Усиление парольной аутентификации пользователей при доступе к Web-ресурсам за счёт перехода к двухфакторной аутентификации с использованием токена
Избавление пользователей от необходимости запоминать сложные пароли. За счёт использования второго фактора аутентификации требования к сложности пароля могут быть существенно снижены
Использование одного устройства для доступа к различным ресурсам
Функциональные возможности
Аутентификация по стандарту FIDO U2F
Ключевые особенности
Токен JaCarta U2F обладает рядом особенностей, отличающих его от токенов, использующих альтернативные технологии аутентификации.
Самостоятельная регистрация пользователей – в отличие от систем аутентификации на основе традиционных PKI-токенов, в процессе регистрации токена JaCarta U2F на конкретном Web-ресурсе не требуется участия администратора. Для регистрации необходимо просто ввести логин и пароль, подключить токен к компьютеру и нажать на кнопку (тем самым подтвердив физическое присутствие пользователя за компьютером). В процессе регистрации пользователем своего U2F-токена на Web-ресурсе происходит генерация ключевой пары (открытый и закрытый ключ) без сертификата открытого ключа. Сгенерированная ключевая пара используется для дальнейшей аутентификации.
Концепция «один ко многим» – один токен может использоваться для доступа к множеству различных Web-ресурсов (количество ресурсов ограничено лишь объёмом памяти токена, используемой для хранения аутентификационных данных).
Защита от фишинга – каждый закрытый ключ, хранящийся в памяти токена и используемый для доступа к конкретному ресурсу, «связан» с адресом данного ресурса (URL). Таким образом, если злоумышленник попытается перенаправить пользователя на «поддельный» ресурс, пользователь не сможет пройти аутентификацию, так как закрытый ключ, соответствующий «поддельному» ресурсу, не будет найден.
Архитектура
Основные компоненты типового решения с поддержкой U2F-аутентификации на базе токена JaCarta U2F представлены ниже:
Архитектура JaCarta U2F
Web-сервер – сервер, к ресурсам которого обращаются пользователи. На одном Web-сервере может быть установлено несколько Web-приложений. В качестве Web-сервера выступает, как правило, одно из доступных на рынке решений данного класса (например, Microsoft IIS, Apache, nginx и др.).
Web-приложение – приложение (Web-сервис), реализующее конкретную прикладную логику. Например, Web-портал, личный кабинет клиента банка и т.п.
U2F-сервер – приложение, реализующее серверную часть протокола U2F и обеспечивающее хранение информации, полученной в процессе регистрации и аутентификации. В качестве U2F-сервера может выступать либо готовое решение, созданное сторонними производителями, либо продукт собственной разработки. Web-приложение при получении запросов на регистрацию и аутентификацию пользователей обращается к U2F-серверу для проверки и сохранения полученных от пользователя данных.
U2F-клиент – приложение, посредством которого пользователь взаимодействует с Web-сервисом (например, Web-браузер или мобильное приложение). U2F-клиент реализует клиентскую часть протокола U2F, взаимодействует с Web-сервером и U2F-токеном:
взаимодействие с Web-сервером осуществляется по протоколу HTTPS;
взаимодействие с U2F-токеном осуществляется по протоколу USB HID.
Токен JaCarta U2F – устройство, используемое в качестве второго фактора аутентификации при доступе к Web-ресурсам и реализующее интерфейс USB HID.
Как это работает
Рассмотрим процесс аутентификации пользователя на онлайн-ресурсе с использованием токена JaCarta U2F (на самом низком уровне взаимодействие токена с компьютером в процессе регистрации токена и аутентификации пользователя осуществляется через HID-интерфейс и поэтому не требует установки драйверов – они уже есть в любой современной ОС: Windows, Linux, Mac OS X).
Перед первым использованием токена JaCarta U2F его необходимо зарегистрировать в данном онлайн-сервисе. Если у пользователя уже есть учётная запись на сервере, то он должен сделать это самостоятельно из личного кабинета, не прибегая к помощи администратора сервиса. В процессе регистрации внутри токена генерируется новая пара «открытый-закрытый ключ», связанная только с данным онлайн-сервисом. Открытый ключ передается на сервер, а закрытый ключ никогда не покидает токен (безопасно хранится в памяти токена).
Аутентификацию на Web-ресурсе пользователь, как и раньше, начинает с предъявления регистрационного имени и пароля. Если для данного пользователя в системе уже зарегистрирован токен JaCarta U2F, со стороны Web-ресурса поступит дополнительный запрос. Пользовательский браузер (Google Chrome) имеет встроенную поддержку протокола U2F: он «знает», что полученный запрос на U2F-аутентификацию надо направить на подключенный к компьютеру пользователя U2F-токен и «умеет» это делать безо всяких дополнительных плагинов и пр. Чтобы токен пользователя смог обработать запрос на аутентификацию, пользователь должен подтвердить своё присутствие за компьютером – для этого достаточно просто нажать на кнопку на корпусе JaCarta U2F. После этого появляется возможность использовать для аутентификации на целевом ресурсе ключевые пары, хранящиеся в памяти токена.
В памяти токена JaCarta U2F хранятся закрытые ключи, уникальные для каждого Web-ресурса. Открытые ключи передаются и хранятся на сервере. На одном ресурсе можно зарегистрироваться несколько раз (например, с разными логинами). Ключевая пара соответствует конкретной регистрации пользователя. Поступивший со стороны сервера запрос на аутентификацию содержит идентификатор Web-ресурса, который поможет токену выбрать из всех ключевых пар именно ту, которая была сгенерирована именно для этого ресурса. С помощью закрытого ключа токен JaCarta U2F подписывает запрос на аутентификацию и возвращает его браузеру, который в свою очередь отправляет запрос на Web-ресурс для проверки подписи.
В случае успешной проверки подписи пользователь считается авторизованным в онлайн-сервисе.
JaCarta PRO — семейство USB-токенов и смарт-карт для обеспечения строгой двухфакторной аутентификации пользователей при работе с инфраструктурой открытых ключей (PKI) и доступе к защищённым информационным ресурсам организации, а также для безопасного хранения ключей, ключевых контейнеров программных СКЗИ (КриптоПро CSP, ViPNet CSP и др.), профилей и паролей.
Отличительной особенностью устройств JaCarta PRO является обратная совместимость с программными продуктами компании Aladdin Knowledge Systems, предназначенными для работы с семейством токенов eToken PRO (Java). Это позволяет применять JaCarta PRO в автоматизированных системах, где уже используются токены eToken PRO (Java), и требуется поэтапно заменить эти зарубежные изделия на российские продукты в рамках реализации мероприятий по импортозамещению.
Семейство токенов JaCarta PRO сертифицировано ФСТЭК России (сертификат № 2799) на соответствие 4 уровню контроля отсутствия недекларированных возможностей (НДВ 4), что позволяет применять эти токены в автоматизированных системах до класса защищённости 1Г включительно, в ГИС до 1 класса защищённости включительно и в ИСПДн до 1 уровня защищённости включительно.
Кастомизация
Интеграция с системами контроля доступа
В USB-токены и смарт-карты JaCarta PRO могут быть встроены пассивные радиометки (RFID-метки) для контроля физического доступа в помещения, что позволяет использовать их совместно с системами контроля и управления доступом (СКУД), бесконтактными «электронными проходными», системами учёта рабочего времени персонала и другими системами, поддерживающими RFID-метки.
Нанесение логотипа заказчика
На токены JaCarta PRO можно нанести логотип заказчика. Рекомендуемый способ нанесения логотипа — тампопечать. Альтернативный метод — лазерная гравировка (получающийся цвет логотипа — серый на чёрном фоне).
Различные цвета корпуса
Для USB-токенов JaCarta PRO существует возможность изменить основной цвет корпуса и вставки. Рекомендуемые цвета для корпуса токена — тёмные, для вставки — белый (или светлые цвета). Колпачок на разъём рекомендуется делать в цвет корпуса. Минимальный заказ — от 5 000 шт.
Рекомендуется
Для работы со смарт-картами со стационарного компьютера рекомендуется использование офисных смарт-карт ридеров ASEDrive IIIe USB, с ноутбуками — компактных ASEDrive III USB Mini. При использовании смарт-карт на мобильных устройствах рекомендуется использованиеспециальных ридеров.
Преимущества JaCarta PRO
Разработка и производство токенов JaCarta PRO осуществляются в Российской Федерации, что позволяет последовательно замещать ими иностранные аналоги.
Для работы с JaCarta PRO доступен единый, удобный и интуитивно-понятный графический интерфейс Единый Клиент JaCarta. Он позволяет настроить и подготовить токены к работе: получить полную ин¬формацию об устройстве, провести его инициализацию, просмотреть хранимые объекты и т.д.
Более широкие возможности по кастомизации внешнего вида и дополнительных функций (по сравнению с USB-токенами eToken PRO (Java)): встраивание RFID-меток, различные цветовые решения USB-токена и пр.
JaCarta PRO в корпусе XL с колпачком имеет защиту от влаги и пыли по стандарту IP56.
Возможность увеличить гарантийный срок обслуживания токенов — до 36 месяцев против 12 месяцев у eToken PRO (Java).
Использование защищённого смарт-карточного чипа (достигнутый оценочный уровень доверия — EAL 5+), имеющего защиту от клонирования, взлома, физических, логических, статистических, переборных и стрессовых атак, атак с использованием специальных зондов и т.д.
Наличие сертификата соответствия ФСТЭК России № 2799, подтверждающего соответствие 4 уровню контроля отсутствия недекларированных возможностей (НДВ 4).
Защита инвестиций, сделанных ранее в токены и программные продукты компании Aladdin Knowledge Systems (в первую очередь — в системы TMS или SAM).
Сертификаты безопасности
Сертификат соответствия ФСТЭК России № 2799, подтверждающий, что программно-аппаратный комплекс аутентификации и безопасного хранения информации пользователей JaCarta является программно-техническим средством защиты информации, не содержащей сведений, составляющих государственную тайну, от несанкционированного доступа, соответствует требованиям руководящего документа «Защита от несанкционированного доступа к информации. Часть 1. Программное обеспечение средств защиты информации. Классификация по уровню контроля отсутствия недекларированных возможностей» (Гостехкомиссия России, 1999) — по 4 уровню контроля и технических условий.
Международные сертификаты безопасности
Common Criteria EAL 5+ — международный сертификат на используемые в устройствах JaCarta микроконтроллер (чип) и операционную систему на соответствие профилю защиты Security IC Platform Protection Profile, версия 1.0. Оценка соответствия выполнена по методике Common Criteria (версия 3.1, ревизия 3). Достигнутый уровень доверия — EAL 5+ (усиленный).
RoHS (соответствие директиве RoHS — Restriction of Hazardous Substances — Европейского Союза, ограничивающей использование шести опасных для здоровья и окружающей среды веществ в электрическом и электронном оборудовании — свинца, кадмия, ртути, шестивалентного хрома и бромидных соединений).
CE (соответствует требованиям стран ЕС, разрешён для ввоза и применения на их территории).
FCC (соответствует международным требованиям в части уровня электромагнитных помех радиоустройствам).
Прочие сертификаты
Система менеджмента качества компании «Аладдин Р.Д.» соответствует требованиям стандарта ГОСТ ISO 9001-2011.
Завод, осуществляющий контрактное производство печатных плат (комплектующих) и сборку USB-токенов, сертифицирован на соответствие международному стандарту ISO 9001:2008 и ISO 14001:2004.
Электромагнитная безопасность
Изделие имеет повышенную защищённость от пробоя статическим электричеством (до 15 киловольт), что крайне важно при эксплуатации в зимних условиях, при низких температурах и пониженной влажности воздуха, и соответствует требованиям ГОСТ Р 51317.4.2-2010.
Изделие не оказывает влияния на работу электронного оборудования, чувствительного к электромагнитным излучениям и помехам и соответствует требованиям ГОСТ Р 51318.22-99.
Изделие имеет повышенную защищённость от воздействия электромагнитных излучений и помех и соответствует требованиям ГОСТ Р 51318.22-99.
Изделие изготовлено в соответствии с требованиями Технического регламента Таможенного союза, утверждённого Решением Комиссии Таможенного союза от 9 декабря 2011 года № 879, ТР ТС 020/2011 «Электромагнитная совместимость технических средств» (декларация о соответствии ТС N RU Д-RU.АВ49.В.05350 от 06.09.2016 г., Протокол сертификационных испытаний № 8908ЕМ-LAB09/16 от 02.09.2016 г., ТУ 46538383.40 3000.002ТУ).
JaCarta BIO выполнена на базе модели JaCarta PKI с дополнительной опцией поддержки биометрии.
Рекомендуется использовать в проектах, где необходимо кардинально снизить риски получения несанкционированного доступа к критически важной информации, не допустить использования карт в отсутствии их владельцев (неотчуждаемость носителя), снизить время аутентификации, упростить жизнь руководству и ТОП-менеджерам, избавив их от ввода сложных паролей и периодической их смены.
Основным (рекомендуемым) форм-фактором JaCarta PKI/BIO является смарт-карта.
USB-токены также могут работать с биометрией, однако понадобится предварительное тестирование используемых сканеров (например, встроенных в ноутбуки или в клавиатуры) на предмет совместимости.
Рекомендуется
Для работы с биометрией рекомендуется использовать смарт-карт ридеры со встроенным сканером отпечатков пальцев ASEDrive IIIe Bio Comboили ASEDrive IIIe Bio Combo Swipe.
Для работы с биометрией также могут использовать другие современные полупроводниковые сканеры (не оптические!), встроенные в карт-ридеры, в клавиатуры с карт-ридером – необходимо предварительное тестирование.
Поддерживаемые криптографические алгоритмы
AES (длины ключей 128, 192, 256 бит);
DES (длина ключа 56 бит);
3DES (длины ключей 112 и 168 бит);
RSA (длины ключей 512, 1024, 2048);
криптография на эллиптических кривых (длины ключей 160, 192 бит);
аппаратная генерация ключей для RSA и криптографии на эллиптических кривых;
алгоритмы согласования ключей: алгоритм Диффи-Хеллмана, алгоритм Диффи-Хеллмана на эллиптических кривых;
функции хэширования: SHA-1, SHA-224 (эллиптические кривые), SHA-256, SHA-384, SHA-512;
генератор последовательностей случайных чисел.
Преимущества
Срок хранения данных в памяти — Не менее 10 лет
Количество циклов перезаписи в одну ячейку EEPROM-памяти — Не менее 500 000
Сертификаты безопасности
Сертификат соответствия ФСТЭК России № 3449, подтверждающий, что программный комплекс «JaCarta» версии 1.5 в составе смарт-карт, USB-, Secure MicroSD-, MicroUSB-токенов и ПО «Единый Клиент JaCarta» соответствует требованиям руководящего документа «Защита от несанкционированного доступа к информации. Часть 1. Программное обеспечение средств защиты информации. Классификация по уровню контроля отсутствия недекларированных возможностей» (Гостехкомиссия России, 1999) — по 4 уровню контроля и технических условий.
ПК «JaCarta» версии 1.5 предназначен для защиты информации, не содержащей сведений, составляющих государственную тайну, и может применяться в автоматизированных системах до класса защищённости 1Г, в государственных информационных системах до 1 класса защищённости, в информационных системах персональных данных до 1 уровня защищённости.
Сертификат соответствия ФСТЭК России № 2799, подтверждающий, что программно-аппаратный комплекс аутентификации и безопасного хранения информации пользователей JaCarta является программно-техническим средством защиты информации, не содержащей сведений, составляющих государственную тайну, от несанкционированного доступа, соответствует требованиям руководящего документа «Защита от несанкционированного доступа к информации. Часть 1. Программное обеспечение средств защиты информации. Классификация по уровню контроля отсутствия недекларированных возможностей» (Гостехкомиссия России, 1999) — по 4 уровню контроля и технических условий.
Международные сертификаты безопасности
Common Criteria EAL 5+ — международный сертификат на используемые в устройствах JaCarta микроконтроллер (чип) и операционную систему на соответствие профилю защиты Security IC Platform Protection Profile, версия 1.0, и Java Card™ System Protection Profile. Оценка соответствия выполнена по методике Common Criteria (версия 3.1, ревизия 3). Достигнутый уровень доверия — EAL 5+ (усиленный).
Сертификат пыле- и влагозащищённости устройства (степень защиты IP56): USB-токены JaCarta соответствуют требованиям международного и российского стандартов IEC 60529 (ГОСТ 14254-96, DIN 40050, МЭК 529:1989) и являются пыле- и влагозащищёнными устройствами, допускается их использование в постоянно пыльных и постоянно влажных помещениях.
RoHS (соответствие директиве RoHS – Restriction of Hazardous Substances – Европейского Союза, ограничивающей использование шести опасных для здоровья и окружающей среды веществ в электрическом и электронном оборудовании – свинца, кадмия, ртути, шестивалентного хрома и бромидных соединений).
CE (соответствует требованиям стран ЕС, разрешён для ввоза и применения на их территории).
FCC (продукт не является источником электромагнитных помех, которые могут повлиять на работу другого электронного оборудования, и полностью соответствует международным требованиям в части уровня электромагнитных помех радиоустройствам).
Прочие сертификаты
Система менеджмента качества компании «Аладдин Р.Д.» соответствует требованиям стандарта ГОСТ ISO 9001-2011.
Завод, осуществляющий контрактное производство печатных плат (комплектующих) и сборку USB-токенов, сертифицирован на соответствие международному стандарту ISO 9001:2008 и ISO 14001:2004.
Электромагнитная безопасность
Изделие имеет повышенную защищённость от пробоя статическим электричеством (до 15 киловольт), что крайне важно при эксплуатации в зимних условиях, при низких температурах и пониженной влажности воздуха, и соответствует требованиям ГОСТ Р 51317.4.2-2010.
Изделие не оказывает влияния на работу электронного оборудования, чувствительного к электромагнитным излучениям и помехам и соответствует требованиям ГОСТ Р 51318.22-99.
Изделие имеет повышенную защищённость от воздействия электромагнитных излучений и помех и соответствует требованиям ГОСТ Р 51318.22-99.
Изделие изготовлено в соответствии с требованиями Технического регламента Таможенного союза, утверждённого Решением Комиссии Таможенного союза от 9 декабря 2011 года № 879, ТР ТС 020/2011 «Электромагнитная совместимость технических средств» (декларация о соответствии ТС N RU Д-RU.АВ49.В.05350 от 06.09.2016 г., Протокол сертификационных испытаний № 8908ЕМ-LAB09/16 от 02.09.2016 г., ТУ 46538383.40 3000.002ТУ).
JaCarta PKI — сертифицированные USB-токены и смарт-карты с аппаратной реализацией зарубежных криптоалгоритмов, предназначенные для работы с инфраструктурой открытых ключей (PKI).
Поддержка PKI позволяет применять устройства JaCarta PKI для строгой двухфакторной аутентификации и работы с усиленной ЭП в различных информационных системах и электронных сервисах. Наличие защищённой энергонезависимой памяти (EEPROM) даёт возможность безопасно хранить пользовательские данные и ключевые контейнеры популярных программных средств криптографической защиты информации (СКЗИ).
Строгая двухфакторная аутентификация пользователей в защищённых информационных системах (с применением зарубежных криптоалгоритмов)
Обеспечение целостности и конфиденциальности передаваемых данных с помощью шифрования и имитовставки по ГОСТ 28147-89
Формирование и проверка усиленной квалифицированной ЭП с неизвлекаемым ключом для прикладных систем (ЭДО, ДБО, и т.д.), Web-приложений и облачных сервисов
Безопасное хранение пользовательских данных и объектов (паролей, цифровых сертификатов, ключевых контейнеров популярных программных СКЗИ) в собственной защищённой энергонезависимой памяти (EEPROM).
Особенности
Защита от взлома и клонирования
Secure By Design — устройства JaCarta PKI сконструированы как безопасные и для целей обеспечения безопасности, выполнены на базе защищённых смарт-карточных чипов (Secure Element).
Закрытые ключи не хранятся в памяти устройства — взламывать его бесполезно.
Сертифицировано ФСТЭК России
Все устройства JaCarta PKI сертифицированы ФСТЭК России (сертификаты № 2799 и № 3449). Это позволяет применять их в АС до класса защищённости 1Г, в ГИС до 1 класса защищённости и в ИСПДн до 1 уровня защищённости включительно.
Поддержка работы с мобильными устройствами
Устройства JaCarta PKI можно использовать совместно со смартфонами и планшетами на базе операционных систем Google Android и Apple iOS. При этом мобильное приложение должно поддерживать работу с JaCarta PKI (для этого разработчикам предоставляется бесплатное решение JC-Mobile, которое легко и просто интегрировать в свою разработку).
Надёжность и качество
Устройства JaCarta PKI рассчитаны на многолетнюю эксплуатацию: их корпус противостоит постоянным рабочим нагрузкам, устойчив к пыли и влаге.
Срок полезного использования USB-токенов и смарт-карт JaCarta PKI составляет не менее 3-х лет (не менее 10 000 часов общей наработки). Срок хранения данных в энергонезависимой памяти устройства — не менее 10 лет.
Переход на инфраструктуру открытых ключей
Устройства JaCarta PKI могут использоваться совместно с решением JaCarta SecurLogon. Оно позволяет легко и быстро перейти от однофакторной аутентификации с помощью пары логин/пароль к усиленной двухфакторной аутентификации с применением устройств JaCarta PKI при входе в операционную систему Microsoft Windows или доступе к сетевым ресурсам без применения PKI или Active Directory.
Поддержка популярных систем управления токенами
JaCarta PKI — одни из самых распространённых устройств для двухфакторной аутентификации на российском рынке. Они поддерживаются всеми российскими системами управления жизненным циклом токенов, в том числе JaCarta Management System (JMS), разработанной компанией «Аладдин Р.Д.».
Удобство в использовании
Мы делаем всё возможное чтобы использование устройств JaCarta PKI было максимально простым и удобным: для пользователей и администраторов доступен удобный графический интерфейс, поддерживаются все популярные операционные системы, для работы не требуется устанавливать какие-либо драйверы, доступна самостоятельная и удалённая разблокировка устройства и т.д.
Расчётный срок службы
Расчётный срок службы — 3 года.
Рекомендуемый срок полезного использования устройства — 3 года (рекомендация для бухгалтерии при планировании замены устройств, срок службы которых подходит к концу, на новые).
Срок хранения записанных данных — не менее 10 лет.
Ресурс EEPROM — не менее 500 000 циклов записи.
Пылевлагозащищённость
Устройства производятся в соответствии с требованиями международного и российского стандартов IEC 60529, ГОСТ 14254-96, DIN 40050, МЭК 529:1989 для степени защиты IP56. Допускается использование устройств в пыльных помещениях, воздействие мощных водяных струй с различных направлений.
Защита от пробоя статическим электричеством
Устройства имеют повышенную защищённость от пробоя статическим электричеством до 15 кВ и соответствуют требованиям ГОСТ Р 51317.4.2-2010.
Электромагнитная безопасность
Устройства изготовлены в соответствии с требованиями ГОСТ 30805.22-2013, ГОСТ CISPR 24-2013, Технического регламента Таможенного союза, утвержденного Решением Комиссии Таможенного союза от № 879 9.12.2011, ТР ТС 020/2011 «Электромагнитная совместимость технических средств», имеют повышенную защищённость от воздействия электромагнитных излучений и индустриальных помех, не являются источником электромагнитных помех, которые могут повлиять на работу другого электронного оборудования, чувствительного к электромагнитным излучениям и помехам, и полностью соответствуют международным требованиям в части уровня электромагнитных помех радиоустройствам (EAC, FCC) и требованиям ГОСТ Р 51318.22-99.
Безопасность для здоровья человека
Корпус устройств изготовлен из прочного, износо- и ударопрочного, негорючего АБС-пластика, безопасного для здоровья человека (Сертификат TUVRheinland № 10044908 005).
Устройства производятся в соответствии с международными Директивами и стандартами RoHS, PoHS, 2003/11/EC, 2006/122/EC, SS-00259, ограничивающими использование опасных для здоровья и окружающей среды свинца, кадмия, ртути, шестивалентного хрома, бромидных соединений, и соответствуют требованиям стран ЕС (СЕ).
Получен сертификат Федеральной службы по надзору в сфере защиты прав потребителей и благополучия человека о соответствии USB-токенов JaCarta положениям раздела 7 «Требования к продукции машиностроения, приборостроения и электротехники» главы II Единых санитарно-эпидемиологических и гигиенических требований к товарам, подлежащим санитарно-эпидемиологическому надзору (контролю), утвержденных решением Комиссии Таможенного союза № 299 от 28.05.2010 г.
