmmerce;от воровства интеллектуальной собственности и онлайн-ресурсов;от воровства и манипуляций с данными клиентов;репутации компаний. ВыводыЛидирующие решения «первого эшелона» считаются таковыми заслуженно. Вместе с тем, существуют продукты, которые могут обогатить выбор заказчиков, притом ничуть не уступая в функциональности лидерам рынка — просто о них мало кто знает. Этот обзор — первая попытка помочь коллегам посмотреть на интересные, но малоизвестные решения на рынке ИТ для кибербезопасности, а также дать элементарные вводные для первого знакомства с ними. Поверьте, они того стоят. 

Обзор подробно описывает сетевое устройство безопасности FortiMail компании Fortinet, предназначенное для обеспечения безопасного обмена электронной почтой в корпоративной сети предприятия. В обзоре рассмотрены вопросы поставки, технические характеристики и функциональные возможности, а также описаны базовая настройка и взаимодействие с FortiMail.   ВведениеВарианты поставкиСценарии развертывания устройств FortiMail в защищаемой сетиФункциональные возможности4.1. Антиспам4.2. Защита от вредоносных программ4.3. Интегрированная защита данныхБазовая настройка FortiMailВизуализация работы FortiMail и электронные журналы6.1. Просмотр электронных журналов6.2. Управление карантинами6.3. Просмотр серых списков6.4. Просмотр статусов репутации отправителей6.5. Просмотр статусов репутации конечных точекВыводы  ВведениеFortiMail является семейством многоуровневых, высокопроизводительных устройств защиты электронной почты, которые удаляют спам и проводят антивирусное сканирование пересылаемых файлов. Это часть платформы Fortinet Security Fabric, объединяющей все средства защиты Fortinet в одну архитектуру. FortiMail также является компонентом фреймворка Fortinet Advanced Threat Protection (Fortinet ATP), обеспечивающего защиту от сложных угроз и целенаправленных атак.FortiMail располагается между глобальной сетью и сервером электронной почты организации, проверяя электронные письма до того, как они достигнут сервера и будут доставлены конечному пользователю. FortiMail, по сравнению с межсетевыми экранами FortiGate, обладает более продвинутыми возможностями защиты от спама и выделенными движками антивирусной проверки и URL-фильтрации для обнаружения известных вредоносных файлов и URL-адресов, встроенных в фишинговые письма. Кроме того, FortiMail оснащен системой предотвращения утечек информации (Data Leak Prevention, DLP) и шифрованием на основе идентификационных данных (Identity-Based Encryption, IBE).IBE позволяет FortiMail безопасно доставлять конфиденциальную и регулируемую электронную почту, при этом не требуется дополнительное оборудование, программное обеспечение или лицензии. Рисунок 1. Обмен электронной почтой с шифрованием на основе идентификационных данных  Варианты поставкиFortiMail доступен в качестве физического или виртуального устройства (FortiMail VM), а также в качестве облачного сервиса защиты электронной почты FortiMail Cloud. Рисунок 2. Линейка физических устройств FortiMail  Таблица 1. Характеристики физических устройств FortiMail FORTIMAIL 60DFORTIMAIL 200E FORTIMAIL 400EFORTIMAIL 1000DFORTIMAIL 2000E FORTIMAIL 3200EРекомендуемые сценарии использованияТестирование, обучение специалистов, малые предприятия (до 100 пользователей)Малые предприятия, филиалы и организации (до 400 пользователей)Организации малого и среднего бизнеса (до 1 000 пользователей)Средние и крупные предприятия, образовательные и правительственные ведомства (до 3 000 пользователей)Крупные предприятия, образовательные и правительственные ведомстваКрупнейшие корпоративные клиенты, провайдеры и операторыФизические характеристикиФорм-факторДесктоп1 юнит1 юнит2 юнита2 юнита2 юнитаСетевые интерфейсы4 порта 1 Гбит Ethernet RJ454 порта 1 Гбит Ethernet RJ454 порта 1 Гбит Ethernet RJ456 портов 1 Гбит Ethernet RJ45, 2 слота 1 Гбит Ethernet SFP (оптика)4 порта 1 Гбит Ethernet RJ45, 2 слота 1 Гбит Ethernet SFP (оптика)4 порта 1 Гбит Ethernet RJ45, 2 слота 1 Гбит Ethernet SFP (оптика), 2 слота 10 Гбит Ethernet SFP+Объем жесткого диска500 ГБ1 ТБ2 x 1 ТБ2 x 2 ТБ2 x 2 ТБ (6 x 2 ТБ опционально)2 x 2 ТБ (10 x 2 ТБ опционально)Высота х Ширина х Длина (мм)41 x 210 x 13345 x 433 x 35244 x 438 x 41688 x 438 x 36889 x 437 x 64789 x 437 x 647Вес (кг)1,16,111,027,614,518,2Характеристики безопасностиМаксимальное число доменов на устройстве2201008008002 000Политики на основе получателей (/домен, /система)15 / 3060 / 300400 / 1 500800 / 3 000800 / 3 0001 500 / 7 500Почтовые ящики в режиме сервера501504001 5002 0003 000Антиспам, антивирус, аутентификация и профили контента (/домен, /система)10 / 1550 / 6050 /20050 / 40050 / 40050 / 600Производительность (сообщения/час) без очереди для сообщений размером 100 КБМаршрутизация электронной почты3 60080 000157 000680 0001 100 0001 800 000FortiGuard Antispam3 10071 000147 000620 0001 000 0001 600 000FortiGuard Antispam + Antivirus2 70061 000126 00500 000900 0001 500 000 Таблица 2. Характеристики виртуальных устройств FortiMail VM VM00VM01VM02VM04VM08VM16VM32Рекомендуемые сценарии использованияТестирование, обучение специалистов, малые предприятия (до 100 пользователей)Малые предприятия, филиалы и организации (до 400 пользователей)Организации малого и среднего бизнеса (до 1 000 пользователей)Средние и крупные предприятия  (до 3 000 пользователей)Крупные предприятияКрупные предприятияКрупные предприятияТехнические характеристикиПоддержка гипервизораVMware ESXi 5.0/5.1/5.5/6.0/6.5, Citrix XenServer 5.6 SP2/6.0 или выше, Microsoft Hyper-V 2008 R2/2012/2012 R2, KVM (qemu 0.12.1), AWS (Amazon Web Services), Microsoft AzureВиртуальные процессоры112381632Оперативная память (min/max)1 ГБ / 2 ГБ1 ГБ / 4 ГБ1 ГБ / 8 ГБ1 ГБ / 16 ГБ1 ГБ / 16 ГБ1 ГБ / 128 ГБ1 ГБ / 128 ГБОбъем виртуального хранилища (min/max)50 ГБ / 1 ТБ50 ГБ / 1 ТБ50 ГБ / 2 ТБ50 ГБ / 4 ТБ50 ГБ / 8 ТБ50 ГБ / 12 ТБ50 ГБ / 24 ТБКоличество виртуальных сетевых адаптеров (min/max)1 / 41 / 41 / 41 / 61 / 61 / 61 / 6Характеристики безопасностиМаксимальное число доменов2201008002 0002 0002 000Политики на основе получателей (/домен, /система)15 /3060 /300400 / 1 500800 / 3 0001 500 / 7 5001 500 / 7 5001 500 / 7 500Почтовые ящики в режиме сервера501504001 5003 0003 0003 000Антиспам, антивирус, аутентификация и профили контента (/домен, /система)10 / 1550 / 6050 / 20050 / 40050 / 40050 / 60050 / 600Производительность (сообщения/час) без очереди для сообщений размером 100 КБМаршрутизация электронной почты3 60034 00067 000306 000675 000875 0001 200 000FortiGuard Antispam3 10030 00054 000279000630 000817 0001 100 000FortiGuard Antispam + Antivirus2 70026 00052 00225 000585 000758 0001 000 000           FortiMail Cloud предлагает альтернативный вариант развертывания FortiMail, обеспечивая соответствующую безопасность электронной почты, но в облаке. Пользователям доступно 2 типа услуги:Gateway — служба шлюза обеспечивает облачную защиту электронной почты для клиентов с помощью локальных развертываний электронной почты или сторонних разработчиков. Служба действует как входящий и исходящий шлюз для электронной почты клиента и очищает ее от спама и вредоносов до пересылки в пункт назначения;Server — служба сервера предоставляет полностью размещенный в облаке сервер электронной почты. Служба заменяет необходимость управления и обслуживания всех локальных почтовых серверов, и предоставляет службы безопасности из облака FortiMail. Рисунок 3. Схема обеспечения безопасности электронной почты при FortiMail Cloud (Gateway)  Рисунок 4. Схема обеспечения безопасности электронной почты при FortiMail Cloud (Server)  Сценарии развертывания устройств FortiMail в защищаемой сетиFortiMail поддерживает три режима развертывания — прозрачный (Transparent), в качестве шлюза (Gateway) и в качестве сервера (Server). Эти сценарии отвечают требованиям безопасности электронной почты, минимизируя изменения инфраструктуры и предотвращая возможные сбои в обслуживании.В режиме шлюза FortiMail предоставляет услуги входящего и исходящего прокси-сервера (Mail Transfer Agent, MTA) для существующих почтовых шлюзов. Простое изменение записи DNS MX перенаправляет электронную почту на FortiMail для проверки. Устройство FortiMail получает сообщения, сканирует их на наличие вирусов и спама, а затем отправляет электронную почту на целевой почтовый сервер для доставки непосредственным адресатам. Рисунок 5. FortiMail может развертываться локально или в облаке  В прозрачном режиме каждый сетевой интерфейс FortiMail содержит прокси-сервер, который получает и передает электронную почту. Каждый прокси-сервер перехватывает SMTP, даже если IP-адрес назначения не совпадает с адресом устройства FortiMail. FortiMail проверяет наличие вирусов и спама, а затем отправляет электронную почту на целевой почтовый сервер для доставки адресату. Такой режим развертывания исключает необходимость изменения записи DNS MX или изменения существующей конфигурации почтового сервера сети. Рисунок 6. FortiMail развертывается на стороне почтового сервера  В режиме сервера FortiMail действует как автономный сервер обмена сообщениями с полной функциональностью почтового сервера SMTP, включая поддержку безопасного доступа к POP3, IMAP и WebMail. FortiMail проверяет электронную почту на наличие вирусов и спама перед доставкой. Как и в режиме сервера, внешние MTA подключаются к FortiMail, что позволяет ему функционировать как защищенный сервер. Рисунок 7. FortiMail обладает полными функциями почтового сервера  Функциональные возможностиАнтиспамFortiMail использует более дюжины различных методов проверки отправителя, протокола и содержимого письма, что позволяет защитить доверенную сеть и пользователей от спама. Анализ начинается с оценки IP-адреса, домена, репутации отправителя и заканчивается методами, такими как возвраты (bounce), проверки подлинности получателей, а также проверки заявленного домена отправителя DKIM (DomainKeys Identified Mail) и SPF (Sender Policy Framework). Наконец, структура сообщений и контент анализируются на основе цифровой подписи, ключевых слов, встречаемых в контексте, анализа изображений, встроенных URL и более сложных методов, таких как анализ поведения и защита от спама.По результатам независимых испытаний Virus Bulletin, проводимых летом 2017 года для анализа средств защиты от спама, FortiMail показал эффективность на 99,997%.Защита от вредоносных программСочетание нескольких статических и динамических технологий, включая сигнатурные, эвристические и поведенческие методы, а также опциональную защиту от вирусных эпидемий и песочницу (в интеграции с FortiSandbox через Fortinet Security Fabric), FortiMail защищает от широкого спектра постоянно развивающихся угроз, таких как программы-вымогатели и целенаправленные атаки.Интегрированная защита данныхНадежный набор возможностей FortiMail для предотвращения утечки данных, шифрование электронной почты и архивирование электронной почты (часто эти механизмы используются в комбинации) гарантируют безопасную доставку конфиденциальных электронных писем и защиту от непреднамеренной потери данных. Это облегчает соблюдение корпоративной политики и отраслевых правил безопасности. Базовая настройка FortiMailБазовая настройка FortiMail осуществляется с помощью интерфейса командной строки. Доступ к нему предоставляется по протоколу SSH или Telnet через интерфейс администрирования (port1) или с помощью COM-порта. При этом выполняется только начальная настройка, поскольку устройства FortiMail, как правило, конфигурируются с помощью графического интерфейса. Рисунок 8. Начальная страница интерфейса администратора FortiMail (Dashboard)  По умолчанию FortiMail функционирует в режиме шлюза (Gateway). Мастер быстрого запуска позволяет быстро настроить шлюз FortiMail для работы в сети, устанавливая ключевые параметры конфигурации. Также внести изменения в конфигурацию FortiMail можно через соответствующие разделы бокового меню графического интерфейса. Рисунок 9. Настройка защищаемых доменов  После того, как шлюз FortiMail установлен и настроен для работы в защищаемой сети, он может быть подключен к сети Fortinet Distribution Network (FDN) для получения обновлений сервисов FortiGuard Antivirus и FortiGuard Antispam в реальном времени (требуется дополнительная лицензия). FDN — это всемирная сеть серверов распространения Fortinet (Fortinet Distribution Servers, FDS). Когда модуль FortiMail подключается к FDN для загрузки обновлений FortiGuard, то по умолчанию он подключается к ближайшему FDS на основе текущего часового пояса. Рисунок 10. Настройка сервисов FortiGuard  Визуализация работы FortiMail и электронные журналыИнтерфейс администратора предоставляет подробную и наглядную информацию о выявленных угрозах безопасности средствами FortiMail, статистические данные и доступ к электронным регистрационным журналам.На начальной странице интерфейса администратор может настроить виджеты, содержащие графическую информацию и статистические данные. Доступны следующие виджеты:системная информация;сводная статистика;диаграмма FortiSandbox;диаграмма сводной статистики;история статистики;системные ресурсы;статистика FortiSandbox;лицензионная информация. Рисунок 11. Доступные виджеты FortiMail Просмотр электронных журналовНа странице «Журнал» раздела «Монитор» отображаются локально сохраненные файлы журналов. Страница содержит следующие вкладки:«История» — журнал отправленных и неподтвержденных SMTP-сообщений электронной почты;«Системные события» — журнал действий администратора и системных событий;«Почтовые события» — журнал действий по доставке электронной почты;«Антивирус» — журнал обнаруженных заражений электронной почты;«Антиспам» — журнал сообщений электронной почты, помеченных как спам;«Шифрование» — журнал IBE-шифрования. Рисунок 12. Вкладка «История» страницы «Журнал» Управление карантинамиВ карантин помещаются сообщения электронной почты на основе содержимого, например, на основе выявленного спама или наличия запрещенного слова или фразы. FortiMail имеет два типа карантина:персональный карантин, в который попадают сообщения электронной почты в отдельные папки для каждого адресата. При этом получателю генерируется уведомление о сообщениях заблокированных сообщениях электронной почты, по которому адресат принимает решение о дальнейших действиях над письмами;карантин системы, в который попадают сообщения без генерации уведомления адресату, при этом решение о выпуске или удалении электронных писем принимает администратор. Рисунок 13. Вкладка «Системный карантин» страницы «Карантин» пуста, поскольку нет электронных писем, ждущих действий от администратора Просмотр серых списковНа странице «Серые списки» раздела «Монитор» администратор может отслеживать автоматические исключения по серым спискам, в результате которых электронная почта в настоящий момент получает отказ в доставке.