Компания «СёрчИнформ» – ведущий российский разработчик средств информационной безопасности. Входит в НП «Руссофт», член АПКИТ. Аккредитована в качестве ИТ-компании.
Начиная с 1995 года, команда «СёрчИнформ» заложила основу технологии поиска по неструктурированным данным. С 2004 года сосредоточили свои усилия на создании мощных инструментов для защиты информации. Сегодня в активе команды – комплексные решения по защите от внутренних угроз на уровне IT-инфраструктуры, файловой системы, рабочих станций пользователей и каналов передачи информации, а также рисков со стороны человеческого фактора.
Продукты «СёрчИнформ» подходят компаниям и организациям различных отраслей – от банковского дела до машиностроения. Защищает данные пациентов медицинских учреждений, обеспечивает сохранность данных и ноу-хау в производственных компаниях, следит за конфиденциальностью документооборота и защищает контур информационных архивов в органах государственного и муниципального уровня.
Продукты «СёрчИнформ» сертифицированы ФСТЭК, внесены в Единый реестр российских программ для ЭВМ и баз данных. Компетенция компании подтверждена бессрочной лицензией ЦЛСЗ ФСБ России на разработку и производство средств защиты конфиденциальной информации, лицензиями ФСТЭК России на деятельность по технической защите конфиденциальной информации и деятельность по разработке и производству средств защиты конфиденциальной информации.
Продукты и решения компании «СёрчИнформ»
DLP-система «СёрчИнформ КИБ» контролирует
максимальное число информационных каналов и имеет
встроенные аналитические инструменты.
Решение, которое защитит
бизнес в несколько шагов:
- Возьмет под контроль информационные потоки.
- Исследует содержимое всех переписок и отправлений.
- Оповестит о нарушениях политик безопасности.
- Поможет провести расследование
и предупредить утечку.
Система работает на двух уровнях: контролирует данные, уходящие в Сеть, и следит за тем, что происходит на компьютерах работников. «СёрчИнформ КИБ» следит за безопасностью 24 часа в сутки как внутри офиса, так и в случаях, когда сотрудники отправляются в командировки или работают из дома.
Что контролирует
Система в режиме реального времени анализирует все, что происходит в компании. Перехват сохраняется и позволяет восстанавливать детали прошедших событий, если возникает необходимость расследования.
Каналы связи
Электронная почта, Skype, мессенджеры, форумы, облачные хранилища и др.
Действия сотрудников
Занятость за компьютером, поведение, криминальные тенденции и проч.
Хранимую информацию
Ее нахождение в «правильных» сетевых папках, на «разрешенных» компьютерах и т.д.
Какие задачи решает
«СёрчИнформ КИБ» предлагает больше возможностей, чем классическая DLP. Благодаря аналитическим инструментам, а также ориентации не только на данные, но и на пользователя, система:
- Возьмет под контроль информационные потоки.
- Исследует содержимое всех переписок и отправлений.
- Оповестит о нарушениях политик безопасности.
- Поможет провести расследование
и предупредить утечку.
- Аудит файловой системы
- Контроль операций с чувствительными данными
- Блокировка опасной активности с файлами в любом приложении
Что такое FileAuditor
DCAP-решение (data-centric audit and protection) для автоматизированного аудита файловой системы, поиска нарушений прав доступа и отслеживания изменений в критичных данных. Защищает конфиденциальные документы от опасных действий сотрудников и наводит порядок в файловых хранилищах.
FileAuditor отвечает на важные вопросы внутренней информационной безопасности:
Какие документы содержат критичную для бизнеса информацию?
Сколько в компании таких данных и где они находятся?
Кто имеет к ним доступ и может их редактировать?
Какие задачи решает FileAuditor
Классификация конфиденциальных данных
Находит в общем документообороте файлы, которые содержат критичную информацию, и присваивает каждому метку определенного типа: персональные данные, коммерческая тайна, номера кредитных карт и т.д.
