SearchInform EndpointSniffer

Продукт
Название базовой системы (платформы): Контур информационной безопасности SearchInform (КИБ Сёрчинформ)
Разработчики: SearchInform (СёрчИнформ)
Дата последнего релиза: 2016
Технологии: ИБ - Предотвращения утечек информации

Содержание

EndpointSniffer позволит организациям эффективно бороться с утечками информации непосредственно на рабочих местах, в том числе, и с утечками, происходящими через используемые персоналом корпоративные ноутбуки и нетбуки.

В последние годы все большее число сотрудников как коммерческих, так и государственных организаций стали использовать в своей работе портативные компьютеры, позволяющие иметь под рукой необходимую информацию и программы как на рабочем месте, так и в командировке или дома. Вместе с тем, лэптопы являются не только удобным рабочим инструментом, но и серьезной угрозой для корпоративной информационной безопасности, поскольку, находясь за пределами контролируемой работодателем сети, сотрудник может передать конфиденциальные корпоративные данные с ноутбука третьим лицам.

Новый продукт компании SearchInform решает данную проблему, позволяя контролировать трафик, передаваемый с корпоративных лэптопов и за пределами корпоративной сети. Во время работы сотрудника дома или в командировке EndpointSniffer собирает отправленные им данные, которые будут переданы для анализа отделу информационной безопасности сразу же, как только лэптоп снова окажется в корпоративной сети. Также EndpointSniffer эффективен при работе на стационарных рабочих станциях, представляя специалисту по безопасности возможность осуществлять перехват всего пользовательского трафика непосредственно на клиентской машине.

В настоящее время поддерживается работа с данными, отправленными через электронную почту (IMAP/MAPI/SMTP/POP3, в том числе через последние два протокола с шифрованием), системы мгновенного обмена сообщениями (ICQ, Jabber, MSN Messenger), FTP, Skype. Также перехватываются документы, переданные на печать. В случае, когда сотрудник не подключается к корпоративной сети длительное время и SearchInform EndpointSniffer исчерпывает отведенное для хранения перехваченных данных дисковое пространство, новые данные автоматически записываются поверх наиболее старых.

Модуль EndpointSniffer, устанавливаемый на рабочие станции или лэптопы, тщательно скрывает свое присутствие на компьютере пользователя, и обнаружить его непросто даже квалифицированному специалисту. Важной особенностью EndpointSniffer также является возможность полноценного мониторинга действий пользователей на терминальных серверах, так как при других методах перехвата пользовательского трафика в таких сетях затруднена идентификация пользователя.

EndpointSniffer эффективен не только при проведении внутренних расследований, связанных с уже произошедшими инцидентами в сфере информационной безопасности, но и для выявления и предотвращения систематических утечек конфиденциальных данных.Эволюция в развитии российских средств защиты от сетевых угроз: как Kaspersky NGFW меняет расстановку сил на рынке

SearchInform EndpointSniffer является компонентом комплексного решения «Контур информационной безопасности SearchInform», позволяющего контролировать информационные потоки и защищать от утечек конфиденциальных данных организации любого размера и любой формы собственности. Благодаря полной интеграции с доменной структурой Windows специалисты по безопасности могут надежно и однозначно идентифицировать сотрудника, отправившего конфиденциальную информацию за пределы организации. А уникальные запатентованные поисковые алгоритмы позволят обнаружить в перехваченном трафике даже те корпоративные документы, которые были специально изменены отправителем для затруднения их обнаружения.

SearchInform EndpointSniffer 3

SearchInform EndpointSniffer 3.5

Ключевым новшеством в обновленной версии EndpointSniffer 3.5 стала возросшая почти на два порядка производительность решения, которое теперь может использоваться для работы на значительно большем числе рабочих станций и лэптопов, сообщили в SearchInform. Благодаря внутренней оптимизации сервер имеет возможность обслуживать большее число агентов, установленных на пользовательских компьютерах, избегая при этом задержек, вызванных загруженностью сервера при обработке трафика. Также оптимизации подверглась и агентская часть продукта, которая теперь меньше нагружает сеть и сервер за счет уменьшения объема передаваемых данных.