Серые списки используют тенденцию легитимных почтовых серверов повторять отправку электронной почты после первоначального временного сбоя, в то время как спамеры обычно отказываются от дальнейших попыток доставки, чтобы максимизировать пропускную способность спама. Сканер серых списков отвечает на временный сбой для всех сообщений электронной почты, чья комбинация почтового адреса отправителя, адреса получателя и IP-адреса клиента SMTP неизвестна. Если SMTP-сервер повторяет попытку отправки сообщения электронной почты после требуемой задержки серого списка, FortiMail принимает сообщение электронной почты и добавляет комбинацию адреса электронной почты отправителя, адреса получателя и IP-адреса клиента SMTP в список разрешенных сканером серого списка. Последующие известные сообщения электронной почты принимаются автоматически.Просмотр статусов репутации отправителейFortiMail отслеживает поведение клиента SMTP, чтобы ограничить активность клиентов, отправляющих спам-сообщения, зараженную электронную почту или сообщения недопустимым получателям. Если клиенты продолжают отправлять эти типы сообщений, их попытки подключения временно или окончательно отклоняются. Репутация отправителя управляется автоматически средствами FortiMail и не требует администрирования.Статусы репутации отправителей доступны на странице «Репутация отправителя» раздела «Монитор». Рисунок 14. Статусы репутации отправителей Просмотр статусов репутации конечных точекНа странице «Репутация конечных точек» раздела «Монитор» представлен текущий список конечных точек (по их MSISDN, идентификатору абонента или другому идентификатору), которые были обнаружены FortiMail при отправке спама.Если конечная точка попыталась доставить в период автоматического блокирования ряд сообщений со спамом, превышающих порог блокировки конечных точек, FortiMail добавляет конечную точку к списку заблокированных в течение времени, заданного в профиле, и все текстовые сообщения или сообщения электронной почты от нее будут отклонены. ВыводыFortiMail обеспечивает защиту электронной почты от спама, вирусов и зловредов. Хотя устройства FortiMail являются готовыми средствами защиты, целесообразно их использовать совместно с другими продуктами Fortinet, в частности с межсетевыми экранами FortiGate и песочницей FortiSandbox. Важно отметить, что шлюз безопасной электронной почты FortiMail интегрирован с анализом угроз FortiGuard Labs.За последние годы FortiMail получил высокие оценки в результате независимых тестирований ICSA Labs и Virus Bulletin.Fortinet предлагает широкую линейку физических и виртуальных устройств FortiMail, способных удовлетворить требования всех типов предприятий. Для небольших компаний предусмотрен альтернативный вариант без снижения качества обнаружения спама и вредоносных электронных писем — облачная версия FortiMail.Достоинства:Высокая производительность и скорость анализа электронных сообщений.Снижение нагрузки на сетевые и почтовые ресурсы за счет сокращения количества спама.Поддержка нескольких сценариев развертывания.Интеграция с другими продуктами Fortinet, поддержка FortiGuard Labs.Автоматическая архивация почтовых сообщений, протоколирование и генерация отчетов.Поддержка шифрования электронной почты шифрованием на основе идентификационных данных.Недостатки:Отсутствие русской локализации.Чтобы использовать дополнительные функции безопасности FortiGuard Antivirus и FortiGuard Antispam, требуется приобрести дополнительные лицензии.

В октябре 2017 года компания «Атом Безопасность» представила новую версию информационно-аналитической системы StaffCop Enterprise 4.1, предназначенной для мониторинга действий сотрудников. Функциональные возможности пополнились видеозаписью действий сотрудников, регистрацией действий администраторов на серверах и рабочих станциях под GNU/Linux, расширены возможности контроля USB-устройств. ВведениеЧто нового в Staffcop Enterprise 4.1Архитектура StaffCop Enterprise 4.1Установка StaffCop Enterprise 4.1Настройка StaffCop Enterprise 4.15.1. Конфигурации5.2. Правила мониторинга5.3. Глобальная конфигурация5.4. Разграничение ролей доступаСистемные требования StaffCop Enterprise 4.1Функции мониторинга и блокировок в StaffCop Enterprise 4.1Аналитические возможности StaffCop Enterprise 4.18.1. Конструктор отчетов и фильтров8.2. Контентный анализ и сквозной поиск8.3. Визуальное представление данных8.4. Детектор аномалий8.5. Оповещение об инцидентах информационной безопасности8.6. Поддержка словарей8.7. Учет рабочего времени8.8. Категоризация работы сотрудников по продуктивности8.9. Категоризация работы сотрудников по видам деятельности8.10. Аналитика действий администраторов и пользователей в Linux8.11. Инвентаризация «железа» и программного обеспечения8.12. Удаленное управление АРМ, запись видео рабочего стола, скриншоты и снимки с веб-камеры8.13. Запись окружения с микрофонаВыводы  ВведениеStaffCop Enterprise предназначен для контроля действий сотрудников за компьютером и обеспечивает сбор, анализ данных, блокировку устройств, приложений и сайтов, оповещения о событиях и нарушениях политик безопасности.Информационно-аналитическая система StaffCop Enterprise призвана решать следующие задачи:оперативный контроль сотрудников и определение групп риска;поиск возможных утечек информации и защита от инсайдеров;выявление нелояльных сотрудников и мошеннических схем внутри предприятия;расследование инцидентов информационной безопасности;учет рабочего времени сотрудников;оценка и контроль эффективности работы персонала.Благодаря применению модели OLAP-куб возможен гибкий анализ данных: расследование инцидентов по цепочке, быстрый переход об общего к частному, составление аналитических отчетов по выбранным срезам данных. Архитектура позволяет гибко изменять функциональность — добавлять или расширять имеющиеся источники исходных данных, каналы перехвата, добавлять интересующие отчеты, способы визуализации данных.Важно упомянуть, что StaffCop Enterprise 4.1 следует рассматривать не с точки зрения классической DLP, а как информационно-аналитическую систему: StaffCop не блокирует передачу данных на основе анализа содержимого. Отчасти это обусловлено низкой эффективностью такого подхода для обеспечения безопасности — ложные срабатывания, сложность настройки, трудно диагностируемые проблемы в эксплуатации. Кроме того, позволяя пользователю реализовать намерения, регистрируя данные о совершенных действиях, можно делать действительно полезные выводы, выявлять нарушителей и потенциально опасных сотрудников, оперативно реагировать на новые типы и источники угроз.Для работы StaffCop Enterprise достаточно одного виртуального или аппаратного сервера, не требующего покупки лицензий на дополнительное программное обеспечение.  Администрирование системы, настройки, просмотр и анализ данных осуществляется через веб-интерфейс. Что нового в Staffcop Enterprise 4.1сводные отчеты по выбранным пользователям и компьютерам (карточка «пользователя»);linux-агент: перехват командной строки, факты печати на принтере, посещение сайтов;запись видео с экранов пользователей;подключение к удаленному рабочему столу по терминальным сессиям;блокировка записи на USB-носители;перехват содержимого при создании файла на USB-носителе;перехват SMS-сообщений в SIP;порог чувствительности детектора аномалий;мониторинг поисковых запросов на стороне агента в поисковых системах;навигация с помощью кнопок браузера «вперед» и «назад»;функции рестарта сервера, сброса настроек и перестройки отчетов в веб-консоли;смена имени сертификата, используемого при перехвате шифрованного трафика;фильтрация почты по домену получателя/отправителя;быстрый переход к событиям из отчетов;определение шифрованных архивов. Архитектура StaffCop Enterprise 4.1StaffCop Enterprise имеет клиент-серверную архитектуру. Подключение агентов и администраторов к серверу осуществляется по защищенному протоколу HTTPs. Поддерживается работа в любых инфраструктурах, включая NAT-трансляцию, VPN-каналы и другие варианты подключения. Благодаря чему StaffCop Enterprise может быть установлен на удаленный компьютер, не находящийся в локальной сети компании.Кроме того, StaffCop Enterprise поддерживает работу в оффлайн-режиме — если у агента нет связи с сервером, он собирает информацию в локальную базу данных и передает ее на сервер при первой же возможности. Эта функция позволяет обеспечить постоянный контроль сотрудников, выходящих в интернет через временные каналы связи — мобильные 3G/4G-модемы, публичные Wi-Fi-подключения и т. п. Таким образом, в случае, например, отъезда сотрудника с рабочим ноутбуком в командировку контроль над его действиями не теряется, и мониторинг происходит в обычном порядке. Рисунок 1. Архитектурная схема StaffCop Enterprise Установка StaffCop Enterprise 4.1Начиная с версии StaffCop Enterprise 4.1 установить сервер можно четырьмя способами:С помощью инсталлятора для Windows-систем.Из ISO-образа на чистую виртуальную или физическую машину.Из OVF-шаблонов для виртуальных машин.На уже развернутой системе GNU/Linux c помощью DEB-пакета.Все способы, кроме последнего, не требуют от администратора, производящего установку продукта, специальных знаний и умений работы с Linux, все варианты установки подробно описаны в базе знаний продукта, включая необходимые команды с параметрами.Установить агентов мониторинга на рабочие станции можно через групповые политики, утилитой удаленной установки StaffCop или локально (вручную на каждый компьютер).При локальной установке используется обычный мастер инсталляции, в котором задаются только данные об IP-адресах основного и резервного сервера. Рисунок 2. Локальная установка агента  Утилита удаленной установки претерпела ряд доработок, добавлена возможность загрузки списка рабочих компьютеров без предварительного опроса сети, что существенно сокращает время задания списка компьютеров для установки. Рисунок 3. Интерфейс утилиты удаленной установки  Установка через групповые политики осуществляется штатными средствами Active Directory. Настройка StaffCop Enterprise 4.1После установки StaffCop требуется настройка конфигураций агентов: по умолчанию большинство модулей мониторинга отключено: по всей видимости, это «защита от дурака» во избежание непреднамеренного нарушения работы рабочих станций в организации.КонфигурацииКонфигурация агента служит для отключения/подключения модулей мониторинга, настройки иных параметров мониторинга и добавления различного рода правил перехвата и блокировки, что в совокупности дает возможность тонкой настройки агентов для оптимального и эффективного решения поставленных задач.Можно присвоить агенту или группе агентов уникальную конфигурацию. Рисунок 4. Конфигурация по умолчанию: галочки означают, что модуль отключен  Рисунок 5. Интерфейс настройки модулей Правила мониторингаНастройка правил позволяет гибко управлять мониторингом и блокировками. Есть возможность создать белый и черный списки устройств и программного обеспечения (комбинируя списки на разрешение и запрет в глобальной и индивидуальной конфигурациях, можно добиться частных исключений в более общих правилах, однако вендор не рекомендует такой прием, чтобы избежать путаницы в конфигурациях). Рисунок 6. Интерфейс настройки правил мониторинга Глобальная конфигурацияГлобальная конфигурация служит для настройки модулей мониторинга для всех агентов, независимо от их уникальных конфигураций. В конфигурацию можно добавлять новые правила. Настройки глобальной конфигурации суммируются с правилами мониторинга конфигурации агентов. Стоит отметить, что удаление и изменение правил глобальной конфигурации не рекомендуется, если администратор не уверен в своих действиях и не обладает достаточным опытом использования продукта.  Рисунок 7. Изменение параметров глобальной конфигурации  Разграничение ролей доступаС помощью разграничения ролей доступа можно выделить отдельные записи для различных сотрудников компании, отвечающих за работу с персоналом. Рисунок 8. Разграничение ролей доступа  Например, для сотрудников отдела кадров предоставить доступ только к учету рабочего времени, для службы безопасности — доступ к информации об утечках данных, а техническим специалистам запретить доступ к данным, но предоставить возможность настройки.Это дает возможность работы с продуктом различным категориям сотрудников, без риска компрометации конфиденциальных данных. Системные требования StaffCop Enterprise 4.1Для рабочих станций:Операционная система: Windows: 10, 8, 7, Vista; Windows Server 2003, 2008, 2012; GNU/Linux системы, в т. ч. Astra Linux, Rosa Linux и т. п. Процессор: Intel Core2Duo 2.2 ГГц. Оперативная память (RAM): 2 Гб.Для терминальных серверов:Оперативная память 2 Гб + 256 МБ на каждого пользователя. Дисковое пространство от 5 ГБ.Вендор заявляет поддержу рабочих мест на тонких клиентах.