Интернет Контроль Сервер — интернет-шлюз для учёта трафика и мониторинга интернет-подключения. Может использоваться не только как счётчик трафика, но и как универсальный комплекс для управления любым подключением к интернету и решения большинства задач, связанных с работой в сети.
ИКС является комплексным решением, позволяющим организациям и предприятиям любого вида решать ряд задач при обращении и работе в сети Интернет.
Интернет Контроль Сервер применим в сетях различной топологии.
ИКС способен выполнять свыше 80 других полезных функций, управление которыми осуществляется из единого веб-интерфейса, что позволяет системному администратору оставить ежедневные рутинные задачи на Интернет Контроль Сервер и сосредоточится на других, более важных делах компании!
Внедрив ИКС, Вы сможете не только сэкономить на оборудовании и программном обеспечении для организации работы в интернете, но и получить качественный контроль за всеми процессами и подключениями.
Хотите сравнить Интернет Контроль Сервер с аналогичными решениями? Специалисты отдела продаж готовы предоставить файлы-сравнения по Вашему запросу!
Интернет-шлюз
Разные типы подключения. Поддержка виртуального, программного и аппаратного развертывания. Шифрование туннелей. Возможность работы с несколькими провайдерами.
Защита сети
Обеспечение целостной и безопасной передачи информации между территориально отдаленными офисами. Сохранение локальной сети от вирусных атак и НСД.
Учет трафика
Статистика по категориям трафика. 5 способов учета трафика. Мониторинг входящей во внутреннюю сеть и исходящей информации.
Контроль доступа
Управление доступом в интернет для отдельных сотрудников и групп пользователей. Поддержка 4 способов авторизации. Возможность удаленного подключения.
Прокси-сервер
Оптимизация работы во внешней сети. Ведение статистики по обращениям пользователей в интернет. Ограничение доступа к нежелательным и небезопасным ресурсам.
Почта и jabber
Обмен сообщениями в реальном времени. Неограниченное количество почтовых ящиков, почтовый антивирус, возможность перенаправления и дублирования писем.
Файловый и web-сервер
Безопасный обмен файлами в корпоративной сети. Организация внутреннего сервера для сотрудников или виртуальных серверов для клиентов.
IP-телефония
Полноценный шлюз IP-телефонии предприятия. Перенаправление и фильтрация исходящих и входящих звонков.
Ц/У и отказоустойчивость
Возможность доступа к графическому интерфейсу физически удаленных серверов ИКС через интерфейс одного сервера ИКС. Бесперебойное соединение с интернетом.
Сертификаты
Интернет Контроль Сервер имеет государственную и отраслевую регистрацию.
Интернет Контроль Сервер зарегистрирован в едином реестре российских программ для ЭВМ и БД и имеет сертификат ФСТЭК.
Сертификат ФСТЭК № 2623 001
Извещение об изменениях от 20 декабря 2016 г.
№ государственной регистрации — 2011615762 от 05.05.2004
№ государственной регистрации — 2011615762 от 22.07.2011
№ ОФАП (отраслевой фонд алгоритмов и программ) — 3361 от 08.04.2004
DEPO Certified Partner
Редакции ИКС
Существуют различные редакции Интернет-шлюза ИКС, что позволяет выбрать именно тот ИКС, который подходит Вашей сети!
ИКС Lite
ИКС Lite — бесплатная полнофункциональная редакция программы. Подходит для небольших компаний и домашнего использования, с количеством пользователей не более 8.
ИКС Стандарт
Это полнофункциональная редакция программы. ИКС включен в Единый реестр российских программ для электронных вычислительных машин и баз данных
ИКС ФСТЭК
ФСТЭК версия ИКС — предназначенна для защиты персональных данных и конфиденциальной информации. ИКС включен в Единый реестр российских программ для электронных вычислительных машин и баз данных.
ИКС КУБ
ИКС КУБ — программно-аппаратное UTM-решение на базе сервера DEPO, предназначенное для малого и среднего бизнеса (до 200 пользователей.
ИКС контент-фильтр
Универсальный контент-фильтр, полностью соответствующий законам №436 и №139 и позволяющий защитить детей от информации, причиняющей вред их здоровью и развитию.
Использование максимально подробных моделей работы защищаемого приложения, наряду с сигнатурными и семантическими методами обнаружения аномалий, обеспечивают высокую степень защиты как от широко распространенных простых видов атак, так и от сложных направленных воздействий.
Эффективная защита от ложных срабатываний
Механизм раннего подавления ложных срабатываний дает возможность минимизировать их влияние на принятие решений и сфокусировать внимание оператора WAF на действительно важных событиях.
Уникальные функции по анализу бизнес-логики
Определение пользователей, их действий в приложении, параметров и данных действий. Эта информация может быть использована для подавления ложных срабатываний, создания позитивной модели работы приложения или экспортирована в другие системы для дальнейшего анализа.
Особые алгоритмы машинного обучения
Дают возможность оптимизировать производительность WAF, выявлять ложные срабатывания, автоматически строить модели работы приложений, эффективно использовать решение в активном цикле разработки (SDLC).
Алгоритм SolidWall WAF
Архитектура решения
При внедрении на площадке заказчика, архитектура системы дает возможность выбора различных способов установки, а также обеспечивает высокую степень масштабируемости и отказоустойчивости.
База данных и система управления
Централизованное управление несколькими анализаторами
Поддерживается неограниченное количество приложений
Репликация данных
Интеграция с внешними системами с использованием механизмов Syslog, SQL, SNMP, REST API
Готовые схемы для интеграции с MicroFocus ArcSight, IBM Qradar, Splunk, Zabbix
Анализатор
Режимы работы: «в разрыв», «на зеркальном трафике», анализ логов веб-сервера и дампов
трафика PCAP
Поддержка режимов отказоустойчивости Active-Active, Active-Passive
Терминирование SSL и балансировка нагрузки
Режим «программный байпасс» обеспечивает доступность сервисов даже в случае сбоев
модулей WAF либо существенного превышения нагрузки
Анализатор SolidWall WAF
Интерфейс управления
Современный графический интерфейс управления повышает удобство мониторинга и настройки, снижает требования к компетенциям и ресурсам оператора WAF.
Основные особенности веб-интерфейса:
Централизованное управление всеми узлами инсталляции из единого интерфейса
Графическое представление моделей работы защищаемых приложений
Удобная система мониторинга с набором панелей и группировкой событий ИБ, а также
возможностью ограничения объема поступающей информации
Версионность всех конфигурационных настроек
Ролевой доступ к функциям интерфейса и подробный аудит действий пользователей
Поддержка режима Multitenancy (для сервис-провайдеров)
Услуги включают:
Анализ защищенности веб-приложений и пилотное тестирование предлагаемого решения
для оценки его потенциальной эффективности
Техническое проектирование, внедрение и тонкую настройку SolidWall WAF, интеграцию
со сторонними средствами
Изменение функциональности WAF по запросу клиента
Обучение навыкам работы с системой и основам противодействия угрозам в сети Интернет
Техническую и консультационная поддержку экспертов по вопросам безопасной разработки
и защиты веб-приложений
Мониторинг событий информационной безопасности, реагирование в соответствии
с требуемым SLA, помощь в расследовании инцидентов
Подготовку сводных периодических отчетов по результатам мониторинга
Комплексное решение построено на базе реализованных в PT Application Firewall алгоритмов машинного обучения для защиты от DDoS-атак прикладного уровня и облачной инфраструктуры фильтрации DDoS компании Qrator Labs. Сервис позволяет блокировать многовекторные атаки, сохранять конфиденциальную информацию в пределах организации и противостоять любым ботам, моделирующим поведение пользователей.
Защита основана на передаче данных и управляющих команд между продуктом Positive Technologies Application Firewall, расположенным на стороне клиента, и облаком фильтрации Qrator, которое покрывает ключевую инфраструктуру сети Интернет. За счет перекрестного применения моделей выявления аномалий в действиях пользователей, PT Application Firewall Cloud DDoS Protection более эффективно защищает при комбинированных атаках (DDoS прикладного, сетевого уровня и взломах) и бот-атаках, эмулирующих поведение настоящих пользователей. Благодаря технологиям поведенческого анализа, реализованным в продуктах обоих вендоров, PT Application Firewall Cloud DDoS Protection отличает пользователей от роботов и блокирует задействованные в атаке IP-адреса.
В организациях с повышенными требованиями к конфиденциальности сервис позволяет настроить защиту от DDoS-атак таким образом, чтобы информация защищаемого приложения анализировалась только в пределах периметра. PT Application Firewall разворачивается внутри организации (on-premise), что позволяет обрабатывать трафик локально, передавая в облако только команды на блокировку источников атак.
Новый сервис является расширением PT Application Firewall, который, помимо блокирования DDoS-атак, обеспечивает защиту приложений от атак, связанных с несанкционированным доступом, фродом, кражей информации. PT Application Firewall соответствует требованиям российских регулирующих организаций и внесен в единый реестр российских программ для ЭВМ и баз данных.
Преимущества комплексной защиты приложений
Благодаря объединению облачных технологий и частного (on-premise) решения вы получаете:
Сохранение приватности данных клиента. Расширенные возможности PT Application Firewall для работы с SSL-трафиком позволяют настроить защиту таким образом, чтобы вся чувствительная информация (учетные данные, данные о сессии и о структуре приложения) не выходила за пределы периметра организации.
Легкую настройку защиты без влияния на работу приложения. Это отличает PT AF Cloud DDoS Protection от других облачных сервисов, которые имеют ограничения по настройкам и требуют дополнительных изменений в конфигурации сети заказчика.
Предотвращение попыток обхода защитных средств. Использование совместного решения позво- лит блокировать попытки обхода защитных механизмов и не использовать для этого выделенный канал от облака до оборудования клиента.
Мониторинг доступности защищаемого ресурса 24/7. Клиент может настроить оповещения о любых проблемах с доступностью приложения, даже если DDoS-атака отсутствует.
Гибкую балансировку для обеспечения высокой доступности ресурса. Распределение трафика про- исходит между основными и резервными веб-серверами клиента, с возможностью использования индиви- дуальных алгоритмов обращения к резервным серверам.
Уникальные возможности PT Application Firewall
Профилирование с использованием техник машинного обучения для обнаружения атак — система строит шаблоны поведения для групп пользователей, а также шаблоны поведения, характерного для злоумышленников.
Мониторинг состояния приложения—непрерывно анализируя все входящие HTTP-запросы и ответы от сервера, PT Application Firewall проверяет состояние приложения и может прогнозировать тренд негативного влияния DDoS-атаки на показатели доступности приложения, а также оперативно информировать PT AF Cloud DDoS Protection.
Защитаотпрограмм-роботов(сканеры,подборпаролей,фрод,бот-сети)—выявлениеанома- лий в действиях пользователей средствами поведенческого анализа.
Защита от XMLDoS. Глубокий анализ и быстрая обработкаXML/SOAP-данных позволяют с нижать нагрузку на целевые системы, переложив часть операций по валидации полей на PT AF.
Преимущества PT AF CLOUD DDOS PROTECTION
Фильтрация DDoS в полностью автоматическом режиме.
Сеть Qrator, на которой основано решение, полностью прозрачна для легитимных пользователей — при ее работе не используются CAPTCHA или другие неудобные проверки.
Минимальное количество ложных срабатываний. 0%—без атаки.Не более 5%—под атакой.
Используются собственные уникальные методики фильтрации, которые постоянно обновляются без участия клиента.
Сеть Qrator в состоянии автоматически фильтровать зашифрованный трафик протокола HTTPS как при условии предоставления ключей шифрования, так и без них, с минимальными усилиями с вашей стороны.
Сеть Qrator “прозрачна” для легитимных пользователей
Не используем CAPTCHA и прочие раздражающие пользователей вашего сайта проверки.
Защита в автоматическом режиме, включая L7 OSI
Многие средства фильтрации требуют постоянного участия квалифицированных специалистов и ручной настройки для борьбы со сложными атаками (особенно, уровня приложений — L7). Qrator не требует к себе внимания и не отнимает у вас время. Вы узнаете о DDoS только из отчетов!
Легкость подключения — необходимо изменить A-запись своего сайта, и он защищен
Мы выделяем вам IP-адрес сети Qrator. Далее вы меняете А-запись DNS своего сайта — весь трафик поступает в нашу сеть, а после очистки направляется на ваши ресурсы. Хостинг менять не нужно.
Бесплатный тестовый период — 7 суток
7 суток — если сайт не под воздействием DDoS. В обратном случае тестовый период равен одним суткам. Вы оцените простоту подключения и получите подробную статистику по трафику сайта, а в случае атаки сможете “перевести дух” и узнать об эффективности работы сети Qrator в “боевом” режиме.
Средняя доступность сайтов клиентов Qrator в 2017 году — 99,896%
Считающиеся проблемными из-за частых на них атак компании всё чаще выбирают наши услуги. При этом мы каждый год увеличиваем показатель средней доступности обслуживаемых сайтов.
Наглядная online-отчетность в Личном кабинете
Вы можете увидеть в online-режиме анализ трафика своего сайта за любой период оказания услуги. Данный инструмент может быть использован для мониторинга производительности ваших веб-приложений. Используя API, вы можете подключить свою систему мониторинга (Nagios, Zabbix и т.п.) к Qrator и получать оповещения об инцидентах в удобном для вас формате.
SLA — обещаем, что если не обеспечим качество услуги, то вы можете не платить
Мы уверены в качестве своего сервиса и дорожим репутацией, а в подтверждение предоставляем материальные гарантии этого — месяц, в котором SLA не выполнено, оплате не подлежит.
Минимальное количество ложных срабатываний. 0% — без атаки. Не более 5% — под атакой
Алгоритмы Qrator позволяют определить, чем вызван всплеск посещаемости ресурса – DDoS-ом или повышением интереса посетителей. Также производится мониторинг работоспособности сайта – если он не испытывает проблем, то трафик фильтруется минимально.
Qrator Labs использует только собственные решения по анализу и фильтрации трафика
Более трех десятков талантливых разработчиков и математиков постоянно развивают алгоритмы Qrator и оперативно реагируют на технологические изменения в сфере DDoS-преступности.
Время реакции сети Qrator на атаку DDoS — от 30 сек. до 3 мин
По статистике при превентивном подключении в 97% случаев атака на ваш сайт будет подавлена в автоматическом режиме не позднее чем через 2,5 минуты. В остальных случаях процесс может длиться дольше.
Как работает Qrator
Суть DDoS
Суть DDoS
DDoS атака — распределенная атака типа «отказ в обслуживании», целью которой является вывести из строя сайт путем постоянного потока запросов, поступающих на него с десятков и сотен тысяч зараженных компьютеров, разбросанных по всему миру. Какой бы мощной не была информационная инфраструктура обслуживающая приложения, она не выдержит нагрузки, превышающей норму на несколько порядков и выйдет из строя. Это, как правило, приводит к весьма печальным последствиям: потере денег, утрате репутации надежного партнера или провайдера услуг, переходу клиентов к «более надежным» конкурентам, а то и вовсе к потере всего бизнеса. Сегодня стоимость заказа DDoS-атаки начинается с 50$ в сутки, что делает этот инструмент очень популярным среди злоумышленников.
Классификация DDoS
Самый главный критерий – на какие элементы инфраструктуры направлена атака. Мы рассматриваем следующие уровни:
Канальная емкость
Сетевая инфраструктура
Стек протоколов
Приложение
Самые сложные для нейтрализации атаки — интеллектуальные атаки на уровне приложений, мы уделяем им особое внимание и считаем их нейтрализацию одной из своих ключевых компетенций.
Это касается всех
Ошибочно считать, что проблема DDoS-атак касается только «гигантов» Интернета, крупных компаний и организаций. Цели злоумышленников непредсказуемы и их интересы могут затрагивать не только коммерческие сферы, но и политические, благотворительные, СМИ и прочие. События в политике и экономике могут смещать основной вектор атак в ту или иную сторону, но, тем не менее, как показывает статистика, если сайт приносит деньги или выражает неугодное кому-либо мнение — он в зоне риска.
Самостоятельная защита
Самостоятельная защита
Владелец сайта может попытаться защититься от DDoS самостоятельно, установив средства противодействия на своем сервере, но в большинстве случаев это не даст положительного результата. Безуспешность попыток защитить свою инфраструктуру от DDoS в данном случае связана с тем, что трафик может просто не дойти до оборудования фильтрации – есть вероятность, что DDoS “парализует” каналы связи жертвы или её провайдера задолго до достижения средств защиты.
Защищает хостинг
Защищает хостинг
К кому в первую очередь обращаются атакуемые DDoS? Первое, что приходит на ум – попросить защиты у своего хостинга. В случае наличия у хостинг-провайдера специализированных систем противодействия DDoS, защита может быть эффективна. Но, при наличии серьезной атаки провайдер не всегда может справиться с ней самостоятельно — cети хостинг-провайдеров не проектируются под экстремальные дополнительные нагрузки и не могут противостоять мощному DDoS. Владелец сайта в таком случае может получить следующее сообщение: “Зафиксирована DDoS-атака, направленная на домен XXX.ru, размещенный на Вашем аккаунте. Работа домена была приостановлена, т.к. атака создавала аварийную ситуацию на сервере, где размещается сайт с указанным доменом, и стабилизировать работу сервера без прекращения работы домена не представлялось возможным”. Данное письмо получил наш будущий на тот момент клиент.
Защищает Qrator
Защищает Qrator
Сеть Qrator спроектирована и построена в расчете на работу под постоянным воздействием большого числа DDoS-атак. Узлы фильтрации Qrator Labs подключены к каналам крупнейших магистральных Интернет-провайдеров США, России, Западной и Восточной Европы, Юго-восточной Азии. Таким образом, в отличие от сетей операторов хостинга (особенно, виртуального), наша сеть спроектирована в расчете на экстремальные нагрузки, и атака на ресурс одного из наших клиентов никак не влияет на работоспособность сайтов других клиентов.
Технически клиенты подключаются следующим образом:
Клиенты вносят изменения в записи DNS, направляющие пользовательский трафик на узлы фильтрации Qrator. Эти узлы используют технологию BGP anycast для анонсирования своих адресов. В случае необходимости защиты подсетей клиента к BGP anycast могут быть добавлены и соответствующие клиентские префиксы.
После подключения трафик наших клиентов постоянно, вне зависимости от наличия атаки, поступает в сеть Qrator и анализируется ей. “Чистый” трафик перенаправляется на защищаемый сайт. Такая схема работы позволяет узлам фильтрации “понимать”, какой профиль трафика является нормой для каждого сайта в отдельности, и в случае любых отклонений молниеносно реагировать на это.
Все узлы сети Qrator работают независимо и в случае выхода из строя одного из них трафик защищаемого сайта не потеряется, а автоматически будет перемаршрутизирован на другой ближайший узел фильтрации.
Схема работы узла Qrator
Схема работы узла Qrator
Характеристики сети Qrator
Сеть Qrator обладает следующими основными характеристиками:
Около 1000 Гбит/с пассивной полосы пропускания — детерминированная обработка IP-пакетов без установления TCP-соединения;
Более 300 Гбит/с активной полосы пропускания — каждое входящее TCP-соединение обрабатывается и анализируется;
<5% ложных срабатываний в процессе отражения DDoS-атаки;
время обучения сети от момента подключения нового клиента — менее 2 часов:
в 33% случаев — до 4 минут;
в 60% случаев — от 5 минут до 1 часа.
добавленное время задержки при проксировании трафика — от 0 до 100 мс. В случае проксирования HTTP-трафика в силу использования persistent HTTP-соединений с защищаемым сервисом возможен прирост скорости работы защищаемого сервиса;
количество защищаемых ЦОД и сервисов — не ограничено.
В современных организациях интернет-ресурсы повсюду — от внутренних инструментов (ERP, CMS, CRM) до внешних систем (корпоративные сайты, онлайн-сервисы, магазины). Они позволяют организациям работать эффективней, опережая конкурентов и лучше удовлетворяя потребности заказчиков. Использование веб-приложений улучшает также бизнес-процессы — помогает снижать расходы, экономить время и ресурсы.
С ростом популярности веб-приложений растут количество и сложность веб-угроз. Согласно нашим исследованиям, веб-приложения — самое уязвимое звено инфраструктуры. Через них можно получить доступ не только к данным собственно приложений, но и ко всей инфраструктуре организации. Наши аналитики выяснили, что в 77% случаев, когда хакеры преодолевают периметр организации, это становится возможным именно из-за уязвимостей веб-приложений. Согласно другим нашим исследованиям, все веб-приложения уязвимы, и более 70% из них содержат критические уязвимости.
Высокий уровень опасности подтверждается и другими исследованиями. Отчет Verizon за 2016 год показал, что атаки на веб-приложения — причина утечки данных № 1. Они составляют 40% всех атак, тогда как в 2015 году этот показатель составлял лишь 7%.
Для снижения столь серьезных рисков организациям необходима надежная защита.
Решение
Positive Technologies Application Firewall (PT AF) — это мощный инструмент защиты от веб-угроз. Используя инновационные технологии и глобальную аналитику, PT AF непрерывно осуществляет проактивную защиту веб-приложений от большинства атак, включая OWASP Top 10, автоматизированные атаки, атаки на стороне клиента и атаки нулевого дня.
Продукт является результатом 15 лет практических исследований и постоянно улучшается на базе самых свежих и полных данных глобального исследовательского центра Positive Research.
Другой отличительной особенностью PT AF является простота внедрения и использования. Благодаря интуитивному интерфейсу и высокому уровню автоматизации PT AF понятен специалистам даже без глубоких технических знаний.
Ключевые возможности
Технологии и подходы к защите
Машинное обучение против атак нулевого дня. Передовые техники машинного обучения позволяют мгновенно и точно определять атаки, включая атаки нулевого дня. Они также обеспечивают высокий уровень автоматизации продукта, включая способность к самообучению, что минимизирует ручной труд.
Механизмы корреляции для точного определения основных угроз. Механизмы корреляции проводят тщательный анализ данных (поведения пользователей, уязвимостей и др.) и выстраивают цепочки атак. Это позволяет с высокой точностью определять только основные угрозы при минимуме ложных срабатываний.
Уникальная технология P-Code для целевой защиты в режиме реального времени. Встроенный модуль анализа исходного кода P-Code обнаруживает уязвимости и автоматически блокирует атаки на них. PT AF также можно интегрировать с анализатором исходного кода PT Application Inspector, что поможет обеспечить безопасность приложений на каждом этапе жизненного цикла.
Автоматическое профилирование пользователей для выявления аномалий. Благодаря непрерывному профилированию поведения пользователей на базе машинного обучения PT AF проактивно защищает от DDoS-атак уровня приложений и автоматизированных атак, осуществляемых с целью кражи уникального контента или размещения несанкционированного контента на защищаемом сайте. Постоянно обучаясь на реальных данных, продукт создает профиль нормального пользовательского поведения и сравнивает его с остальными действиями, которые могут отличаться и, следовательно, быть опасными. В результате алгоритм машинного обучения может инвестигировать возможные атаки, а сама система — заранее предупредить администратора о таких обнаружениях. При этом PT AF не оказывает влияние на активность пользователей и «хороших» программ-роботов.
Модуль WAF.js для защиты от атак на стороне клиента. Модуль JavaScript обеспечивает защиту от атак на стороне клиента (XSS, DOM XSS, DOM Clobbering, CSRF) каждый раз, когда защищаемая страница открыта. WAF.js также защищает от программ-роботов разной степени сложности, даже от тех, которые способны исполнять JavaScript, эмулируя браузер. Модуль также обнаруживает инструменты взлома, которые запущены у клиентов в момент обращения к защищаемому приложению.
Широкие возможности интеграции для многоуровневой защиты. PT AF можно интегрировать с другими системами (Check Point, Arbor) для блокировки подозрительной активности пользователей в рамках всей инфраструктуры организации. Интеграция с SIEM-системами, такими как ArcSight, QRadar, Check Point SmartCenter, и передовым решением Positive Technologies SIEM — также обеспечивает защиту по всему периметру, синхронизируя все события безопасности в едином интерфейсе.
Маскирование данных для полной конфиденциальности. PT AF может определять и скрывать (маскировать) личные данные, такие как номера банковских карт и паспортные данные, от третьих лиц, включая администраторов PT AF. Это обеспечивает максимум защищенности конечных пользователей приложений.
Простота внедрения и использования
Интуитивно понятный интерфейс и предустановленные шаблоны. PT AF можно быстро развернуть в любом из режимов (сетевой мост L2, прозрачный прокси-сервер, обратный прокси-сервер, режим мониторинга или расследований). Настройка продукта также не занимает много времени благодаря ряду автоматизированных функций, включая мастер настройки системы, предустановленные шаблоны политик безопасности, определение защищаемых ресурсов.
