SecureTower
SecureTower — программное решение (DLP) для предотвращения утечек информации, разработанное компанией Falcongaze[2][3].
SecureTower | |
---|---|
Тип | Предотвращение утечек информации | DLP |
Разработчик | Falcongaze |
Операционная система | Windows, Linux |
Первый выпуск | 2007 год |
Последняя версия | версия 6.5 [1] (Август 2021) |
Лицензия | Проприетарное ПО |
Сайт | falcongaze.com |
Задачи SecureTower:
- Защита от утечек корпоративной информации;
- Контроль эффективности и лояльности персонала;
- Анализ рисков;
- Ведение архива бизнес-коммуникации.
О производителе
Falcongaze — международный разработчик решений для обеспечения информационной безопасности организации.
Защита от утечек данных
Защита от утечек данных в SecureTower осуществляется путем перехвата, индексации и анализа всей входящей и исходящей из(на) компьютер сотрудника информации. Система осуществляет мониторинг большинства коммуникационных каналов и протоколов передачи данных. Все оправляемая и получаемая сотрудником информация автоматически анализируются и, в случае выявления нарушения, система отправляет уведомление руководителю или службе безопасности.[4]
SecureTower поддерживает множество вариантов перехвата трафика, который может быть реализован как одним из нижеприведенных способов, так и их комбинацией:
- перехват агентами, установленными на рабочие компьютеры сотрудников;
- централизованный контроль сетевого трафика путем его зеркалирования на SPAN-порт сетевого коммутатора;
- перехват электронной почты, переданной через локальные почтовые серверы;
- перехват HTTP(S)-трафика, переданного через прокси-серверы;
- перехват файлов, переданных по протоколам FTP/FTPS.[5]
SecureTower автоматически анализирует все компьютеры в локальной сети на предмет наличия или отсутствия конфиденциальных документов. Поиск может выполняться как по именам, так и по атрибутам файлов.
SecureTower позволяет не только экстренно восстановить важный документ, но и запретить его передачу. Можно заблокировать передачу данных определённого формата, конкретного файла, документа с определённым содержимым, документов с печатями.
Типы контролируемых каналов коммуникаций
- Веб-активность SecureTower составляет полную картину браузер-активности сотрудника в течение рабочего дня. Система запоминает и анализирует какие сайты посещал работник, сколько активного времени на них проводил и оставлял ли там какие-либо сообщения или файлы.
- Электронная почта Контроль осуществляется по протоколам POP3, SMTP и IMAP, а также MAPI. Выполняется проверка на соответствие политикам безопасности письма, переданные при помощи почтовых серверов Microsoft Exchange Server, Lotus Notes, Postfix, Sendmail и др. Поддерживается перехват сообщений внешних почтовых служб в бесплатных почтовых сервисах, таких как Gmail, Mail.ru или Яндекс. Почта.
- Мессенджеры Контролируются мессенджеры: Skype, Viber, Telegram, WhatsApp, Zoom, Bitrix24, Cisco jabber, Slack, Discord, MS Teams, Hangouts, MS Lync (контролируются десктоп и веб версии мессенджеров).[6] Также осуществляется контроль по протоколам обмена мгновенными сообщениями OSCAR (ICQ/AIM), MRA (Mail.Ru Агент), XMPP (Jabber, Miranda, Google Talk, QIP Infium, PSI), YIM (Yahoo! Messenger), WhatsApp.
- Социальные сети Контролируются социальные сети: Вконтакте, Facebook, Twitter, LinkedIn, Instagram, Одноклассники и другие. Также контролируется общение сотрудников в блогах, онлайн-чатах, форумах и пр.
- Облачные хранилища Отслеживаются все файлы, загружаемые пользователем в интернет через браузер. Контролируются облачные сервисы: Dropbox, OneDrive и Яндекс. Диск, Goolge Drive, Icloud, Mail.Ru и другие. (контролируются десктоп и веб версии хранилищ).
- Сетевые хранилища SecureTower анализирует сведения о файловых операциях на сетевых ресурсах, перехватывает записываемые файлы, контролирует доступ к сетевым ресурсам. Система позволяет гибко настраивать исключения чтобы контролировать операции только с важными файлами и папками и не мешать остальными бизнес-процессам.