Помимо этого, в SearchInform EndpointSniffer 3.5 впервые реализована возможность поиска по атрибуту зашифрованных данных, что позволит специалистам по безопасности отслеживать подозрительные файлы, принимаемые и передаваемые пользователями. Также оптимизированы работа продукта в больших сетях, состоящих из множества доменов, и взаимодействие с рабочими группами. Для аудита установленного на компьютере пользователя программного обеспечения в новой версии продукта теперь используется собственный агент.

SearchInform EndpointSniffer 3.6

Ключевым новшеством данной версии EndpointSniffer стало внедрение нового модуля – MonitorSniffer. MonitorSniffer предназначен для перехвата информации, отображаемой на мониторах пользователей. Принцип действия MonitorSniffer - в фиксировании через настраиваемые интервалы времени содержимого пользовательских экранов и сохранении их в графическом формате в базу данных под управлением Microsoft SQL Server. Кроме того, MonitorSniffer позволяет контролировать содержимое экранов выбранных пользователей в режиме реального времени. SearchInform MonitorSniffer является компонентом комплексного решения «Контур информационной безопасности SearchInform», предназначенного для контроля информационных потоков и предотвращения утечек данных в организациях.

Что касается других новшеств EndpointSniffer 3.6, то среди них - полноценная поддержка терминальных серверов, благодаря чему появилась возможность полноценного контроля (перехвата) активности пользователей, работающих в терминальных сессиях (удаленные подключения, в том числе через «тонкие» клиенты на рабочих местах).

Еще одной особенностью обновленной версии EndpointSniffer стала оптимизация обработки данных на сервере, что позволит контролировать еще большее количество рабочих станций без необходимости обновления или установки дополнительных серверов. Также значительно упрощен интерфейс управляющей консоли, что делает продукт более «дружелюбным» и понятным даже для неподготовленных пользователей.

Как отметил технический директор SearchInform Галатин Андрей, «благодаря появлению MonitorSniffer, новая версия EndpointSniffer позволит крупным организациям более эффективно контролировать деятельность сотрудников на рабочих станциях. Проведенные нами оптимизации EndpointSniffer направлены на существенное повышение скорости обработки данных на сервере, что дает корпоративным заказчикам возможность использовать имеющиеся ресурсы для контроля большего парка пользовательских компьютеров даже с учетом возросшего числа модулей и контролируемых каналов передачи информации».

SearchInform EndpointSniffer 4.0

Новая версия SearchInform EndpointSniffer поддерживает помещение почтовых отправлений, содержащих подозрительный текст или вложения, в «карантин». Специалист по информационной безопасности может, просмотрев эти письма, принять решение о разрешении или запрете их дальнейшей передачи адресату.

Также в новом SearchInform EndpointSniffer реализована поддержка перехвата протоколов мгновенного обмена сообщениями (IM) на рабочих станциях пользователей. Поддерживается работа со всеми протоколами, которые контролировались и раньше приложением SearchInform IMSniffer, включая чаты популярных социальных сетей, что позволяет обеспечивать более полную защиту лэптопов вне корпоративной сети. При этом SearchInform EndpointSniffer позволяет, в отличие от SearchInform IMSniffer, осуществлять перехват данных, передаваемых по защищенному с помощью SSL-шифрования каналу. В частности, возможен перехват почты, отправляемой через Web-интерфейс популярного почтового сервиса Gmail.


В новой версии SearchInform EndpointSniffer улучшена совместимость программы с антивирусным ПО, что существенно упрощает настройку как самого EndpointSniffer так и антивирусного ПО при их совместном использовании. В частности, теперь можно однократно выполнить конфигурирование для практически любого корпоративного антивируса, не меняя в дальнейшем настройки при обновлении антивирусного ПО и SearchInform EndpointSniffer.