Гибкость управления для настройки продукта на лету. В PT AF предусмотрено множество опций для детальной настройки системы. Готовые шаблоны политик безопасности можно мгновенно применить для любого количества защищаемых приложений или их отдельных частей. Настроенные политики сохраняются и могут быть повторно использованы для новых ресурсов, что избавляет от необходимости каждый раз настраивать защиту с нуля.
Преимущества для организаций
Экспертная защита в режиме реального времени. Глобальный исследовательский центр Positive Research анализирует данные со всего мира в режиме реального времени. На базе этой аналитики и с учетом постоянно улучшаемых технологий продукт регулярно автоматически обновляется. Это обеспечивает проактивную защиту от самых современных угроз.
Быстрый и простой запуск. Благодаря высокому уровню автоматизации продукт можно быстро установить и настроить даже без глубоких технических знаний. Это позволяет существенно сэкономить время и ресурсы на внедрение вне зависимости от количества и сложности приложений.
Непрерывность бизнес-процессов. Уникальная технология P-Code помогает избежать остановки в работе приложения, обеспечивая мгновенную автоматическую защиту от уязвимостей в его исходном коде. Если в приложении есть другие незначительные дефекты, PT AF помогает в обеспечении его нормальной работы, пока дефекты исправляются на стороне сервера.
Высокая продуктивность. PT AF значительно упрощает повседневное управление безопасностью приложений. Удобство интерфейса, автоматизированные процессы управления и защиты и точное определение самых важных рисков существенно улучшают производительность сотрудников ИБ, помогая им сконцентрироваться на решении действительно значимых задач.
Доступность. PT AF можно развернуть как аппаратное или виртуальное устройство. Продукт также полностью готов для работы в качестве облачного сервиса в моделях SaaS, VAS и MSS и доступен в облачной среде (Microsoft Azure).
Помощь в соблюдении стандартов. PT AF помогает выполнять требования PCI DSS и других международных, государственных и корпоративных стандартов безопасности.
Данное решение обеспечивает контроль доступа, управление аккаунтами и привилегиями, а также мониторинг всех действий, связанных с любыми типами привилегированных учётных записей в любых без исключения приложениях, платформах и операционных системах. Неважно, сколько у вас компьютеров и серверов, какого уровня сетевые решения и насколько сложные приложения, где они установлены, в одном офисе или нескольких, – всё это учтено в решении PAS, которое разработано для организаций любого масштаба и любого вида деятельности.
Надёжная и стабильная защита обеспечивается на всех уровнях информационной системы предприятия, включая такие сложно контролируемые элементы, как привилегированные учётные записи. Анализ поведения пользователей и контроль объектов в сети позволяют не допускать возникновения проблем ещё на уровне их зарождения. Причём, все эти решения доступны сейчас для любых предприятий в различных вариантах лицензирования.
Например, установка всего лишь одного модуля EPM в банкоматы успешно решает те проблемы, которые не могут решить стандартные средства защиты – end-point protection или антивирусы. Благодаря модульной системе данного решения можно подобрать индивидуальный набор эффективных продуктов для самых нестандартных задач. Такая система будет доступной по цене, гибко настраиваемой, легко управляемой и масштабируемой. И самое главное — максимально надёжной!
ФУНКЦИОНАЛЬНЫЕ МОДУЛИ PAS:
Enterprise Password Vault
Защищённое централизованное корпоративное управление паролями. Лицензируется по пользователям (администраторам).
Спектр поддерживаемых целевых систем с масштабированием и отказоустойчивостью практически ничем не ограничен.
Настраиваемые процессы обработки запросов, интегрируемые со службами технической поддержки и системами корреляционного анализа отклонений.
Веб-интерфейс и встроенные функции создания отчетов для пользователей и аудиторов EPV.
Прямое подключение к управляемым устройствам Windows, Unix/Linux и другим SSH-устройствам.
Функции автоматического восстановления.
Автоматическая подготовка учётных записей.
Централизованное управление с возможностью разделения инфраструктуры на сегменты.
Лёгкость интеграции с любой корпоративной инфраструктурой.
Priviledged Session Manager
Изоляция, контроль и запись сессий. Лицензируется по количеству целевых систем или по количеству конкурентных сессий
Подключение пользователя к целевой системе происходит без раскрытия логина/пароля к этой системе.
Привилегированные соединения направляются через «jump» сервер для изоляции сессии.
Мониторинг активности привилегированных сессий осуществляется на защищённом «jump» сервере.
Видеозапись и детализированное логирование привилегированных сессий. Безопасное хранение всех записей сессий и логов во взломоустойчивом сейфе.
Индексирование вводимых команд и запускаемых приложений по времени для эффективного и быстрого поиска по базе записей.
Изоляция, управление, мониторинг и регистрация сессий, а также их деятельности в критических системах в режиме реального времени на основе UNIX, Linux и Windows, в базах данных, виртуальных машинах, сетевых устройствах, SAP, мейнфреймах, веб-сайтах, SaaS и др.
Application Identity Manager
Управление паролями и доступом приложений. Лицензируется по целевым системам
Устранение встроенных паролей.
Автоматическая синхронизация паролей.
Аутентификация приложений.
Высокая доступность данных, сокращение сроков простоя и обеспечение непрерывности бизнес-процессов.
Уникальное решение для приложений, использующих профили доступа к серверу с данными.
Готовое решение для сторонних приложений.
Пользовательский веб-интерфейс для управления приложениями.
Готовность к внедрению.
Privileged Threat Analitics
Анализ поведения и реакция. Лицензируется по целевым системам
Анализ использования привилегированных аккаунтов для создания профиля поведения.
Интеграция с SIEM для комплексного анализа поведения пользователей.
Информирование об аномальной активности как в консоль CyberArk, так и в консоль SIEM.
Экспертный анализ поведения пользователей и объектов на целевых системах с помощью динамических, самообучающихся, запатентованных алгоритмов.
Endpoint Priviledge Manager
Минимальные привилегии, контроль приложений и защита локальных учётных записей. Лицензируется по целевым системам
Контроль приложений и учётных записей с меньшим уровнем привилегий на рабочих местах и серверах.
Исключение локального администратора без утраты эффективности.
Права пользователей и администраторов с меньшим уровнем привилегий могут быть в нужной степени расширены для санкционированного использования приложений и выполнения задач в соответствии с имеющимися обязанностями.
Контроль приложений с целью предотвращения проникновения вредоносного ПО в рабочую среду.
Неизвестные приложения используются в безопасном режиме с ограничением функциональности.
On-Demand Priviledge Manager
Средство минимальных привилегий Unix и Windows. Лицензируется по целевым системам
Единая точка доступа для ИТ-администраторов и аудиторов.
Эффективное управление доступом при использовании учётных записей суперпользователей.
Удобный веб-интерфейс.
Регистрация нажатий клавиш и текстового вывода команд.
Расширенные средства аудита и отчетности.
Централизованный механизм создания аудиторских и операционных отчетов.
Лёгкость интеграции с продуктами SIEM.
Высокая доступность.
Возможность внедрения на уровне предприятия.
Безопасное, защищённое от несанкционированного доступа хранилище.
SSH Key Manager
Управление и защищённость SSH ключей. Лицензируется по целевым системам
Хранение приватных SSH-ключей в централизованном и высокозащищённом сейфе.
Контроль доступа к SSH-ключам на основании ролей и политик.
Автоматическая ротация пар SSH-ключей и доставка публичных ключей на целевые системы.
Внедрение DLP-системы в корпоративную сеть является ключевым элементом при построении в организации эффективной системы управления информационной безопасностью.
Контроль сотрудников
Руководители отделов и топ-менеджмент могут получать полную картину рабочего дня сотрудников и корректировать распределение задач, сроки, создавать оптимальные команды для того или иного проекта.
Ведение архива бизнес-коммуникации
SecureTower не позволит важной информации безвозвратно потеряться – все переданные и полученные данные сохраняются. Даже если удалить их с конкретной рабочей станции, они всё равно будут доступны и восстановлены в случае необходимости.
Преимущества SecureTower
Слияние концепций. Мониторинг, контроль и расследование инцидентов. Falcongaze SecureTower — это особый инструмент информационной безопасности. Мы предоставляем комплексное инфраструктурное решение с несколькими компонентами, каждый из которых представляет собой полноценный продукт: мониторинг активности пользователей, предотвращение утечек данных и ведение архива всех коммуникаций и фактов передачи данных. Изначально разработанные как неотъемлемые элементы одной системы, эти компоненты тесно взаимосвязаны и вкупе обеспечивают полную прозрачность информационных потоков, а также сетевой активности в компании.
Обеспечиваем безопасность, не влияя на производительность. В отличие от большинства традиционных решений, основанных на предписаниях и ограничениях, SecureTower привносит инновационную концепцию в устоявшиеся методы обеспечения информационной безопасности. Сегодня компании нуждаются в использовании различных каналов коммуникации для достижения высокой производительности. Обеспечение оптимального сочетания безопасности и удобства всегда было непростой задачей. У нас есть решение: позвольте сотрудникам использовать любые удобные для них приложения и сервисы, при этом обеспечив контроль над тем, как эти каналы используются.
Прозрачность, простота, логика. Проблема с большинством систем безопасности заключается в их сложности, а также в том, что их установка и использование требуют знаний и помощи узких специалистов. SecureTower была разработана с учетом простоты использования для технически неподкованных пользователей. Интуитивно понятный интерфейс, предустановленные правила и отчеты, концепция «пользователь прежде всего» сводят расходы на многоступенчатые тренинги, а также найм дополнительных технических специалистов и консультантов к нулю.
Наглядные отчеты для руководителей. Отчетность является ключевым фактором при оценке прибыли от инвестирования. Всем, кто хоть раз пытался объяснить руководителям, что означают все эти столбцы с цифрами и чем эта диаграмма отличается от предыдущей, однозначно понравится система отчетности в SecureTower. Мы, команда Falcongaze, понимаем, насколько ценно время и уделяем особое внимание надежной и информативной отчетности. Экономьте время на объяснении содержимого отчетов – переходите сразу к сути.
Электронная почта
SecureTower обеспечивает контроль всех сообщений большинства популярных почтовых серверов, по протоколам POP3, SMTP и IMAP, а также перехватывает и блокирует сообщения по протоколу MAPI.
Система проверяет на соответствие политикам безопасности сообщения, переданные при помощи почтовых серверов Microsoft Exchange Server, Lotus Notes, Postfix, Sendmail и др. Кроме того, система поддерживает перехват сообщений внешних почтовых служб в бесплатных почтовых сервисах, таких как Gmail, Mail.ru или Яндекс.Почта.
Мессенджеры
Сотрудники современных компаний все чаще переносят деловое общение из электронной почты в мессенджеры и социальные сети. Для контроля этих каналов в SecureTower реализован перехват сообщений и пересылаемых файлов в большинстве популярных мессенджеров. DLP-система может контролировать протоколы обмена мгновенными сообщениями OSCAR (ICQ/AIM), MMP (Mail.Ru Агент), XMPP (Jabber) (Miranda, Google Talk, QIP Infium, PSI), YIM (Yahoo! Messenger), SIP, а также перехватывать текстовые и голосовые сообщения и файлы в Skype, Viber, MS Lync и Telegram.
Социальные сети
Помимо мессенджеров в деловом общении сотрудники все чаще используют социальные сети. SecureTower позволяет в автономном режиме перехватывать все сообщения в социальных сетях, таких как Вконтакте, Facebook, Одноклассники и другие. Также DLP-система контролирует общение сотрудников в блогах, онлайн-чатах, форумах и т.д.
Веб-активность
SecureTower позволяет составить полную картину веб-активности сотрудника в течение рабочего дня. С помощью DLP-системы можно узнать, какие сайты посещал работник, сколько времени на них проводил и оставлял ли там какие-либо сообщения.
Облачные хранилища
Использование облачных хранилищ сотрудниками может быть как частью рабочего процесса, так и инцидентом безопасности. SecureTower отслеживает все файлы, загружаемые пользователем в интернет через браузер, а для таких облачных сервисов, как Dropbox, OneDrive и Яндекс.Диск, в системе также присутствует поддержка перехвата файлов в десктопных приложениях.
Приложения
DLP-система отслеживает, в каких приложениях работает сотрудник в течение рабочего дня. По итогам работы этого функционала можно посмотреть в диаграммах, какими приложениями работник пользовался чаще и какую часть времени уделил непосредственно трудовой деятельности. Кроме того, система позволяет блокировать запуск определенных, задаваемых администратором приложений.
Контроль сотрудников
Одним из важнейших факторов при выборе DLP-системы является возможность контролировать работу сотрудников. Для этого в SecureTower реализован функционал для контроля рабочего времени, позволяющий увидеть, сколько реально времени работник потратил на выполнение той или иной задачи.
Также благодаря кейлоггеру, функциям аудио- и видеомониторинга и снятия скриншотов рабочего стола можно составить полную картину рабочего дня сотрудника.
Контроль рабочих станций
SecureTower позволяет контролировать и предотвращать передачу файлов на внешние носители. Система автоматически сканирует отправляемые на печать или USB-устройство документы на наличие в них конфиденциальной информации, а в случае обнаружения таковой уведомляет администратора безопасности.
Кроме того, SecureTower отслеживает подключение и отключение устройств на рабочей станции, контролирует копирование информации и выполняет аудит доступа к компьютеру.
Взаимосвязи персонала
Для выявления взаимосвязей персонала в SecureTower используется граф-анализатор, в котором для каждого сотрудника система создает профайл, автоматически привязываемый к ActiveDirectory, и отображает его коммуникации с другими людьми. В этом профайле отображаются адреса электронной почты работника, имена в мессенджерах, аккаунты в социальных сетях и на других сайтах.
Для выявления недоброжелателей вне компании SecureTower запоминает адреса внешних абонентов и также создает для них профайлы. Благодаря этому можно оперативно выявить внешнего злоумышленника или, например, рекрутера от конкурентов.
Отчёты
Для сотрудников службы безопасности и руководителей структурных подразделений доступны полностью настраиваемые отчеты по инцидентам безопасности и ежедневной работе сотрудников. Также можно настроить автоматическое создание отчетов по расписанию и отправку их на электронную почту.
Dr.Web KATANA — это целый комплекс антивирусных технологий Dr.Web нового поколения, предназначенный для защиты на опережение. Он оградит от тех угроз, которые еще не известны вашему антивирусу.
Видео о работе продукта:
Преимущества
Всевидящий — нейтрализует новейшие, еще не известные вашему антивирусу угрозы. Ежедневно на анализ в антивирусную лабораторию поступает несколько сотен тысяч образцов программ. В вирусную базу ежедневно добавляются десятки тысяч записей. Это – те угрозы, о которых вирусным аналитикам уже известно и для которых разработаны механизмы противодействия. Однако наибольшую выгоду преступникам приносят программы, еще не попавшие на анализ специалистам по информационной безопасности.Dr.Web KATANA защищает от действий новейших, наиболее опасных сегодня вредоносных программ, разработанных с расчетом на необнаружение традиционными сигнатурными и эвристическими механизмами. Эти программы еще не поступили на анализ в антивирусную лабораторию, а значит, не известны вирусной базе на момент проникновения в систему. К ним относятся новейшие вымогатели-шифровальщики, инжекторы, троянцы-блокировщики, а также угрозы, использующие уязвимости «нулевого дня».Dr.Web KATANA обеспечивает безопасность практически с момента запуска операционной системы — он начинает защищать еще до завершения загрузки традиционного сигнатурного антивируса!
Незаметный
Постоянное совершенствование вредоносных программ и рост их числа влекут за собой расширение функционала средств защиты, которые в ожидании атаки работают непрерывно. Это часто замедляет работу компьютера, вызывает недовольство пользователей, которые порой предпочитают отключить антивирусную защиту в угоду «быстродействию». Существенно усиливая защиту компьютера, Dr.Web KATANA практически не потребляет ресурсов системы.Dr.Web KATANA пресекает действия активных вредоносных программ, не замедляя при этом работу компьютера.
Молниеносный — на лету анализирует поведение угроз и немедленно пресекает вредоносные сценарии и процессы, которые не успел распознать ваш антивирус.
Защита Dr.Web KATANA основана на несигнатурных методах поиска и нейтрализации вредоносных программ и облачных технологиях защиты. Продукт анализирует и контролирует все процессы системы, по характерному поведению выявляет вредоносные и блокирует их.
Традиционные поведенческие анализаторы основываются на правилах поведения легитимных программ, жестко прописанные в базе знаний. Такие правила известны и злоумышленникам. Dr.Web KATANA действует иначе – продукт анализирует поведение каждой запущенной программы «на лету» и молниеносно принимает необходимые меры по нейтрализации угрозы.
Обычные поведенческие анализаторы контролируют обращения вредоносных программ к различным ресурсам системы. Но что делать, если вредоносная программа, внедрившись в браузер, не обращается к системе, а просто модифицирует, например, окно взаимодействия с вашим банком?
Dr.Web KATANA отслеживает активность вредоносных программ внутри процессов — таким образом, попытки похищения конфиденциальной информации или перевода денег с вашего счета будут своевременно пресечены!
Самостоятельный — не требует никакой настройки и начинает эффективно действовать сразу после установки.
Гибкий — набор предустановленных сценариев защиты и возможности тонкой настройки позволяют всесторонне контролировать процесс защиты, адаптируя его под нужды пользователя.
Автономный — защищает даже без доступа ПК к Интернету.
Универсальный — защищает широчайший спектр ОС Windows — от Windows XP до новейшей Windows 10.
Неконфликтный — может работать в связке с антивирусами других разработчиков для усиления защиты вашего компьютера.
Гибкое масштабирование, высокая производительность
Вы можете выбрать, как и где именно применять фильтрацию электронных писем или веб-трафика, чтобы гибко настроить защиту уже существующих и новых систем без влияния на их производительность.
Защита критически важных данных
Электронная почта и системы совместной работы хранят огромные объемы личной и бизнес-информации. Kaspersky Total Security для бизнеса обеспечивает надежную защиту этих конфиденциальных данных от угроз, а также помогает предотвратить распространение вредоносного ПО через серверы совместной работы.
Глобальная поддержка
В 2017 году Technology Services Industry Association и Miller Heiman Group третий год подряд оценили работу специалистов наших служб поддержки сертификатами высшего уровня. Мы предлагаем сервисы по внедрению систем безопасности, а также расширенные возможности их обслуживания и поддержки, в том числе с приоритетным ответом в режиме 24×7.
Передовые технологии
Технология поведенческого анализа позволяет обнаружить больше угроз за счет проактивного выявления подозрительной активности на конечных устройствах и сопоставления событий в нескольких компонентах защиты. Решение также обеспечивает защиту HTTP- и FTP-трафика, проходящего через прокси-серверы.
Файервол, работающий на уровне веб-приложений (Web Application Firewall, WAF), срабатывает там, где другие технологии обеспечения безопасности прекращают работать, обеспечивая защиту от угроз, действующих на более высоких уровнях стека вычислений. Автоматизированные процессы обучения, дополненные вручную сконфигурированными политиками, приводят к более точному «пониманию» того, как работает каждое защищенное веб-приложение, включая все пользовательские характеристики и бизнес-логику. Последовательно обнаруживаемые отклонения представляют собой вредоносный трафик, который автоматически ликвидируется — например блокируется, разрешается с ограничениями или регистрируется — в соответствии с определенными администратором политиками.
По сравнению с технологиями для обеспечения безопасности, которые обсуждались ранее в этом документе, WAF является уникальным благодаря способности:
проверять достоверность вводимой информации, тем самым предотвращая опасные SQL-инъекции, межсайтовый скриптинг и атаки в обход каталога;
выявлять атаки, фальсифицирующие файлы cookie, сессии или параметры;
блокировать атаки, использующие уязвимости в пользовательском веб-имуществе;
предотвращать утечку конфиденциальных данных благодаря идентификации и блокировке на объектном уровне;
полностью проверять трафик с SSL-шифрованием на наличие всех типов встроенных угроз;
предотвращать угрозы, использующие логические лазейки в пользовательских бизнес-приложениях;
обеспечивать защиту от атак типа«отказ в обслуживании»(DoS) и «распределенный отказ в обслуживании» (DDoS) на прикладном уровне;
динамичномаскироватьинформациюоботкликесервера,котораяявляетсяпотенциальнополезной для хакеров;
обеспечивать комплексную XML-защиту,включая валидацию схем для сообщений SOAP и защиту от инъекций XPath, и идентифицировать/блокировать XML-вложения, скрывающие вредоносный контент;
обеспечивать соответствие требованию 6.6 стандарта безопасности данных в индустрии платежных карт (Payment Card Industry Data Security Standard (PCI DSS).
Подкрепляя все эти ориентированные на приложения способы обеспечения защиты, лидирующие на рынке WAF — такие как NetScaler AppFirewall — также включают поддержку правил контроля доступа на сетевом уровне и основанный на подписи компонент для обнаружения известных угроз. Службы ИТ-безопасности должны, тем не менее, понимать, что средства защиты WAF по своей сути главным образом нацелены на такие веб-протоколы, как HTTP, HTTPS, XML и SOAP.
Контроль широко используемых протоколов администрирования
Система SafeInspect позволяет выполнять контроль в таких протоколах администрирования как: SSH, RDP, HTTP/HTTPS, Telnet и др.
Запись сеансов работы привилегированных пользователей с использованием различных протоколов
Действия, выполняемые на контролируемых системой устройствах, непрерывно записываются для последующего просмотра в формате эмуляции видео. Аудитор видит непосредственно то, что делал администратор, как будто смотрит в его монитор. Все аудиторские отчеты проиндексированы, что позволяет быстро прокручивать события вперед или назад, искать фрагменты записи по ключевым словам (показывается даже нажатие кнопок мыши на конкретных пунктах меню программ) и др.
Статистика и отчеты о действиях
Благодаря встроенной функции создания отчетов, администраторы системы SafeInspect могут просматривать графики и статистику активности SafeInspect (количество и распределение подключений, классификация пользователей и т.д.), а так же автоматически создавать ежедневные отчеты в формате CSV.
Работа без использования агентов
SafeInspect не требует установки на администрируемых устройствах или рабочих станциях, что обеспечивает быстрое развертывание системы. Нет необходимости в постоянном тестировании версий (например, когда инсталлируются патчи операционной системы, часто появляются проблемы с агентами).
Контроль доступа
Контроль доступа к устройствам осуществляется на основе простых и эффективных правил. Эти правила основаны на различных критериях, таких как IP-адрес, имя пользователя, протокол или тип сеанса SSH (Shell, X11, Remote exec, и т.д.).
Контроль в реальном времени
SafeInspect позволяет контролировать работу администраторов в реальном времени, как будто вы смотрите в экран монитора контролируемого администратора. При необходимости имеется возможность в режиме реального времени разорвать сессию.
Прозрачный вход
Каждый пользователь входит в сервер, используя свои учетные данные, и получает доступ к разрешенным устройствам без выполнения второй процедуры входа. При этом на сервере будет использоваться совершенно другой ключ доступа и пароль, но пользователь этого не увидит. Такая схема позволяет обеспечить простоту и прозрачность доступа и одновременно обеспечить высокую защищенность сервера и невозможность обхода системы SafeInspect.
Надежная аутентификация
Система позволяет обеспечить, в том числе, и аутентификацию на сертификатах. Привилегированные пользователи могут использовать технологию входа по сертификатам, что позволяет также использовать двухфакторную аутентификацию с использованием токенов (например, E-token, Ru token), и систему одноразовых паролей.
Противодействие внутренним угрозам
SafeInspect интегрируется с современными системами DLP и позволяет отсылать на такие системы как полностью трафик, так и отдельные части и файлы для обеспечения контроля утечек информации или вредоносных действий внутри зашифрованных административных каналов.
Аудит файловых операций
Аудит проводится для протоколов SCP, SFTP, HTTP(s). SafeInspect создает необходимый список всех файловых операций, который может направляться в систему DLP или IPS в режиме реального времени.
Контроль подключений с учетными записями с расширенными правами
Система позволяет определять кто, откуда, когда и как имеет доступ к вашим серверам, а также при помощи каких протоколов он может подключаться. Имеется возможность создавать множественные политики доступа к аккаунтам на серверах с разными ключами доступа (например, если нужно обеспечить доступ к аккаунту ROOT, то это можно легко сделать, обеспечив, в том числе, и проверку с каких адресов и по каким портам будет осуществляться доступ, и другие параметры). Таким образом, несмотря на то, что на самом сервере порой невозможно сделать различие между несколькими администраторами, SafeInspect позволяет разграничить и провести аудит действий отдельно каждого из администраторов.