Аудит прав доступа
Облегчает контроль за доступом к уязвимой информации – автоматически отслеживает открытые ресурсы, файлы, доступные конкретному пользователю или группе, учетные записи с привилегированными правами.
Архивирование критичных документов
Делает теневые копии критичных файлов, найденных на ПК, сервере или в сетевых папках и сохраняет историю их редакций. Архив критичных данных помогает в расследованиях инцидентов и гарантирует восстановление потерянной информации.
Контроль и блокировки действий пользователей
Производит аудит пользовательских операций в файловой системе. ИБ-служба всегда в курсе актуальной информации о «жизни» файла (создание, редактирование, перемещение, удаление и т.д.). Блокирует нежелательную активность с файлами в любом произвольном приложении.
Программа работает на платформе агентского перехвата EndpointController – сканирует ПК сотрудников, серверы, сетевые папки и передает данные для анализа на рабочую станцию ИБ-специалиста.
FileAuditor можно настроить с учетом задач компании:
- создать правила поиска критичных документов (по тексту, по регулярным выражениям, по атрибутам файла)
- задать число последних версий файлов, копии которых нужно сохранять
- установить разрешения и запреты на работу с файлами по пользователям, компьютерам и приложениям
- выбрать скорость, расписание и условия сканирования
Анализ данных
Аналитический модуль FileAuditor визуализирует результаты сканирования файловой системы по заданным правилам.Аналитический модуль FileAuditor визуализирует результаты сканирования файловой системы по заданным правилам.
Программа наглядно демонстрирует:
- дерево папок с указанием прав пользователей к каждому каталогу или файлу
- наличие критичных документов на ПК, сервере или сетевом хранилище
- действия с критичными файлами (создание, перемещение, удаление и т.д.)
- маркировку файлов (секретный договор, персональные данные, финансовая отчетность)
Интеграция с «СёрчИнформ КИБ»
FileAuditor может работать как автономно, так и в составе «СёрчИнформ КИБ». Интеграция DCAP-решения в DLP значительно расширит функционал системы защиты от утечек данных. Это уникальное предложение для российского рынка.
Уже используете «СёрчИнформ КИБ»? Для активации модуля FileAuditor вам не придется дополнительно устанавливать агентское и серверное ПО. Достаточно обновить систему и включить новую опцию.
- Обработка потока событий
- Выявление угроз
- Расследование ИБ-инцидентов
Для чего нужна SIEM
Сбор событий из различных источников
SIEM осуществляет сбор логов из различных программных и аппаратных источников и позволяет работать с ними в рамках единого интерфейса.
Нормализация и обогащение событий
Приведение событий к единому формату с использованием стандартных операторов и обогащение событий недостающей информацией.
Корреляция и применение правил
Анализ событий и формирование инцидентов в соответствии с правилами. Детектирование угроз путем выявления корреляций событий и/или инцидентов.
Оповещения и инцидент-менеджмент
Автоматическое извещение ответственных лиц об инцидентах и предоставление информации, необходимой для проведения расследования.
Кому подойдет?
Банки и компании финансового сектора
Мониторинг распределенной сетевой инфраструктуры со значительным числом пользователей и устройств, логирование событий и выявление инцидентов.
Мобильные операторы и телеком-компании
Мониторинг работоспособности собственной структуры. Соблюдение внутренних политик
и стандартизация логов тысяч разнообразных источников.
Предприятия, использующие DLP, IDS, IDM
Интеграция дает ощутимый рост
функционала уже существующих
продуктов и SIEM, позволяя
максимизировать эффект
каждого элемента.
Компании из сектора малого и среднего бизнеса
Мониторинг работоспособности сетевой инфраструктуры и соблюдения пользовательских политик с учетом масштабирования финансовых нагрузок.
Крупные предприятия с 1000+ компьютеров и устройств
Анализ терабайтов ежедневных событий и фокус на инцидентах, которые требуют незамедлительной реакции и вмешательства.