Для сервера:Вендор рекомендует следующий набор параметров с учетом опыта эксплуатации в различных условиях с учетом хранения данных в течение года: Таблица 1. Требования StaffCop Enterprise 4.1 для сервераКоличество агентовПамять (RAM)Ядер процессораДисковая подсистемадо 104-8 Гб2-4100 Гб для БД 600 Гб для файлового хранилищадо 508-16 Гб4-8100-120 Гб для БД 2 Тб для файлового хранилищадо 10016-24 Гб8-12200 Гб SSD для БД 4 Тб для файлового хранилищадо 20016-32 Гб8-16от 300 Гб SSD для БД 8 Тб для файлового хранилищадо 35024-32 Гб16-24от 500 Гб SSD для БД 12 Тб для файлового хранилищадо 80018-64 Гб24-32от 500 Гб SSD для БД 18 Тб для файлового хранилища Функции мониторинга и блокировок в StaffCop Enterprise 4.1Мониторинг активности пользователейКонтроль присутствия на рабочем местеЛогирование входа и выхода из системыУчет рабочего времениФайловый мониторингРегистрация всех операций с файламиСоздание теневых копий файлов, передаваемых за пределы компанииОтслеживание загрузки файлов в облачные хранилищаСоздание цифровых отпечатков файлов, поиск и корреляция по нимМониторинг коммуникаций сотрудниковМониторинг получаемой и отправляемой почты и вложений по протоколам POP3, IMAP, SMTP, MAPI и их шифрованным аналогамПерехват отправляемых писем и вложений через веб-сервисы электронной почтыРегистрация переписки в интернет-мессенджерах Skype, ICQ, Jabber (XMPP)Регистрация фактов звонков, их длительности и архивация SMS в SIP-телефонииМониторинг и блокировка USB-устройствРегистрация подключений USB-устройств с категоризацией по классам устройствБлокировка подключения USB устройств по классам и идентификаторам устройствОграничение записи на USB (режим «только чтение»)Мониторинг и блокировка сетевой активностиФакты посещения веб-сайтов и время, проведённое на нихРегистрация запросов к популярным поисковым системамРегистрация всех сетевых подключений (программа, ip-адрес, порт)Блокировка подключения к выбранным сайтамМониторинг и блокировка работы приложенийФакты установки и удаления приложенийРегистрация запуска и времени активного использования приложенияБлокировка запуска приложений по черным и белым спискамАудиовизуальный мониторинг сотрудникаСнимки экрана по интервалам времени и при смене фокуса окнаСнимки с веб-камерыОнлайн-просмотр рабочего стола с захватом управленияЗапись видео рабочего столаЗапись с микрофонов компьютеровИнвентаризация компьютеров и программного обеспечения                     Детектор аномалий поведения пользователейСистема оповещения об инцидентах Аналитические возможности StaffCop Enterprise 4.1StaffCop Enterprise обладает широкими возможностями для анализа собранной информации. В StaffCop реализована модель OLAP-куб, позволяющая быстро находить важные факты и строить многомерные отчеты на основе больших массивов данных в несколько кликов.Доступ к интерфейсу управления осуществляется с помощью перехода по IP-адресу сервера через браузер. После авторизации открывается основной интерфейс панели управления, представляющий собой журнал событий с множеством гибко настраиваемых фильтров. Рисунок 9. Интерфейс StaffCop Enterprise 4.1   Центральный элемент, который ориентирует администратора по месту сбора событий, — это агрегат-бар.Агрегат-бар отображает сгруппированные типы событий, агентов, диалоги, наблюдаемые приложения, позволяя сделать необходимый срез для просмотра в «линзе» — области визуализации данных.Конструктор отчетов и фильтровКонструктор предназначен для поиска и анализа информации, для создания новых фильтров. Для этого используется прием последовательного наложения ограничивающих фильтров. Наложение каждого фильтра в режиме реального времени отсекает лишнюю информацию, что позволяет найти искомое в 2-3 клика мыши.Рассмотрим работу комбинации панели измерений и агрегат-бара. Для примера — найдем, пользуются ли сотрудники не корпоративной почтой на работе, и если да, то кто.На панели измерений выберем «диалоги» → «направление» и в появившемся списке агрегат-бара поставим галочку на «исходящие», отфильтруем события почты с помощью «канал общения» → «Mail», теперь в агрегат-баре по измерению «домен отправителя» мы увидим все домены, с которых отправлялась почта и сколько раз. Рисунок 10. Фильтрация диалогов по домену отправителя  Чтобы найти имена нарушителей, исключим корпоративные домены из выборки: Рисунок 11. Исключение корпоративных доменов из фильтра  В результате получим список пользователей, отправлявших почту с некорпоративных ящиков. Далее кликом по имени пользователя получаем список всех сообщений.Заданный набор фильтров можно сохранить для дальнейшего использования и настройки оповещений на последующие события.Такой способ особенно удобен для расследования инцидентов и выявления групп риска. Рисунок 12. StaffCop Enterprise имеет богатую библиотеку шаблонов фильтров и отчетов  Карточки измеренийКарточка измерения — сводный отчет, отображающий характеристики объекта или множества объектов и события, с ними связанные, в удобном виде.Рядом с любым объектом в агрегат-баре есть иконка, при нажатии на которую открывается карточка объекта. Рисунок 13. Отчет «Карточка пользователя»  Рисунок 14. Отчет «Карточка USB-устройства»  Карточки значительно сокращают время и объем работ за счет агрегации данных по измерению или типу события.Контентный анализ и сквозной поискВ StaffCop Enterprise реализован сквозной поиск по всем событиям и теневым копиям текстовых файлов и документов (.txt, .doc, .rtf, .pdf и др.). Поиск можно производить по ключевым словам, фразам и регулярным выражениям. Поиск по ключевым словам и фразам производится с учетом морфологии. Рисунок 15. Сквозной поиск по слову в перехваченных файлах  Это удобно для поиска всех типов событий, связанных фразой или словом, которые в дальнейшем можно отфильтровать и детализировать.С помощью регулярных выражений можно отфильтровать сложные конструкции, например паспортные данные, номера кредитных карт и т. д.Визуальное представление данныхАнализировать данные в StaffCop Enterprise можно с помощью таблиц, линейных графиков, гистограмм, круговых диаграмм, тепловых диаграмм, графов взаимосвязи, дерева событий, а также с помощью отдельных отчетов для контроля эффективности работы сотрудников.Каждый отчет имеет собственный конструктор, с помощью него можно удобно группировать и детализировать данные по измерениям. В отчетах поддерживается техника дрилл-даун (drill down), когда по нажатию на элемент можно получить детализированные данные.В табличном виде удобно просматривать количественные показатели, делая разбивку по атрибутам. Рисунок 16. Линейный график — отображение операций копирования по часам  На линейном графике удобно обнаруживать различные аномальные всплески активности пользователей или их компьютеров, это могут быть операции копирования данных на флешки, загрузка в облачные хранилища или сетевая активность вредоносных программ. Рисунок 17. Граф взаимосвязи. Пример миграции файлов между пользователями  С помощью графов взаимосвязи можно визуализировать пути миграции определенного файла, увидеть коммуникации сотрудников внутри и снаружи компании. При использовании в связке со словарем ненормативной лексики можно определить «натянутые» отношения в коллективе.Граф взаимосвязи подойдет для:выявления махинаций внутри компании;отслеживания несанкционированного распространения конфиденциальных документов;контроля коммуникаций сотрудников. Рисунок 18. Круговая диаграмма  Круговая диаграмма удобна для визуального статистического анализа различных показателей и определения трендов.Детектор аномалийФункция анализирует поведение пользователей на выбранном промежутке времени и показывает отклонения от нормального для каждого пользователя. Порог срабатывания можно задать вручную. Рисунок 19. Детектор аномалий в StaffCop Enterprise 4.1  Детектор аномалий упрощает задачу специалиста службы безопасности по поиску возможных утечек и помогает обнаружить деятельность вредоносов.Оповещение об инцидентах информационной безопасностиStaffCop Enterprise может оповещать о нарушении политик безопасности в панели администратора и по электронной почте. С помощью конструктора фильтров легко создавать всевозможные политики, соответствующие политикам безопасности вашей организации, и назначать оповещения при их срабатывании.Политики могут быть настроены на группы или персонально на каждого сотрудника. Рисунок 20. На заданный адрес электронной почты приходят оповещения при срабатывании события  Таким образом можно проводить экспресс-расследования инцидентов. Оповещения содержат всю необходимую информацию для идентификации нарушителя и послужат доказательством нарушений.Система оповещений позволяет оперативно отреагировать на инциденты и снизить экономические и репутационные потери компании.Поддержка словарейВ StaffCop Enterprise 4.1 есть предустановленные словари:Словарь нецензурных выраженийСловарь наркоманского сленгаСловарь поиска работыТакже можно создавать собственные словари, соответствующие отрасли предприятия. Рисунок 21. Встроенные и пользовательские словари  Рисунок 22. Шаблон для создания собственного словаря  С помощью словарей можно:идентифицировать коммуникации с конкурентами;выявить нелояльных сотрудников;определить группу риска сотрудника.Учет рабочего времениStaffCop Enterprise может вести учет рабочего времени сотрудников за компьютерами. Для этого есть целый ряд специальных отчетов:Ленточный график — наглядное представление о начале и окончании работы, перерывах, распределении активности в течение дня.Месячный табель рабочего времени.Отчеты и рейтинги по опозданиям, как по количеству, так и по суммарному времени. Рисунок 23. Отчет по учету рабочего времени. Зеленые полоски — продуктивное время, красные — непродуктивное, серые — нейтральное  Рисунок 24. Сводный отчет с рейтингами сотрудников Категоризация работы сотрудников по продуктивностиМожно задавать различные политики продуктивности для разных групп пользователей, вплоть до персональных политик для отдельных сотрудников, что позволяет наблюдать на графиках активность пользователей в приложениях и на сайтах в виде полосок, раскрашенных в соответствующие цвета, а также показатели времени с точностью до минуты.Категоризация работы сотрудников по видам деятельностиАктивность пользователя можно разбить на категории, например, «работа в графических редакторах», «посещение развлекательных ресурсов» и т. п. StaffCop Enterprise позволяет категорировать события на компьютерах сотрудника на основе политик безопасности и продуктивности исходя из особенностей конкретной организации. Рисунок 25. Распределение деятельности сотрудника в течение дня  Отчеты учета рабочего времени дают наглядную и полную картину рабочего дня сотрудников и помогают выявить самых недисциплинированных.Аналитика действий администраторов и пользователей в LinuxStaffCop может перехватывать командную строку в Linux-системах, что позволяет мониторить действия системных администраторов на серверах и рабочих станциях. Рисунок 26. История командной строки в StaffCop Enterprise 4.1  Кроме этого, программа поддерживает для Linux-систем:скриншоты экранов;время работы в приложениях;перехват ввода с клавиатуры;подключение USB-устройств;локальный/удаленный вход или выход из системы;слежение за системными лог-файлами;история посещения сайтов;факты печати на принтере.Перечисленные функции работают в большинстве современных дистрибутивов (Ubuntu, Debian, CenOS, Gentoo, Arch, Rosa, Astra).Инвентаризация «железа» и программного обеспеченияStaffCop Enterprise 4.1 собирает данные об устройствах и установленном программном обеспечении на компьютерах сотрудников. Рисунок 27. Устройства компьютера  Рисунок 28. Установленные приложения  Функция полезна как для служб безопасности, так и для администраторов — возможность обнаружить пропажу или подмену оборудования, а также «запрещенные» программы.Удаленное управление АРМ, запись видео рабочего стола, скриншоты и снимки с веб-камерыС помощью StaffCop Enterprise 4.1 можно просматривать действия сотрудников в онлайн-режиме и при необходимости получить управление. Рисунок 29. Удаленное подключение  Иногда для получения полной информации о событии удобно посмотреть видеозапись его рабочего стола или скриншоты экрана, чтобы получить больше информации.А снимки с веб-камеры помогут идентифицировать сотрудника за рабочим местом. Рисунок 30. Просмотр снимков с веб-камеры Запись окружения с микрофонаЗапись с микрофонов компьютеров активизируется при срабатывании задаваемого шумового порога. Прослушивание возможно непосредственно в веб-интерфейсе. Рисунок 31. Прослушивание записей в интерфейсе StaffCop Enterprise 4.1  ВыводыСистема StaffCop Enterprise была разработана с учетом запросов современного бизнеса и полностью соответствует функциональным требованиям по обнаружению, анализу и расследованию инцидентов информационной безопасности.Особенностью системы является контроль командной строки GNU/Linux, что позволяет регистрировать все действия администраторов на рабочих станциях и серверах с установленным агентом StaffCop. Такая функция расширяет список сотрудников, которые могут находиться под наблюдением. Преимуществом также является возможность просмотра карточки сотрудника, которая консолидирует всю информацию по определенному пользователю в одном месте.  Несмотря на то, что StaffCop Enterprise 4.1 не позволяет блокировать отправку электронных сообщений в соответствии с созданными политиками (в отличие от традиционных DLP), система позволяет ограничить работу с USB-устройствами до режима «только чтение».StaffCop Enterprise 4.1 включен в единый реестр российских программ Минсвязи РФ №3337, что дает возможность использовать его на предприятиях в рамках политики импортозамещения. Продукт поддерживает идею «О Стратегии развития информационного общества в Российской Федерации на 2017 – 2030 годы» (Указ Президента Российской Федерации от 09.05.2017 г. № 203).Достоинства:Простота установки.Низкие требования к конфигурации сервера, технологии, позволяющие обойтись без покупки дополнительных лицензий сервера и БД .Конкурентная стоимость решения по сравнению с другими DLP-системами.Возможность мониторинга удаленных пользователей в режиме реального времени.Поддержка GNU/Linux-систем.Российское решение — включено в единый реестр отечественного программного обеспечения.Возможность доработки продукта в соответствии с требованиями заказчика.Недостатки: Отсутствие классической функции DLP — блокировки электронных сообщений.Нет возможности получить расшифровку записи микрофона в текстовом виде. 