Авторизация
SafeInspect обеспечивает возможность работы с различными вариантами авторизации и, в том числе, позволяет обеспечить он-лайн авторизацию, например, внутренним администратором SafeInspect подтверждается доступ привилегированного пользователя (администратора подсистемы). Привилегированный пользователь в этом случае входит в систему и ожидает авторизации этого входа от администратора SafeInspect. После того, как он авторизует подключение, привилегированный пользователь сможет работать.
Сбор информации для расследований инцидентов
Система создает и хранит все журналы действий пользователей в недоступном пользователю месте, обеспечивая полноценное воспроизведение действий пользователей с серверами или информационными системами. В журналах отображаются такие важные параметры как время, субъект и объект доступа, действие над объектом доступа. Таким образом, данные журналы можно использовать, в том числе и для судебных разбирательств.
Защищенность от внешних воздействий, а также обеспечение высокой доступности
Система работает в подготовленной защищенной среде, где отключены все ненужные сервисы и обеспечена защита от хакерских атак. Кроме того, система обеспечивает возможность работы, как в автономном, так и в распределенном режиме, когда датчики сбора информации могут быть распределены по сети с обеспечением возможности резервирования, а вся информация собирается на выделенном сервере, где хранится и обрабатывается. Имеется возможность обеспечить аутентификацию, в том числе и двухфакторную аутентификацию. Таким образом, система защищена от воздействий извне, обладает широкими возможностями по аутентификации и обеспечению высокой доступности.
Интеграция в инфраструктуру Компании
Система интегрируется с современными системами SIEM, IPS, Web filters, DLP позволяя повысить эффективность как своей работы, так и работы других подсистем. Например, при интеграции с SIEM системами можно будет получить гораздо более высокую оперативность в выявлении инцидентов и APT атак, и более детальное расследование того, что происходило.
Установка
Имеется несколько вариантов установки системы:
Система устанавливается в «разрыв» соединения с серверами;
Соединения с серверами маршрутизируются на систему SafeInspect;
Явное подключение к системе для обеспечения доступа к защищаемым серверам. Основная цель заключается в последовательном документировании всех манипуляций с защищаемыми системами, в обеспечении строгой авторизации для работы с ней и проверки соединений. Технически это реализуется при помощи специальных коллекторов, которые перехватывают трафик администрирования и обеспечивают подключение к серверам через себя (по модели Man In the Middle). Коллектор в прозрачном режиме терминирует соединения на себя, проводит авторизацию, а после открывает от имени пользователя соединение с сервером, выполняя функцию ПРОКСИ. При этом вся информация в канале записывается в специальный журнал. Впоследствии лица, обладающие соответствующими правами, с помощью средства воспроизведения журнала в любой момент смогут восстановить сеанс связи администратора и проанализировать его действия.
Как происходит установка SafeInspect
Результат
SafeInspect используются для администрирования серверов и сетевых устройств.
Весь трафик (включая изменения конфигурации, выполненные команды) записывается в журнал и архивируется. При возникновении проблем (ошибок в конфигурации сервера, манипулирование с базой данных или аварийное отключение), информация о них сразу же отображается в отчетах. Т.о., можно легко определить причину данных инцидентов.
Любые действия привилегированных пользователей аудитор получает в виде видеозаписи, воспроизводящей работу конкретного привилегированного пользователя, что позволяет намного быстрее и точнее найти причину инцидента.
С помощью системы SafeInspect можно контролировать не только внутренние соединения, но и внешние подключения к своим ресурсам, и доступ к облачным ресурсам. Интересным применением, например, будет установка системы на пути к критическим ресурсам в сети Интернет или к специальным серверам с уязвимостями (honeypot).
При помощи системы, можно сохранить все действия несанкционированных пользователей, а также проанализировать методы, используемые при таких видах доступа, чтобы потом можно было усовершенствовать систему безопасности.
Система в своем основном режиме работает без агентов, что позволяет очень быстро её развернуть и настроить (10 – 20 минут и можно контролировать все подключения). Для использования системы, вам не придется делать каких либо существенных изменений в своей инфраструктуре или сетевой среде.
Благодаря интуитивному веб-интерфейсу, можно очень быстро выполнить любые настройки.
InfoWatch Traffic Monitor — решение для защиты от внутренних угроз и неправомерных действий сотрудников.
Логика работы системы
Сбор и перехват. Система собирает и перехватывает любые события, и выявляет в них утечку информации и неправомерные действия сотрудников
Анализ Система анализирует и детектирует конфиденциальные данные в потоке событий
(автоматическое определение категории и тематики)
Принятие решений. Реакция на событие (блокировка, уведомление) и определение уровня угрозы
Сохранение в базу. Все события хранятся в одном архиве как доказательная база для расследования инцидентов
Удобный web-интерфейс решения обеспечивает легкость управления системой и доступ к отчетам и оперативным сводкам с любой рабочей станции, независимо от используемой операционной системы (Windows, Linux, Apple Mac OS).
Infowatch Traffic Monitor защитит коммерческую тайну от утечек
Для эффективной защиты конфиденциальных данных в первую очередь необходимо обеспечить контроль над самыми популярными каналами – от съемных устройств и интернет-мессенджеров до SMS и фотокамеры смартфона.
InfoWatch Traffic Monitor защищает от кражи любую ценную для компании информацию, включая коммерческую тайну, интеллектуальную собственность, персональные данные, стратегические планы, финансовые отчёты и т.д.
Infowatch Traffic Monitor защищает от утечки клиентских и персональных данных
InfoWatch Traffic Monitor защищает базы данных клиентов, контрагентов, партнеров и выгрузки из них, а также контролирует копирование и передачу персональных данных, как в текстовом, так и графическом виде (изображения и отсканированные документы).
Infowatch Traffic Monitor выявляет факты коррупции или воровства
Для оперативного выявления сотрудников, злоупотребляющих служебным положением, необходимо контролировать как рабочие компьютеры, так и мобильные устройства сотрудников (ноутбуки, смартфоны).
Интеллектуальная система анализа InfoWatch Traffic Monitor на основе собственных уникальных технологий автоматически выявит подозрительную переписку и вовремя уведомит руководителя об угрозе.
Infowatch Traffic Monitor выявляет преступные схемы мошенников на ранних стадиях
Предотвращение мошенничества внутри компании следует начинать с выявления лиц, склонных к незаконным действиям, путём непрерывного мониторинга их рабочих мест, анализа переписки с коллегами и внешними агентами. Контроль их активности позволяет оперативно выявлять подозрительные действия сотрудников, расследовать преступные схемы, устанавливать круг причастных лиц.
С помощью инструмента визуальной аналитики данных InfoWatch Vision руководители бизнес-подразделений получают возможность фиксировать аномальное поведение персонала и оперативно расследовать инциденты.
Infowatch Traffic Monitor контролирует поведение нелояльных сотрудников
Для защиты организации от действий нелояльных сотрудников необходимо отслеживать настроения в коллективе, применяя мониторинг сообщений персонала в Интернет-мессенджерах и социальных сетях.
InfoWatch Traffic Monitor «на лету» анализирует переписку и автоматически определяет негативный настрой в сообщениях, фиксирует неуместные высказывания в адрес руководства, социально-опасное поведение и отслеживает нецензурную лексику.
Infowatch Traffic Monitor контролирует поведение нелояльных сотрудников
Выявить недобросовестных работников и принять меры к повышению их продуктивности поможет мониторинг активности с InfoWatch Traffic Monitor.
InfoWatch Traffic Monitor позволяет осуществлять контроль запуска и использования программ на рабочих компьютерах и в рабочее время, контроль печати документов на офисных принтерах, а также анализ посещаемых интернет-сайтов.
Преимущества
Для офицера информационной безопасности
Высокая скорость анализа данных
Например, производительность технологии «Детектор выгрузок из баз данных» составляет 54 млн записей в секунду, что позволяет защищать большие объемы клиентских баз данных. Заполненные формы анализируются со скоростью 12,7 млн знаков в секунду (в условиях анализа одновременно 150-ти анкет). Это позволяет защищать большой объем персональных данных, содержащихся в опросниках, анкетах, бланках и т.д. Мы постоянно совершенствуем наши технологии, чтобы они соответствовали растущей скорости изменений, происходящих в бизнесе.
Минимальное количество ложных срабатываний
Комбинированные объекты защиты позволяют совмещать технологии для защиты документов, одновременно соответствующих сразу нескольким условиям. Например, классифицировать отсканированные договора, заверенные печатью. Такой подход позволяет точно детектировать коммерческую тайну в потоке трафика и снижать ложные срабатывания.
Мощное решение с поддержкой сложных структур
Эффективно работает в структурах даже с численностью более 300 000 человек. Подходит для крупных организаций с большим объемом анализируемого трафика и территориально распределенной структурой.
Точная идентификация нарушителей
Все события хранятся в единой базе, которая может служить юридически значимой базой при расследовании инцидентов. Специальные инструменты проведения расследований – граф связей, карточки сотрудников и досье – позволяют выявлять угрозы на ранней стадии и привлекать нарушителей к ответственности.
Удобный веб-интерфейс продукта
Управлять настройками и политиками, строить и просматривать отчеты можно с любой рабочей станции, независимо от используемой операционной системы (Windows, Linux, Apple Mac OS). Ежедневную работу с событиями и расследованиями инцидентов удобно вести в интерактивной консоли InfoWatch Vision.
Для бизнеса
Вовлечение бизнес-подразделений
Вовлечение всех бизнес-подразделений компании в управление безопасностью корпоративных данных: HR-служба, юридический департамент, маркетинг, менеджмент – могут определять, кто из сотрудников требует более плотного контроля и какая информация – особой защиты.
Учет отраслевой специфики
Готовые отраслевые решения, которые учитывают особенности бизнес-процессов компаний: базы контентной фильтрации для компаний различных отраслей: финансовых, страховых компаний, государственных структур, энергетических компаний – всего более 29 отраслевых БКФ!
Модульная структура
Комплектация и состав продукта определяются потребностями бизнеса. Функциональные модули InfoWatch Traffic Monitor можно включать последовательно, по мере появления соответствующих задач
Российская разработка
InfoWatch Traffic Monitor включен в реестр отечественного ПО и обеспечивает соответствие ряду требований регуляторов:
№152-ФЗ «О персональных данных»
№273-ФЗ «О противодействии коррупции»
Постановление Правительства РФ №1119
«Об утверждении требований к защите ПДн при их обработке в информационных системах ПДн»
Приказ №21 ФСТЭК России
Требованиям Межгосударственного стандарта «Средства Вычислительной Техники» по 5 классу защищенности
Система корпоративной информационной безопасности должна стать основой цифровой бизнес-стратегии организаций. Ее цель — проактивное выявление сложных угроз и минимизация рисков и последствий разрушительного влияния киберинцидентов.
Решение Kaspersky Anti Targeted Attack Platform защищает непрерывность бизнеса в процессе цифровой трансформации за счет расширенных возможностей управления и защиты от угроз на всех стадиях целевой атаки. Платформа использует многоуровневые защитные технологии и интегрируется с обширным портфелем продуктов и услуг для создания единой целостной системы прогнозирования, обнаружения и реагирования на угрозы. Kaspersky Anti Targeted Attack позволяет внедрить полностью интегрированный стратегический подход к противодействию целевым атакам, обнаружению и реагированию на угрозы.
Доступность данных, внутренний и внешний мониторинг Обеспечивает полную доступность информации в распределенной корпоративной среде, предоставляет самые актуальные сведения об угрозах, в том числе глобальную статистику и репутационную оценку.
Многоуровневые механизмы обнаружения Основанная на технологиях машинного обучения, платформа предлагает расширенные возможности обнаружения с использованием методов статического и поведенческого анализа, облачной репутационной оценки, песочницы и шаблонов поведения, а также позволяет сопоставлять полученную из разных источников информацию в единую цепочку событий с помощью анализатора целевых атак (Targeted Attack Analyzer).
Автоматическое предотвращение продвинутых угроз и реагирование на них Платформа позволяет автоматически передавать вердикты целому ряду продуктов, включая средства для защиты электронной почты, рабочих мест, систем хранения данных и веб-трафика. Это позволяет обеспечить немедленное реагирование на инциденты безопасности.
Круглосуточная техподдержка и профессиональные сервисы
Специалисты технической поддержки готовы прийти на помощь в любой момент. Воспользуйтесь премиальными пакетами Расширенной технической поддержки или профессиональными сервисами. Они помогут извлечь максимум из установленных у вас решений «Лаборатории Касперского».
Преимущества
Эффективное и доверенное решение
Решение «Лаборатории Касперского» гарантирует полную конфиденциальность данных – анализ всех объектов производится локально, без передачи какой-либо информации за пределы периметра безопасности компании. Платформа в режиме реального времени загружает в IT-среду репутационные обновления, не нарушая при этом изоляцию корпоративных данных, которые помогают своевременно обнаруживать угрозы. Так, независимые тесты* показали, что уровень обнаружения угроз с помощью Kaspersky Anti Targeted Attack Platform составляет 100% при 0% ложноположительных срабатываний, что позволяет не тратить время на обработку ошибочных уведомлений об опасности.
Визуальный контроль и простое управление из единой консоли
Платформа Kaspersky Anti Targeted Attack имеет интуитивно понятный, удобный и привычный для пользователей браузеров интерфейс. Он обеспечивает полный доступ к нужной информации и эффективное управление компонентами обнаружения, расследования и предупреждения, а также оповещениями и отчетами. Благодаря тому, что широкий набор функций можно отслеживать и контролировать из единой консоли, служба IT-безопасности сможет выполнять задачи еще более эффективно, не тратя время и ресурсы на переключение между отдельными инструментами и несколькими консолями администрирования.
Стратегический подход к защите от целевых атак
Платформа Kaspersky Anti Targeted Attack, вместе с обширным портфолио сервисов кибербезопасности и защитных продуктов, позволяет cледовать полностью интегрированному стратегическому подходу от целевых атак, обнаружению и реагированию на угрозы. Платформа предоставляет центрам безопасности (SOC) крупных предприятий передовые защитные технологии, а также доступ к глобальной системе сбора сведений об угрозах и экспертизе ведущих специалистов в сфере IT-безопасности.
Блокируйте новые и неизвестные атаки путем проверки трафика с использованием и без использования сигнатур. Технология обнаружения вторжений без использования сигнатур позволяет идентифицировать вредоносный сетевой трафик и блокировать ранее неизвестные атаки, для которых не существует сигнатур.
Унификация защиты облачных и физических систем
Поддержка VMware NSX и OpenStack дает организациям возможность унифицировать подход к защите физических и виртуальных сетей. Поддержка виртуализации сети в VMware NSX позволяет администраторам масштабировать средства защиты виртуальных рабочих нагрузок в частных облаках при их создании и перемещении. Виртуальные решения обеспечивают защиту рабочих нагрузок в публичных облаках сред Amazon Web Services (AWS) и Microsoft Azure.
Максимизация уровня безопасности и быстродействия
Имея в своей основе современнейшую аппаратную платформу, способную обрабатывать данные со скоростью свыше 320 Гбит/с, и концепцию Security Connected, позволяющую получать и использовать данные от множества разных продуктов, McAfee Network Security Platform обеспечивает тот уровень защиты от вторжений и сбора информации, который вам необходим.
Гибкие варианты развертывания
Поддержка McAfee Threat Intelligence Exchange позволяет в режиме реального времени обеспечивать осведомленность об угрозах как в физических, так и в виртуальных сетях. Интеграция с McAfee Advanced Threat Defense и McAfee MOVE AntiVirus дает организациям возможность автоматизировать сложные процессы обеспечения безопасности в программно-определяемом центре обработки данных.
Повышение уровня безопасности путем переосмысления системы IPS
Обеспечение взаимодействия между всеми защитными продуктами
McAfee Network Security Platform является единственной системой предотвращения вторжений (IPS), позволяющей интегрировать друг с другом множество разных продуктов в рамках архитектуры защиты от угроз безопасности. Обменивайтесь данными об угрозах в масштабах всей вашей организации: таким образом связанные между собой устройства смогут извлекать необходимую им информацию и реагировать на угрозы в режиме реального времени.
Улучшенные процессы сопоставления угроз и получения контекста
Собирайте данные, поступающие от коммутаторов и маршрутизаторов. Интеграция с McAfee Network Threat Behavior Analysis позволяет сопоставлять между собой случаи необычного поведения в сети, вызванные вторжениями.
Дополнительные функции обнаружения бот-сетей и анализа сети
Интеграция с McAfee Network Threat Behavior Analysis позволяет взять на вооружение расширенные алгоритмы сопоставления угроз и анализа поведения. Вы сможете обнаруживать скрытые бот-сети, червей и разведывательные атаки в любой точке сети.
Продукты, связанные с McAfee Network Security Platform
McAfee Virtual Network Security Platform
Благодаря поддержке технологий виртуализации сети — VMware NSX, Amazon Web Services (AWS) и Microsoft Azure — платформа McAfee Virtual Network Security Platform позволяет быстро масштабировать защиту в соответствии с меняющейся динамикой виртуализованных рабочих нагрузок.
McAfee Advanced Threat Defense
В отличие от традиционных изолированных сред («песочниц») McAfee Advanced Threat Defense имеет более широкие возможности для обнаружения угроз и выявления методов обхода защиты.
McAfee Enterprise Security Manager (SIEM)
McAfee Enterprise Security Manager — это автоматизированное, быстрое и точное средство управления безопасностью, информацией о безопасности (SIEM) и журналами.
McAfee ePolicy Orchestrator
Наша централизованная система управления безопасностью, развертываемая локально или в облаке, позволяет свести воедино средства управления защитой конечных точек, сети и данных.
McAfee Threat Intelligence Exchange
McAfee Threat Intelligence Exchange оптимизирует процесс предотвращения угроз, сокращая период между обнаружением вредоносной программы и ее нейтрализацией с нескольких дней, недель и месяцев до миллисекунд.
Модуль позволяет сформировать или импортировать лица людей для осуществления поиска (распознавания). Имеется возможность экспортировать данные в видеофайл. Актуально использование TRASSIR Face Recognition, например, для выявления лиц, находящихся в черном списке, без затрат времени вычислять местоположение людей с привязкой ко времени и дате.
В многосерверной системе TRASSIR, можно использовать базу, установленную на одном из серверов TRASSIR, для распознавания лиц на нескольких серверах. При нестабильном канале связи рекомендуется полностью дублировать БД на локальный сервер.
Стоимость модуля зависит от числа лиц в базе, размещенной на 1 сервере. Клонированная БД на другой сервер лицензируется с дисконтом 50%. Для работы TRASSIR Face Recognition необходим модуль TRASSIR Face Detector (приобретается отдельно).
Некооперативный режим подразумевает, что распознавание лиц идет «в потоке» и никак не влияет на проход людей. Чаще всего люди могут и не знать, что в данном месте работает биометрическая система, так как камеры для распознавания визуально не отличаются от обычных камер видеонаблюдения.
Для некооперативного режима работы используются специализированные камеры для распознавания лиц VOCORD NetCam4 K-серии. Камеры устанавливаются на входах или в местах организованного прохода: переходы, очереди, турникеты.
Камеры автоматически выделяют лица всех людей, попавших в поле зрения, фотографируют их и по сети отправляют на сервер системы VOCORD FaceControl, где сохраняют их в архиве и проверяют по базам розыска. При совпадении с лицом из баз розыска система немедленно оповещает оператора.
Все выделенные лица сохраняются в архиве, то есть система также позволяет сформировать базу данных высококачественных фотографий, которые далее можно использовать для задач розыска.
Места установки камер определяются проектом. Максимальная дальность установки камер – 100 м. Рекомендуемая дальность – не более 30 м. Высота установки камер определяется при проектировании.
Кооперативный режим
Кооперативный режим используются при решении задач контроля и управления доступом, учета рабочего времени сотрудников и других, где для распознавания человеку нужно подойти и посмотреть в камеру.
Для задач кооперативного распознавания допускается использование любых IP-камер и даже веб-камер. Рекомендуемое разрешение камер – от 1 Мп (расстоянием между зрачками лица в кадре — не менее 40-50 пикселей). Для кооперативного распознавания с использованием сторонних IP-камер рекомендуется постоянное искусственное освещение не менее 200 люкс.
Так же, как и в некооперативном режиме, распознавание происходит моментально, только в данном случае человеку необходимо хотя бы на секунду взглянуть в камеру.
Места установки камер определяются проектом.
Человеку не нужно останавливаться, замедляться или смотреть в камеры, система работает в полностью некооперативном режиме и не требует от человека специальных действий. Для распознавания нужно только пройти между стереокамерами
За счет анализа трехмерной поверхности: как текстуры, так и объекта лица, VOCORD FaceControl 3D распознает лица с очень высокой точностью и надежностью
VOCORD FaceControl 3В работает на базе стереокамер, которые делают 2 синхронных снимка с разных ракурсов. Поэтому наклон или поворот головы относительно камеры, к которому чувствительны 2D-системы, не так важен для системы 3D-распознавания
«Военная» или «фанатская» раскраска, или другой макияж, изменяющий геометрию лица, делает 2D распознавание невозможным. 3D-система анализирует форму лица, поэтому без труда распознает лица с любым макияжем
VOCORD FaceControl 3D умеет сравнивать 3D-модели лиц как с 3D-моделями, так и с 2D-изображениями, поэтому эталонные базы данных можно наполнять обычными фотографиями. Для распознавания 3D и 2D изображений система выбирает лучший ракурс 3D-модели, генерирует 2D-фотографию и сравнивает ее с «эталонной»
Преимущества системы
Высокая достоверность распознавания: лучшие в мире алгоритмы распознавания лиц
Работает с любыми видеокамерами: IP, веб-камеры, специализированные камеры со встроенным детектором лиц
Приложение Face.DJ основано на технологии воссоздания 3D модели лица, разработанной VisonLabs, создает реалистичную 3D модель Вашего лица и переносит ее в виртуальное пространство. После создания модели у Вас есть возможность изменить прическу, примерить очки, отрастить бороду. Все это осуществляется с помощью приложения. Порядок действий очень прост: вы делаете фотографию на камеру телефона, дожидаетесь, пока приложение построит модель, а дальше добавляете аксессуары и прически на свой вкус.
Технология
Воссоздание 3D модели по одной фотографии стало реальностью благодаря использованию технологии определения ключевых точек лица и их переноса на адаптируемую виртуальную модель головы. Индивидуальные особенности, такие как контур губ, глаза, брови, форма лица определяются на фотографии, а виртуальная модель приводится в соответствие с ними. Виртуальное лицо может менять форму на основании Вашей внешности поскольку соответствующие части виртуальной модели адаптируются под Ваши характерные черты. В результате этих преобразований у Вашей двухмерной фотографии появляется третье измерение. Дополнительно технология анализирует цвет кожи для того, чтобы перенести текстуру кожи с конкретного участка лица на всю модель.
Анализ лица
Алгоритм определения ключевых точек на изображении состоит из двух этапов. Сначала алгоритм детектирует лицо на фотографии, затем вырезает лицо из изображения и дополняет набором заранее определенных ключевых точек. Оба этапа задействуют машинное обучение. Алгоритм обучается на большой выборке данных, подготовленных вручную. Данные включают в себя тысячи изображений лиц с установленными на них ключевыми точками.
Моделирование лица
Виртуальная модель построена на 3D сканах лиц, полученных с помощью специализированного оборудования. Сканы лиц отличаются друг от друга так же, как отличаются люди, поскольку для сканирования использовались лица реальных людей. Полученные данные о различиях в расположении глаз, размере носа, форме лица и рта позволяют строить новые виртуальные лица, объединяя признаки реальных лиц.
Macroscop подходит для объектов различного уровня. Программа приобретается в соответствии с количеством видеокамер. Возможности для расширения системы не ограничены.
Macroscop работает с любыми IP-камерами (более 5 000 моделей, поддержка протоколов ONVIF, PSIA, RTSP и HTTP).
Гибкость и модульность программного комплекса позволяет выбирать только те функции, которые вам нужны.
Лёгкость проектирования
Для запуска программного комплекса достаточно выбрать версию программы и интеллектуальные функции, приобрести лицензию на необходимое количество каналов, получить ключ защиты.
Запуск, настройка и обслуживание Macroscop не требуют навыков администрирования и программирования. С этими задачами справится любой инсталлятор, имеющий минимальный опыт работы с видеонаблюдением. Чтобы убедиться в этом, скачайте и установите бесплатную демо-версию.
Специалисты технической поддержки будут рады помочь вам по любому из каналов связи: бесплатный телефонный номер, e-mail, Skype, ICQ, онлайн-консультант на сайте.
Комплект Macroscop
Приобретая Macroscop, пользователь может выбрать софт-ключ или USB-ключ защиты.