Кроме того, в новой версии продукта появилась возможность настраивать исключения для мониторинга трафика по хостам, что полезно, например, в тех случаях, когда Web-приложения, работающие из браузера, не допускают мониторинга HTTPS. При этом весь остальной HTTP и HTTPS-трафик по-прежнему останется под контролем.

SearchInform EndpointSniffer 4.1

Модуль EndpointSniffer, предназначенный для защиты от утечек данных на рабочих станциях пользователей и корпоративных лэптопах, в новой версии поддерживает добавление в исключения папок, процессов и свойств файлов, что позволяет уменьшить объем «мусорных» данных, заведомо не несущих информации о возможных утечках. Реализована возможность автоматически добавлять исключения на агентах: при неудачных попытках соединения по защищенному протоколу автоматически будет создано исключение, которое отобразится в серверной консоли и позволит сотруднику отдела безопасности оперативно настроить систему для корректной работы с конфликтующим ПО. Определение процессов теперь выполняется в соответствии с информации в EXE-файле, к которому относится процесс, что дает возможность различать процессы с одинаковыми именами. Также в новой версии модуля появилась возможность увидеть количество установленных и активных в данный момент агентов.

Обновление начала 2013 года

Новая версия SearchInform EndpointSniffer – продукта для предотвращения утечек конфиденциальных данных и контроля информационных потоков на рабочих станциях персонала и корпоративных ноутбуках – появилась возможность отложенного обновления агентов, что позволяет сделать этот процесс полностью незаметным для конечных пользователей. При активации данной опции загруженные обновления вступят в силу только после перезагрузки системы. Также SearchInform EndpointSniffer теперь может получать список пользователей не только непосредственно из Active Directory, но и из базы данных SearchInform DataCenter. Из этой базы, обновляемой при каждой синхронизации продукта с Active Directory, SearchInform EndpointSniffer считывает домены и пользователей в них, что позволяет снизить количество обращений от компонент «Контура» непосредственно к AD. Среди прочих улучшений, специалисты по информационной безопасности получили возможность осуществлять остановку и запуск агентов через меню EndpointSniffer.

В платформе SearchInform Endpoint Sniffer, предназначенной для перехвата трафика через агенты на рабочих станциях и лэптопах сотрудников, была улучшена пользовательская составляющая. Теперь офицер безопасности может инсталлировать или деинсталлировать все протоколы (Mail Sniffer, IM Sniffer, HTTP Sniffer и т.д.) в один клик. Для облегчения работы была улучшена функция исключений по компьютерам, на которые нельзя устанавливать агенты. Также появилась возможность перевода агентов в offline-режим. В случае необходимости, информация с агентов может накапливаться непосредственно на машинах пользователей, а пересылаться для анализа в заранее заданное время (например, ночью). Тем самым стало возможным существенно снизить нагрузку на сеть предприятия в рабочие часы. Как показала практика, подобный подход активно применяется в организациях с малой пропускной способностью канала.

Диапазон контролируемых каналов в Endpoint Sniffer пополнился Facebook Messenger – популярным клиентом, позволяющим общаться в Facebook без помощи браузера. Расширился функционал и DeviceSniffer: была реализована возможность полного управления доступом к сканнерам, поддержка технологии Windows Portable Device, а также управление доступом записи файлов на устройства по их расширению. Другими словами, на внешние носители теперь можно ограничивать запись отдельных видов файлов, например документов Word. Поддержка WPD, в свою очередь, необходима, так как многие сотрудники всё чаще вместо USB-накопителей используют плееры, фотоаппараты, электронные книги и т.д.