Компания Veeam Software получила сертификат ФСТЭК России для версии Veeam Backup & Replication 9.5. Это решение для резервного копирования и восстановления данных в виртуальной среде любого масштаба и уровня сложности, поддерживающее платформы VMware vSphere и Microsoft Hyper-V. В версии 9.5 имеется ряд важных изменений и улучшений. В статье будут рассмотрены новые функции продукта. ВведениеНовые возможности Veeam Backup & Replication 9.5Архитектура решенияСистемные требования и поддерживаемые технологииСоответствие требованиям ФСТЭК РоссииРабота с продуктом6.1. Работа с Veeam Agent для Linux v16.2. Технология мгновенного восстановления виртуальных машин Instant VM Recovery6.3. Восстановление виртуальной машины из аппаратного снимка6.4. Резервное копирование любых данных и восстановление в облако AzureВыводы  ВведениеВнедрение технологий виртуализации в последнее время становится общей практикой для компаний всех размеров. Однако оно требует пересмотра вопросов безопасности. И одним из ключевых вопросов при создании системы защиты виртуальной среды является обеспечение целостности и доступности обрабатываемой информации.Для защиты от потери информации используются системы резервного копирования и восстановления данных. Как правило, это программный или программно-аппаратный комплекс для создания копий данных с определенной периодичностью для их последующего восстановления. Использование средств резервного копирования в виртуальных инфраструктурах позволяет защитить данные от потери или искажения в случае выхода из строя оборудования, возникновения сбоев в программном обеспечении или же человеческих ошибок (пользователей и администраторов инфраструктуры).  Необходимость применения средств резервного копирования и восстановления данных для виртуальных сред также отражена и в нормативных документах ФСТЭК России — требования к резервному копированию средств виртуализации описываются мерой ЗСВ.8 в Приказах № 17, 21 и 31. Кроме того, чтобы соответствовать требованиям ФСТЭК России, компании должны ориентироваться на применение сертифицированных средств защиты информации.В этом обзоре мы подробно рассмотрим обновленную версию системы резервного копирования и восстановления данных в виртуальных инфраструктурах Veeam Backup & Replication 9.5 от компании VeeamSoftware. Ранее мы публиковали обзор восьмой версий продукта Veeam Backup & Replication, с тех пор прошло более года, и за это время он значительно изменился. В данной статье мы сфокусируем внимание на возможностях и улучшениях обновленной версии Veeam Backup & Replication 9.5. Новые возможности и улучшения Veeam Backup & Replication 9.5По сравнению с предыдущей рассматриваемой версией (8.0) продукт включает в себя ряд важных изменений и улучшений.Пользовательский интерфейсОптимизация UI-компонента позволила уменьшить нагрузку на конфигурационную базу и время отклика UI. Кроме того, в меню настроек программы добавлен пункт Color Scheme для переключения между разными цветовыми схемами оформления.Назначение предпочтительных прокси-серверов позволяет в настройках репозитория указать, какие прокси-серверы предпочтительно использовать для работы с ним. Если ни один из предпочтительных серверов не доступен, то выбор прокси будет идти согласно настройкам задания.Повышение производительности работы Veeam Backup & Replication 9.5Одним из улучшений новой версии является повышение производительности работы Veeam Backup & Replication 9.5. Оптимизация конфигурационной базы позволила снизить нагрузку на SQL сервер благодаря более быстрой обработке запросов. Ускоренная обработка метаданных резервных копий позволяет быстрее обрабатывать задания с виртуальными машинами, на которых работает множество серверных приложений, в том числе и такие серверные приложения, при резервировании которых нужно хранить большое количество метаданных.Повышение скорости резервного копированияУлучшенный модуль переноса данных.До двух раз ускорен процесс резервного копирования виртуальных дисков при использовании СХД высокого класса, а также снижена нагрузка на производственную СХД. Такой эффект достигается благодаря сокращению количества операций чтения-записи при выполнении задания резервного копирования. Данная функциональность поддерживается для платформы VMware при резервном копировании из аппаратных снимков в режимах Virtual Appliance (hot add) и Direct NFS.Кэширование данных об инфраструктуре VMware vSphere. В оперативной памяти теперь хранится информация о топологии инфраструктуры vSphere, которая обновляется в реальном времени при получении данных о событиях изменения инфраструктуры от сервера vCenter. За сбор и хранение данных об инфраструктуре отвечает Veeam Broker Service. В результате есть два плюса: ускоряется построение перечня ВМ при запуске задания резервного копирования и при выведении представления виртуальной инфраструктуры в UI, и снимается часть нагрузки с vCenter Server.Оптимизация запросов к VMware vSphere. Скорость выполнения запросов стала значительно выше, и теперь даже при необходимости выстроить всю топологию VMware (например, при перезагрузке сервера Veeam Backup или при перезапуске службы Veeam Broker Service) нагрузка на vCenter Server минимальна.Повышение производительности восстановления данныхМгновенное восстановление Instant VM Recovery. Veeam позволяет восстанавливать не только виртуальные, но и физические серверы или пользовательские компьютеры в виртуальные машины. Это позволит, например, быстро «поднять» отказавшую физическую машину из бэкапа на то время, пока ведутся ремонтные работы.Параллельная обработка дисков при восстановлении ВМ целиком. Данная опция включена по умолчанию для всех репозиториев, хранящихся на дисковых СХД (кроме СХД Data Domain со встроенной дедупликацией).Расширенная интеграция с ReFS в Windows Server 2016Файловая система ReFS 3.1 увеличивает производительность и эффективность обработки больших массивов данных, обеспечивая также сохранность резервных копий и защиту критических бизнес-приложений благодаря технологии быстрого клонирования (повышает скорость создания и трансформации синтетических полных резервных копий до 20 раз), снижению требований к месту на диске и программному обеспечению. Помимо этого, она позволяет обеспечить целостность архивной копии и справиться с проблемой неявного повреждения данных благодаря мониторингу и своевременным отчетам о повреждении данных, формируемых с помощью потоков целостности ReFS. В ReFS также реализовано автоматическое исправление поврежденных блоков данных в процессе восстановления или при регулярном сканировании средствами очистки ReFS за счет использования «зеркала» дисковых пространств (Storage Spaces) и блоков четности.Технология Direct Restore в Мicrosoft AzureТехнология Direct Restore в Microsoft Azure позволяет восстанавливать в облако данные из любых резервных копий Veeam, что помогает оптимизировать распределение ресурсов, улучшить масштабируемость и увеличить эффективность ИТ-операций, а также свести к минимуму операционные и ограничить капитальные затраты.С помощью автоматических процессов преобразования P2V и V2V пользователи могут восстанавливать или переносить в Azure локальные рабочие мощности.Интеграция с технологиями для дата-центров Microsoft 2016Интеграция Veeam с технологиями для дата-центров Microsoft 2016 позволяет модернизировать частное облако и корпоративные приложения за счет поддержки Windows Server 2016, Hyper-V 2016 и Microsoft System Center Virtual Machine Manager 2016 (SCVMM).Можно резервировать виртуальные машины под управлением Windows Server 2016, используя индексирование файловой системы и обработку виртуальных машин с учетом действующих приложений. При этом для виртуальных машин на платформе Hyper-V 2016 такую обработку и индексирование, а также восстановление на уровне файлов (FLR) можно выполнять путем непосредственного доступа (direct access) к гостевой операционной системе, не требуя обязательного сетевого подключения (network connectivity). Также поддерживается файловая система ReFS и технология быстрого клонирования блоков.Версия Veeam Backup & Replication 9.5 поддерживает Microsoft Active Directory 2016, Exchange 2016, SharePoint 2016 и SQL Server 2016.Работа с системами хранения данныхСписок систем хранения, интегрированных с Veeam,  пополнился. Теперь помимо СХД Hewlett Packard Enterprise, NetApp, Dell EMC, Veeam Backup & Replication 9.5 поддерживает СХД Nimble и Cisco. Интеграция позволяет снизить нагрузку на производственную среду и улучшить показатели целевой точки и допустимого времени восстановления (RTPO™).Резервное копирование из аппаратных снимков снижает нагрузку на основную систему хранения во время резервного копирования. Также осуществляется быстрое восстановление отдельных объектов приложений, файлов гостевой операционной системы или ВМ целиком из аппаратных снимков на основном хранилище или из реплицированных копий на резервном хранилище.Кроме того, в новой версии системы появилась возможность выбора протокола для подключения СХД – FC, iSCSI или NFS.В новой версии реализована поддержка NetApp Data ONTAP 9.0, а также автоматическое распределение нагрузки среди множественных LIFs (логических интерфейсов) при использовании больших кластеров.Новые возможности Veeam Cloud ConnectVeeam Cloud Connect позволяет осуществлять резервное копирование в облако практически любого сервис-провайдера. В новой версии продукта есть возможность репликации ВМ в облако, что что позволяет быстро восстановить работоспособность сервисов инфраструктуры.Кроме того, появилась возможность параллельной обработки данных на стороне пользователя. Резервное копирование и репликация нескольких ВМ (или нескольких дисков одной машины) будут идти параллельно, а число таких задач будет ограничено максимальным значением, которое задается на стороне провайдера. Пользователи также смогут выполнять репликацию из резервных копий, хранящихся в облачном репозитории. Еще добавилась поддержка масштабируемого репозитория на стороне провайдера, что позволяет объединять облачные репозитории в единую структуру масштабируемого репозитория, а это значительно упрощает управление. Популярная опция хранения цепочек резервных копий, сгруппированных по ВМ, теперь доступна и при работе с облачным репозиторием, она особенно полезна при использовании СХД со встроенной дедупликацией.Поддержка серверных приложенийРеализована поддержка для серверов Oracle на платформе SUSE Linux Enterprise Server 11 и 12, а также поддерживаются серверы Oracle, работающие с использованием Oracle Data Guard в режиме резервного копирования.Veeam Agent для LinuxОбновленный сертифицированный пакет Veeam Backup & Replication 9.5 теперь включает компонент Veeam Agent для Linux, предназначенный для защиты физических машин под управлением Linux, развернутых локально или в облаке. Архитектура решенияВ состав сертифицированной версии Veeam Backup & Replication 9.5 входят:программный компонент Veeam Backup & Replication v9.5 Update 1;программный компонент Veeam Agent для Linux v1.Инфраструктура Veeam Backup & Replication 9.5 включает в себя набор компонентов, необходимых для выполнения задач по защите и восстановлению данных:Сервер резервного копирования: физический или виртуальный сервер, на котором установлен продукт Veeam Backup & Replication. Сервер резервного копирования является управляющим компонентом инфраструктуры.Хосты виртуализации: хосты ESX(i) или Hyper-V, используемые в качестве исходных и целевых при резервном копировании, репликации и др. задачах.Прокси-сервер: компонент, выполняющий задачи по чтению данных с исходного хоста, хранилища или репозитория (в случае восстановления данных), обработке данных и их передаче на целевое устройство или хост.Репозитории: место (каталог) для хранения резервных копий, метаданных реплик виртуальных машин и других данных.Veeam Agent для Linux — это инструмент для бэкапа физических устройств под управлением Linux: компьютеров, серверов и машин в публичном облаке. Он создает резервные копии на уровне образа, которые хранятся в формате VBK — такой же формат используется в Veeam Backup & Replication и Veeam Agent для Microsoft Windows. Veeam Agent for Linux — самостоятельный компонент, который можно использовать отдельно от  Veeam Backup & Replication. При этом Veeam Agent может использовать репозитории Veeam Backup & Replication в качестве целевого хранилища. Системные требования и поддерживаемые технологииМинимальные системные требования для основных компонентов При развертывании Veeam Backup & Replication необходимо учитывать следующие основные требования к аппаратному и программному обеспечению его компонентов Таблица 1. Системные требования Veeam Backup & Replication 9.5Компонент Veeam Backup & Replication 9.5Аппаратное обеспечениеОперационная системаСУБДСервер Veeam Backup & Replication  Процессор: х86-64. Память: 4Гб и 500Мб для каждого выполняемого задания. Жесткий диск: 2ГБ для установки и 10ГБ на каждые 100 виртуальных машин. Сеть: Ethernet 1Гбит/с Microsoft Windows Server 2016, 2012 R2, 2012, 2008 R2 SP1, 2008 SP2 Microsoft Windows 10, 8.0, 8.1, 7 SP1 Microsoft SQL Server 2014, 2012 (издание Express включено в дистрибутив), 2008 R2, 2008 Microsoft SQL Server 2005 Консоль Veeam Backup & ReplicationПроцессор x86-64. Память: 2 ГБ Жесткий диск: 500 МБ для установки продукта и 4.5 ГБ для установки Microsoft .NET Framework 4.5.2. Сеть: 1 Mбит/сMicrosoft Windows Server 2016, 2012 R2, 2012, 2008 R2 SP1, 2008 SP2 Microsoft Windows 10, 8.0, 8.1, 7 SP1 Прокси-сервер Процессор: x86 процессор (рекомендуется минимум 2 ядра). Память: 2 ГБ и 200 МБ для каждого выполняемого задания. Жесткий диск: 300 МБ. Сеть: Ethernet 1 Гбит/с. Для Hyper-V: Microsoft Windows Server 2016, 2012, 2012 R2, 2008 R2 SP1 с установленной ролью Hyper-V Для VMware ESXi: Microsoft Windows Server 2016, 2012 R2, 2012, 2008 R2 SP1, 2008 SP2 Microsoft Windows 10, 8.0, 8.1, 7 SP1, Vista SP2 -Репозиторий Процессор: x86 процессор (рекомендуется x86-64). Память: 4 ГБ и 2 ГБ для каждого выполняемого задания. Жесткий диск: 200 МБ свободного места на диске для установки. Размер дискового пространства для хранения резервных копий определяется пользователем. Сеть: Ethernet 1 Гбит/с. 32-х и 64-х разрядные версии Microsoft Windows Server 2012 (R2) 2008 (R2 SP1, SP2) 2003 (SP2) Microsoft Windows 8.x, 7 SP1, Vista SP2 Linux (требуются командная оболочка bash, SSH и Perl). -Veeam Backup Enterprise ManagerПроцессор x86-64. Память: 2 ГБ. Жесткий диск: 2 ГБMicrosoft Windows Server 2016, 2012 R2, 2012, 2008 R2 SP1, 2008 SP2, 8.0, 8.1, 7 SP1Microsoft SQL Server 2014, 2012 (издание 2012 Express SP3 включено в дистрибутив), 2008 R2, 2008 Полный состав требований к аппаратному и программному обеспечению компонентов приведен в руководствах, представленных на сайте вендора.