- IP телефония SecureTower контролирует всю телефонию по протоколу SIP.
- Сетевые и локальные принтеры SecureTower контролирует печать на сетевых, локальных и виртуальных принтерах. По мимо непосредственно перехвата и последующего анализа, печать можно блокировать по текстовому содержимому, имени принтера, названию документа, а также при помощи сложных условий объединяющие вышеперечисленные и другие условия.
- USB-устройства SecureTower контролирует подключение USB-устройств и передаваемые на них файлы. Система автоматически сканирует отправляемые документы на наличие в них конфиденциальной информации, может блокировать как копирование, так и вставку данных по текстовому содержимому, по типу данных, а также при помощи сложных условий объединяющие вышеперечисленные и другие условия. Кроме того, SecureTower отслеживает подключаемые к рабочей станции устройства и может блокировать им доступ.
- Буфер обмена SecureTower контролирует как копирование в буфер обмена, так и вставку из буфера. При этом перехватываются: текстовое содержимое, изображения (в том числе сделанные средствами снятия снимков экрана), а также файлы и их теневые копии. Однако помимо непосредственно перехвата содержимого буфера, также имеется возможность блокировать как копирование, так и вставку данных по текстовому содержимому, по типу данных, а также при помощи сложных условий объединяющие вышеперечисленные и другие условия.
- Кейлоггер[7]
Контроль эффективности и лояльности персонала
- Мониторинг активности пользователя Детальная картина рабочего дня сотрудника. Система показывает время начала и окончания работы с компьютером, время простоя. Какими программами пользовался, какие веб-ресурсы посещал, с кем коммуницировал, какие файлы пересылал и получал.
- Анализ работы с приложениями Анализ программного обеспечения, используемого сотрудником в течение рабочего дня. В итоговых диаграммах можно проследить, какие из них относятся непосредственно к трудовой деятельности, а какие — нет. Существует возможность блокировки запуска выбранных системным администратором пользовательских приложений.
- Анализ посещения веб-ресурсов Анализ ресурсов, которые посещал сотрудник в течение рабочего дня. Анализ типа ресурса (развлекательный, относящийся к рабочему процессу). Анализ затраченного времени на посещение веб-страниц. SecureTower позволяет администратору ограничить доступ к выбранным сайтам или типам сайтов (игровым ресурсам, новостным порталам, социальным сетям и т.д);
- Запись с микрофона или гарнитуры
- Запись с веб-камеры
- Скриншоты рабочего стола с заданной периодичностью
- Граф-анализатор
В SecureTower анализируются взаимосвязи персонала, как в рамках компании, так и с участием неустановленных лиц за периметром организации. В графе-анализаторе для каждого отдельного сотрудника создается профайл «карточка пользователя», автоматически привязываемый к ActiveDirectory. В этом профайле отображаются адреса электронной почты, имена в мессенджерах и аккаунты в социальных сетях работника. Для выявления недоброжелателей вне компании, SecureTower запоминает адреса внешних абонентов и также создает для них профайлы.[8]
Анализ рисков
В DLP-систему SecureTower интегрирован UBA (User Behavior Analytics) модуль, отслеживающий аномальные и потенциально опасные для организации изменения в поведении сотрудников. Модуль автоматически рассчитывает уровень угрозы для организации со стороны каждого отдельного сотрудника, затем формирует совокупный рейтинг.
Основные возможности модуля:
- Автоматически рассчитывает уровень риска сотрудника на основании инцидентов безопасности. Затем формируется список всех сотрудников и их уровни риска;
- Накапливает данные с момента установки DLP-системы и позволяет проводить ретроспективный анализ;
- Изменения и аномалии в поведении сотрудника автоматически отображаются на динамически изменяемом графике уровня риска сотрудника;
- Информирует специалистов отдела безопасности об повышении уровне риска и об инцидентах политик безопасности;
- Автоматически генерирует всю необходимую информацию и отчеты для исследования тенденций поведения пользователей;
- Разделяет инциденты по критичности и позволяет обратить внимание в первую очередь на самые важные[9].
Ведение архива бизнес-коммуникации
Все отправленные и скаченные на рабочий компьютер данные сохраняются в архив. Даже если удалить их с конкретной рабочей станции, они всё равно будут доступны и восстановлены в случае необходимости.