При выборе софт-ключа вы отправляете менеджеру файл, в котором содержатся параметры сервера, на который планируется устанавливать программное обеспечение. Такой файл формируется при помощи дистрибутива Macroscop. После этого вы получаете на e-mail файл лицензии для активации.
Следует иметь ввиду, что софт-лицензия привязывается к конкретному ПК и при расширении системы нужно оплачивать генерацию каждой новой софт-лицензии.
Преимущество USB-ключа в том, что при его использовании можно переносить Macroscop с одного сервера на другой, а при расширении системы оплата генерации новой версии ключа не требуется. На один USB-ключ можно записать до 479 лицензий.
Интерфейс
Простота и функциональность интерфейса
Интерфейс программы для IP-камер Macroscop интуитивно понятен для любого пользователя, запуск и настройка обычно занимают не более 15 минут. Конфигуратор программы автоматически найдет доступные IP-камеры и поможет настроить систему.
Удобная прозрачная навигация
Благодаря многоуровневым планам Вы можете перемещаться по камерам, расставленным на одном или нескольких объектах. Загрузите карту города, планы объектов, расставьте камеры на плане, потратив на это всего 10 минут.
План помещений можно рисовать в конфигураторе, используя встроенный графический редактор, а также загружать изображения в форматах jpg, bmp, png.
Создание единого мониторингового центра
Вывод видео с IP-камер на разных объектах на один экран и контроль ситуации на них одновременно. Отображение до 262 IP-камер на 1 мониторе.
Интеллектуальные модули
Чтобы увеличить функциональность вашей системы видеонаблюдения, вы можете подключить к программе для IP-камер Macroscop интеллектуальные модули.
Основанный на нашей технологии продукт FindFace Enterprise Server SDK 2.0 может широко применяться в различных сценариях, таких как: клиентская аналитика, верификация, предотвращение мошенничества, проявление гостеприимства к особым гостям или осуществление контроля доступа. Наше решение может применяться в различных областях: ритейл, банковское обслуживание, организация спортивных и прочих мероприятий, внутренняя и общественная безопасность и многих других.
Принимая во внимание то, что скорость обработки так же важна, как и точность, мы создали технологию, которая осуществляет поиск по миллиардной базе изображений лиц менее чем за полсекунды.
Для демонстрации работы FindFace Enterprise Server SDK 2.0 мы предлагаем интуитивно понятный пользовательский интерфейс и демо-приложение для Android c открытым кодом, которые помогут увидеть возможности нашего продукта и при необходимости наглядно их показать клиентам, коллегам или руководству.
Благодаря тому, что все изображения и данные хранятся локально, наше решение можно интегрировать быстро и без хлопот. Мы предлагаем набор инструментов, документацию и различные шаблоны на нескольких языках программирования, с помощью которых вы сможете сохранить биометрические данные в вашей системе и очень быстро интегрировать в нее алгоритмы идентификации и верификации лиц, распознавания пола, возраста и эмоций.
Возможности
Нейронная сеть нового поколения
FindFace Enterprise Server SDK 2.0 использует собственную нейронную сеть, в совершенстве обученную на 20 000 000 фотографий. Высочайшие скорость и точность алгоритма, подтверждённые сертификатом NIST-2017 и победой в MegaFace Challenge 2015, задают новые стандарты развития отрасли для внедрения решений, которые до недавнего времени считались невероятными.
Высочайшая точность
Вероятность ошибки нашей нейронной сети составляет всего лишь 1 на 1 000 000. С набором данных в 10 000 элементов, точность идентификации превышает 95%, а точность верификации превышает 99%, не менее 95% для большинства бизнес-кейсов.
Распознавание возраста, пола и эмоций
Новая функция FindFace Enterprise Server SDK 2.0 – распознавание возраста, пола и эмоций. Теперь алгоритм определяет пол человека по фотографии с точностью 99 % и возраст в пределах 3-х лет с точностью 95 %. Также определяются основная и второстепенная эмоции.
Демонстрационные программы
Демонстрационный пользовательский интерфейс и демо-приложение для Android с открытым кодом помогут вам глубже понять возможности нашего решения и при необходимости самим продемонстрировать его работу заинтересованным лицам.
Высокоскоростной поиск по большим массивам данных
Благодаря самому миниатюрному в отрасли размеру идентификатора лиц (всего 1,28 KB) и уникальному поисковому индексу собственной разработки технология FindFace осуществляет поиск по миллиардной базе менее чем за полсекунды, что никак не влияет на точность алгоритма.
Локальное развёртывание
Система FindFace Enterprise Server SDK 2.0 работает на вашем собственном сервере, при этом все данные хранятся локально. Таким образом, вы можете быть спокойны, что данные вашей компании не попадут к третьим лицам. Встроенная кросс-платформенная технология REST API позволяет легко интегрировать FindFace Enterprise Server SDK 2.0 в любое веб-, мобильное или компьютерное приложение быстро и унифицировано.
Генерирует события при обнаружении движения в запрещенной зоне. С помощью дополнительных уникальных настроек можно избежать сработок на кратковременные резкие изменения кадра (засвет от автомобильных фар, пролет птицы и т.д.), что значительно понижает чувствительность к «ложным тревогам».
Объектный детектор движения
Позволяет фиксировать объекты, строить траектории их движения, определять приблизительную скорость перемещения, а также определять тип зафиксированного объекта (человек, автомобиль. группа людей). Полученные данные в дальнейшем используются некоторыми другими детекторами.
Пересечении линии в запрещенном направлении
Позволяет фиксировать объекты, которые пересекли заданную линию в запрещенном направлении.
Вход/выход из зоны
Позволяет фиксировать объекты, которые вошли/вышли из заданной зоны детекции.
Праздношатание
Пребывание в определённом общественном месте в течение длительного времени. Генерируется событие при обнаружении объекта с постоянно меняющейся или произвольной траекторией, отличной от заданных.
Детектор драки
Генерирует тревожное событие при драке или активном движении руками/ногами, столкновения людей в кадре.
Детектор бега
Создается тревожное событие при превышении объектом, классифицированным как человек, заданного порога скорости.
Трекер
Требует совместной работы поворотной и стационарной камеры. Модуль обеспечивает переход поворотной камеры в определённую точку, при обнаружении на стационарной камере объекта.
Детектор качества изображения
Генерирует тревожные события в случае обнаружения на камере расфокусировки, заслона, отворота, засвета/затемнений, установка дезориентирующего зеркала; подмена источника видеосигнала; низкая частота кадров.
Детектор оставленных/убранных предметов
Служит для обнаружения неподвижных/исчезнувших предметов, находящихся на одном месте в течение заданного интервала времени. Алгоритмы программы позволяют отсеивать огромное количество ложных ситуаций, связанных с кратковременным заслонением предмета, изменениями освещенности, движением рядом людей и автомобилей.
Детектор дыма
Позволяет своевременно обнаружить задымление, даже в тех случаях, когда обычные датчики ОПС не эффективны: помещения с высокими потолками и контролируемые зоны с открытым пространством.
Детектор толпы
Служит для обнаружения скопления большого количества людей, находящихся в зоне детекции.
Детектор подсчета людей
Позволяет вести подсчет людей, пересекающие зону детекции.
Детектор звука
Оповещение оператора происходит при повышении или понижении звукового порога.
Детектор зон активности
Функция особо актуальна для сферы ритейла, объектов транспортной инфраструктуры. Позволяет оценить активность движения, выявить, где пролегают основные потоки передвижения людей и автомобилей.
Детектор очереди
Позволяет фиксировать длину очереди.
Детектор открытого пламени
Позволяет обнаружить открытое пламя.
Детектор пробок и заторов
Определяет заполненность дороги и среднюю скорость движения потока по полосам, при низкой средней скорости выдает предупреждение или тревожное сообщение.
Дополнительные возможности системы видеонаблюдения
Система динамического резервирования. Уникальная разработка нашей компании. Данный модуль предназначен для постоянного анализа стабильности работы серверов и приложений. В случае обнаружения каких-либо неполадок позволяет автоматически перебрасывать захват видеокамеры на резервные (либо стандартные) сервера, обеспечивая при этом бесперебойность отображения на клиентском рабочем месте видеосигнала. Порядок выбора серверов может определяться как в автоматическом режиме, так и по преднастроенной администратором схеме. После восстановления работы в штатном режиме система автоматически вернется в стандартное состояние, при этом позволит просматривать видеоархив в обычном режиме, без необходимости ручного поиска аварийных участков на разных серверах.
SD-резервирование. В случае отсутствия связи с камерой архив, импортируется с SD карты
Резервирование архива. С заданной периодичностью сервер архива собирает данные с указанных серверов на длительное хранение
Двойная запись архива. Возможность записи с одного канала на два хранилища, кратковременное и длительное
Цифровая стабилизация изображения. С помощью этой функции можно стабилизировать камеру и получать четкие изображения без размытия при тряске камеры
Интеграция с собственной системой Контроля Дорожного движения (КДД). Интеграция с системой КДД открывает возможности использования дорожной аналитики:система распознавания и фиксации номеров проезжающего автотранспорта. Возможность организации сбора ряда видов статистик об маршрутах движения и скорости передвижения транспорта, организация автоматизированных КП;система фиксации нарушений правил дорожного движения по ряду пунктов;система определения состояния светофорных объектов;определение состояния номерных знаков.
По данным Zecurion Analytics, со злоупотреблениями со стороны привилегированного персонала сталкивалось 72% российских компаний крупного бизнеса. Сегодня практически каждая средняя или крупная организация пользуется услугами сторонних специалистов или передаёт часть задач по использованию или обслуживанию ИТ-систем внешним подрядчикам. Вместе с этим в компаниях растут риски несанкционированных действий пользователей с повышенными полномочиями. Для снижения такого рода рисков компаниям необходимо надёжное и удобное в использовании решение для контроля пользователей.
Zecurion PAM обеспечивает контроль системных администраторов, топ-менеджмента и других привилегированных пользователей. Система ведёт запись всех действий сотрудников, в т. ч. параметры входа, перечень произведённых действий и отправленных команд, а также может производить видеозапись и позволяет показывать экран пользователя онлайн.
Каким организациям необходим Zecurion PAM:
с численностью ИТ-персонала от 5 человек;
с наличием ИТ-систем, требующих более 10 различных паролей;
которые привлекают компании на аутсорс;
предоставляют доступ к ИТ-системам сторонним организациям или подрядчикам;
предоставляют доступ внешней технической поддержке;
хотят контролировать действия администраторов.
Полный контроль действий привилегированных пользователей
Согласно исследованию, проведённому Zecurion Analytics, со злоупотреблениями со стороны привилегированного персонала (администраторы, подрядчики, удалённые сотрудники и т. д.) сталкивалось 72% российских компаний крупного и среднего бизнеса. Zecurion PAM позволяет контролировать все их действия и права доступа.
Контроль подрядчиков
Zecurion PAM контролирует все действия и доступ внешних ИТ-подрядчиков к защищаемым информационным ресурсам, например, инженеров системных интеграторов или технических специалистов поставщика программного оборудования.
Управление доступом
Система хранит все привилегированные учётные записи в централизованном хранилище, доступ к которому есть только у определённого круга лиц. Также обеспечивает централизованное управление доступом к серверам, базам данных и любым критичным объектам сети.
Изоляция объектов сети
Изолирует критические объекты сети (БД, серверы, виртуальные платформы и др.) от прямого доступа лиц, не наделённых соответствующими полномочиями.
Запись сессий и архив
Вся информация о действиях пользователей записывается в специальный архив, что позволяет в дальнейшем воспроизводить сессии и анализировать действия персонала.
Отчётность и аналитика
Zecurion PAM предоставляет офицеру безопасности полную и детальную статистику о действиях пользователей с привилегированным доступом (количество и время подключений, классификация пользователя и т. д.).
Единая консоль управления
Zecurion PAM управляется из единой консоли для всех продуктов Zecurion с общим удобным интерфейсом. Это позволяет минимизировать усилия по интеграции различных систем и централизировать управление системой.
Удалённое администрирование
В системе реализована возможность удалённого подключения и подключения по локальной сети независимо от местонахождения, что делает администрирование более удобным и позволяет оперативно реагировать на инциденты.
Отчёты с любым уровнем детализации и разной формой представления данных
Расширенный модуль отчётности Zecurion Reports позволяет создавать и изучать отчёты с любым уровнем детализации и разной формой представления данных, а также помогает выявлять нарушения политик безопасности на ранних стадиях и предотвращать возможные утечки информации, хакерские атаки и прочие нежелательные действия.
Графические отчёты
В Zecurion Reports возможно создание агрегированных отчётов в наглядной графической форме. Информация может быть представлена в виде различных типов диаграмм или графиков. Графические отчеты являются интерактивными – при клике по диаграмме открывается табличная часть, соответствующая выбранной области.
Предоставление полной статистики об использовании интернета сотрудниками
Система предоставляет офицеру безопасности полную и детальную статистику посещения интернета по отдельным пользователям и/или группам в зависимости от настроек. Zecurion Reports позволяет выводить любые отчёты в зависимости от заданных условий, а также выводить данные в нескольких видах: текстовом, табличном, графическом или смешанном.
Гибко автоматизировать процессы организации со всеми их особенностями без доработки решения
Бесшовно интегрироваться в бизнес-процессы
Управлять не только жизненным циклом пользователей, но и ролей, организационных структур и других смежных объектов
Внедряться быстрее аналогичных решений за счет шаблонов конфигурации
Управлять правами совместителей отдельно для каждой совмещаемой должности
Работать как на проприетарных, так и свободно распространяемых ОС, и СУБД
Как работает система
Solar inRights получает данные о сотрудниках и организационно-штатной структуре из доверенного источника. Как правило, таким источником является система кадрового учета. Поскольку зачастую не все типы сотрудников учитываются в системе кадрового учета, доверенных источников может быть несколько. Например, данные о подрядчиках могут загружаться из excel-файла или вводиться непосредственно в Solar inRights. На основании данных, полученных из доверенных источников, Solar inRights может запускать соответствующие процессы, такие как «Прием на работу», «Перевод по должности» и «Увольнение» и другие.
Также Solar inRights интегрирован с целевыми системами. Взаимодействие осуществляется в двух направлениях. Solar inRights осуществляет чтение информации о пользователях и их полномочиях в подключенных информационных системах и управляет ими в рамках автоматизированных процессов и операций. Для информационных систем, которые физически не подключены к Solar inRights, процессы запроса/согласования могут также обеспечиваться в системе, но на этапе исполнения Solar inRights будет создавать заявки на ручное исполнение с соответствующей инструкцией.
В самом Solar inRights автоматизируются процессы управления доступом к информационным системам. Процессы могут быть как полностью автоматическими (например, блокировка доступа при увольнении), так и требовать участия сотрудников (например, согласование заявки на дополнительные права). В рамках автоматизированных процессов система может отправлять оповещения по электронной почте.
Сотрудники взаимодействуют с Solar inRights через web-интерфейс. Они могут выполнять в системе действия, связанные с управлением доступом, которые предусматривает их роль в системе, и предоставленные этой роли полномочия. К таким действиям относятся: просмотр своих полномочий и полномочий других сотрудников, подача заявок и просмотр их статуса, согласование заявок, операции по управлению учетными записями, такие как смена пароля и блокировка, построение отчетов.
Как работает Solar inRights
Автоматизация жизненного цикла пользователей
При приеме на работу сотруднику, в зависимости от его типа (штатник, подрядчик, и др.), автоматически создается базовый набор учетных записей с определенным минимальным набором прав доступа. Это значительно сокращает время ожидания новыми сотрудниками предоставления прав доступа и снимает часть задач с администраторов информационных систем.
При переводе сотрудника по должности его права доступа отправляются на пересмотр сначала предыдущему, затем новому руководителю. Это позволяет избежать накопления избыточных прав при переводах по должности и корректно передать ответственность новому руководителю сотрудника.
При уходе сотрудника в отпуск его доступ автоматически блокируется на этот период и возобновляется по его окончании. Это позволяет снять риски нелегитимного использования учетных записей сотрудников, находящихся в отпуске.
При увольнении сотрудника его учетные записи автоматически блокируются, а полномочия отзываются. Это обеспечивает своевременную приостановку доступа уволенных сотрудников.
При повторном приеме сотрудника на работу ему выдаются учетные записи, которые были у него ранее. Это позволяет вести сквозную историю по повторно принятым на работу сотрудникам.
Для управления доступом внештатников используется интерфейс ручного ввода. Поскольку зачастую внештатные сотрудники в кадровой системе не ведутся, данные о них вводятся непосредственно через графический интерфейс Solar inRights.
Подача и согласование заявок на доступ
При запросе сотрудником либо его руководителем расширенных прав доступа заявка проходит процесс согласования, после чего согласованные заявки исполняются автоматически. Это позволяет обеспечивать санкционированное предоставление доступа, вести учет всех действий по созданию и согласованию заявок на доступ, а также уменьшить объем ручной работы администраторов.
Если автоматическое управление учетными записями в определенной информационной системе не реализовано, Solar inRights может создавать соответствующие заявки на ручное исполнение. Для этого может использоваться или встроенная система заявок Solar inRights, или существующая в компании система управления ИТ-заявками.
Автоматизация контрольных процедур
Если того требуют внутренние регламенты или требования регуляторов, автоматизируется процесс периодического пересмотра прав доступа сотрудников, когда с заданной периодичностью (обычно раз или два в год) руководители пересматривают права доступа своих подчиненных. Этот механизм позволяет поддерживать права доступа сотрудников в актуальном состоянии и снизить количество избыточных прав.
Для контроля соблюдения регламента согласования и предоставления доступа к информационным системам автоматизируется процесс сверки, когда система отслеживает и автоматически оповещает службу безопасности о появлении в информационных системах несогласованных полномочий. Это позволяет своевременно отслеживать нарушения регламента предоставления прав доступа.
Если в компании определены правила разграничения полномочий, то автоматизируется процесс их контроля, когда назначение конфликтующих полномочий идет по расширенному пути согласования (или не позволяется), и ведется учет всех имеющихся конфликтов.
Виртуальное устройство и модернизированный пользовательский интерфейс упрощают установку и управление IBM Security Privileged Identity Manager. Дополнительный инструмент регистрации действий привилегированных учетных записей помогает повысить наглядность и улучшить показатели соблюдения требований к безопасности. Дополнительный компонент IBM Security Privileged Identity Manager for Applications обеспечивает защиту доступа между приложениями и отслеживает подобный доступ, что позволяет управлять им в рамках политик управления паролями.
Централизованное управление привилегированными учетными записями
Управление инициализацией, обновлением и повторным подтверждением привилегированных пользователей в рамках жизненного цикла.
Поддержка управления административными учетными записями IBM SoftLayer из локальной среды IBM Security Privileged Identity Manager.
Защита и отслеживание доступа между приложениями.
Контроль загрузки и выгрузки совместно используемых идентификационных данных из зашифрованного хранилища.
Повышение безопасности и усиление соответствия требованиям за счет журналирования, аудита и составления отчетности о пользователях с привилегированным доступом.
Снижение затрат и нагрузки
Снижает затраты и нагрузку благодаря более быстрой окупаемости масштабируемого виртуального устройства.
Поддерживает интеграцию с отдельной средой IBM Security Identity Manager в целях упрощения и оптимизации.
Ускоряет загрузку идентификационных данных пользователей с привилегированным доступом в зашифрованное хранилище.
Повышает рентабельность благодаря общим функциям управления идентификационными данными и поддержке приложений и ресурсов.
Соответствие нормативным требованиям и требованиям к конфиденциальности
Ведет постоянный подробный учет действий привилегированных пользователей с помощью функции регистрации сеансов привилегированных пользователей.
Фиксирует информацию о том, как были использованы привилегированные права доступа, а также действия пользователя.
Предусматривает возможность настройки принудительного предоставления и отзыва доступа к общим учетным записям для обеспечения регистрации действий.
Записывает шаги идентификации и действия привилегированных пользователей в подробном контрольном журнале.
Автоматическое управление паролями и параметрами единого входа в систему
Устраняет необходимость в обмене паролями для привилегированных пользователей и общих учетных записей.
Предлагает автоматическую временную регистрацию, которая дает пользователям ограниченное время для использования привилегированных прав.
Обеспечивает единый вход в систему для каждого пользователя в группе в назначенную общую учетную запись, даже если пароль изменен.
Позволяет пользователям запрашивать доступ к привилегированной учетной записи с помощью разделенных служб идентификации.
Предоставляет пользователям интерфейс самообслуживания для необязательных параметров получения и отмены доступа и просмотра паролей.
КУБ – единственная на российском рынке система, которая решает задачи сразу трех основных групп пользователей:
Бизнес-подразделениям. Возможность самостоятельно в привычной терминологии запрашивать, согласовывать и получать доступ к необходимым информационным ресурсам через web-портал; в любой момент времени видеть текущий статус своей заявки.
Службе информационных технологий/автоматизации. Возможность получать четкие инструкции к выполнению в понятных исполнителю терминах; не тратить время на уточнение требований заявок; быть уверенным, что своими действиями инженер не нарушает политику информационной безопасности компании. Возможна полная автоматизация выполнения заявок.
Службе информационной безопасности. Возможность непрерывно контролировать все изменения прав доступа к информационным ресурсам компании и другие изменения значимых настроек; иметь всю необходимую информацию для оперативного расследования инцидентов, связанных с несоблюдением правил политики безопасности.
При использовании системы КУБ процесс управления доступом выглядит следующим образом:
Процесс управления КУБ-ом
Чем отличается КУБ от типовой IDM системы?
Системы класса IDM позволяют решить большинство задач, связанных с управлением учетными записями и правами пользователей в целевых системах. Однако задача управления доступом затрагивает гораздо больше вопросов, среди которых:
формирование и согласование на разных уровнях иерархии заявок на предоставление доступа с обеспечением их юридической значимости;
непрерывный контроль предоставленного доступа;
согласованное управление логическим и сетевым доступом.
Использование системы КУБ позволяет комплексно решить все задачи, связанные с управлением доступом и учетными данными пользователей. При этом роль КУБ заключается в формировании и согласовании заявок на доступ, а также реализации и контроле доступа.
Именно эти задачи являются ключевыми для комплексного управления доступом.
Следующие возможности системы КУБ позволяют эффективно решать задачи управления и контроля доступа пользователей к информационным ресурсам:
Синхронизация с кадровыми системами позволяет управлять доступом сотрудников в соответствии с организационно-штатной структурой компании. На основании данных об организационно-штатной структуре КУБ автоматически строит иерархию бизнес-ролей с возможностью последующего ее редактирования.
Электронный документооборот заявок с использованием электронной подписи обеспечивает документирование и юридическую значимость всех принимаемых решений об изменении доступа.
Эффективные динамические маршруты согласования заявок гарантируют участие в согласование только нужных лиц и ускоряют процесс принятия решений.
Автоматическая трансляция требований заявки в инструкции освобождает администраторов ИС от анализа требований заявки, созданной в бизнес-терминах и сокращает время обработки заявок.
Управление и контроль настроек СЗИ и МСЭ позволяет согласованно управлять всеми видами доступа к информационным ресурсам. Дополнительно поддерживается контроль программно-аппаратных конфигураций серверов и рабочих станций.
Автоматизированный контроль исполнения заявок и инструкций минимизирует риски, связанные с возможными ошибками предоставления доступа и позволяет снизить нагрузку на сотрудников служб автоматизации и ИБ.
Ведение полной, детализированной истории изменения прав доступа обеспечивает доказательную базу в случае анализа инцидентов ИБ.
Контроль соответствия санкционированных и фактически внесенных в ИС изменений, выявление действий в обход заявочной системы обеспечивает исполнение установленной политики ИБ.
Основные задачи, решаемые продуктом:
Автоматизация и координация между основными бизнес процессами и управлением правами и полномочиями.
Формализация политики информационной безопасности предприятия, категорирование субъектов и объектов доступа, четкое определение зон ответственности.
Обеспечение разграничения прав и обязанностей администраторов информационных систем и администраторов информационной безопасности, участвующих в процессе управления доступом.
Унификация и оптимизация процесса согласования и управления правами и полномочиями пользователей корпоративной информационной системы.
Обеспечение связи между процессами управления логическим и сетевым доступом и соответствия между текущими правами и полномочиями пользователей и настройками средств пассивной и активной безопасности.
Автоматическое ведение полной истории изменений прав доступа и решение проблемы однозначного расследования инцидентов информационной безопасности.
Предоставление требуемой информации в формате, адаптированном для сотрудников различных уровней ответственности и направлений деятельности.
Контроль несанкционированных изменений прав и полномочий пользователей и борьба с внутренним нарушителем.
