SearchInform представила новые поисковые алгоритмы и инструмент для проведения расследований

В рамках традиционного весеннего RoadShow компания SearchInform представила обновленную версию своего флагманского продукта «Контура информационной безопасности SearchInform». Наибольший интерес у публики вызвали новые поисковые алгоритмы и новый продукт IncidentCenter, предназначенный для проведения расследований инцидентов информационной безопасности.

IncidentCenter используется для двух задач:

• помощь при проведении расследований. Любой документ, перехваченный «Контуром информационной безопасности» можно прикрепить к «Делу» или «Досье». IncidentCenter также поддерживает импорт файлов из сторонних систем, что позволяет консолидировать всю информацию по инциденту в рамках одной системы. «Заметки» и «Промежуточные резюме», в свою очередь, позволяют параллельно расследовать дело сразу нескольким сотрудникам отдела ИБ;
• ведение досье по сотрудникам. На каждого сотрудника может быть заведено «Досье», в котором будет аккумулироваться вся информация, полезная для контроля и общения с этим человеком: контакты, увлечения, сильные\слабые стороны и т.д.

Широкие возможности экспорта позволят донести информацию до ответственных лиц (директоров, начальников отделов и т.д.) без раскрытия первоначальных источников.

Модуль AlertCenter, отвечающий за автоматическое выявление нарушений заданных политик безопасности, получил сразу несколько новых видов поиска: статистические запросы, поиск по событиям в Active Directory, а также поиск по бинарным цифровым отпечаткам.

Статистические запросы позволяют автоматически выявлять инциденты на основе количественных показателей и аномальную активность среди сотрудников. В частности: количество скопированных файлов на внешний носитель; объём скопированных файлов на внешний носитель; количество отправленных писем; количество уникальных адресатов в отправленных письмах; максимальное количество уникальных адресатов в одном отправленном письме; количество исходящих сообщений в Skype, Lync, Viber, IM; количество различных собеседников в Skype, Lync, Viber, IM; количество напечатанных страниц; количество напечатанных документов; количество неудачных попыток логина.

Поиск по событиям в Active Directory призван автоматизировать обработку информации по подозрительным действиям в AD. К примеру, создание временных учетных записей, временное включение учетных записей в группы с широкими правами доступа и т.д.

Расширенные возможности поиска по цифровым отпечаткам позволяют выявлять меру схожести для двух произвольных документов. При этом, сравнение происходит не только по «текстовой» части. Релевантность вычисляется как для бинарного содержимого проверяемых файлов, так и для извлеченного текста. Таким образом, можно обнаруживать факт пересылки любых файлов: фотографии или скриншота части карты, исполняемых файлы и т.д.

Как и ранее, каждый из видов поиска можно использовать как в «чистом» виде, так и в составе сложного запроса, что позволяет повысить КПД поисковых запросов и свести количество ложных срабатываний к нулю.

Обновление получили практически все модули, входящие в состав «Контура информационной безопасности SearchInform». SkypeSniffer получил возможность перехватывать картинки, отправляемые по Skype из буфера обмена, то есть даже в том случае, когда скриншот создается и сразу передается собеседнику без сохранения на компьютере в виде файла.

ReportCenter пополнился новыми отчетами. Теперь с помощью этого модуля можно визуализировать информацию об отсутствующих на работе пользователях, опозданиях сотрудников, ранних уходах, посещениях сотрудников, подключаемых к рабочей станции устройствах, вести табель рабочего времени, а также просматривать данные о продуктивности сотрудников. Кроме того, добавлен классификатор сайтов, который позволяет сразу же получить представление о том, на каких сайтах персонал проводит время: новостных, развлекательных, рабочих и т.д.