DLP-система SecureTower контролирует множество каналов коммуникации: веб-трафик, электронная почта, мессенджеры, социальные сети, облачные хранилища, USB, принтеры и другие — это позволяет свести риск потери важного документа или файла к минимуму.
Центр безопасности и расследование инцидентов
Центр обеспечения безопасности
Предназначен для настройки системы оповещения уполномоченных лиц о случаях нарушения политики безопасности компании. Перехваченные данные анализируются в автоматическом режиме на основании заданного списка правил. При обнаружении данных, отвечающих требованиям такого списка, Центр автоматически отправляет уведомление о нарушении ответственному лицу.
Центр безопасности имеет иерархическую структуру и распределяет группы заданных правил по степени угрозы предприятию. Например, можно задать группу правил для офицера безопасности, отвечающего за контроль юридической информации компании, отдельную группу для лица, ответственного за контроль финансовой информации, и так далее[10].
Расследование инцидентов и построение отчетов
Центр расследований инцидентов
Центр расследований инцидентов в DLP-системе SecureTower, это — единый центр, позволяющий удобно организовать работу с документацией в рамках расследований инцидентов безопасности.
Данный компонент позволяет:
- создавать дела для группировки информации по конкретному расследованию;
- обозначать список вовлеченных в расследование лиц;
- «подшивать» как документы из результатов поиска, так и внешние файлы;
- собирать дела в группы, организовывать дела и группы в удобную структуру;
- оформлять дела согласно внутренним стандартам организации;
- распечатывать и экспортировать дела для передачи другим сотрудникам и представления руководству.[11]
Центр расследований обладает гибким инструментарием, созданным для экономии времени офицера безопасности. В том числе он обладает встроенным текстовым редактором, который позволяет без отрыва от материалов дознания создавать служебные записки и рапорты. Компонент автоматизирует расследование инцидентов и может быть включен в бизнес-процессы организации. Срок хранения дел в Центре расследований неограничен.
Центр отчетности
Позволяет создавать различные виды статистических отчетов об активности пользователей на основе заданных параметров (тип активности, период, количество рассматриваемых пользователей и так далее). Для построения отчета, перехваченные данные анализируются системой и, при удовлетворении заданным критериям, Центр генерирует соответствующий рапорт.
Можно создать группу отчетов для ведения статистики активности пользователей в сети (посещение веб-ресурсов по протоколам HTTP/HTTPS, передача файлов по протоколам FTP/ FTPS), группу об активности пользователей в мессенджерах и так далее. Аналитика полностью настраиваема и предусматривает возможность отправки сводок на почту контролирующего лица.[12]
Статистика по пользователю
Опция «Активность пользователей» позволяет проконтролировать рабочий процесс каждого отдельного сотрудника, исследуя так называемую «фотографию рабочего дня».[13]В соответствии с выбранным временным интервалом и типом перехваченных данных, сгруппированная по дням информация об активности сотрудника выводится в виде графика. Для описания активностей выделяются следующие области:
- Почта (содержит сведения об общем количестве писем, отправленных и полученных пользователем, а также количестве входящих и исходящих писем;
- Мессенджеры (содержит сведения об используемых коммуникационных программах, количестве переписок, количестве сообщений (общем, входящих и исходящих), аудио-разговоров и их длительности);
- Web-активность (содержит статистику по активности пользователя в сети интернет: количестве посещенных web-страниц, поисковых запросов, распознанных запросов);
- Файлы (содержит статистику о количестве файлов, переданных по протоколам FTP/ FTPS, скопированных на внешние накопители информации и сетевые ресурсы, отправленных на принтеры);
- Прочая активность (содержит статистику о количестве снимков рабочего стола пользователя (экрана), операциях копирования в буфер обмена, всех введенных при помощи клавиатуры данных (кейлогер).
Данная опция позволяет отобразить все статистические данные об активности пользователя за компьютером в указанный отчетный период в виде хронологического перечня действий, круговых диаграмм или гистограмм.