Географически распределенные предприятия
Организация эффективной работы и сохранения работоспособности распределенной сетевой инфраструктуры и ее контроль из единого центра.
Архитектура и алгоритм работы
Сервер SIEM отвечает за обработку, корреляцию событий ИБ и реагирование на них. Для сопоставления событий с их инициаторами сервер SIEM использует компонент SearchInform DataCenter. В свою очередь DataCenter получает сведения о пользователях и компьютерах путем синхронизации с Active Directory. Сбор данных для сервера SIEM, их нормализацию и взаимосвязь между собой обеспечивают коннекторы.
AzureConnector – вычитка логов серверов Microsoft Azure SQL.
ESEventConnector – вычитка логов сервера Microsoft SQL.
SQLAuditConnector – вычитка логов сервера Microsoft SQL.
KasperskyConnector – вычитка записей БД Kaspersky Anti-Virus.
ExchangeConnector – вычитка логов почтового сервера Exchange.
RusGuardConnector – подключение к базам данных СКУД RusGuard и чтение их записей.
SyslogConnector – сбор событий Syslog.
1C TechlogConnector – осуществляет чтение событий технологического журнала 1С.
OracleConnector – вычитка таблиц БД и логов Oracle Listener.
PostgreSQLConnector – вычитка и анализ протоколов PostgreSQL из журнала Windows «Приложения».
1CConnector – вычитка журналов 1C.
DominoConnector – вычитка логов IBM Domino.
DrWebConnector осуществляет подключение к базам данных антивируса Dr.Web и чтение их записей.
DHCPConnector – обеспечивает чтение логов на DHCP-сервере посредством выполнения на нем PowerShell скриптов.
IISConnector – сбор событий службы Microsoft IIS.
NetFlowConnector – получает события о сетевом трафике по протоколу NetFlow от различных аппаратных устройств, поддерживающих данный протокол.
SNMPTrapConnector – сбор trap-событий о состоянии различных сетевых устройств и ПО, поддерживающих протокол SNMP.
VipNetConnector – сбор событий из VipNet.
VMwareConnector – сбор событий VMware ESXi.CiscoConnector – сбор событий сетевых устройств Cisco.
SIDLPConnector – сбор событий приложений «СёрчИнформ КИБ».
FortigateConnector – сбор событий устройства комплексной сетевой безопасности FortiGate.
LinuxConnector – сбор событий ОС Linux, веб-сервера Apache, почтового сервера Postfix и FTP-сервера Very Secure FTP Daemon.
MongoDBConnector – вычитка логов СУБД Mongo DB.
RedCheckConnector – подключение к базам данных сканера безопасности RedCheck и чтение их записей.
SymantecConnector – подключение к базе данных Symantec EPM и чтение ее записей.
PaloAltoConnector – сбор событий межсетевого экрана Palo Alto.
CheckPointConnector – сбор событий межсетевого экрана Check Point.
McafeeConnector – осуществляет подключение к базе данных McAfee и чтение ее записей.
ADMonitoringConnector – отслеживает изменения атрибутов и объектов Active Directory.
ESETConnector – обеспечивает получение событий антивирусного программного обеспечения ESET.
GPOConnector – подключение и сбор данных из журналов групповых политик, отслеживает изменения в настройках объектов групповых политик.
UserGateConnector – получает события от межсетевых экранов UserGate.
Интерфейс и отчёты
Настраивать «СёрчИнформ SIEM», работать с ней и оперативно реагировать на инциденты может любой ИБ- или IT-специалист. Чтобы это стало возможным и задачи безопасности решались эффективно, мы встроили готовые политики безопасности, упростили процесс подключения источников и сделали интуитивно понятный интерфейс.
Внедрение «СёрчИнформ SIEM»
от 6 часов до 8 дней
Внедрение, запуск и администрирование
осуществляется силами команды «СёрчИнформ» и
IT-службы заказчика и не требует привлечения
сотрудников других отделов.