Решение этих задач обеспечивается за счет использующейся в системе КУБ новой революционной технологии управления изменениями в ИС с помощью специализированного документооборота заявок.
Быстрый результат за счет продуманной архитектуры 1IDM и используемых технологий.
Независимость от поставщика, возможность вносить изменения.
Бесплетные коннекторы включены в лицензию, список непрерывно пополняется.
Простое обновление добавляет новые функции и занимает 5-10 минут.
Подлинное импортозамещение за счет использования технологий «1С:Предприятие».
Доступность специалистов 1С в любом регионе, 2 месяца на подготовку.
Удобный учет прав
Каталог прав, организационно-штатная структура, справочники пользователей и ресурсов объединены единой моделью данных.
Оргструктура. Управление организовано в разрезе должностных назначений. Поддерживается одновременная работа с несколькими кадровыми источниками и назначениями. Оргструктура является основой процессов согласования запросов различных типов.
Учетные записи. Обеспечивается работа с различными типами учетных записей: персональные, сервисные и привилегированные. Правильно настроенные механизмы учета позволяют полностью устранить бесхозные учетные записи.
Каталог прав. Единый каталог прав содержит роли, привилегии и приложения. Вокруг него выстраиваются все процессы запроса прав доступа. Каталог един, но есть удобная настройка его доступности для различных групп пользователей.
Карточка сотрудника. Карточка сотрудника автоматически формируется для каждого внутреннего и внешнего пользователя, а также предоставляет исчерпывающую информацию обо всех правах пользователя и его назначениях.
Файловые ресурсы. Специально разработанный сканер ресурсов обеспечивает возможность пользователям запрашивать доступ к файловым ресурсам на языке имен «папок», а не групп безопасности MS Active Directory.
Внешние пользователи. Встроенная кадровая система обеспечивает необходимый и достаточный набор функций для кадрового учета внешних пользователей. Учет прав внешних пользователей теперь прост.
Оперативное управление
Управление правами организовано на основе регламентных заданий, которые формируют очередь взаимосвязанных операций.
Предоставление прав. Предоставление прав может быть организовано путем запросов, на основе динамической выборки групп пользователей или на основе ролевой модели.
Обработка кадровых событий. Реагирование на изменение рабочего статуса пользователя: выдача набора прав при приеме на работу или блокировка с отзывом прав при увольнении.
Автоматические операции. Востребованным режимом работы 1IDM является автоматическое управление правами. Это позволяет значительно снизить нагрузку на администраторов приложений.
Контроль администратором. На этапе опытной эксплуатации или в отношении критичных приложений изменение прав может происходить только после контроля администратора целевой системы.
Оперативные уведомления. Уведомления могут быть настроены практически на любое событие системы, при этом могут быть использованы различные каналы для отправки уведомлений.
Карта операции. Карта операции позволяет наглядно отобразить алгоритм работы системы в конкретном случае, что незаменимо при диагностике неисправностей и обучении операторов.
Эффективный аудит
Выявление несоответствий вкупе с механизмом периодических пересмотров прав является гарантией соблюдения установленных правил предоставления доступа в компании.
Встроенные отчеты. «Права пользователей», «История изменения прав», «Список сотрудников» и другие.
Матрица доступа. Основной инструмент работы офицера и администратора безопасности в любой компании.
Несовместимые права. Настройте группы несовместимых прав, и 1IDM выявит их у всех пользователей или внутри настроенной выборки.
Пересмотр прав. Запускается регламентным заданием по расписанию, по кадровом событию при изменении должности или вручную.
Устранение несоответствий. Выявленное несоответствие может быть устранено автоматически или после согласования по специальному маршруту.
Журнал событий. Фиксация всех событий изменения прав позволяет получить полную картину по имеющимся привилегиям пользователя на любую дату.
Простое администрирование
Инструменты для диагностики, конфигурирования и сопровождения системы доступны в пользовательском интерфейсе.
Настройки коннекторов. Каждая управляемая или кадровая система имеет свою форму для настройки коннектора — никаких конфигурационных файлов.
Журнал операций. Каждое взаимодействие с управляемыми системами посредством коннекторов фиксируется — легко разобраться что происходит.
Конструктор отчетов. Встроенные отчеты легко настраиваются из интерфейса. Отчеты бывают глобальными и персональными.
Управление уведомлениями. Журнал уведомлений фиксирует отправку уведомлений по всем каналам. Любое уведомление можно отправить повторно.
Маршруты согласования. Маршруты формируются гибко и могут зависеть от запрошенного права, от подразделения, от географии и т.д. Согласующим может быть конкретный человек, роль или должность.
Правила и политики. Правила формирования учетных записей, алгоритмы транслитерации, расписание регламентных заданий доступны для настройки Администратору из интерфейса.
Управление учетными записями пользователей информационных систем — это рутинная каждодневная работа ИТ-администраторов, которые вынуждены тратить много времени на такие операции, как их создание, изменение свойств, блокировку и разблокировку. При этом от корректного управления напрямую зависит защищенность информационных систем и обрабатываемой в них информации. В частности, так называемые «мертвые души», являющиеся серьезным риском несанкционированного доступа к системам — это результат отсутствия своевременной блокировки учетной записи при увольнении сотрудника. Поэтому автоматизация и контроль данных процессов — одна из важнейших задач управления доступом к информационным ресурсам.
Создание, блокировка, разблокировка и удаление учетных записей на основании кадровых событий и заявок
Быстрая синхронизация изменений свойств из источников данных в учетные записи пользователей
Гибкая настройка автоматической обработки разных кадровых событий для разных групп работников
Кадровые политики
Процессы предоставления, изменения и отзыва доступа могут отличаться в зависимости от уровня организационной иерархии, времени работы в организации, географического местоположения филиала или подразделения и т.д. Для того, чтобы обеспечить особенности данных процессов в организации, Avanpost IDM позволяет настраивать кадровые политики в зависимости от различных условий и признаков, которые могут быть определены на основании персональной информации пользователя. Например, при увольнении рядового сотрудника, его учетная запись блокируется автоматически с отзывом всех полномочий в день увольнения. Но при увольнении топ-менеджера отзыв прав доступа происходит через согласование руководителя организации с целью возможности продления соответствующих полномочий на некоторое время после увольнения для передачи дел другому сотруднику.
Множество источников, объединение данных
Одной из ключевых возможностей Avanpost IDM является одновременное взаимодействие с несколькими доверенными источниками информации по пользователям и управление ей на основании настраиваемых правил и политик. При этом источники информации могут быть как независимыми с точки зрения данных пользователя, так и пересекающимися, т.е. с дублируемой информацией. В этом случае в службе синхронизации с кадровыми источниками Avanpost IDM настраивается их приоритезация на уровне данных (какие типы данных и в каком источнике являются более достоверными для их загрузки и обновления в Avanpost IDM).
Управление доступом
Управление доступом к информационным ресурсам современной организации является сложным многообразием различных процессов, таких как управление ролевой моделью, предоставление доступа при приеме на работу и отзыв при увольнении, согласование заявок на доступ и их исполнение, аудит прав доступа и расследование инцидентов. От эффективности данных процессов зависит не только защищенность корпоративной информации, но и производительность работы сотрудников, а в ряде случае и контрагентов. Чтобы обеспечить компромисс между безопасностью и эффективностью бизнес-процессов необходимо организовать единый центр управления данными процессами с максимальным сокращением числа ручных операций и минимизации человеческого фактора при принятии решений.
Ролевая модель позволяет определить учетные записи и права доступа, предоставляемые по умолчанию или по запросу для разных групп пользователей, определяемых на основании организационно- штатной структуры
При изменении признаков пользователей (изменение подразделения, должности) доступы пользователя могут изменяться как автоматически, так и с подтверждением через заявку
Правила разграничения полномочий (SOD) позволяют контролировать совмещение критичных функций пользователем
Управление интегрированными системами
Role Manager
Avanpost Role Manager – уникальный инструмент входящий в состав Avanpost IDM, предназначенный для автоматизации создания ролевой модели на предприятии любого масштаба. Если ранее «ручное» создание ролевой модели занимало несколько месяцев, то автоматизированный механизм аналитического построения ролей делает это за несколько часов.
Avanpost Role Manager сравнивает существующие наборы прав пользователей по принципу похожести и нахождения сотрудников на одинаковых должностях, даже если они будут отличаться в названии. По результатам сравнения он предлагает предварительную ролевую модель с возможностью ручного редактирования до необходимого результата. Полученный финальный вариант можно автоматически загрузить в Avanpost IDM и запустить систему в промышленную эксплуатацию.
История ролей
Avanpost IDM хранит максимальное количество исторических данных по изменению доступа к информационным ресурсам. Такая информация имеет огромное значения для проведения ретроспективного анализа при расследовании возможных инцидентов информационной безопасности. В Avanpost IDM хранится вся информации по изменению перечня ролей в контексте конкретного пользователя, включая их назначение и отзыв с указанием даты, времени и источника соответствующей задачи (ручное изменение, кадровое событие или заявка). Данная информация доступна для просмотра как через консоль администратора, так и в виде настраиваемых отчетов.
Централизованный аудит и контроль соответствия
Чтобы обеспечить эффективную работу процессов по управлению доступом, недостаточно просто автоматизировать операции по согласованию и предоставлению прав. Администраторы корпоративных систем всегда будут обладать достаточными полномочиями, позволяющими внести изменения в матрицу доступа в обход автоматизированных процессов. Поэтому для минимизации таких рисков обязательно должны присутствовать процессы аудита и контроля соответствия. При этом данные процессы также должны быть автоматизированы, потому что ручное сравнение реальных полномочий пользователей с разрешенными потребует огромных трудозатрат и не сможет обеспечить актуальность полученных результатов.
Все изменения прав доступа хранятся в одном месте, что позволяет получить информацию как о текущем доступе пользователя, так и произвести ретроспективный анализ.
Постоянная сверка прав и атрибутов учетных записей позволяет выявить несанкционированные изменения, сделанные в обход IDM
При выявлении несоответствий доступна возможность автоматического исправления, отправки прямого уведомления администраторам или отправки события в SIEM
Работа с отчетами
Avanpost IDM имеет в своем составе графический конструктор для построения отчетных форм и генерации соответствующих отчетов. При этом хранение в Avanpost IDM полной информации как по текущим правам доступа, так и в ретроспективе, позволяет получить в виде отчетов все данные, касающиеся пользовательского доступа, в различных срезах. Для максимального удобства бизнес-пользователей модуль отчетности имеет web-интерфейс и позволяет создавать отчеты в различных форматах, в том числе rtf, pdf и xls, а также настраивать расписание их генерации и отправлять полученные результаты на email.
Устранение конфликтов и журнал аудита
В архитектуре Avanpost IDM предусмотрен модуль аудита, который в онлайн-режиме осуществляет сверку существующих учетных записей и прав доступа в целевых системах с теми данными, которые присутствуют в его базе данных. Если в результате сверки обнаружены расхождения, это показатель несанкционированного изменения перечня учетных записей или их полномочий и свойств в целевых систем в обход IDM. По результатам обнаружения таких расхождений генерируются соответствующие события безопасности, которые отображаются в журнале аудита в консоли администратора, при этом администратору безопасности отправляется уведомление на email. Интерфейс журнала аудита позволяет не только просмотреть обнаруженные несоответствия, а также исправить их непосредственно из данной консоли.
Сервис самообслуживания пользователей
Работа пользователей с заявками на доступ, включая операции по их созданию, согласованию и исполнению, является регулярной и чаще всего касается среднего менеджмента. Ведь создание и согласование заявок, как правило, осуществляют руководители подразделений, являющиеся либо непосредственными начальниками получателей доступа, либо бизнес-владельцами систем и ролей. Поэтому обеспечение удобства их работы и максимальная оптимизация этих рутинных операций является важнейшей задачей в контексте пользовательских процессов по управлению доступом. Для реализации такого юзабилити-подхода бизнес-пользователям доступен сервис самообслуживания, реализованный в виде web-приложения, в котором они могут просмотреть всю информацию по личному доступу, инициировать запрос на новые полномочия, а также участвовать в процессах доступных им согласований.
Пользователи могут создавать заявки на получение дополнительных доступов, изменение статусов учетных записей, корректировку атрибутов своей карточки.
Руководители имеют возможность просмотра доступа и создания заявок на своих подчиненных
Функционал изменения паролей позволяет пользователям управлять своими паролями через единый интерфейс во всех интегрированных системах
Развитый движок workflow позволяет настраивать самые сложные процессы согласования, реализовывать сквозные бизнес процессы со смежными системами
Управление паролями
На ряду с управлением учетными записями и полномочиями управление паролями является основным процессом, необходимым для противодействия несанкционированного доступа к корпоративным ресурсам. Парольные политики должны быть достаточными для того, чтобы минимизировать соответствующий риск. Но в то же время они не должны доставлять больших неудобств пользователю, т.е. фактически должен быть достигнут некий компромисс между удобством и безопасностью. В Avanpost IDM cоздание учетной записи пользователя сопровождается автоматической генерацией пароля согласно заданной политике, при этом пароль безопасно доставляется пользователю, например, с помощью корпоративной почты на его личный почтовый ящик или SMS.
Интеграция с Active Directory позволяет синхронизировать доменный пароль пользователя во все системы.
Пользователь может задать общий пароль для всех систем одновременно, или управлять паролями для каждой учетной записи отдельно
Парольные политики позволяют определить сложность пароля, количество повторений и интервалы смены вне зависимости от наличия этих функций в управляемой системе
Пароль, сгенерированный при создании учетной записи может быть доставлен пользователю
Использование «Сканер-ВС» позволяет обеспечить непрерывный мониторинг защищенности информационных систем, а также повысить эффективность деятельности IT-подразделений и служб безопасности. «Сканер-ВС» позволяет проводить как специализированные тесты, так и комплексное тестирование защищенности информационных систем, сочетающие сетевые и системные проверки.
«Сканер-ВС» не требует установки и поставляется в виде загрузочного носителя (LiveUSB/LiveCD), который содержит набор предустановленного специализированного и системного программного обеспечения.
Использование системы позволяет выполнить требования многочисленных нормативных документов, определяющих необходимость проведения контроля эффективности средств защиты информации (Постановление Правительства РФ 2007 г. №1119, приказ ФСТЭК России №17 от 11 февраля 2013 года, приказ ФСТЭК России №21 от 18 февраля 2013 года, приказ ФСТЭК России №31 от 14 марта 2014 года, Руководящий документ Гостехкомиссии «Концепция защиты СВТ и АС от НСД к информации»).
«Сканер-ВС» включает в себя набор модулей, позволяющих выполнять следующие задачи:
Определение топологии и инвентаризация ресурсов сети — с помощью «Сканер-ВС» можно производить инвентаризацию ресурсов сети, контролировать появление сетевых сервисов;
Поиск уязвимостей — «Сканер-ВС» позволяет сканировать узлы вычислительной сети на предмет наличия известных уязвимостей, сканирование с применением SSH/SMB полномочий, информативные отчеты в формате PDF. Интегрирован с SIEM-системой «КОМРАД»;
Локальный аудит стойкости паролей — сканер уязвимостей «Сканер-ВС» содержит мощные средства локального аудита стойкости паролей для операционных систем семейства Windows (NT, 2000, 2003, 2008, XP, Vista, 7, 8, 10) и Linux (МСВС, Linux XP, Astra Linux и др.);
Сетевой аудит стойкости паролей — «Сканер-ВС» поддерживает возможность подбора паролей по более чем 20-ти сетевым протоколам (HTTP, SMTP, POP, FTP, SSH и др.). Гибкая настройка параметров обеспечивает быстрое и качественное проведение аудита. Встроенные типовые словари для подбора, проверка паролей и пользователей по умолчанию, проверка ранее найденных паролей;
Поиск остаточной информации — в «Сканер-ВС» включено средство поиска остаточной информации по ключевым словам на носителях данных (жестких дисках, USB-устройствах, дискетах, оптических дисках) вне зависимости от используемой файловой системы;
Гарантированная очистка информации — модуль гарантированной очистки информации на носителях данных производит многократное затирание файлов по стандартам ГОСТ, BSI, FIPS, DoD, что предотвращает восстановление информации. Также доступна функция безопасного затирания свободного места на носителях данных, предусмотрена защита от удаления системных файлов, совместимо с модулем поиска остаточной информации;
Контроль целостности — «Сканер-ВС» позволяет рассчитывать контрольные суммы заданных папок и файлов по 13 алгоритмам, включая алгоритмы высокой стойкости к атакам ГОСТ Р 34.11-94, ГОСТ Р 34.11-2012;
Перехват и анализ сетевого трафика — «Сканер-ВС» предоставляет широкие возможности для перехвата и анализа трафика, фильтрации содержимого передаваемых данных, а также реализации атак типа MITM (Man In The Middle, «Человек посередине»), а именно: ARP poisoning, ICMP redirect, Port stealing, DHCP spoofing. Поддерживается перехват парольной информации для TELNET, FTP, POP, RLOGIN, SSH1, ICQ, SMB, MySQL, HTTP, HTTPS и др.;
Программный и аппаратный аудит конфигурации — с помощью «Сканер-ВС» можно провести инвентаризацию программных и аппаратных средств локальной системы: определение параметров установленных операционных систем, программное обеспечение, информация о пользователях системы, история подключений к беспроводным сетям, идентификация системных, коммуникационных и периферийных устройств (центральный процессор, материнская плата, мост, оперативная память и др.), в том числе носителей информации и USB-устройств. Есть функция сравнения отчетов, чтобы отслеживать изменения конфигурации локальной системы;
Подбор эксплойтов — на основе собранной информации об узле «Сканер-ВС» позволяет подобрать целевые эксплойты;
Аудит беспроводных сетей — модуль аудита беспроводных (Wi-Fi) сетей позволяет обнаруживать, сканировать и проводить активные и пассивные атаки на подбор паролей в беспроводных сетях с WEP, WPA, WPA-2 шифрованием;
Аудит обновлений ОС Windows — модуль предназначен для определения неустановленных обновлений для ОС Windows XP, Vista, 7, 8, 10, 2008 Server, 2012 Server, 2012-R Server, 2016 Server;
Проведение тестирования на проникновение — «Сканер-ВС» позволяет проводить тестирование на проникновение и осуществлять полную имитацию реальных атак;
Аудит конфигурации ОС «Astra Linux Special Edition» — удаленный аудит настроек комплекса средств защиты ОС специального назначения Astra Linux SE по требованиям безопасности информации.
InfoWatch Automated System Advanced Protector предотвращает
угрозы безопасности информации в автоматизированной системе на базе автономного автоматизированного рабочего места (АРМ);
угрозы несанкционированного доступа в автоматизированной системе на базе локальной вычислительной сети;
угрозы использования недокументированных возможностей программного обеспечения АСУ;
угрозы безопасности информации в автоматизированной системе, подключенной к распределенной вычислительной сети;
угрозы утечки информации по техническим каналам;
угрозы сетевых атак;
угрозы программно-математических воздействий.
Применение
В отличие от большинства аналогов InfoWatch Automated System Advanced Protector обеспечивает защиту на всех уровнях обработки информации в АСУ ТП:
Применение InfoWatch Automated System Advanced Protector
InfoWatch Automated System Advanced Protector может применяться в АСУ производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды.
Реализует глубокую инспекцию пакетов (DPI) c поддержкой основных промышленных протоколов
(Modbus, Profibus, Profinet, IEC 60870-5-101, IEC 60870-5-104 и другие), что позволяет:
Обеспечить межсетевое экранирование на канальном, сетевом, транспортном и прикладном уровне
Выявлять:
целенаправленные атаки на уровне автоматического управления (ПЛК) и ввода /вывода данных (исполнительных устройств)
вторжения (сигнатурный и статистический анализ), аномалии в поведении технологической информационной системы
команды для изменения уставок и микропрограмм технологического оборудования
несанкционированные сетевые подключения
утечку информации о состоянии технологического процесса
уязвимости в технологических информационных системах
Проводить инвентаризацию устройств технологической сети, построить схему размещения средств защиты, наложенную на схему технологической сети в автоматизированном режиме
Комплекс не конфликтует со средствами антивирусной защиты, имеется возможность передачи данных в SOC или SIEM. Кроме того, комплекс позволяет проводить оценку защищенности АСУТП как в активном, так и в фоновом режиме (через SPAN-порт).
Пак InfoWatch ASAP состоит из шести базовых модулей — четырех основных и двух вспомогательных
Основные модули:
Межсетевого экранирования
Мониторинга и анализа защищенности
Обнаружения (и предотвращения) вторжений
Контроля корректности выполнения
технологического процесса
Вспомогательные модули:
Модуль обеспечения собственной
информационной безопасности
Подсистема аналитики и хранения данных,
графический интерфейс пользователя
Модули функционируют в рамках единой интеграционной платформы и предоставляют возможность реализовать ряд мер, предусмотренных приказом ФСТЭК от 14.03.2014 № 31.
Пак InfoWatch ASAP может функционировать в двух основных режимах:
Мониторинга и информирования. Устанавливается в SPAN-порт, либо в стандартный Ethernet-порт коммуникационного оборудования, в зависимости от решаемых задач
Предотвращения вредоносного воздействия. Решение устанавливается в разрыв коммуникационных каналов связи
В качестве аппаратной платформы ПАК InfoWatch ASAP используются средства вычислительной техники в промышленном исполнении, соответствующие по своим характеристикам требованиям промышленной и функциональной безопасности.
Обновление безопасности — исправление уязвимости, связанной с безопасностью конкретного продукта. Уязвимости оцениваются в зависимости от их тяжести, которая указана в бюллетене по безопасности Microsoft — бывают критические, важные, умеренные или низкие.
Пакет обновления — проверенный накопительный набор исправлений, обновлений безопасности, критических обновлений и обновлений, упакованных вместе для упрощения развертывания. Накопительный пакет, как правило, предназначается для конкретной подсистемы, такой как подсистема безопасности, или компонента продукта (напр. Internet Information Services (IIS)).
Service Pack — проверенный накопительный набор всех исправлений, обновлений безопасности, критических обновлений и обновлений, а также дополнительных исправлений для обнаруженных проблем с момента выпуска продукта. Такие пакеты могут также содержать ограниченное число запрошенных клиентом изменений или функций.
Результаты сканирования
MBSA создает файл отчета в папке профиля пользователя, вошедшего в систему. Этот файл отчета хранится на компьютере, с которого вы запускали инструмент MBSA. MBSA отображает различные значки в отчете в зависимости от того, была ли найдена уязвимость на проверяемом компьютере. Для административных проверок уязвимости, красный X используется, когда найдена критическая уязвимость (например, пользователь имеет пустой пароль). Желтый X используется, когда найдена некритическая уязвимость (например, учетная запись имеет пароль с истекшим сроком действия). Зеленая галочка используется, когда проверка успешна (то есть, ни одна проблема не была найдена). Синяя звездочка используется для обычных проверок (например, проверки, включен ли аудит), а синий информационный значок MBSA используется для проверок, которые просто предоставляют информацию о компьютере (например, версия ОС). Для проверок обновлений безопасности, используется красный восклицательный знак, когда MBSA подтверждает, что обновление для системы безопасности отсутствует или не удалось выполнить проверку безопасности. Желтый X используется для предупреждающих сообщений (например, компьютер не имеет последний пакет обновления или Service Pack), а голубая звезда используется для информационных сообщений, указывающих, что обновление не доступно на компьютере, так как он не был авторизован на сервере Update Services.
Создание сценария
Возможности сводных образцов сценариев
Способность открыть основной отчет для компьютера изнутри сводного представления
Сведение всех результатов обновлений безопасности без прямого указания каждого бюллетеня в командной строке
Сводное представление, включающее в себя ошибки, предупреждения и требуемые подробности перезагрузок
Сводки результатов для обновлений, не одобренных пока на сервере WSUS server
Выполнение до 64 проверок одновременно ради увеличения пропускной способности
Благодаря постоянно обновляемой библиотеке, включающей более 59000 подключаемых модулей и поддержке специалистов Tenable по исследованию уязвимостей, Nessus можно назвать воплощением точности среди других аналогичных продуктов на рынке. Решения Nessus масштабируются для использования в крупных компаниях, при этом они отличаются простотой развертывания в офисах компании или в облачном хостинге Amazon Web Services.
Независимо от того, выполняется ли сканирование знакомой сети или аудит незнакомой сети, и независимо от того, известны ли учетные данные, Nessus выполнит для вас все необходимые задачи. Nessus определит узлы, и составит список уязвимостей и ошибок конфигурации сети.