Обновления SecureTower
Дата обновления: 03.08.2021
Список изменений:
Рестилизация и оптимизация сервера пользователей
Полная визуальная и внутренняя переработка модуля Политики безопасности
Добавлены модули категоризации веб-сайтов, приложений и оценки эффективности на основании категорий
Аудит файловых операций
Добавлены контентные блокировки при работе с буфером и накопителями
Добавлена возможность перехвата голосовых разговоров в популярных программах (Zoom, Telegram, Microsoft Teams)
Улучшен контроль переписок в соцсетях и добавлена поддержка новых (CMS Bitrix24, LinkedIn, Instagram)
Улучшена интеграция в SIEM (добавлена поддержка Syslog)
Добавлены конструктор отчетов и новые типы отчетов (активность приложений, посещения сайтов, табель рабочего времени)
Добавлен механизм обратной связи с пользователями системы
Рестилизация и оптимизация консоли клиента
Дата обновления: 26.05.2020
Список изменений:
Улучшения интерфейса в виде рестилизации, новых фильтров и дополнительной информации
Добавлена возможность перехвата двух новых мессенджеров
Добавлена возможность контроля хранимых и перемещаемых файлов по хэш-суммам
Добавлена возможность блокировки по контенту содержимого при отправке документов на печать
Аудит файлов и перехват графического содержимого буфера обмена
В модуле «Политики безопасности» добавлена возможность формирования шаблонов
Отчёты перестраиваются значительно быстрее в результате изменений, внесенных в ядро модуля построения отчётов
В модуле распознавания речи добавлена возможность интеграции с Google Cloud Speech API
Добавлена возможность масштабирования интерфейса консолей (удобство работы в форматах от HD до 8K UHD)
Дата обновления: 27.05.2019
Список изменений:
Добавлен модуль «Анализ рисков», который в автоматическом режиме рассчитывает для пользователей показатель «уровень риска»
Добавлен поиск информации по группам Active Directory
Добавлена возможность формирования политики безопасности по группам Active Directory
Добавлена возможность контроля мессенджера Slack
Добавлена интеграция с браузером «Яндекс. Браузер»
Добавлена возможность перехвата электронной почты, передаваемой по протоколу IMAP
Добавлена возможность работы агента в защищённом режиме Windows
Добавлена возможность сохранения снимка экрана при блокировке агентом запрещенных операций
Добавлена возможность перехвата, блокирования и фильтрации PUT-запросов для модуля контроля HTTP-протокола
Добавлена возможность хранения очереди данных, поступающих от агентов, на диске, что позволит исключить потерю данных
Добавлена в группах баз данных возможность ограничения времени запуска ротации по интервалу времени
Добавлен ТОП-отчёт по активности браузеров
Добавлена возможность выбора формата файла при отправке отчёта на e-mail
Добавлена возможность настройки фильтра распознавания изображений по их размеру
Добавлена возможность настройки количества потоков для распознавания печатей (ранее распознавание выполнялось в один поток)
Обновлен интерфейс консоли администратора и консоли пользователя
Примечания
- Обновления
- Обзор системы SecureTower на независимом информационно-аналитическом портале Anti-Malware.ru
- Анализ рынка систем защиты от утечек конфиденциальных данных (DLP) в России 2011—2013
- Предотвращение утечек данных и информации - Falcongaze . falcongaze.ru. Дата обращения: 19 января 2020.
- Быстрый старт: Выбор способа перехвата . falcongaze.ru. Дата обращения: 19 января 2020.
- Андрей Фролов. Павел Дуров назвал «трояном» удивившую СМИ систему «перехвата Telegram» — Офтоп на vc.ru . vc.ru (19 июля 2016). Дата обращения: 19 января 2020.
- Обзор нового Falcongaze SecureTower . Anti-Malware.ru (21 ноября 2017). Дата обращения: 19 января 2020.
- Функции . falcongaze.ru. Дата обращения: 19 января 2020.
- Анализ рисков - Falcongaze . falcongaze.ru. Дата обращения: 19 января 2020.
- Руководство пользователя: Управление Центром обеспечения безопасности . falcongaze.ru. Дата обращения: 19 января 2020.
- Руководство пользователя: Центр расследований . falcongaze.ru. Дата обращения: 19 января 2020.
- Руководство пользователя: Управление Центром отчетности . falcongaze.ru. Дата обращения: 19 января 2020.
- Что такое учёт рабочего времени сотрудников? - Falcongaze . falcongaze.ru. Дата обращения: 19 января 2020.