После окончания внедрения оказываем
обязательную техническую поддержку.
Самый сложный момент внедрения SIEM – подключение
источников событий.
ПО регулярно обновляется в рамках технической
поддержки – функционал инструмента постоянно
расширяется.
Правила корреляции
300 + готовых правил
Примеры предустановленных правил корреляции
Одно из ключевых преимуществ «СёрчИнформ SIEM» — работа фактически «из коробки». Система поставляется с набором готовых правил корреляции учитывает опыт и задачи компаний из всех областей бизнеса и отраслей экономики. Список коннекторов и правил постоянно расширяется.
Правила AD
- Изменение состава критичных групп пользователей
- Временная выдача прав доступа AD
- Подбор паролей
Правила 1C
- Изменение проведенного документа
- Вход в нерабочие часы
- Вход под отсутствующим пользователем
Правила KasperskyAnti-Virus
- Изменение в составе административной группы управления
- Самозащита антивируса отключена
- Выявлена вирусная эпидемия
Правила VMware
- Критический перегрев оборудования
- Неудачные попытки входа
- Удаление снапшотов
Правила Syslog
- События ядра операционной системы
- Критичные предупреждения журналирования
- События почтовых систем
Правила MS SQL
- Временное создание учетных данных MS SQL
- Статистика изменения прав доступа к MS SQL
- Задание пароля учетной записи SQL администратором БД
Правила Syslog
- События ядра операционной системы
- Критичные предупреждения журналирования
- События почтовых систем
Правила MS SQL
- Временное создание учетных данных MS SQL
- Статистика изменения прав доступа к MS SQL
- Задание пароля учетной записи SQL администратором БД
Преимущества «СёрчИнформ SIEM»
Легкое внедрение
Система «СёрчИнформ SIEM» не требует долгой предварительной настройки. Предустановленные политики готовы к работе сразу после инсталляции. Решение способно детектировать ряд угроз и инцидентов «из коробки».
Простота использования
В отличие от большинства аналогов «СёрчИнформ SIEM» интуитивно понятна; для работы с установленной и настроенной системой не требуется привлекать высококвалифицированных и дорогостоящих специалистов.
Подходит среднему и малому бизнесу
Невысокие программно-аппаратные требования «СёрчИнформ SIEM» и приемлемая ценовая политика позволяет внедрять данное решение даже в предприятиях малого и среднего бизнеса.
Учитывает опыт тысяч клиентов
Решения «СёрчИнформ» используют более 4 000 клиентов в 20 странах. Мы изучили опыт крупнейших из них, выявили общие потребности и лучшие практики — и внедрили последние в «СёрчИнформ SIEM».
Симбиоз SIEM и DLP
Тандем систем «СёрчИнформ КИБ» и «СёрчИнформ SIEM» многократно повышает уровень ИБ компании. SIEM выявляет аномальное поведение и способ получения доступа к информации. «СёрчИнформ КИБ» оценивает содержимое коммуникаций. Интеграция этих двух продуктов позволяет каждому из них работать на порядок эффективнее.
Сопровождение клиента
Установку ПО и решение технических проблем возьмет на себя инженер техподдержки. Специалист отдела внедрения обучит работе с SIEM, поможет настроить правила, будет держать в курсе обновлений и консультировать. Административные и другие вопросы решит персональный менеджер.
Российский продукт
«СёрчИнформ SIEM» — продукт российского разработчика. Система удовлетворяет требованиям закона об импортозамещении.
Лицензирование
Осуществляется по узлам, с которых происходит сбор данных. В качестве узла выступает однозначно идентифицированный по имени хоста или IP-адресу любой сетевой актив.
- автоматизированный профайлинг
- классификация характеристик личности, основанная на анализе её переписки
Что такое ProfileCenter
Это программное решение, которое применяется для выявления мошеннических действий, прогнозирования и обнаружения деструктивного поведения сотрудников в отношении организации.