Проверки Nessus:
Аудит поставщиков антивирусных систем
Рекомендации CERT
Руководства и рекомендации CIS и NSA
DISA STIG
Руководства GLBA
Профили HIPAA
NIST SCAP и содержимое FDCC
Требования к конфигурации PCI
Рекомендованные поставщиком настройки
Контрольные точки конфигураций брандмауэров
Конфигурации маршрутизаторов и брандмауэров Cisco
Конфигурации маршрутизаторов, брандмауэров и сетевых коммутаторов Juniper
Конфигурации маршрутизаторов Palo Alto Networks
Преимущества, из-за которых стоит купить Nessus
Простота адаптации к потребностям вашей компании.
Гибкость при внедрении, сканировании и формировании отчетности.
Адресные уведомления о результатах сканирования по электронной почте с рекомендациями по устранению проблем.
Умение бороться с различными модификациями уязвимостей.
Комплексная оперативная оценка уровня безопасности.
Учет несоответствия статуса исправлений между Nessus и системами управления исправлениями, а также между различными диспетчерами исправлений.
Формирование сводного списка исправлений, необходимых для устранения текущих проблем.
Снижение подверженности кибератакам, числа уязвимостей, а также риска невыполнения требований и непрохождения проверок.
Автоматический анализ результатов сканирования. Данные анализа автоматически прикрепляются к отчетам о сканировании.
Низкая совокупная стоимость владения (ТСО).
Возможность сканирования неограниченного числа IР-адресов с любой необходимой частотой.
Подписка на услуги Nessus включает обновления программного обеспечения, доступ к файлам с результатами проверок, а также техническую поддержку.
Повышение эффективности работы благодаря удобству повсеместного доступа в любой момент времени через браузер.
Внедрение программы
Программный сканер с лицензированием по числу установок. Каждый активный сканер требует наличия подписки на обновления, которая включает неограниченное число сканирований внутренних и внешних IP-адресов, доступ ко всем плагинам и политикам проверки, бесплатные обновления программного обеспечения и плагинов, а также техническую поддержку.
Более 3000 российских и зарубежных компаний успешно применяют XSpider для анализа и контроля защищенности своих систем, а также для предоставления услуг в области информационной безопасности. XSpider сертифицирован ФСТЭК и Минобороны РФ, его применение позволяет обеспечить соответствие государственным и международным стандартам безопасности. Наиболее популярные области применения XSpider:
Промышленность
Вследствие активного подключения промышленных систем управления к Интернету большинство атак на эти системы основаны на таких уязвимостях, как слабые пароли и незащищенные протоколы связи. Антивирусы не спасают от подобных атак, поскольку для таких вторжений не требуются вирусы. Сканнер позволяет выявить эти уязвимости задолго до атаки.
Банки и финансовые организации
Большое количество критически важных приложений (ДБО, банковские системы, CRM, приложения для трейдинга) должны соответствовать стандартам безопасности данных индустрии платежных карт PCI DSS и регламентирующих органов. Однако зачастую в подобных приложениях существуют уязвимости высокой степени риска, связанные с ошибками в коде и недостатками конфигурации. Это напрямую предписывает необходимость регулярного сканирования сетей организации на уязвимости.
Медицина, образование, государственные учреждения
В приказе ФСТЭК России от 11.02.2013 № 17 прописана необходимость использования сертифицированных ФСТЭК средств анализа защищенности в государственных информационных системах. А приказ от 18.02.2013 № 21 обязывает использовать сертифицированные средства анализа защищенности при работе с персональными данными.
Телеком-операторы
Имеют множество различных приложений, включая порталы самообслуживания, VAS/MSS-порталы для клиентов, мобильные и облачные приложения. Они также должны использовать сертифицированные ФСТЭК России средства анализа защищенности при работе с персональными данными, согласно приказу ФСТЭК от 18. 02.2013 № 21.
Дополнительные плюсы для специалистов
Наглядный и удобный многооконный графический интерфейс.
Использование концепций «задач» и «профилей» для эффективного управления процессом мониторинга безопасности.
Гибкий планировщик заданий для автоматизации работы.
Одновременное сканирование большого числа компьютеров.
Работа при нестандартных конфигурациях ПО и низком качестве TCP-связи.
Ведение полной истории проверок и генерация отчетов с различными уровнями их детализации.
Встроенная документация, включающая контекстную справку и учебник.
Работа под управлением Windows XP/Server 2003/Vista/2008/2008 R2/7.
Низкие аппаратные требования.
Удобная схема лицензирования, возможность самостоятельного добавления пользователями хостов в лицензию.
Система MaxPatrol 8 основана на базе профессионального сканера уязвимостей XSpider. Существующие в XSpider механизмы контроля были значительно дополнены за счет добавления модулей анализа безопасности баз данных и системных проверок. Сочетание в одном продукте функций сетевых и системных сканеров, а также средств оценки защищенности СУБД и Web-приложений, позволяют получать максимально достоверную картину защищенности сети.
Основой MaxPatrol 8 является высокопроизводительный сетевой сканер, который позволяет быстро и эффективно обнаруживать сетевые узлы, открытые порты, идентифицировать операционную систему и серверные приложения. Распределенная архитектура позволяет размещать сканирующий модуль в непосредственной близости от объекта сканирования, что дает возможность снижать нагрузку на магистральные каналы связи.
Эвристические механизмы анализа позволяют выявлять уязвимости в сетевых службах и приложениях, работая с минимальным уровнем привилегий (режим тестирования на проникновение – penetration testing), позволяя получить оценку защищенности сети со стороны злоумышленника. Разработанные экспертами интеллектуальные алгоритмы и механизмы поиска уязвимостей, эффективность которых доказана независимыми исследованиями, максимально приближенны к тем, которые используются реальными нарушителями, что позволяет не только идентифицировать ошибки в эксплуатации систем, но и обнаруживать новые, ещё неизвестные уязвимости реализации сетевых приложений.
При наличии доступа к механизмам удаленного управления узлом модуль сканирования может использовать их для глубокой проверки безопасности операционной системы и приложений. Данный метод позволяет с минимальным использованием ресурсов получить комплексную оценку защищенности, а также провести анализ параметров, недоступных в режиме теста на проникновение.
База знаний включает в себя системные проверки для большинства распространенных операционных систем линеек Windows, Linux и Unix, а также специализированного оборудования, такого как маршрутизаторы и коммутаторы Cisco IOS, межсетевые экраны Cisco PIX и Cisco ASA.
В отличие от классических системных сканеров, MaxPatrol 8 не требует развертывания программных модулей на узлах, что упрощает эксплуатацию и снижает совокупную стоимость владения. Все проверки проводятся удаленно с использованием встроенных механизмов удаленного администрирования. При поддержке узлом нескольких протоколов (например, Telnet и SSH) MaxPatrol 8 выбирает наиболее безопасный из них, что обеспечивает защиту чувствительных данных при передаче по сети.
Оценка защищенности
Проактивная защита корпоративных ресурсов с помощью автоматического мониторинга информационной безопасности.
Автоматизация процессов контроля соответствия отраслевым и международным стандартам.
Оценка эффективности подразделений ИТ и ИБ с помощью расширяемого набора метрик безопасности и KPI.
Снижение затрат на аудит и контроль защищенности, подготовку ИТ и ИБ проектов.
Автоматизация процессов инвентаризации ресурсов, управления уязвимостями, контроля соответствия политикам безопасности и контроля изменений.
Комплексный анализ сложных систем, включая сетевое оборудование Cisco, платформ Windows, Linux, Unix, СУБД Microsoft SQL, Oracle, сетевые приложения и Web-службы собственной разработки.
Встроенная поддержка основных стандартов, таких как ГОСТ ИСО/МЭК 17799, ГОСТ ИСО/МЭК 27001, SOX, PCI DSS, NIST, CIS.
Максимальная автоматизация процессов снижает трудозатраты и позволяет оперативно контролировать состояние защищенности систем.
Поддержка базы знаний командой профессиональных консультантов, признанных экспертов отрасли.
Сценарии внедрения
Система MaxPatrol спроектирована таким образом, чтобы приносить максимальную отдачу в различных ситуациях. Ниже приведено несколько возможных сценариев внедрения системы комплексного мониторинга информационной безопасности.
Повышение уровня зрелости
На определенном этапе существующий уровень системы менеджмента информационной безопасности перестает удовлетворять требованиям бизнеса. Информационная система может развиваться эволюционно, или по заранее обозначенному плану. Вне зависимости от этого, для качественного перехода на новый уровень зрелости требуется серьезная подготовка. Примером подобного перехода может стать внедрение международных и отраслевых стандартов.
Большинство ИТ и ИБ стандартов содержит в своей основе набор проблемных областей или защитных механизмов, влияющих как на бизнес-процессы, так и на технические аспекты инфраструктуры, на основе которых планируются вносимые изменения.
Перефразируя классический цикл Деминга-Шухарта можно выделить следующие этапы реализации задачи:
Определение требований к новой информационной инфраструктуре.
Оценка соответствия существующего положения дел выработанным требованиям.
Выработка мер по улучшению уровню соответствия.
Устранение несоответствий.
Система MaxPatrol 8 может эффективно применяться на каждом из этих этапов. Обширная база знаний стандартов и уязвимостей может использоваться для формирования требований к различным информационным системам и приложениям. В ходе внедрения Заказчик может определить собственные требования к информационным системам и процессам мониторинга информационной безопасности, или использовать наработки из базы знаний системы.
Механизм создания собственных списков соответствия позволяет разбить процесс повышения уровня зрелости на этапы, что дает возможность сконцентрироваться на ключевых задачах. Подробные описания проблем и рекомендации по устранению позволяют эффективно бороться с обнаруженными несоответствиями. Исторические аналитические отчеты и функции расчета численных метрик (KPI) играют незаменимую роль в ходе оценки динамики эффективности текущего состояния системы менеджмента информационной безопасности.
Таким образом, применение MaxPatrol 8 в этом случае позволяет:
сформулировать требования к информационной инфраструктуре;
регламентировать и автоматизировать процессы аудита систем;
в кратчайшее время внедрить принятые технические стандарты;
использовать объективные численные метрики (KPI) для оценки прогресса проекта.
Слияния и поглощения
Слияния и поглощения часто приводят к серьезному падению уровня информационной безопасности. Объединение информационных систем различного уровня, использующих разные подходы и инфраструктурные решения, никогда не проходит безболезненно. Зачастую перед ИТ- и ИБ- подразделениями ставится задача максимально быстро и эффективно «подтянуть» присоединяемую систему до принятого в Компании уровня. Существует множество подходов к решению этой задачи – от полной перестройки инфраструктуры до интеграции существующих решений без существенных изменений. Но в любом случае, задачи определения наиболее проблемных мест, оценка текущей готовности и отслеживание развития проекта являются важнейшими моментами процесса слияния ИТ- инфраструктур различных компаний.
Механизмы тестирования на проникновения и аудита системы MaxPatrol 8 позволяют оперативно оценить текущее состояние ИТ и ИБ присоединяемой компании, идентифицировать наиболее уязвимые узлы и системы. Автоматизация изменений может применяться для сбора и поддержания в актуальном состоянии информации о ресурсах системы, что является необходимым условием любого проекта. Функции контроля соответствия дают наглядное представление о различиях между требованиями, предъявляемыми к конфигурации и защите систем и сложившейся текущей ситуацией. Механизмы контроля и анализа изменений используются для оценки прогресса проекта.
Таким образом, применение MaxPatrol 8 в случае слияний и поглощений позволяет:
поддерживать в актуальном состоянии информацию по активам системы;
оперативно проводить технические аудиты ИТ и ИБ;
получать оперативную техническую и управленческую информацию;
в кратчайшее время внедрить принятые технические стандарты;
использовать объективные численные метрики (KPI) для оценки прогресса проекта.
Эволюционное развитие и повышение эффективности
В настоящие время многие компании достигли высокого уровня развития систем менеджмента ИТ и ИБ. Доказательством этого факта является увеличение количества компаний, получивших признание в рамках тех или иных отраслевых стандартов.
Одной из важнейших задач, стоящих перед любой системой менеджмента, в том числе и системой менеджмента ИТ и ИБ, является постоянное самосовершенствование и повышение эффективности процессов. Однако, контроль и развитие невозможно без наличия актуальных и оперативных данных о текущем положении дел.
Система MaxPatrol 8 позволяет автоматизировать многие периодические задачи по инвентаризации, техническому аудиту, контролю соответствия и изменений в информационных системах. Автоматизация процессов позволяет снизить затраты на выполнение данных задач. Более того, использование технических средств дает возможность проводить проверки гораздо чаще, что положительно сказывается на актуальности используемой менеджментом информации. Фактически, время и трудозатраты, затрачиваемые на проверки ручным и автоматизированным методом, могут отличаться в десятки и сотни раз.
Получение точных и беспристрастных данных об уязвимостях и расхождениях с требованиями стандартов дает возможность использовать результаты MaxPatrol 8 в формировании метрик эффективности процессов ИБ.
Таким образом, применение MaxPatrol 8 в этом случае позволяет:
регламентировать и автоматизировать процессы аудита систем;
снизить трудозатраты и повысить эффективность процессов мониторинга и контроля изменений;
отказаться от субъективных экспертных оценок в пользу однозначных воспроизводимых результатов;
использовать объективные численные метрики (KPI) для оценки и повышения эффективности системы менеджмента ИБ.
Архитектура MaxPatrol: Безопасность
Защита данных
При передаче и хранении используются криптографические методы защиты, обеспечивающие конфиденциальность и целостность важной информации, такой как пароли пользователей, привилегии на доступ и т. д. Предусмотрена возможность использования сертифицированных реализаций отечественных криптографических алгоритмов.
Защита трафика обеспечивается с помощью цифровых сертификатов и протокола SSL/TLS, являющегося индустриальным стандартом, что обеспечивает высокую совместимость и защиту данных. Поддерживается интеграция с существующей инфраструктурой открытых ключей (PKI).
Разграничение доступа
Гибкая система разграничения прав доступа дает возможность производить мониторинг информационной безопасности на различных уровнях иерархии (например, на уровне администраторов, менеджеров по ИТ и ИБ подразделения, Директора по ИБ Компании). Для каждого из пользователей системы можно задать список задач, которые он может выполнять в системе, а также разрешения на операции над конкретными объектами системы. Так, администратору Web-серверов могут быть делегированы права на изменение профиля сканирования, запуск и просмотр результатов задачи по оценке защищенности управляемых им серверов, но запрещено изменять список сканируемых узлов. В тоже время разработчик Web-приложений будет иметь возможность только просматривать отчеты по результатам сканирования.
Разрешения могут назначаться на уровне MaxPatrol 8 Server или MaxPatrol 8 Consolidator. Такой подход позволяет адаптировать систему разграничения доступа практически под любую иерархию управления системой ИБ.
Система обеспечивает надёжную защиту от хакеров, использующих уязвимости протоколов или приложений в целях кражи данных, повреждения сервисов или искажения внешнего вида сайта. Реализуется защита от таких атак, как внедрение SQL кода, межсайтовый скриптинг, взлом сеансов и переполнение буфера. Помимо поддержания безопасности web-сайтов и приложений Barracuda WAF может значительно повысить их масштабируемость и производительность. Программа предлагает все функции, необходимые для доставки, защиты и контроля web-приложений корпоративного класса, позволяя компаниям соответствовать стандартам безопасности данных, таким как PCI DSS.
Ключевые особенности:
БЕЗОПАСНОСТЬ
НТТР/НТТР5/ЕТР проверка протоколов
Основная защита
501 инъекция
Вредоносное ПО
Воровство СоокІе
Проверка форм мета данных
Автоматизация безопасности
Контроль ответов
Блокировка доступа
Разрыв сессии
Переадресация
Ответ пользователю
Защита исходящих данных
Номера кредитных карт
Шаблон поиска совпадений
Расширенные политики НТМL элементов
КОНТЕНТНАЯ ФИЛЬТРАЦИЯ
Антивирусная проверка
Проверка ограничений протоколов
Контроль загрузки файлов
Подмена сессий
Контроль уровней
ОТЧЁТЫ
Системный лог
Ассеss лог
Аудит
Отчёты по стандарту РСIDSS
Передача логов по ЕТР
СКОРОСТЬ РАБОТЫ
Высокая производительность
Разгрузка SSL
Балансировка нагрузки
Аппаратное ускорение SSL
Кеширование
Сжатие
Маршрутизация контента
XML FIREWALL
XML ООБзащита
WSDL схема
Проверки стандартам WS-I
Barracuda WAF осуществляет борьбу со всеми видами атак, которые были категорированы как угрозы:
Межсайтовый скриптинг (XSS)
Внедрения SQL
Внедрения в команды ОС
Прощупывание сайта
Перехват сессии
Отказ в обслуживании приложения (DoS)
Злонамеренное ПО для сбора данных о трафике/программы-обходчики
Взлом cookie-файлов/сессий
Прослеживание пути
Утечки информации
Управление доступом и идентичностью:
Интеграция LDAP и RADIUS. Barracuda WAF полностью интегрируется с привычными сервисами аутентификации, такими как Active Directory, eDirectory или любая другая LDAP-/ RADIUS совместимая служба.
Администраторы могут использовать как портал единого входа встроенные возможности WAF или сторонних технологий без необходимости вносить изменения в исходный код, IP-адрес или инфраструктуру сервера.
Комплекс работает с клиентскими аутентификаторами и аппаратными токенами, например RSASecureID, для предоставления защищенной аутентификации пользователей.
Администраторы могут создавать политики, определяющие, какие пользователи к каким ресурсам могут получать доступ.
Доставка и ускорение приложений:
Комплекс WAF может быть развёрнут в кластерах высокой доступности. HA-кластер обеспечивает репликацию состояния приложения в реальном времени и защищает состояние системы во время сбоев.
Функции снижения нагрузки на SSL позволяют обрабатывать зашифрованный трафик и снимать эту нагрузку с backend-сервера.
Комплекс позволяет распределять трафик между несколькими backend-серверами.
Веб приложения это основная цель кибер атак, потому что они легко доступны и являются простой точной входа к ценным данным. Что-бы противостоять кибер атакам организациям нужно защищать свои веб сайты и приложения от существующих и новых кибер угроз не влияя, при этом, на их производительность или непрерывность работы.
WAF динамически изучает «нормальное» поведение Ваших приложений и связывает его с данным исследования угроз от множества источников по всему миру в режиме реального времени обеспечивая превосходную защиту.
Лидирующее в индустрии решение WAF определяет и нейтрализует угрозы, вплетенные в, на первый взгляд, невинный веб трафик, либо трафик, который проскользает мимо традиционных средств защиты.
Это включает блокирование технических атак, таких как SQL injection, cross-site scripting и remote file inclusion, которые используют, уязвимости, в веб приложениях. Атак на логику бизнеса, таких как site scraping и comment spam. Ботнетов и DDoS атак. Предотвращение кражи учетных записей, прежде чем злонамеренные транзакции с их данными могут быть выполнены.
Как работает Imperva Web Application Firewall
Автоматизированное обучение поведению пользователей и приложений
Для точного обнаружения атак МСЭ веб-приложений должен понимать структуру приложения, его элементы и ожидаемое поведение пользователя. Запатентованная компанией Imperva технология Динамического Профилирования (Dynamic Pro ling) позволяет автоматизировать этот процесс путем создания профилей защищаемых приложений и построения «базового уровня» или «белого списка» допустимого поведения пользователей. Также система автоматически обучается тому, что время от времени приложение изменяется. Динамическое Профилирование позволяет исключить ручное конфигурирование и обновление многочисленных атрибутов приложения: URL, параметров, куки и методов.
Политики безопасности как результат исследований
Используя Центр Защиты Приложений Imperva (Application Defense Center, ADC) – всемирно признанную исследовательскую организацию по безопасности, SecureSphere предлагает наиболее полный набор сигнатур приложений и доступных политик. Imperva ADC изучает уязвимости, анонсируемые Bugtraq, CVE®, Snort® и подпольными форумами, а также проводит собственные исследования в целях выработки наиболее современной и исчерпывающей аналитической информации и методов защиты от атак на приложения.
Гибкие схемы развертывания
Решение SecureSphere может быть развернуто в виде физического устройства, виртуального устройства, в среде Amazon Web Services или как гибрид вышеуказанного. Варианты размещения отличаются чрезвычайной гибкостью, в том смысле что SecureSphere может быть развернуто в прозрачном режиме, практически не требуя внесения изменений в сеть. Кроме того, детализированные настройки политик позволяют с высочайшей точностью и беспрецедентным контролем соответствовать требованиям специфической политики безопасности организации.
Глубокий анализ угроз
Для защиты от хорошо подготовленных современных киберпреступников жизненно необходимо располагать передовой системой оповещения, которая распознает и защищает от постоянно эволюционирующих веб-атак. Система Imperva ThreatRadar2 постоянно снабжает МСЭ веб-приложений Web Application Firewall аналитической информацией об угрозах, полученной в реальном времени от различных источников во всем мире и обработанной в Центре Защиты Приложений. ThreatRadar предоставляет наилучшую защиту, увеличивает точность МСЭ веб-приложений и повышает эффективность работы команды безопасности за счет проактивной фильтрации трафика от известных «плохих» источников, что позволяет специалистам по безопасности сконцентрироваться на том, что действительно является важным.
Виртуальные «заплатки»
SecureSphere может устанавливать виртуальные «заплатки» для ваших веб- приложений путем интеграции со сканером уязвимостей. Вместо того чтобы оставлять веб-приложение открытым для атак на недели и месяцы, ожидая модификации кода после обнаружения уязвимости в нем, виртуальные «заплатки» активно защищают веб-приложения от атак, уменьшая «окно доступности» и снижая затраты на внеплановые циклы обслуживания до момента, когда вы сможете установить штатные «заплатки».
Защита протокола HTTP, платформы и XML
SecureSphere контролирует соответствие протокола HTTP стандарту для предотвращения эксплуатации его уязвимостей и использования технологий обхода защиты. Детальные политики позволяют администраторам следить за строгим соответствием протокола стандартам RFC или допускать минимальные отклонения от них. Используя более 8000 сигнатур, WAF защищает всю инфраструктуру, включая приложения и ПО веб-сервера. Гибкие и автоматизируемые политики безопасности XML защищают веб-сервисы, SOAP, веб-сокеты HTML 5 и приложения Web 2.0.
Точные политики корреляции снижают уровень ложных тревог
WAF различает атаки от необычного, но легитимного поведения путем корреляции веб-запросов на всех уровнях безопасности в различные моменты времени. Функционал Correlated Attack Validation исследует многие атрибуты, такие как соответствие протокола HTTP стандартам, нарушения профиля, сигнатуры, специальные символы и репутацию пользователя, для того чтобы выдать точное оповещение или блокировать атаку с минимальным в индустрии уровнем ложных срабатываний. В качестве атрибута также могут применяться данные ThreatRadar, для того чтобы быть уверенными в использовании самой последней информации о ландшафте угроз.
Кастомизируемые отчеты по соответствию и криминалистике
Богатые возможности по предоставлению отчетов помогают клиентам легко оценить состояние безопасности и соответствие регулирующим требованиям. WAF предоставляет как предопределенные, так и полностью кастомизируемые формы отчетов. Это позволяет вам легко понять состояние вашей защиты и упростить демонстрацию соответствия требованиям PCI, SOX, HIPAA и FISMA, а также другим стандартам.
Мониторинг для глубокого анализа атак
Сигналы оповещения могут быть легко найдены, отсортированы и непосредственно привязаныксоответствующимправиламбезопасности. Функционал по мониторингу и отчетности дает возможность непосредственно увидеть широкую картину безопасности, соответствия регулирующим требованиям и проблемам доставки контента. Панель реального времени предоставляет высокоуровневый взгляд на состояние системы и события безопасности.
Kaspersky DDoS Protection минимизирует влияние DDoS-атак, обеспечивая постоянную доступность всей инфраструктуры и важнейших онлайн-ресурсов. Непрерывный анализ трафика, оповещения о возможных атаках, перенаправление трафика в центры очистки и возврат очищенного трафика в сеть, – решение включает все необходимое для защиты от любых видов DDoS-атак и уменьшения их последствий.
Kaspersky DDoS Protection
Чтобы эффективно противостоять DDoS-атакам, нужно как можно быстрее их обнаруживать. Решение Kaspersky DDoS Protection борется с атаками с помощью передовой аналитики и специальной защитной инфраструктуры «Лаборатории Касперского». Благодаря новейшим методам мониторинга DDoS-угроз наши эксперты обнаруживают DDoS-атаки на ранней стадии, опережая действия злоумышленников. Кроме того, в продукте используется комбинация локальных и облачных технологий для надежной защиты вашего бизнеса.
Защита от мощных атак
На всех тарифах, в том числе для малого и среднего бизнеса, решение Kaspersky DDoS Protection способно отразить атаки вплоть до 500 Гбит/c.