Поддерживаемые технологии виртуализацииVeeam Backup & Replication 9.5 поддерживает следующие технологии виртуализации: Таблица 2. Поддерживаемые технологии виртуализацииКомпонентVMware vSphereMicrosoftПлатформыvSphere 6.0, 6.5 vSphere 5.0, 5.1, 5.5 vSphere 4.1Hyper-VХостыESXi 6.0, 6.5 ESXi 5.0, 5.1, 5.5 ESX 4.1, ESXi 4.1Windows Nano Server (с установленной ролью Hyper-V) Windows Server Hyper-V 2016 Windows Server Hyper-V 2012 R2 Windows Server Hyper-V 2012 Windows Server Hyper-V 2008 R2 SP1 Поддерживается Microsoft Hyper-V Server (бесплатная версия гипервизора)ПО управления инфраструктуройvCenter Server 6.0, 6.5 (опционально) vCenter Server 5.0, 5.1, 5.5 (опционально) vCenter Server 4.1 (опционально) vCloud Director 5.5, 5.6, 8.0, 8.10 (опционально)Microsoft PowerShell Engine 2.0 (опционально, для обработки гостевой ОС без подключения по сети) Microsoft System Center Virtual Machine Manager 2016 (опционально) Microsoft System Center Virtual Machine Manager 2012 R2 (опционально) Microsoft System Center Virtual Machine Manager 2012 SP1 (опционально) Microsoft System Center Virtual Machine Manager 2008 R2 SP1 (опционально)Виртуальная машинаПоддерживаются все типы и версии виртуального оборудования, включая диски VMDK размером до 62 ТБ Поддерживаются любые операционные системы, поддерживаемые VMware vSphereПоддерживаются 5.0 и 8.0 (Hyper-V 2016)  версии виртуального оборудования Поддерживаются виртуальные машины 1 и 2 поколения, включая VHDX размером до 64 ТБ. Поддерживаются любые операционные системы, поддерживаемые Microsoft Hyper-V. Требования Veeam Agent для Linux:ПараметрЗначениеПроцессорx86/x64Ядро2.6.32 или вышеДистрибутив32- и 64-разрядные версии: Debian 6.x-8.x Ubuntu 10.04-16.10 RHEL/CentOS/Oracle Linux 6.x-7.x Fedora 23, 24 openSUSE 11.3-13.x, Leap 42.1 SLES 11 SP2 – 12 Интеграция с системами хранения данныхРезервное копирование с помощью аппаратных снимков и работа Veeam Explorer для Storage Snapshots поддерживается для следующих устройств:Dell EMC VNX, VNX2, VNXe и UnityПоддержка подключения через NFS, Fibre Channel (FC) или iSCSIHPE 3PAR StoreServПоддержка подключения через Fibre Channel (FC) или iSCSI3PAR OS 3.1.2 и вышеHPE StoreVirtual (серия LeftHand / P4000) и StoreVirtual VSAПодключение только через iSCSILeftHand ОС версии с 9.5 по 12.6HPE SV3200 (LeftHand ОС версии 13) не поддерживаетсяNetApp FAS, FlexArray (серия V-Series), Edge VSA и IBM серии N (NetApp FAS OEM)Поддержка подключения через NFS, Fibre Channel (FC) или iSCSIData ONTAP версии с 8.1 по 9.0Режимы 7-mode или кластерныйNimble Storage серии AF-Series и CS-SeriesПоддержка подключения через Fibre Channel (FC) или iSCSINimble ОС версии 2.3 и вышеПолный перечень поддерживаемых систем приведен на сайте вендора.Политика лицензированияVeeam Backup & Replication 9.5 лицензируется по количеству сокетов ЦПУ на хостах с ВМ, для которых выполняются задания резервного копирования, репликации, мониторинга и создания отчетов. Лицензия необходима для каждого занятого сокета на материнской плате согласно данным API-интерфейса гипервизора.Для Veeam Backup & Replication 9.5 предлагается два вида лицензий: бессрочная лицензия  или лицензия на основе подписки. Соответствие требованиям ФСТЭК РоссииVeeam Backup & Replication 9.5 сертифицирован по требованиям безопасности ФСТЭК России (сертификат № 3482). Полученный сертификат ФСТЭК дает пользователям Veeam возможность организовать бизнес-процессы в соответствии с требованиями законодательства РФ. Сертифицированная версия Veeam Backup & Replication 9.5 может применяться для резервного копирования персональных данных физлиц, конфиденциальной информации организаций, ДСП-информации, коммерческой тайны и другой информации ограниченного доступа, не относящейся к государственной тайне, как в государственном секторе, так и в коммерческих организациях. Работа с продуктомРабота с Veeam Agent для Linux v1Установить и обновлять Veeam Agent для Linux можно используя установочные пакеты, доступные на сайте Veeam.Резервное копирование настраивается с помощью панели управления (аналог пользовательского интерфейса) или из командной строки. Порядок создания резервной копии включает в себя несколько этапов:Выбор режима бэкапа: для восстановления «на голое железо», на уровне тома или на уровне файлов.Выбор репозитория резервных копий: локальный диск, папка с совместным доступом или репозиторий Veeam Backup & Replication (необходима версия 9.5 Update 1).Настройка расписания и числа точек восстановления.Veeam Agent для Linux предлагает панель управления — своего рода графический интерфейс (GUI), который можно запустить из командной строки и использовать даже в том случае, если программа установлена на сервере, где нет менеджера окон. Рисунок 1. Настройка задания резервного копирования в Veeam Agent для Linux  Рисунок 2. Выбор области резервного копирования: машина целиком, один из томов или отдельные каталоги и файлы  Рисунок 3. Настройка расписания резервного копирования  Если требуются дополнительные настройки бэкапа, можно использовать командную строку: это позволит создать собственные скрипты для автоматизации развертывания и бэкапа. Рисунок 4. Резервное копирование из командной строки в Veeam Agent для Linux  В командной строке можно указать такие параметры, как compressionLevel и blockSize, которые недоступны в UI. Здесь также можно задать параметры подготовки образа к созданию снапшота и возвращения в стандартный режим работы. Это позволит, например, создать согласованную резервную копию сервера баз данных.После настроек задания запускается создание резервной копии. Рисунок 5. Информация о создании бэкапа в Veeam Agent для Linux  Если для хранения резервных копий используется сервер Veeam Backup & Replication,  то доступные копии будут во вкладке Agents.Чтобы восстановить данные на уровне файлов, необходимо выбрать команду Recover Files. Резервная копия будет подключена как отдельный каталог, и для просмотра файлов можно будет использовать любой диспетчер файлов. Рисунок 6. Восстановление данных в Veeam Agent для Linux  В окне Veeam Agent для Linux отображаются доступные резервные копии и количество точек восстановления в каждой резервной копии. В данном случае у нас всего одна точка восстановления. Рисунок 7. Выбор резервной копии в Veeam Agent для Linux  Чтобы выбрать и использовать ее, дважды нажимаем клавишу Enter. В результате файл резервной копии монтируется в каталог /mnt/backup. Рисунок 8. Выбор резервной копии в Veeam Agent для Linux Технология мгновенного восстановления виртуальных машин Instant VM RecoveryМгновенное восстановление виртуальных машин Instant VM Recovery помогает поддерживать доступность системы в случаях самой острой необходимости. Технология Instant VM Recovery позволяет немедленно восстановить отказавшую виртуальную машину, запустив ее непосредственно из файла резервной копии.Для того чтобы восстановить ВМ используя Instant VM Recovery, необходимо запустить виртуальную машину из резервной копии, не заставляя пользователей ждать выделения пространства на ресурсах хранения, извлечения машины из резервной копии и переноса ее в производственную среду. Рисунок 9. Мгновенное восстановление ВМ Instant VM Recovery в Veeam Backup & Replication 9.5  При мгновенном восстановлении виртуальных машин используется запатентованная технология vPower, которая позволяет подключить образ виртуальной машины к хосту vSphere или Hyper-V непосредственно из сжатого и дедуплицированного файла резервной копии.Поскольку не требуется извлекать виртуальную машину (ВМ) из резервной копии целиком, а затем копировать ее на производственные ресурсы хранения, вы можете запустить ВМ из любой точки восстановления (инкрементной или полной) всего за несколько минут, а не часов, как при обычном восстановлении. Это значительно сокращает время восстановления. Рисунок 10. Процесс восстановления ВМ с использованием Instant VM Recovery  Резервная копия образа ВМ используется в режиме «только чтение», что позволяет сохранить целостность резервной копии. Все изменения сохраняются отдельно и применяются во время миграции ВМ на производственную систему хранения.После запуска ВМ можно перенести в рабочую среду с помощью VMware Storage vMotion, Hyper-V Storage Migration или Quick Migration — собственной технологии Veeam.Восстановление ВМ из аппаратного снимкаБлагодаря интеграции с системами хранения HPE, NetApp, Dell EMC и Nimble Veeam может восстанавливать отдельные файлы и объекты приложений.  За процедуру восстановления из аппаратных снимков отвечает Veeam Explorer для Storage Snapshots. Рисунок 11. Принцип работы Veeam Explorer для Storage Snapshots  На СХД поступает команда о создании снимка тома с возможностью записи. Снимок подключается к выбранному хосту vSphere в качестве нового хранилища. Восстановленная ВМ временно регистрируется на хосте, после чего пользователь может применить опцию Instant VM Recovery для ее мгновенного восстановления. Рисунок 12. Процесс восстановления ВМ из аппаратного снимка в Veeam Backup & Replication 9.5  Сервер резервного копирования подключает виртуальный диск ВМ через VMware VADP, после чего пользователь может восстановить отдельные папки и файлы гостевой ОС. По окончании восстановления хранилище отключается от хоста vSphere, а аппаратный снимок удаляется.Резервное копирование любых данных и восстановление в облако AzureТехнология Restore в Microsoft Azure, которая входит в Veeam, позволяет восстанавливать машины из резервных копий Veeam в облако для оптимизации использования ресурсов и расширения возможностей восстановления. Благодаря этой технологии можно перенести или восстановить в облако локальные физические серверы, персональные компьютеры и виртуальные машины VMware и Hyper-V. Рисунок 13. Схема резервного копирования с использованием Direct Restore в Мicrosoft Azure в Veeam Backup & Replication 9.5  ВыводыВ обзоре мы познакомились с новой версией продукта Veeam Backup & Replication 9.5, который объединяет возможности резервного копирования и репликации в одном решении, чтобы обеспечить комплексную защиту виртуальной среды VMware vSphere и Microsoft Hyper-V.В новой версии разработчики Veeam большое внимание уделили производительности системы и скорости резервного копирования и восстановления. Например, до двух раз ускорен процесс резервного копирования виртуальных дисков при использовании СХД высокого класса, а также снижена нагрузка на производственную СХД благодаря сокращению количества операций чтения-записи при выполнении задания резервного копирования. Новая технология Instant VM Recovery позволяет мгновенно восстановить виртуальные машины непосредственно из резервной копии всего несколькими щелчками мыши.Еще одним преимуществом новой версии является возможность восстанавливать виртуальные машины, файлы и объекты приложений непосредственно из мгновенных аппаратных снимков поддерживаемых СХД.Интеграция Veeam с Мicrosoft Azure и технология Direct Restore в Microsoft Azure позволяет восстанавливать в облако данные из любых резервных копий Veeam, что помогает оптимизировать распределение ресурсов, улучшить масштабируемость и увеличить эффективность ИТ-операций, а также ограничить денежные затраты. Интеграция с технологиями для дата-центров Microsoft 2016 позволяет вести обработку и индексирование, а также восстановление на уровне файлов путем непосредственного доступа к гостевой операционной системе.Сертификация по требованиям безопасности ФСТЭК России дает возможность использовать Veeam Backup & Replication в составе системы защиты информационных систем, где применение сертифицированных продуктов обязательно, например, в информационных системах персональных данных, государственных информационных системах (ГИС), автоматизированных системах управления технологическим процессом (АСУ ТП). Отметим, что сертифицированный пакет Veeam Backup & Replication теперь включает модуль Veeam Agent для Linux v1, который предназначен для защиты физических машин под управлением Linux, развернутых локально или в облаке.К недостаткам продукта можно отнести отсутствие поддержки гипервизоров Xen и KVM, на которых базируется платформа виртуализации Citrix (XenServer, XenApp), Red Hat OpenStack Platform, Oracle OpenStack, а также работают многие публичные сервисы, например Amazon EC2, Rackspace и другие.Преимущества:Сертификат соответствия ФСТЭК России.Мгновенное восстановление виртуальных машин при помощи технологии Instant VM Recovery, которое занимает около двух минут.Восстановление из аппаратного снимка файлов гостевых ОС, объектов приложений или ВМ целиком, которое занимает около двух минут.Возможность возобновляемой репликации виртуальных машин на облачные площадки поставщиков услуг.Возможность восстанавливать в облако данные из любых резервных копий Veeam при помощи технологии Direct Restore.Возможность послеаварийного восстановления из облака.Широкие возможности интеграции с Мicrosoft Azure, технологиями дата-центров Microsoft 2016 и современными СХД.Поддержка восстановления виртуальных машин, файлов и объектов приложений непосредственно из мгновенных аппаратных снимков поддерживаемых СХД.Автоматическое тестирование резервных копий.Недостатки:Отсутствие поддержки гипервизоров Xen и KVM.