Кому подойдет?
Узнать
как сотрудники различных подразделений на самом деле относятся к политикам безопасности и службе безопасности.
Дать достоверную оценку кадров
без личных пристрастий и вкусов, истории отношений и другого эмоционального «багажа».
Быть в курсе
расстановки сил в удаленных офисах и проводить дистанционную оценку сотрудников.
Принять решение
при взаимодействии с коллективом и распределении прав и обязанностей. ProfileCenter предложит рекомендации: например, предоставлять ли сотруднику доступ к данным или какие обязанности поручить, чтобы снизить риск нарушения ИБ-правил.
Принять решение
психологическую атмосферу в коллективе и выявить значимые колебания настроений работников. ProfileCenter готов предоставить актуальную и развернутую характеристику на каждого сотрудника в любой момент.
Как работает ProfileCenter
DLP-системаi собирает переписку сотрудника: исходящие письма, сообщения в Skype, Viber, WhatsApp, Lync, Telegram, других мессенджерах и социальных сетях. (Для работы ПО требуется установка модулей DLP-системы на сетевой или агентской платформах.)
Результаты анализа отображаются в отчете с пояснениями и рекомендациями
На что обращать внимание в поведении сотрудника:
За кем из сотрудников следить время от времени, а за кем – постоянно или в определенных ситуациях.
С кем в коллективе сохранять подчеркнуто деловые, формальные отношения, а с кем, наоборот, наладить дружеские связи.
Подходит или нет сотрудник на ту или иную должность, обладает ли нужными качествами и т.д.
Насколько безопасно давать сотруднику доступ к конфиденциальной информации, финансовым активам и ценным ресурсам компании.
Кому из сотрудников достаточно «внушения» и профилактической беседы, а с кем следует регулярно проводить тренинги по информационной безопасности; кого следует более строго наказывать за нарушение правил и т.д.
ProfileCenter – уникальное решение для бизнеса
Работает круглосуточно
Не отвлекает, не демотивирует и не подвергает коллектив стрессу. У службы безопасности всегда есть актуальные психологические профили, что важно при экстренных расследованиях.
Беспристрастен и объективен
Работает по строго заданным
алгоритмам и делает
обоснованные выводы без учета
личного мнения и другого
эмоционального «багажа».
Позволяет контролировать распределенную команду
Находясь в Москве, специалист
по безопасности будет в курсе
психологической обстановки в
коллективе Хабаровска или
Калининграда.
- Автоматический контроль работы сотрудников за компьютерами
- Формирование отчетов об активности пользователей
- Сбор информации для расследования инцидентов
TimeInformer
Это программное решение, которое показывает, чем заняты сотрудники. Программа ведет учет рабочего времени и отслеживает активность пользователей и приложений.
Какие задачи решает TimeInformer
TimeInformer защищает бизнес от неэффективного труда и финансовых потерь, связанных с персоналом.
Опоздания и прогулы
Фиксирует время прихода и ухода сотрудника, длительные перекуры, опоздания, прогулы.
Развлечения в рабочее время
Собирает данные о приложениях и сайтах, которые сотрудник использует в течение дня, учитывает проведенное в них время.
Перегрузки сотрудников
Определяет сотрудников на грани выгорания из-за постоянной внеурочной работы.
Нелояльность сотрудников
Вычисляет ценных сотрудников, которые задумываются о смене работы – проводят время на биржах труда.
Программа позволяет:
Определить, работал ли пользователь в приложении, либо оно было просто запущено.
Фиксировать все посещенные сайты и время, проведенное на каждом из них.
Автоматически разделить активность сотрудников на продуктивную, непрофильную, непродуктивную и т.д.
Собрать необходимые для расследования нарушений улики – скриншоты, нажатые клавиши, аудиозаписи.
Сформировать детальные отчеты по занятости сотрудников и нарушениям рабочего режима.