SearchInform EndpointSniffer 5.0

В первую очередь была изменена архитектура платформы. Ранее для полного контроля информационных каналов SearchInform EndpointSniffer необходимо было использовать совместно с сетевой платформой SearchInform NetworkSniffer, отвечающую за «разбор» трафика по некоторым протоколам. В версии 5.0 EndpointSniffer полностью вобрал в себя этот функционал, став полностью автономным продуктом. Другими словами, теперь платформа может самостоятельно перехватывать и анализировать любой трафик:

  • входящую и исходящую электронную почту (в том числе и защищённую), включая передаваемую и получаемую через почтовые Web-сервисы;
  • сообщения интернет-пейджеров (ICQ, QIP, Mail.Ru Агент, JABBER и др.), а также общение в популярных социальных сетях (Одноклассники, LinkedIn, Facebook и т.д.);
  • голосовые и текстовые сообщения Skype, передаваемые файлы и SMS;
  • информацию, записываемую на различные внешние устройства (например, USB-флешки, CD/DVD диски);
  • информацию, отправляемую на интернет-форумы, блоги и прочие web-сервисы;
  • информацию, передаваемую по протоколу FTP;
  • содержимое документов, отправленных на печать;
  • операции с файлами, хранящимися на серверах и в общих сетевых папках;
  • информацию, отображаемую на мониторах пользователей;
  • деятельность сотрудников, работающих с корпоративными мобильными устройствами на базе iOS;

  Тем не менее, сетевая платформа  SearchInform NetworkSniffer, предназначенная для контроля сетевой активности сотрудников, по-прежнему останется в портфеле предложений компании, а работы над совершенствованием этого продукта продолжаются. Подтверждением этого стал выпуск 64-битной версии SearchInform NetworkSniffer. За счёт реализации более продвинутой архитектуры, платформа получила возможность работать с ещё более серьёзными нагрузками без потери производительности. Этот аспект особенно критичен для крупных организаций. Также в обновлённом SearchInform NetworkSniffer, в модуле Mail Integration, помимо увеличения скорости разбора писем, была реализована возможность вычитки писем сразу из нескольких почтовых ящиков. Другими словами, при интеграции с почтовыми серверами, появилась возможность вычитывать письма сразу в несколько потоков.

Помимо изменений архитектуры, в SearchInform EndpointSniffer были добавлены новые модули, расширяющие возможности перехвата информации на конечных точках. В состав платформы вошли:

  • ProgramSniffer – модуль, ведущий учёт активности пользователей в запускаемых приложениях на протяжении рабочего дня; Фиксируется время, которое сотрудник проводит в каждом приложении. В дальнейшем, на основе собранной информации могут быть построены детальные отчёты по эффективности использования сотрудниками рабочего времени. Этот модуль появился по многочисленным пожеланиям клиентов SearchInform.

  • LyncSniffer – модуль, отвечающий за перехват информации из Microsoft Lync (чаты, звонки, передаваемые файлы). На сегодняшний день LyncSniffer является единственным решением, перехватывающим как текстовые, так и голосовые коммуникации сотрудников в Microsoft Lync. Стоит отметить, что компания SearchInform не в первый раз выступает в качестве первопроходца. Так, в 2008 году компания выпустила продукт SkypeSniffer – единственного решения, способного перехватывать текстовые и голосовые сообщения Skype, передаваемые файлы и SMS. Реализовать подобный перехват другие вендоры смогли лишь в прошлом году.

2016

Контроль филиалов с «узким» каналом связи

24 февраля 2016 года компания SearchInform сообщила о выпуске модернизированной платформы EndpointSniffer. Апдейт системы поможет эффективнее разрешать задачи информационной безопасности в удаленных офисах компаний.

Скриншот окна EndpointSniffer (2015)

Для внедрения Контура информационной безопасности в территориально распределенных филиалах компании, в каждом из которых используется небольшое количество рабочих станций и/или «узкий» канал связи с головным офисом, в платформу добавлен компонент EndpointSniffer Hub.

Механизм работы консоли EndpointSniffer Hub:

  • данные с рабочих станций перехватываются агентами и передаются на ES Hub.
  • данные фильтруются, обрабатываются, сжимаются, шифруются.
  • перехваченная информация в соответствии с расписанием и другими настройками поступает на основной сервер EndpointSniffer.