В статье рассматривается система управления идентификационными данными и доступом компании One Identity — One Identity Manager версии 7.1.2 (дата выпуска — сентябрь 2017). Наш обзор будет состоять из нескольких частей. В первой части мы рассмотрим историю продукта и его функциональные возможности, а также отразим основные моменты по управлению учетными данными сотрудников и их правами доступа. ВведениеКак появился One Identity Manager?Описание One Identity ManagerФункциональные возможности One Identity ManagerУправление идентификационными данными и доступом в One Identity ManagerПортал самообслуживания6.1. Интернет-магазин и согласование заявок6.2. Курирование доступа и нормоконтроль6.3. Оценка рисков6.4. Аудит6.5. Аттестация6.6. ОтчетностьВыводы ВведениеЭтим обзором мы продолжаем публикацию статей, посвященных IdM/IAM-системам, представленным на российском рынке. Ранее мы уже рассматривали популярные IdM/IAM-системы в контексте мирового и российского рынка («Обзор IdM/IAM-систем на мировом и российском рынке»), а также проводили детальное сравнение таких систем управления доступом («Сравнение систем управления доступом (IdM/IAM) 2015»).Но рынок не стоит на месте, к продуктам этого класса присматриваются все больше компаний. К тому же зачастую, как показывает практика, компании обращают внимание на новые IdM/IAM-системы, когда уже внедренная система перестает удовлетворять всем потребностям ее владельца, а дополнительное расширение ее функциональности упирается в финансы и другие сложности. Соответственно, на российском рынке появляются новые игроки, которые предлагают свои продукты. Помимо отечественных представителей, на нашем рынке развиваются зарубежные продукты от мировых лидеров, на которые также стоит обращать внимание.Развивается не только рынок, но и сами IdM/IAM-системы. Они совершенствуются, обрастают дополнительными возможностями, новыми «фишками», которые позволяют расширить сценарии их использования. По этой причине в конце 2016 года мы расширили наше детальное сравнение систем управления доступом, добавив туда IdM/IAM-системы, появившиеся на нашем рынке, и увеличив число критериев для сравнения («Сравнение систем управления доступом (IdM/IAM) 2016»). Одним из таких продуктов, который был нами рассмотрен в рамках приведенного выше сравнения, является IdM-система One Identity Manager, представленная компанией с созвучным названием One Identity, (ранее — подразделение компании Dell). Именно этому продукту и посвящен данный обзор. Как появился One Identity Manager?Продукт One Identity Manager не является новым, а существует и стабильно развивается на рынке уже более 15 лет. За это время он предлагался под разными названиями, в зависимости от вендора-владельца. Изначально это было детище компании Voelker Informatic (Германия), продукт назывался ActiveEntry. Будучи приобретенным компанией Quest Software, продукт получил название Quest One Identity Manager. В 2012 году компания Quest Software (в том числе One Identity как ее составная часть) была куплена компанией Dell, в рамках которой было создано подразделение Dell Software. Под брендом Dell Software продукт получил наименование Dell One Identity Manager. Но под этим брендом он просуществовал сравнительно недолго, и в конце 2016 года появилась новая, самостоятельная компания One Identity, а ее основной продукт получил теперешнее название – One Identity Manager. Именно под этим брендом и названием российскому рынку и предлагается система управления идентификационными данными и доступом.Стоит отдельно отметить, что несмотря на неоднократную смену названия и бренда, все это время продукт активно развивался. Так и сейчас, под новым брендом One Identity продолжаются все старые проекты, активно развивается партнерская сеть, а самое главное — сохранена и расширена команда сотрудников (в том числе разработчики), которые работали над системой ранее.Более подробную информацию о компании One Identity, ее истории и планах развития в России вы можете узнать из нашего интервью с руководителем представительства компании в России и СНГ Яковом Фишелевым («Яков Фишелев: Наша цель — стать IdM-вендором номер один для коммерческих компаний в России»). Описание One Identity ManagerOne Identity Manager представляет собой решение для централизованного управления правами доступа сотрудников к различным информационным ресурсам компании. С его помощью большинство задач по управлению учетными записями и правами доступа пользователей автоматизируется, что позволяет снизить простои в работе сотрудников и загрузку системных администраторов. Как и любая система IdM, One Identity Manager предлагает богатый набор функций по контролю прав доступа сотрудников, соответствию требованиям различных стандартов и политик безопасности, автоматизации и унификации самих процессов контроля. Это позволяет службам информационной безопасности обеспечивать более высокий уровень контроля за разграничением доступа к информационным ресурсам и, как следствие, повысить общий уровень информационной безопасности в компании.Продукт представлен полностью как программное решение и поставляется с большим количеством предопределенных рабочих процессов. Широкий набор функций предлагается из коробки. Большинство тонких настроек доступно в графическом интерфейсе, в результате чего для решения многих базовых задач работа программистов не требуется. Это позволяет внедрить IdM-системы с базовой функциональностью в сравнительно короткие сроки.Еще одним отличительным признаком, который делает IdM-систему One Identity Manager более привлекательной для российских компаний, является наличие пользовательского интерфейса на русском языке. Портал самообслуживания в этой IdM-системе реализован по принципу интернет-магазина, логика функционирования которого знакома большей части пользователей. Эти моменты значительно облегчают работу с системой как рядовым пользователям (сотрудникам, руководителям), так и администраторам. При этом каких-либо специальных навыков для работы с системой не требуется (текущие клиенты One Identity Manager особо отмечают простоту ее внедрения и последующего администрирования).Кроме того, One Identity Manager отмечен рядом независимых аналитических агентств. Так, например, по отчетам таких аналитических агентств, как Forrester (ссылка на отчет) и KuppingerCole (ссылка на отчет), One Identity Manager был признан лидером. В том числе Gartner в своем последнем исследовании, посвященном IGA-системам (Identity Governance and Administration; с учетом изменений наименования IdM-системы Gartner на сегодняшний день использует в названии своего магического квадранта аббревиатуру IGA) отмечает превосходную функциональность по управлению пользователями, ролями и политиками, глубокую интеграцию со сложными приложениями. Функциональные возможности One Identity ManagerOne Identity Manager осуществляет управление идентификационными данными и контроль доступа к приложениям, платформам, системам и данным в масштабах всего предприятия согласно модели RBAC (Role Based Access Control). Кроме того, частично поддерживается атрибутная модель доступа. В продукте реализовано решение таких задач, как управление учетными записями, правами доступа пользователей к ресурсам информационных систем, управление запросами на новые учетные записи и права доступа, контроль за учетными записями и правами доступа, контроль соответствия правилам и политикам (нормоконтроль), плановая аттестация доступа, сертификация учетных записей, контроль разделения полномочий и т. д. При том большинство этих задач унифицированы (либо автоматизированы), что позволяет снизить нагрузку на ИТ-персонал и сократить операционные расходы.Основные функциональные возможности One Identity Manager:интеграция с доверенными источниками данных (информационные системы, из которых в IdM-систему загружаются данные о внутренних и внешних сотрудниках компании, оргштатной структуре и др.) и целевыми системами; при этом в качестве доверенной системы может быть использована любая подключенная информационная система;автоматизация процессов, связанных с созданием, удалением и изменением учетных записей сотрудников (прием на работу, кадровый перевод, увольнение, долгосрочный отпуск), а также предоставлением им доступа к различным ресурсам в соответствии с заданной ролевой моделью;множество предопределенных рабочих процессов, которые могут использоваться с минимальной настройкой (или вообще без нее) — из коробки;наличие удобного и современного портала самообслуживания, реализованного по принципу интернет-магазина с полной локализацией интерфейса на русский язык;права доступа могут предоставляться автоматически на основе ролей и оргштатной структуры, а также посредством заявок на портале самообслуживания;наличие встроенного механизма расчета и оценки рисков, связанных с имеющимися у сотрудника правами доступа;возможность проведения регулярной аттестации прав доступа (по расписанию или по событиям);возможность построения ролевой модели путем анализа текущих полномочий в каждой целевой системе, используя конструктор ролей — приложение Analyzer;обзор информации по сотруднику «на 360 градусов», предоставляющий полное отображение всех имеющихся в системе данных по нему и предоставленных ему прав доступа;процессы согласования заявок, различные правила и политики настраиваются в удобном графическом интерфейсе;неограниченные возможности создания и настройки отчетов во встроенном универсальном конструкторе отчетов — Report Editor;наличие графической среды для подготовки коннекторов, которая позволяет подключать целевые системы, не требуя написания кода;встроенные возможности по изменению интерфейса пользователя — Web Designer;глубокая интеграция с SAP, вплоть до разграничения доступа (SoD) на уровне транзакций;для автоматизации обработки запросов пользователей имеется возможность интеграции с внешними системами Helpdesk. Управление идентификационными данными и доступом в One Identity ManagerДля работы с системой One Identity Manager используется ряд приложений (интерфейсов), предназначенных для решения разных задач. В данной части обзора мы рассмотрим один из основных интерфейсов, с помощью которого реализуется множество задач по управлению идентификационными данными сотрудников, предоставлению им прав доступа к различным ресурсам компании и их контролю — портал самообслуживания One Identity Manager.Вообще, в решении One Identity Manager все действия, которые касаются процессной деятельности, выполняются из портала самообслуживания. Т. е. это единственный рабочий интерфейс, который будет необходим сотрудникам компании для запроса прав доступа, согласования заявок, проведения аттестации прав доступа ответственными лицами по каждой целевой системе, аудита, контроля за соблюдением установленных политик и правил, их нарушениям, отчетности, делегирования полномочий и др. — как итог, конечный результат внедрения системы IdM.Настройка самой системы производится администраторами при помощи набора приложений (в основном, толстых клиентов). Эти инструменты и другие аспекты, касающиеся настройки решения One Identity Manager, мы рассмотрим во второй части обзора. Портал самообслуживанияПортал самообслуживания предназначен для всех сотрудников компании — как рядовых пользователей, так и руководителей. Он позволяет выполнять следующие действия:управлять учетными данными пользователей и их паролями;управлять ролями и правами доступа в системах;осуществлять работу с запросами на новые продукты (учетные записи, роли и т. д.) — создавать запросы, согласовывать, отклонять, эскалировать и пр.;проводить регулярную аттестацию прав доступа в целевых системах;контролировать соблюдение различных политик и правил, выявлять нарушения;проводить аудит (по изменению прав доступа, полномочий, атрибутов учетных записей);настраивать и получать необходимую отчетность;производить оценку рисков по подразделениям и сотрудникам;осуществлять общий надзор за состоянием систем и компании в целом в плане информационной безопасности — при помощи сводных экранов состояния (dashboards), отчетов и обзоров.В зависимости от назначенных пользователю полномочий в самой системе IdM (внутренних ролей в системе) стартовая страница портала будет выглядеть по-разному; на портале будут отображаться только разрешенные для данного пользователя элементы и функции.Стоит особо отметить, что портал самообслуживания One Identity Manager прекрасно выглядит как на десктопе, так и на мобильных устройствах (смартфон, планшет) благодаря используемой технологии HTML5 и наличию двух режимов отображения: для мобильных устройств и для рабочего стола. Режим отображения выбирается автоматически, но его также можно переключить вручную. Рисунок 1. Стартовая страница рядового сотрудника на портале самообслуживания  На портале сотрудник видит несколько разделов, которые предоставляют различные возможности. Здесь, например, отображается:информация о действиях, которые сотруднику необходимо выполнить (например, согласовать заявку, провести аттестацию доступа в системе, аттестовать членство в подразделении, группе или роли);обязанности сотрудника (например, если сотрудник является руководителем, то он увидит список всех своих подчиненных и дополнительную информацию по каждому подчиненному; руководитель отдела увидит список членов отдела);каталог услуг (сервис-каталог), в котором пользователь может сформировать заявку (как для себя, так и для своих подчиненных) и отправить ее на согласование;информация по устройствам, принадлежащим сотруднику (например, мобильный телефон, токен);список информационных систем и ресурсов, а также список системных и бизнес-ролей, закрепленных за данным сотрудником, (так называемые права владения);архив действий (запросы, утверждения, аттестации, делегирование);информация о делегировании своих полномочий третьим лицам;доступные для подписки отчеты;адресный справочник (white pages) и многое др.