Контролировать корпоративные ноутбуки, даже когда сотрудники находятся за пределами корпоративной сети.
Как работает TimeInformer
На стороне сотрудника
Агенты TimeInformer устанавливаются на
компьютеры сотрудников – есть скрытый и открытый
режимы работы.
Агент собирает информацию о времени включения и
выключения ПК, времени простоя, времени
использования программ и сайтов.
Если сотрудник ведет аудиопереговоры и при этом
не использует мышь и клавиатуру, программа учета
времени будет отмечать время как «рабочее».
На стороне контролера
Программа учета рабочего времени анализирует
собранные данные и предоставляет администратору
набор отчетов.
В TimeInformer есть 33 предустановленных отчета и
возможность создавать собственные варианты
отчетов, а также настраивать пересылку отчетов на
почту руководителя.
Модули TimeInformer
Keylogger
Перехватывает все нажатия, совершенные пользователем на клавиатуре, а также информацию, копируемую в буфер обмена. Способ копирования не имеет значения
(Ctrl+C, Ctrl+V, «Вырезать», «Вставить» и т.д.).
MonitorController
Делает снимки экранов с рабочих станций сотрудников. С каждым снимком перехватывается дополнительная информация, которая помогает установить все подробности нарушений. Функция LiveView позволяет подключиться к монитору в режиме реального времени.
ProgramController
Собирает данные об активности пользователей и времени, проведенном в приложениях и на сайтах. Автоматически определяет, работает сотрудник или открыл программу «для вида».
MicrophoneController
Записывает переговоры в офисе и за его пределами. Включает запись звука при обнаружении речи, при запуске процессов и программ, заданных политикой безопасности.
Oтчеты и оповещения
Позволяет строить подробные отчеты по перехваченной информации. Предусмотрена возможность создания оповещений о подозрительной активности сотрудников и их автоматическая отправка на заданный электронный адрес.
Отчеты об активности отображают информацию о
распределении рабочего времени пользователей, их
активности в запускаемых приложениях и на
посещаемых веб-сайтах, продуктивности рабочего
дня.
Категория «Отчеты по устройствам» позволяет
просматривать данные по установленному на
рабочих станциях оборудованию, а также следить за
изменениями, произошедшими в комплектации
компьютеров.
Отчеты по программам содержат данные по
установленному на рабочих станциях программному
обеспечению, а также историю установки и удаления
программ.
Оповещения формируются с учетом различных
условий, а встроенный планировщик поможет
автоматизировать контроль: оповещения будут
создаваться автоматически и отправляться на
указанный ящик электронной почты.
TimeInformer – время, деньги
Потери компании из-за нецелевого использования рабочего времени после внедрения системы уменьшаются в среднем на 30%.
Бессрочная лицензия
Приобретая TimeInformer, вы получаете программу контроля рабочего времени в постоянное пользование.
Защита от удаления
Недобросовестные сотрудники не смогут удалить программу-агент с компьютера самостоятельно. Система оповестит о подобных попытках.
Контроль удаленных сотрудников
Даже когда они работают удаленно, например, когда в командировке. С другой стороны, коллектив находится под контролем, даже когда руководитель в отъезде.
Возможность «видеть» экран сотрудника и «слышать» его
Система помогает проверить сотрудника, который вызвал подозрения: руководитель может в режиме реального времени понаблюдать за тем, что происходит на его мониторе, и услышать разговор через микрофон его компьютера.
Нормативные требования в ИБ
Законодательство предписывает принимать конкретные меры
по защите информации в организациях и другие процедуры
для обеспечения информационной безопасности.
Решения «СёрчИнформ» помогают выполнить эти требования на нескольких уровнях
- Сертифицированы ФСБ и ФСТЭК для защиты информации по 4 уровню доверия
- Входят в Реестр отечественного ПО, подходят для импортозамещения
- Выполняют задачи, предписанные нормативными требованиями по защите информации и ИТ-инфраструктуры