Модернизированный функционал SearchInform EndpointSniffer поможет:

  • оптимизировать нагрузку на канал передачи данных. Основной канал передачи данных не будет задействован в часы пиковых нагрузок, агенты Контура информационной безопасности SearchInform будут передавать данные по локальной сети на EndpointSniffer Hub, а в назначенное время – на основной сервер.
  • создать общую базу перехваченных документов. EndpointSniffer Hub в разных филиалах передает перехваченные данные на основной сервер SearchInform EndpointSniffer. Он ведет централизованную обработку и запись в единую базу перехвата.
  • централизованно управлять установленными на местах EndpointSniffer Hub через основной сервер SearchInform EndpointSniffer.

Установка EndpointSniffer Hub помогает экономить на закупке оборудования и ПО для филиалов (ОС, СУБД). ES Hub имеет менее серьезные системные требования, чем основной сервер SearchInform EndpointSniffer.

Действующим клиентам компонент EndpointSniffer Hub поставляется бесплатно.

Управление доступом к информации и контролируемая установка ПО

Компания SearchInform презентовала в марте 2016 года обновленную версию платформы EndpointSniffer, которая позволит задавать индивидуальные правила защиты компьютеров и информации, размещенной на них.

Управление доступом к папкам и дискам

  • Правила «Доступ к папкам»

Теперь платформа позволяет заблокировать доступ к определенным папкам и их содержимому всем пользователям, за исключением указанных. Управление доступом осуществляется с помощью настройки правил «Доступ к папкам».

  • Правила «Доступ к дискам»

Аналогично обновленная система позволяет управлять доступом к логическим дискам и их содержимому. Настройка правил позволяет разрешить доступ ко всем дискам определенных рабочих станций только указанным пользователям, остальным пользователям доступ ко всем дискам (за исключением системного) будет блокирован. Ограничение доступа также распространяется на подключенные диски, имеющие логическое имя (например, F:).

Возможность управления доступами будет полезна службам ИБ: офицеры безопасности смогут «закрывать» папки и диски с конфиденциальными данными для всех, включая системных администраторов. Действия внутри этих папок/дисков в аудит не попадают.

«Если раньше агент Контура информационной безопасности SearchInform был предназначен для контроля информационных потоков (и сотрудников, соответственно), то теперь его развитие происходит и в направлении защиты, – комментирует технический директор SearchInform Мершков Иван. – В любой организации есть люди, которые работают с конфиденциальными данными высшего уровня, – и запрет доступа к ним и к их компьютерам делает систему безопасности еще более надежной.

Взять, скажем, топ-менеджера или офицера безопасности, на компьютерах которых всегда масса файлов, закрытых для третьих лиц. Можно просто следить за тем, чтобы информация не попала в «левые руки», а можно запретить доступ и исключить возможность утечки».

Контролируемая установка ПО

Обновленная платформа позволяет так же блокировать установку нежелательного ПО на рабочие станции. Агент делает снимок системы, фиксируя список установленных программ. При попытке новой инсталляции (в том числе и через MSI пакет) происходит блокировка.

Такая возможность оптимизирует работу ИТ-отдела. Однако прежде всего обновление ориентировано на топ-менеджмент и ИБ-департаменты, информация на рабочих станциях которых представляет особую ценность.



СМ. ТАКЖЕ (2)


Подрядчики-лидеры по количеству проектов

За всю историю
2021 год
2022 год
2023 год
Текущий год

  Инфосистемы Джет (66)
  Softline (Софтлайн) (56)
  SearchInform (СёрчИнформ) (53)
  ДиалогНаука (44)
  Информзащита (40)
  Другие (922)

  Инфосистемы Джет (5)
  Национальный аттестационный центр (НАЦ) (4)
  Солар (ранее Ростелеком-Солар) (4)
  R-Vision (Р-Вижн) (4)
  Card Security (Кард Сек) (4)
  Другие (62)

  Солар (ранее Ростелеком-Солар) (8)
  SearchInform (СёрчИнформ) (4)
  Информзащита (3)
  А-Реал Консалтинг (3)
  Makves (Маквес) (2)
  Другие (44)