Также на портале сотруднику доступна функция редактирования своего профиля:можно изменить свои идентификационные данные (фамилия, имя, адрес, номер телефона и др.);настроить почтовые подписки на различные уведомления от системы;настроить подписки на получение отчетов (здесь доступны дополнительные настройки формирования отчетов, если они разрешены для данного пользователя, а также раздел «Мои отчеты», в котором отображаются последние сформированные отчеты; время хранения отчетов является настраиваемым параметром);делегировать все или часть своих полномочий третьим лицам (на время или без ограничения по времени). Рисунок 2. Редактирование профиля пользователя на портале самообслуживания  Помимо этого, пользователь может посмотреть свой профиль в графическом виде — так называемый обзор «на 360 градусов». Этот инструмент наглядно представляет информацию по пользователю в целом — «карточку сотрудника»: по имеющимся у него учетным записям в системах, его полномочиям в этих системах, статусе аттестации (в случае если она проводилась по пользователю или по связанным с ним объектам), организационную информацию (руководитель, заместитель, отдел, департамент) и т. д.В рамках обзора «на 360 градусов» по сотруднику в центре располагается организационная информация о нем (фамилия, имя, должность и т. д.), а по периметру — информация о связанных с этим пользователем объектах. Это сведения о доступе к интернет-магазину, о бизнес-роли (или ролях) назначенных сотруднику, учетных записях и их полномочиях (ролях) в приложениях. Отображаемый график строится автоматически, и при выборе какого-либо элемента сотрудник может «проваливаться» в этот элемент, чтобы увидеть дополнительную информацию по нему, а также связи с другими объектами (т. е. заложена возможность быстрого перехода между объектами). Для выбранного элемента также строится графический отчет «на 360 градусов». Рисунок 3. Отчет «на 360 градусов» по сотруднику в One Identity Manager Подобным же образом в системе отображается информация о текущих полномочиях сотрудника в различных информационных системах — формируется отчет «на 360 градусов», в котором так же можно «проваливаться» в выбранный элемент для получения дополнительной информации о нем (drill-down). Например, если кликнуть на элементе «Учетная запись Active Directory», то мы получим более подробную информацию по нему: Рисунок 4. Учетная запись Active Directory и связанные с ней объекты И так по каждому элементу, отображаемому в отчете «на 360 градусов». Это удобно, так как наглядно показывает, как объекты и элементы системы связаны друг с другом.Руководитель увидит на портале намного больше информации, чем рядовой сотрудник. На стартовой странице для него, например, будут отображаться различные сводные панели (dashboard) по подразделению (отделу, департаменту). Кроме того, ему доступна подробная информация по всем своим подчиненным. Рисунок 5. Стартовая страница руководителя на портале самообслуживания Руководитель может просматривать и редактировать данные по всем своим подчиненным. Руководителю будет доступна карточка выбранного подчиненного, информация по имеющимся у подчиненного учетным записям и полномочиям в системах, сделанных им запросах (прошлых и текущих), сведения по уровню риска, который автоматически вычисляется системой и зависит от имеющихся у сотрудника прав доступа и полномочий, сведений об аттестации его прав доступа, о имеющихся у сотрудника нарушениях политики безопасности и др. Рисунок 6. Редактирование и отображение информации по сотруднику для руководителя Руководителю также доступна обобщенная информация по его подразделению (отделу, департаменту):обзор по департаменту «на 360 градусов»;информация о сотрудниках департамента;исходные данные — описание, ответственные за согласование и т. п.;информация по полномочиям, привязанным к департаменту (здесь мы можем сформировать запрос на предоставление прав доступа на уровне департамента);оценка рисков на уровне департамента;нарушения норм и политик (здесь же отображается сводная информация по нарушениям для каждого сотрудника департамента и его индексу риска);информация о членстве сотрудников в бизнес-ролях и т. д.;информация по аттестации, которая проходит по департаменту. Рисунок 7. Информация по членству пользователей в подразделении Из портала самообслуживания руководитель также по умолчанию имеет возможность выполнить следующие действия:приписать сотрудника другому менеджеру (с последующим согласованием и утверждением новым менеджером);создать запись для нового сотрудника (внешнего или внутреннего);сертифицировать (подтвердить) прием на работу (в свое подчинение) нового сотрудника.Интернет-магазин и согласование заявокДля запроса прав доступа на портале самообслуживания реализован своеобразный интернет-магазин. Каждый сотрудник, если ему необходимы какие-либо дополнительные права, полномочия или ресурсы, может создать запрос — как для себя, так и для других сотрудников (например, в случае если он является их непосредственным руководителем). Сотрудники просто выбирают необходимые «продукты» (права доступа, полномочия, ресурсы и пр.) из понятного и структурированного каталога услуг и добавляют их в корзину. Рисунок 8. Выбор необходимых прав доступа на портале самообслуживания Завершив свои «покупки» (выбор требуемых прав доступа, полномочий, ресурсов), сотрудник может перейти в свою корзину и завершить оформление запроса. Сотрудник может дать дополнительные пояснения по каждому элементу в корзине, указать период времени, на который ему требуются выбранные права, выставить приоритет своей заявки, а также выполнить такие действия, как запрос прав для нескольких сотрудников, сохранить такой запрос на будущее в виде шаблона. Рисунок 9. Добавление продуктов в корзину на портале самообслуживания На этапе отправки корзины производится автоматическая проверка соответствия параметров запроса установленным правилам (например, разделения полномочий — Segregation of Duties, SoD). Т. е. еще перед тем, как запрос уйдет на согласование, выясняется, может ли пользователь запросить указанные права и не возникнет ли каких-либо конфликтов и несоответствий установленной политике безопасности. Но даже если такие несоответствия найдены, сотрудник все равно имеет возможность отправить свой запрос. В этом случае, в соответствии с настроенной бизнес-логикой обработка элементов запроса, которые не соответствуют установленной политике, будет включать дополнительных согласующих (обработка исключений). Рисунок 10. Проверка запроса на соответствие правилам разделения полномочий Рисунок 11. Отправка запроса В архиве запросов можно следить за текущим статусом согласования запроса, а также в случае необходимости отозвать его. Рисунок 12. Текущий статус согласования запроса на портале самообслуживания На каждом этапе согласования запроса любой согласующий имеет возможность запросить помощь в принятии решения у других сотрудников (т. е. в рамках процесса согласования задать вопрос другому сотруднику, если у согласующего недостаточно информации), посмотреть запрос целиком, изменить приоритет, а также период действия (запрашиваемых прав доступа, полномочий или ресурсов). Таким образом, период предоставления запрашиваемых прав доступа можно изменить на любом этапе согласования. Рисунок 13. Выбор запроса для согласования на портале самообслуживанияКурирование доступа и нормоконтрольВ системе доступна функциональность, отвечающая за контроль соответствия различным политикам и нормам, установленным в компании (курирование доступа). В рамках предоставленных функций возможно осуществлять надзор за нарушениями различных правил, политик, получать обобщенную информацию по рискам. Вся информация выводится в виде сводных панелей (dashboard), каждая из которых отображает требуемые сведения в графическом виде (диаграммы, графики, тепловые карты). Рисунок 14. Курирование доступа в компании Любой из представленных на панели графиков можно выбрать и исследовать более подробно: Рисунок 15. Нарушения нормативных правил по отделам Рисунок 16. Нарушения нормативных правил по конкретному отделу Рисунок 17. Список нерешенных нарушений нормативных правил по сотрудникам конкретного отделаОценка рисковСистема предоставляет ценную информацию для оценки рисков в соответствии с выданными сотрудникам правами доступа и случаями нарушения политики безопасности. Карта рисков отображается блоками по различным департаментам. Размер блоков зависит от количества работающих в них сотрудников, а цветовая гамма привязана к общему показателю риска по подразделению. Также доступны различные фильтры по отображению информации. Рисунок 18. Наивысший персональный индекс риска по отделам на тепловой карте Рисунок 19. Наивысший персональный индекс риска по отделам — Drill-down Система позволяет просматривать информацию по каждому объекту (сотруднику, отделу, роли, системному полномочию и т. п.) в виде отчета «на 360 градусов». Также предоставляется детальная информация по индексу риска каждого сотрудника, подразделения, а также информация, почему присвоено (т. е. каким образом вычислено) именно такое значение риска. Рисунок 20. Оценка риска по конкретному сотруднику Рисунок 21. Просмотр детальной информации о том, как именно был вычислен индекс риска для конкретного объекта Рисунок 22. Сводный обзор по объектам с наиболее высоким индексом риска в компании В системе поддерживается настройка правил, в соответствии с которыми определяются конкретные значения рисков (индексы). Возможна настройка правил (коэффициентов), повышающих и понижающих значение индекса риска по различным критериям. Для настройки доступны такие критерии, как условие (например, учетная запись с избыточными правами доступа), тип расчета (инкремент, декремент и т. д.) и вес риска. Рисунок 23. Тонкая настройка повышающих и понижающих коэффициентов индекса рискаАудитРешение One Identity Manager позволяет проводить полноценный аудит изменения объектов. Этот раздел на портале самообслуживания доступен сотрудникам, которым назначен ряд внутренних ролей One Identity Manager, разрешающих проведение аудита, проверку соответствия установленной политике безопасности компании и ее нарушениях (нормоконтроль). На практике такие роли присваиваются сотрудникам отдела информационной безопасности компании. Рисунок 24. Выбор категории объектов для проведения аудита Рисунок 25. Детальная информация по событиям (изменениям) конкретного объекта в хронологическом видеАттестацияРешение One Identity Manager позволяет проводить плановый, регулярный пересмотр имеющихся у сотрудников прав доступа, ресурсов и полномочий, а также проводить плановую аттестацию подразделений (отделов, участков, департаментов) и сертификацию сотрудников. В продукте имеется большое число предустановленных процедур аттестации и связанных с ними процессов согласования. Рисунок 26. Сведения по состоянию аттестации членства в системных ролях Смысл процесса аттестации в том, чтобы переложить обязанность по контролю доступа к системам с технического персонала (администраторов систем) на плечи так называемых владельцев. Т. е. за каждым объектом (информационной системой, системным полномочием в системе, бизнес-ролью, учетной записью и др.) закрепляется сотрудник, который будет отвечать за него. Они же будут ответственны за проверку правильности информации по всем объектам, за которые отвечают в рамках процесса аттестации, а также подтверждение и корректировку этой информации.Процесс аттестации обычно настраивается и запускается сотрудниками отдела информационной безопасности. Для этого им также должна быть назначена определенная внутренняя роль в One Identity Manager, чтобы они могли видеть и использовать функционал аттестаций на портале самообслуживания (раздел Политики аттестации). Эти сотрудники будут иметь полный контроль над процессом аттестации прав доступа к информационным ресурсам компании, наблюдать за ее ходом. Рисунок 27. Настройка политик и наблюдение за ходом аттестацииОтчетностьВ рамках работы с отчетностью на портале самообслуживания имеется отдельный раздел, где отображаются доступные для данного сотрудника отчеты. Сотрудник может подписаться на получение выбранного отчета по электронной почте (предусмотрены различные форматы отчетов — Excel, PDF и другие) или просмотреть отчет в режиме онлайн. Для первоначальной настройки отчетов и условий подписки в системе имеется собственный графический инструмент — Report Editor. Рисунок 28. Работа с отчетами на портале самообслуживания ВыводыВ первой части обзора мы познакомились с системой управления идентификационными данными и доступом One Identity Manager, а также подробно рассмотрели портал самообслуживания для пользователей системы.Система One Identity Manager является зрелым продуктом, уже прошедшим долгий путь развития. Но стоит отметить, что решение находится в активной фазе разработки и по сей день. Это можно увидеть и по числу качественных изменений от релиза к релизу. Рассмотренный нами портал самообслуживания One Identity Manager — современен и удобен в использовании. Это единая точка входа для всех сотрудников компании, где каждому доступны свои функциональные возможности в зависимости от назначенных полномочий.Благодарим Романа Каляпичева (One Identity) за активное участие в создании статьи.