  Инфосистемы Джет (7)
  Softline (Софтлайн) (4)
  Inspect (3)
  МСС Международная служба сертификации (3)
  Уральский центр систем безопасности (УЦСБ) (3)
  Другие (42)

  SearchInform (СёрчИнформ) (14)
  Уральский центр систем безопасности (УЦСБ) (6)
  Инфосистемы Джет (4)
  Softline (Софтлайн) (4)
  Positive Technologies (Позитив Текнолоджиз) (2)
  Другие (42)

Распределение вендоров по количеству проектов внедрений (систем, проектов) с учётом партнёров

За всю историю
2021 год
2022 год
2023 год
Текущий год

  SearchInform (СёрчИнформ) (19, 57)
  InfoWatch (ИнфоВотч) (14, 49)
  Солар (ранее Ростелеком-Солар) (4, 48)
  FalconGaze (Фалконгейз) (1, 38)
  Positive Technologies (Позитив Текнолоджиз) (8, 37)
  Другие (408, 309)

  R-Vision (Р-Вижн) (1, 4)
  Солар (ранее Ростелеком-Солар) (2, 2)
  Инфосекьюрити (Infosecurity) (2, 2)
  SearchInform (СёрчИнформ) (1, 2)
  Tele Link Soft (TLS) PTE. Ltd (1, 2)
  Другие (10, 13)

  Солар (ранее Ростелеком-Солар) (2, 7)
  SearchInform (СёрчИнформ) (2, 4)
  А-Реал Консалтинг (1, 3)
  Softscore UG (1, 2)
  Positive Technologies (Позитив Текнолоджиз) (1, 2)
  Другие (5, 6)

  SearchInform (СёрчИнформ) (2, 2)
  CyberPeak (СайберПик) (1, 1)
  R-Vision (Р-Вижн) (1, 1)
  Softscore UG (1, 1)
  Инфосистемы Джет (1, 1)
  Другие (8, 8)

  SearchInform (СёрчИнформ) (2, 15)
  Перспективный мониторинг (1, 3)
  Positive Technologies (Позитив Текнолоджиз) (1, 2)
  Crosstech Solutions Group (Кросстех Солюшнс Групп) (1, 1)
  Интеллектуальная безопасность ГК (бренд Security Vision) (1, 1)
  Другие (3, 3)

Распределение систем по количеству проектов, не включая партнерские решения

За всю историю
2021 год
2022 год
2023 год
Текущий год

  Контур информационной безопасности SearchInform (КИБ Сёрчинформ) - 51
  InfoWatch Traffic Monitor Enterprise (IWTM) - 46
  FalconGaze SecureTower - 38
  MaxPatrol SIEM - 33
  DeviceLock Endpoint DLP Suite - 31
  Другие 345

  R-Vision SGRC Центр контроля информационной безопасности (ЦКИБ) - 4
  MaxPatrol SIEM - 2
  SETERE: ПК ИСУ Терминал (Интегрированная система управления терминалами защищенного доступа) - 2
  Kickidler Система учета рабочего времени - 2
  Контур информационной безопасности SearchInform (КИБ Сёрчинформ) - 2
  Другие 12

  Контур информационной безопасности SearchInform (КИБ Сёрчинформ) - 4
  Solar Dozor DLP-система - 4
  А-Реал Консалтинг: Интернет-шлюз ИКС - 3
  Solar JSOC - 3
  SearchInform FileAuditor - 2
  Другие 10

  Контур информационной безопасности SearchInform (КИБ Сёрчинформ) - 2
  SearchInform FileAuditor - 1
  Makves DCAP (Data-Centric Audit and Protection) - 1
  Jet CyberCamp - 1
  ARinteg: 1С УПДН. Учет персональных данных (расширение для 1С:ЗУП) - 1
  Другие 9

  Контур информационной безопасности SearchInform (КИБ Сёрчинформ) - 15
  SearchInform FileAuditor - 4
  Перспективный мониторинг: Ampire Киберполигон - 3
  MaxPatrol SIEM - 2
  BI.Zone CESP (Cloud Email Security & Protection) - 1
  Другие 4