В обзоре рассмотрена система контроля рабочего времени TimeInformer компании «СёрчИнформ», которая позволяет получать информацию об активности сотрудника посредством наблюдения за его компьютером. Система позволяет анализировать занятость сотрудников и осуществляет прозрачный контроль активности в любых программах и приложениях. В дополнение к этому в системе реализована возможность получения скриншотов с мониторов и записи разговоров работников на рабочем месте. ВведениеАрхитектура TimeInformerОсновные функции TimeInformerСистемные требования TimeInformerУстановка и настройка TimeInformerВарианты установки6.1. Настройка серверной и клиентской частей6.2. Настройка агентов TimeInformerРабота с отчетами в TimeInformer7.1. Оценка эффективности работы сотрудников7.2. Учет рабочего времени в TimeInformer7.3. Отчеты по устройствам и программам в TimeInformer7.4. Мастер отчетовВыводы  ВведениеОценка эффективности труда сотрудников — одна из наиболее важных задач для любого руководителя. Все помнят прописную истину «время — деньги», которая в этом контексте звучит буквально: время, потраченное работником впустую, равносильно финансовым потерям всей организации. Проблемы дисциплины, такие как перерывы во внеурочное время, опоздания, безделье на рабочем месте и разговоры на отвлеченные темы, сказываются на рабочем процессе не лучшим образом. Количество «свободного» времени и выбор, куда его потратить, формируют также представление о лояльности сотрудников: кто-то попросту недисциплинирован и занимается лодырничеством, а кто-то теряет интерес к своей текущей работе и увлечен чем-то иным, в том числе и изучением объявлений о вакансиях. Поэтому работодатель находится в постоянном поиске инструмента, позволяющего получать объективную и достоверную информацию о характере поведения сотрудника на рабочем месте.Под эту задачу часто адаптируют непрофильные решения, например СКУД или видеонаблюдение. Все подобные ходы помогают найти крупицы полезной информации о расходовании сотрудником своего времени, но лишь на основе косвенных сведений, не давая общего видения картины.TimeInformer 2.12.3.2 позволяет получать данные об активности сотрудника посредством наблюдения за его ключевым производственным инструментом — рабочим компьютером. Система фиксирует и накапливает информацию о действиях пользователей и работе приложений, позволяет увидеть, чем заняты сотрудники, осуществляет прозрачный контроль активности пользователей в приложениях и веб-ресурсах. В дополнение к этому система позволяет получать скриншоты с мониторов и производить запись разговоров сотрудников на рабочем месте.В обзоре не затрагиваются моральные и правовые аспекты применения данного продукта, а рассматривается исключительно его функциональные возможности и удобство их приложения на практике. Архитектура TimeInformerАрхитектура продукта включает три компонента: сервер, клиент, агент.Агенты устанавливаются непосредственно на инспектируемые системы, они фиксируют данные, характеризующие действия работника за компьютером, и отправляют их на сервер. В составе агента имеется несколько модулей, каждый отвечает за перехват своего типа данных.MonitorController позволяет получать изображение с монитора.MicrophoneController фиксирует аудиоинформацию вблизи компьютера.Keylogger перехватывает данные в буфере обмена и нажатия клавиш.ProgramController ведет мониторинг активности приложений.Клиентский модуль предоставляет инструменты для работы с накопленной базой, отчетами, позволяет вести онлайн-наблюдение и администрировать серверный модуль. Имеет несколько компонентов, различающихся по назначению.Исходные данные — интерфейс работы с «сырыми» данными от агентов.Текущая активность — оперативная работа с агентами, получение данных в текущем времени.Управление агентами — интерфейс мониторинга состояния и управления агентами.Отчеты — отдельный модуль для обработки и интерпретации данных об активности пользователей и приложений.Администрирование — детальная настройка остальных компонентов.Сервер выполняет классическую роль: агрегацию исходных данных от агентов, обработку запросов клиентов.Агенты не нуждаются в постоянной связи с сервером, могут работать автономно на случай использования компьютеров (ноутбуков) вне офиса. Основные функции TimeInformerОсновные возможности и функции продукта:Перехват изображения с экрана, запись речи, ввода с клавиатуры, работы буфера обмена.Просмотр состояния экрана и прослушивание записей звука в режиме онлайн.Мониторинг работы приложений, активности пользователей в интернете.Просмотр текущей активности компьютеров, динамика активности в течение дня, фиксация опозданий, отсутствия на рабочем месте, бездействия (простоя компьютера).Поиск по собранным данным, интуитивно понятный интерфейс.Развитый инструментарий управления парком подконтрольных хостов, интеграция с Active Directory.Свыше 30 предустановленных отчетов различных форм представления данных (табличных, графических, текстовых), экспорт во все основные офисные форматы документов. Системные требования TimeInformerСистема рассчитана на работу с операционными системами семейства Microsoft Windows. Ниже приведена таблица совместимости компонентов TimeInformer с версиями Windows. Таблица 1. Совместимость компонентов TimeInformer с версиями WindowsКомпонентыXP SP3 x32/x642003x32/x642008 R1 x32/x647x32/x642008 R28, 8.1x32/x642012, 2012 R210 x32/x64 22016Серверная часть TimeInformer   +++++++Агенты TimeInformer +++++++++Клиентская часть TimeInformer +++++++++ Минимальная конфигурация сервера в расчете на парк агентов приведена в следующей таблице. Таблица 2. Минимальная конфигурация сервера До 1000 агентов1000-2500 агентовПроцессор 2-ядерный частотой 2,4 ГГцIntel Core i5 частотой 3,2 ГГцОперативная память 8 ГБ12 ГБОбъем дисковой памяти 600 ГБ * кол-во агентовСетевая карта 1 Гб/сОперационная система MS Windows Server 2008СУБД MS SQL Server 2008 R2 Производитель устанавливает предельное количество агентов на один сервер — 2500 единиц. В списке поддерживаемых указаны только СУБД семейства Microsoft SQL Server. Это явный минус для случая, если заказчик хочет получить систему с полноценной СУБД без дополнительных затрат на лицензии. Есть поддержка бесплатной версии Microsoft SQL Express, но при ее использовании придется делать поправку на установленные для нее технические ограничения. Однако при правильной и рациональной настройке агентов и перехватываемых данных для небольших и средних компаний такой СУБД будет вполне достаточно. Таблица 3. Минимальные требования к контролируемому компьютеруПозиция/требование ЗначениеПроцессор 1-ядерный частотой не менее 2 ГГцОперативная память 1 ГБВинчестер 250 ГБ (системный раздел диска – не менее 50 ГБ)6Сетевая карта 100 Мбит/сОперационная система 2003 x32/x64XP SP3 x32/x642008 R1 x32/x64, 2008 R27 x32/x642012, 2012 R28/8.1 х32/х64201610 х32/х64 Установка и настройка TimeInformerВарианты установкиTimeInformer 2.12.3.2 предполагает несколько вариантов установки серверных и клиентских компонентов, заказчик может варьировать конфигурацию в зависимости от технического оснащения будущей системы или разделения ролей между сотрудниками, ответственными за работу с ней.Возможны следующие режимы установки:Полная — установка всех компонентов системы на один хост.Серверная — установка только серверных компонентов.Клиентская — установка только клиентских компонентов.Выборочная — перечень устанавливаемых компонентов устанавливается вручную. Рисунок 1. Установка компонентов TimeInformer  Установка агентов на инспектируемые хосты может выполняться несколькими способами. Для компьютеров в домене развернуть агента можно через групповые политики. Для компьютеров в рабочих группах есть вариант установки вручную, администратор может создать дистрибутив агента в виде exe-файла с необходимым набором модулей перехвата, установка проходит через стандартную цепочку диалоговых окон.Для оперативной работы с агентами в самой консоли администратора TimeInformer 2.12.3.2 предусмотрена функция удаленной установки и компоновки агентов. Однако установка в таком режиме потребует предварительной настройки компьютеров и некоторого послабления стандартных политик безопасности, в частности, потребуется отключение UAC на компьютере, разрешение RPC и отключение защиты по IPsec для сервера TimeInformer. Порядок настройки подробно изложен в техническом руководстве, проделать необходимые действия по нему не составит особого труда.Настройка серверной и клиентской частейДля взаимодействия компонентов системы необходимо настроить имеющиеся средства сетевой защиты. Это важный момент с точки зрения подготовки инфраструктуры, поскольку в перечне сетевых взаимодействий кроме стандартных протоколов (работа с СУБД, RPC, NetBIOS, HTTP и пр.) присутствуют также нехарактерные для обычной сети виды подключений. Внедрение TimeImformer в рабочую сеть организации без должной настройки средств фильтрации и анализа трафика может привести к нежелательным сбоям системы и ложным срабатываниям средств защиты. Подробный перечень сетевых протоколов можно найти в руководстве по установке TimeInformer.Настройки клиентского и серверного модулей после установки минимальны. Обязательными шагами являются активация лицензии и первый цикл разворачивания агентов — компоновка модулей агента, выбор целевых компьютеров. Рисунок 2. Окно управления агентами TimeInformer Настройка агентов TimeInformerНастройка модулей перехвата осуществляется из консоли «Управление агентами». Для всей системы задаются глобальные настройки, они по умолчанию действуют на всех инспектируемых компьютерах. Для отдельных групп компьютеров можно переопределять родительские настройки, задавая частные профили.Настройки модулей непосредственно связаны с их функциями, далее рассмотрены базовые функции модулей и параметры, определяющие режим их работы.MonitorControllerВозможности модуля перехвата:Регулярные скриншоты с заданной периодичностью.Скриншот по событию (смена активного окна, запуск приложения).LiveView — просмотр экрана онлайн.Ключевые настройки модуля:Периодичность и условия выполнения снимков.Список приложений «на особом контроле».Расписание работы модуля.Параметры видеопотока для LiveView. Рисунок 3. Окно настройки модуля MonitorController   MicrophoneControllerВозможности модуля перехвата:Запись разговоров в нескольких режимах:в офисе, вне офиса;по расписанию;при запуске определенных приложений.Livesound – трансляция звука онлайн.Ключевые настройки:Параметры обработки и сжатия звука.Расписание и условия записи —  все подряд или только речь.Отдельные профили для режимов работы внутри и за пределами офиса.Параметры аудиопотока LiveSound. Рисунок 4. Окно настройки модуля MicrophoneController  KeyLoggerВозможности модуля:Перехват клавиш.Перехват буфера обмена.Настраивается для определенных пользователей и приложений.Ключевые настройки:Источник перехвата — клавиатура, буфер обмена.Условия перехвата — списки пользователей и приложений. Рисунок 5. Окно настройки модуля KeyLogger  ProgramControllerВозможности модуля перехвата:Мониторинг активности процессов.Мониторинг обращений к веб-ресурсам.Сведения об установленных программах, аппаратном составе компьютера.Настройка модуля:Включение опции перехвата обращений к веб-ресурсам.Условия перехвата — списки пользователей и приложений. Рисунок 6. Окно настройки модуля ProgramController  Работа с отчетами в TimeInformerTimeInformer имеет свыше тридцати предустановленных отчетов. Создавать новые отчеты на основе «сырых» данных системой не предусмотрено, однако существующие стандартные формы удовлетворяют подавляющему большинству запросов. Вариативность системы отчетов заключается в выборе критериев поиска, существует возможность создавать пользовательские шаблоны с заранее выбранными параметрами.Отчеты строятся на основе данных от компонента ProgramController, модуль собирает информацию о программном и аппаратном составе инспектируемой системы, регистрирует их изменение, отслеживает активность использования программ, обращения к веб-ресурсам.Отчеты разделены на группы.Отчеты по ProgramControllerНаиболее многочисленная группа, отчеты формируются на основе данных о времени запуска и активности процессов, статистики обращений к веб-ресурсам. Данная группа позволяет строить оценки эффективности работы персонала по широкому спектру критериев, фиксировать нарушения режима рабочего времени, продуктивность сотрудника на рабочем месте.Системные отчетыОтчеты этой группы отражают динамику изменений парка инспектируемых хостов: события установки, удаления агентов, списки компьютеров без агентов и пр.Отчеты по программам Отчеты этой группы основаны на анализе списков установленных программ на компьютерах, позволяют вести подсчет экземпляров программного обеспечения в организации, наблюдать динамику изменений.Отчеты по устройствамОтчеты основаны на данных об аппаратном составе компьютера, позволяют вести подсчет комплектующих, фиксировать изменения.Оценка эффективности работы сотрудниковВ TimeInformer 2.12.3.2 предусмотрена возможность группировки программ и сайтов по категориям. Категория выбирается из тематики сайта и назначения программы. Опять же, большинство наиболее распространенных категорий программ и сайтов в системе заданы изначально, у пользователя есть возможность дополнять существующие группы и создавать новые. В решении реализован категоризатор сайтов, который «разносит» все сайты по заданным категориям автоматически. Для каждой категории задается цветовой маркер, он используется при построении графических отчетов, и пиктограмма, которая служит для удобства администрирования, облегчает зрительный поиск нужной группы в общем списке.Для категорий программ можно вводить «правила продуктивности». Это механизм модуля отчетов, который позволяет делать количественные оценки эффективности использования рабочего времени сотрудников. Категориям программ присваиваются коэффициенты продуктивности — весовые коэффициенты по шкале от 0 до 1, эти коэффициенты в дальнейшем учитываются системой при построении отчетов.Настройка ведется из консоли «Администрирование», механизм работает следующим образом.1) Программы и ресурсы, используемые для работы в организации, следует распределить по соответствующим категориям (при необходимости создать для них отдельные категории). Эти действия выполняются во вкладке «Группы программ». Рисунок 7. Группы программ  2) Во вкладке «Продуктивность» задать значения коэффициентов продуктивности (по умолчанию в системе уже заданы базовые значения).3) Во вкладке «Правила продуктивности» выполняется привязка коэффициентов продуктивности категорий программ и группам пользователей. Правила записываются в упорядоченном списке, очередность задает приоритет их применения. Рисунок 8. Правила продуктивности  На основе правил продуктивности и данных от модуля ProgramController система позволяет строить развернутые отчеты об эффективности работы сотрудников, получать информацию о том, на что действительно тратил свое рабочее время сотрудник. Масштаб и детализация варьируются от общей картины рабочего дня до детального разбора действий сотрудника буквально по минутам.На рисунке приведен пример отчета «Продуктивность пользователей» для двух сотрудников. Из отчета видно, что номинально время активной работы пользователей отличается почти в полтора раза, однако потратили они на выполнение должностных обязанностей практически одинаковое количество времени. Рисунок 9. Отчеты  Информация в отчетах представлена в наиболее удобном для восприятия и демонстрации виде: диаграммы, графики, таблицы. Результат отчета предоставляется в виде законченного документа, готового для печати и передачи руководству. Все отчеты можно экспортировать в большинство распространенных офисных форматов документов. Рисунок 10. Эффективность пользователей  Учет рабочего времени в TimeInformerНа основе данных о времени активности и бездействия компьютера через отчеты TimeInformer можно следить за выполнением сотрудниками режима рабочего дня, регистрировать опоздания, прогулы, вести табель рабочего времени, учитывать работу во внеурочное время. Конечно, это становится возможным, если должностные обязанности сотрудников непосредственно связаны с работой на компьютере. Рисунок 11. Отчет по опозданиям сотрудников  Отчеты по устройствам и программам в TimeInformerАгент ProgramController помимо данных об активности программ собирает также общие сведения о программном и аппаратном составе компьютера. Отчеты на основе этих данных помогут работодателю:вести учет экземпляров программного обеспечения в организации, осуществлять ревизию использования купленных лицензий коммерческих программ;обнаруживать программное обеспечение, запрещенное к использованию в организации;оценивать техническую оснащенность организации вычислительной техникой, ее моральный износ;обнаруживать факты хищения «ходовых» комплектующих. Рисунок 12. Отчет по устройствам и программам  Мастер отчетовДля автоматизации работы с отчетами в TimeInformer предусмотрен специальный «Мастер отчетов». Он позволяет создавать пользовательские шаблоны с заранее занесенными исходными данными. Для регулярных отчетов есть возможность автоматической генерации по расписанию и доставки пользователю по электронной почте. Рисунок 13. Мастер отчетов  ВыводыРассмотренная в обзоре система TimeInformer позволяет осуществлять эффективный контроль за деятельностью сотрудников. Существующей функциональности достаточно для решения большинства задач, которые возникают в процессе жизнедеятельности организации. Преимущества:Возможность наблюдения за компьютерами сотрудников в реальном времени.Широкий спектр получаемых данных (изображение с монитора, аудиоинформация, данные в буфере обмена и нажатия клавиш, активность приложений).Широкий спектр средств анализа занятости сотрудников на рабочем месте.Незаметная (прозрачная) для пользователя работа агентов системы.Интуитивно понятный интерфейс консоли администратора.Обширный инструментарий управления подконтрольными хостами благодаря интеграции с Active Directory.Удобная система работы с отчетами — более 30 предустановленных форм, экспорт во все основные офисные форматы документов.Простота разворачивания системы, минимальные начальные настройки, быстрая готовность к работе, автоматическое средство категоризации любых посещенных сайтов.Недостатки: Не предусмотрено создание пользовательских форм отчетов, однако существующие стандартные формы удовлетворяют подавляющему большинству запросов.Отсутствует поддержка *nix- и macOS-систем, упор сделан на операционные системы семейства Microsoft Windows, продукт поддерживает в том числе устаревшие версии.Поддерживается только СУБД семейства MS SQL Server. Есть поддержка бесплатной версий MS SQL Express, которая может использоваться с поправкой на установленные для нее технические ограничения. Этот недостаток нивелируется правильной и рациональной настройкой агентов и перехватываемых данных, что подходит для небольших и средних компаний.Удаленная установка агентов требует предварительной настройки компьютеров и некоторого послабления стандартных политик безопасности, в частности, отключение UAC на компьютере, разрешение RPC и отключение защиты по IPsec для сервера системы. Однако установка вручную (локально) никакой настройки не требует. За помощь в подготовке материала благодарим Романа Лебедева.