Качество, помноженное на опыт
Решение работает на рынке защиты от DDoS-атак с 2010 года. За это время решение накопило огромный опыт отражения DDoS-атак любого типа и сложности.
Простое подключение
Для включения защиты необходимо сообщить сведения о вашем ресурсе, после чего после чего мы свяжемся с вами и поможем активировать защиту, которая будет действовать в режиме 24х7.
Удобное использование
Вам и вашим сотрудникам не нужен опыт и знания в области информационной безопасности. Атака никак не влияет на вашу деятельность – вы получаете «очищенный» трафик, и ваш бизнес функционирует в привычном режиме.
Гибкое лицензирование
Kaspersky DDoS Protection – это гибкое решение. В зависимости от типа и потребностей вашей компании мы готовы предложить различные тарифы и схемы подключения
Технологии мирового класса
«Лаборатория Касперского» использует для защиты от DDoS-атак собственные запатентованные технологии, которые защищают крупные компании, в том числе федерального и глобального уровня.
Преимущества
Передовая аналитика безопасности
Организации во всех отраслях сталкиваются с нехваткой актуальных и оперативно обновляемых данных об угрозах. Управлять рисками безопасности в таких условиях очень сложно. Богатый опыт и глубокое знание всех аспектов IT-безопасности позволили «Лаборатории Касперского» стать доверенным партнером наиболее влиятельных правоохранительных и правительственных организаций по всему миру. Мы непрестанно совершенствуем методы обнаружения и предотвращения DDoS-атак.
Принципы работы
В облаке или в вашей локальной среде устанавливается сенсор, который собирает данные о трафике, составляет профили типичного поведения посетителей сайта и строит различные модели трафика. После этого решение начинает мониторинг трафика в режиме реального времени: оно выявляет аномалии, которые могут указывать на атаку, и оперативно принимает ответные меры.
Тем временем наши эксперты по кибербезопасности отслеживают изменения в картине угроз, чтобы вовремя заметить и предотвратить запланированные DDoS-атаки на вашу организацию.
Комплексная защита: от обнаружения атак до подготовки отчетов
Решение Kaspersky DDoS Protection охватывает все этапы защиты вашего бизнеса от DDoS-атак.
Круглосуточный анализ интернет-трафика
Оповещения о возможных атаках
Перенаправление трафика в центры очистки
Возврат очищенного трафика в сеть
Круглосуточная техподдержка и профессиональные сервисы
Специалисты технической поддержки готовы прийти на помощь в любой момент. Воспользуйтесь премиальными пакетами Расширенной технической поддержки или профессиональными сервисами. Они помогут извлечь максимум из установленных у вас решений «Лаборатории Касперского».
Обеспечить целостность веб-инфраструктуры. Защита от хакерских взломов, приводящих к подмене, удалению информации или последующей атаке на пользователей ресурса
Обеспечить доступность критичных для бизнеса веб-ресурсов. Защита от DDoS-атак и последующей дестабилизации веб-ресурса
Обеспечить защиту чувствительных данных, хранящихся на веб-ресурсе. Защита от кражи конфиденциальной информации, персональных и платежных данных и пр.
Cezurity COTA — это решение, которое предназначено для обнаружения атак, пропущенных антивирусами и другими средствами защиты. В решении используется разработанная Cezurity технология динамического обнаружения атак. В основе технологии лежит анализ изменений компьютеров, составляющих информационную систему.
Преимущества
Комплексная система обнаруженияВсе типы атак могут быть обнаружены с помощью единого решения. Решение опирается на набор признаков, достаточный для обнаружения практически любых атак. В том числе и тех, где используются неизвестные методы, уязвимости и уникальные вредоносные программы (0day).
Низкая совокупная стоимость владенияCezurity COTA — полностью автономное решение, не требующее внедрения комплексных платформ безопасности, которым для обнаружения сложных угроз необходимы данные из разных источников.
Достаточная для защиты информация сразу при обнаружении атакиРешение позволяет не только обнаружить атаку, но и определить пути защиты без дополнительных инструментов. Это возможно благодаря тому, что в основе решения лежит анализ всех критически важных изменений систем, которые протоколируются и доступны для анализа.
Просто внедрить и начать использоватьРешение не зависит от инфраструктуры и топологии защищаемой информационной системы, так как опирается на мониторинг конечных точек. Это позволяет быстро развернуть и начать использовать решение даже в том случае, если IT-инфраструктура сложна. Эксплуатация не требует специальной экспертизы от обслуживающего IT-систему персонала.
Низкая нагрузка на системные ресурсыНаиболее ресурсоемкие процессы анализа происходят в облаке. Поэтому влияние работы на производительность компьютеров незначительно.
СовместимостьРешение можно использовать вместе с любыми другими средствами обеспечения информационной безопасности.
Стабильность работыКлиентское программное обеспечение не нуждается в обновлениях, а его работа ограничивается сбором информации. Таким образом снижается риск «падения» систем.
Дополнение DLP-решенийПозволит обнаружить использование технических средств, примененных для похищения корпоративной информации
Как работает Cezurity COTA
Атака на информационную систему приводит к изменениям критических областей компьютеров, составляющих IT-инфраструктуру. К изменениям обычно приводит каждый из этапов атаки — от внедрения до уничтожения следов присутствия. Без изменения критических областей злоумышленникам не удастся закрепиться в информационной системе. Например, чтобы незаметно похищать информацию или просто перейти к следующему этапу атаки, им придется модифицировать те или иные объекты, которые находятся в критических местах атакуемых компьютеров.
Так как злоумышленники используют самые разные, подчас еще не известные (0day), методы сбора данных и внедрения, анализ отдельных состояний объектов не позволяет точно узнать, была ли система атакована. Но атаку можно обнаружить, сравнив между собой разные состояния, то есть, проанализировав изменения.
Обнаружение атак в решении Cezurity COTA основано на анализе изменений критических областей компьютеров, составляющих IT-инфраструктуру.
На компьютерах периодически запускается сканирование, которое представляет собой сбор данных о состоянии критических областей систем. В результате каждого сканирования формируется срез системы (slice). Срезы передаются в облако (Cezurity Cloud), где сравниваются между собой. Такое сравнение позволяет выявить изменения, произошедшие с каждой из систем за время между сканированиями. Изменения анализируются, и если они носят аномальный характер, то это может быть признаком атаки.
Для выявления изменений и классификации аномалий используется самообучающаяся система, основанная на методах интеллектуального анализа больших массивов данных (Big Data).
Архитектура и компоненты решения
Архитектура Cezurity COTA
Решение включает четыре основных компонента: Агент, облачная экспертная система Cezurity Sensa, Сервер и Консоль управления сервером, Личный кабинет.
Агент периодически сканирует систему, извлекает необходимую для обнаружения атак информацию, формирует срез системы (slice) и передает его в облачную экспертную систему Cezurity Sensa для анализа.
При анализе учитываются контексты трех типов: контекст среза, контекст времени и контекст окружения.
На уровне Сервера осуществляется контроль передачи файлов в облачную экспертную систему Cezurity Sensa. Также с помощью Сервера реализуется развертывание и обновление Агентов без использования средств Active Directory.
Китайское шпионское ПО, трояны Corkow, Anunak и Buhtrap, более 100 видов вредоносных программ под мобильные платформы — все эти угрозы агрессивно атакуют российский бизнес и компании государственного сектора, несмотря на повсеместное распространение антивирусных средств.
TDS позволяет организовать объективный контроль сетевого трафика и вовремя выявлять ключевые угрозы на сетевом уровне, основываясь на передовой экспертизе и эксклюзивной разведывательной информации Group‑IB.
Как работает TDS
Модули
TDS Sensor:
Выявляет коммуникации зараженных устройств с командными центрами, общие сетевые аномалии и необычное поведение устройств
Извлекает потенциально опасные объекты, передаваемые по сети организации, для анализа в системе Polygon
TDS Polygon
Позволяет предотвратить заражения в результате:
Вредоносных почтовых рассылок
Атак на браузер
Атак с использованием ранее неизвестных вредоносных программ и инструментов.Вердикт о степени опасности объекта выносится на основании классификатора, формируемого системой машинного анализа.
SOC Group-IB:
Собирает информацию о событиях ИБ для демонстрации в удобном web-интерфейсе;
В круглосуточном режиме анализирует и классифицирует инциденты руками опытных аналитиков;
Отвечает на любые вопросы с помощью тикет-системы
Обработка данных
TDS является физическим сервером, на котором установлено DPI-решение для анализа всех входящих и исходящих пакетов данных.
Набор сигнатур, посредством которых определяется зловредная активность, «черный список» адресов контроллеров бот-сетей, а также правила фильтрации автоматически обновляются ежедневно.
Сенсор по безопасному каналу осуществляет передачу информации о выявленных инцидентах в облачный центр обработки данных Group‑IB.
Обработка данных TDS
Polygon запускает файлы, полученные от TDS Sensor, в изолированной среде, анализирует их поведение на низком уровне и выносит заключение об их степени опасности. Обработка и анализ файлов производится внутри вашего контура безопасности, обеспечивая полную конфиденциальность.
SOC (центр обработки данных) собирает, коррелирует и классифицирует всю информацию о зарегистрированных событиях ИБ в сети компании.
События группируются по типу и анализируются специалистами Group-IB вручную. Анализ данных ведется круглосуточно, без выходных.
Все данные об угрозах и результаты анализа инцидентов доступны в web-интерфейсе. Вы можете уточнить или запросить дополнительную информацию у аналитиков через удобную тикет-систему.
Самостоятельная обработка данных
Сенсор TDS является физическим сервером, на котором установлено DPI-решение для анализа всех входящих и исходящих пакетов данных.
Набор сигнатур, посредством которых определяется зловредная активность, «черный список» адресов контроллеров бот-сетей, а так же правила фильтрации автоматически обновляются ежедневно.
Решение может поставляться с локальным web-интерфейсом, позволяющим вести самостоятельную обработку регистрируемых событий без их передачи в Group-IB.
Самостоятельная обработка данных TDS
Polygon запускает файлы, полученные от TDS Sensor, в изолированной среде, анализирует их поведение на низком уровне и выносит заключение об их степени опасности. Обработка и анализ файлов производится внутри вашего контура безопасности, обеспечивая полную конфиденциальность.
Поток событий, фиксируемых сенсором, может быть автоматически направлен в любую SIEM или систему хранения логов через стандартный механизм syslog.
На базе локального web-интерфейса возможно организовать внутреннюю тикет-систему для взаимодействия с коллегами, учета инцидентов и реагирования на них.
При желании, внутри инфраструктуры заказчика можно организовать и центр обновлений, в результате чего сенсор будет полностью изолирован от интернета, при этом база сигнатур будет поддерживаться в актуальном состоянии.
Преимущества TDS
TDS является частью единой системы раннего обнаружения угроз Group-IB. Данные анализируются сенсором с учетом информации, поступающей из системы Threat Intelligence, позволившей компании дважды войти в отчеты Gartner в категории “Threat Intelligence”. В результате в отличие от зарубежных аналогов TDS достигает наибольшей эффективности в детектировании локальных угроз и сигнатур, актуальных именно для российского рынка.
Если вашу компанию будут атаковать, Group-IB предоставит услуги по реагированию и расследованию инцидента, и оформит цифровую доказательную базу в соответствии с требованиями законодательства.
Оперативные уведомления о выявленных угрозах через почту и SMS
Удобный веб-интерфейс для работы с информацией об инцидентах
Интеграция с SIEM и системами хранения событий и логов
Автоматическая генерация отчетов по типам атак и временным периодам
Компрометации информационных систем и ключевых лиц
Каждый день совершается около 117 тыс. кибератак
Целенаправленная атака – кибератака, направленная против конкретной коммерческой или государственной организации. InfoWatch Targeted Attack Detector обнаружит целенаправленную атаку, обеспечив тем самым сохранность конфиденциальных данных и репутацию вашего бизнеса.
Архитектура
Агент
На каждый компьютер компании устанавливается агент, выполняющий непрерывный мониторинг ИТ-инфраструктуры.
Сервер
Позволяет осуществлять централизованную установку агентов и контроль данных, передающихся в облачную систему.
Экспертная система
Уникальная облачная система, выявляющая аномалии и классифицирующая большие массивы
данных (Big Data).
Личный кабинет
Позволяет получить наглядные отчеты о текущем состоянии агентов, а также статистику по всем инцидентам.
Как это работает?
Продукт InfoWatch Targeted Attack Detector основан на контекстном анализе изменений операционной системы, выявлении и анализе аномалий во времени. Решение постоянно выполняет сканирование с целью сбора и классификации широкого спектра характеристик объектов системы. Результатом сканирования является срез системы (slice), который подвергается нескольким видам анализа.
Технологии анализа
Статический анализ. Цель – классификация всех объектов, входящих в срез системы (slice).
Динамический анализ. Цель – изучение аномалий во времени и их классификация.
Анализ аномалий. Цель – классификация аномалий и определение точного вердикта.
Сервер централизованной установки агентов позволяет:
производить удобную централизованную установку, обновление и удаление агентов продукта без использования стандартных средств установки
получать информацию о текущем состоянии агентов
контролировать отправляемые в облако файлы (с автоматическим временем отправки без участия пользователя)
объединить все агенты продукта в закрытую локальную сеть, где выход в Интернет имеет только один централизованный сервер
Преимущества
Эффективная защита ценной информации, снижение репутационных и финансовых рисков. InfoWatch Targeted Attack Detector выявляет целенаправленную атаку и избавляет компании и организации от финансовых и репутационных рисков, которые могут быть связаны с компрометацией информационных систем и кражей конфиденциальной информации и персональных данных.
Уникальные технологии по обнаружению специализированного ПО. Изучение тактики и методов, которые используют злоумышленники при создании вредоносного ПО для целенаправленных атак, позволили компании разработать уникальные технологии защиты. Решение выявляет такие атаки, где используются еще неизвестные (0day) уязвимости и вредоносные программы, применяются новые методы внедрения и закрепления ПО в ИТ-систему.
Быстрая и точная классификация аномалий InfoWatch Targeted Attack Detector обладает обширными возможностями по выявлению аномалий. Статический и динамический анализ позволяет определить и выявить аномалию, а также точно классифицировать ее.
Простота внедрения и использования. Решение не зависит от инфраструктуры и топологии защищаемой информационной системы. Агент InfoWatch Targeted Attack Detector устанавливается на все имеющиеся компьютеры в ИТ-инфраструктуре компании. Программное обеспечение не нуждается в обновлениях, т.к. его работа ограничивается сбором и отправкой информации в Автоматизированную Экспертную Систему. Работа решения незаметна для пользователя, так как не сказывается на производительности других приложений. За счет того, что наиболее ресурсоемкие процессы анализа происходят в Автоматизированной Экспертной Системе (в облаке), InfoWatch Targeted Attack Detector не требует дозакупок дополнительного ПО или оборудования.
Привлечение аналитиков. Компания InfoWatch предоставляет клиентам возможность пользоваться услугами опытных аналитиков, которые с легкостью решат задачи любой сложности. Наши аналитики обладают огромным опытом по выявлению аномалий и способам борьбы с ними.
Благодаря запатентованной технологии анализа протоколов данное решение IBM обеспечивает проактивную защиту – своевременную защиту корпоративной сети от широкого спектра угроз. Проактивность защиты основана на круглосуточном отслеживании угроз в центре обеспечения безопасности и собственных исследованиях и поисках уязвимостей аналитиками и разработчиками группы IBM X-Force. IBM Security Network IPS как и все продукты серии IBM Security основывается на технологии Protocol Analysis Module (PAM, модуль анализа протоколов), разработанной и поддерживаемой исследователями и разработчиками команды IBM X-Force.
Модуль анализа протоколов состоит из технологий:
Виртуальный патч — закрывает возможность использования уязвимостей в ПО вне зависимости от того установлено ли на системе соответствующее обновление от производителя и обеспечивает возможность отказаться от «пожарных» мер при распространении обновлений для ПО и ОС. Критичные системы по-прежнему должны обновляться как можно быстрее, однако в данном случае вы можете тратить достаточно времени на тестирование соответствующих обновлений. Другие продукты IBM Security, такие как, например, IBM Security Network Enterprise Scanner, могут также помочь быстрее идентифицировать наиболее уязвимое ПО с целью более эффективного управления процессом установки обновлений.
Защита приложений на ПК — защищает конечных пользователей от атак, направленных на приложения, используемые в ежедневной работе, такие как Microsoft Office, Adobe PDF, различные мультимедиа функции и веб-браузеры.
Защита веб-приложений — обеспечивает защиту Веб-серверов и веб-приложений от атак на уровне программного кода, таких как SQL Injection, XSS (Cross-Site Scripting), PHP file-includes, CSRF (Cross-Site Request Forgery) и др.
Обнаружение и блокирование угроз — обнаруживает и блокирует целый класс атак (эксплойтов), направленных на использование той или иного уязвимости.
Безопасность данных — контролирует и выявляет попытки передачи персональных данных (ПД) и другие типы конфиденциальной информации. Также обеспечивает возможность исследовать перемещение той или иной информации внутри и вне корпоративной сети для более ранней оценки потенциального риска в будущем.
Контроль приложений — позволяет управлять правами доступа для неразрешенных приложений и при необходимости блокировать их доступ к внутренним или внешним ресурсам. Среди поддерживаемых типов приложений, такие как ActiveX элементы, P2P-приложения, средства обмена мгновенными сообщениями (ICQ, Skype и др.) и попытки туннелирования трафика.
Решение IBM Security Network Intrusion Prevention System поставляется в виде:
Программно-аппаратного комплекса в составе моделей: Proventia GX4004-V2-200 (до 200 Мбит/с обрабатываемой пропускной способности), Proventia GX4004-V2 (до 800 Мбит/с), GX5008-V2 (до 1,5 Гбит/с), GX5108-V2 (до 2,5 Гбит/с), GX5208-V2 (до 4 Гбит/с) и GX6116 (до 8 Гбит/с);
Программного комплекса для высокопроизводительной платформы Crossbeam;
Программного комплекса для платформы виртуализации VMware в составе опций: GV200 (до 200 Мбит/с обрабатываемой пропускной способности на рекомендуемой аппаратной конфигурации) и GV1000 (до 700 Мбит/с на рекомендуемой аппаратной конфигурации).
Дополнительные опции IBM Security Network Intrusion Prevention System включают:
Программно-аппаратный комплекс IBM Security Network Active Bypass — гарантирует отказоустойчивость системы IBM Security Network IPS на базе мониторинга и автоматического перенаправления трафика в случае аппаратного или программного отказа для моделей без встроенного модуля обхода (для GX5008-V2 и выше).
Программно-аппаратный комплекс IBM Security Network Controller — обеспечивает возможность использования соединений 10 GbE (Gigabit Ethernet) (для GX6116 и GX5208-V2).
Система управления и функциональные возможности
Вне зависимости от типа используемого решения IBM Security Network IPS, функционал и средства управления являются абсолютно идентичными. Поэтому рассмотрим основные функции устройства и механизмы администрирования на базе программного комплекса для платформы виртуализации VMware модели GV1000.
IBM Security Network IPS управляется через веб-консоль. Также имеется возможность централизованного управления через IBM Security SiteProtector (приобретается отдельно). Последний продукт, помимо собственно возможности единого управления более чем одним решением, еще и представляет расширенные возможности отчетности и анализа логов.
Опять же вполне привычно, что консоль управления продуктом начинается с так называемой страницы “Инструментальная панель” С помощью нее можно получить базовую информацию о состоянии устройства, количестве предотвращенных инцидентов и нагрузке на пропускную способность.
Контроль доступа в интернет, управление трафиком и защита от современных угроз
Безопасность сети на уровне шлюза. Защита сетевого окружения от вторжений, внешних атак, вирусов, троянов, интернет-червей, фишинга и других опасностей.
Продвинутая защита от интернет-угроз. Защита от вредоносных приложений и опасных скриптов, основанная на их анализе и использовании репутационного сервиса.
Эффективное управление доступом. Возможность задания групповых и индивидуальных правил для предотвращения опасных действий пользователей.
Оптимальное использование канала. Обеспечение непрерывной работы и гарантия предоставления необходимой полосы пропускания.
Безопасность электронной почты. Защита электронной почты от спама, фишинга, троянов, вирусов и других угроз, безопасность для любого почтового сервера.
О продукте
UserGate UTM является шлюзовым решением, которое позволяет обеспечить безопасность корпоративной сети от внешних интернет-угроз, обеспечить управление трафиком и шириной канала, контролировать политики доступа в интернет и использование интернет-приложений, а также обеспечивать безопасность электронной почты. В продукте реализована возможность «глубокого анализа трафика» (DCI — Deep Content Inspection), что дает возможность эффективно бороться с продвинутыми интернет-угрозами, в том числе с «угрозами нулевого дня», а также защищает пользователей от слежения и негативной рекламы. UserGate UTM является одним из самых быстрых и надежных интернет-шлюзов.
Схема работы
UserGate UTM может использоваться как программно-аппаратный комплекс или быть установленным на виртуальной машине.
Принцип работы UserGate UTM основан на создании правил, применяемых к пользователям/группам пользователей. Продукт позволяет администраторам контролировать поток трафика и управлять доступом пользователей в интернет. Различные правила могут быть использованы для разрешения или запрета доступа к определенным категориям сайтов, контроля закачек, использования приложений, установки ограничений по трафику и ширине канала. UserGate UTM также позволяет мониторить использование интернета и дает возможность получения подробной статистики.
Устройства
Межсетевой экран UserGate C100 – C170
Сети любого размера должны быть защищены от внешних атак, вирусов и разнообразных современных киберугроз. Аппаратный межсетевой экран UserGate C является компактным и удобным в настройке сетевым устройством, способным обеспечить безопасность сетей небольших организаций или филиалов с числом пользователей от нескольких десятков до сотни и более.
Межсетевой экран UserGate D200 – D270, D500
Для защиты корпоративных сетей необходимо использовать многофункциональное решение, способное обеспечить комплексную безопасность сетевой инфраструктуры без негативного влияния на скорость доступа. Аппаратный межсетевой экран UserGate D является полноценным сетевым сервером, способным обеспечить безопасность предприятий небольшого и среднего размера с несколькими сотнями пользователей.
Межсетевой экран UserGate E1000, E3000
Для больших корпоративных сетей необходимо использование высокопроизводительной платформы, имеющей запас прочности и возможности по масштабированию. Корпоративный межсетевой экран UserGate E является мощным сетевым серверным решением, способным решать задачи по защите от всевозможных интернет-угроз, а также осуществлять дешифрацию и глубокий анализ трафика в сетях с несколькими тысячами пользователей.
Межсетевой экран UserGate F8000
Для крупных корпоративных сетей и дата-центров критично использование надежных сетевых решений, обеспечивающих высокую доступность, резервирование, масштабируемость и гибкость относительно встраивания в сетевую инфраструктуру. Корпоративный межсетевой экран UserGate F сочетает все необходимые функции безопасности с возможностями, необходимыми для функционирования максимально стабильного сервиса при предельно высокой нагрузке.
Межсетевой экран UserGate X1
Программно-аппаратный комплекс UserGate X предназначен для обеспечения комплексной безопасности и информационной защиты критически важных производственных объектов в сложных климатических условиях.
Преимущества
Максимальная безопасность сети
UserGate UTM обеспечивает комплексную защиту от интернет-угроз в едином решении в соответствии с концепцией Unified Threat Management. Продукт обеспечивает безопасность сети от внешних вторжений и атак, вирусов, фишинга, троянов, кейлоггеров и других вредоносных программ, а также позволяет фильтровать опасный и негативный интернет-контент. UserGate UTM может эффективно заменить несколько других продуктов, обеспечивая полноценную сетевую безопасность, управление трафиком и мониторинг действий пользователя в интернете.
Защита от современных угроз
UserGate UTM обеспечивает глубокий анализ контента, что в сочетании с использованием репутационных сервисов позволяет блокировать работу опасных скриптов и разнообразных негативных приложений. Тем самым продукт обеспечивает лучшую защиту от так называемых угроз «нулевого часа», а также позволяет предотвращать нарушение приватности пользователя со стороны различных поисковых машин, социальных сетей и других компаний. UserGate UTM распознает включение в код сайтов рекламного контента наиболее известных баннерных сетей и позволяет их блокировать.
Эффективное управление доступом
UserGate UTM может контролировать доступ пользователей к сайтам различных категорий, Web 2.0 контенту, закачкам и потоковому видео, а также допустимую ширину канала и максимальный потребляемый трафик, основываясь на правилах, применяемых к пользователям или к группам пользователей. Продукт поддерживает все современные механизмы авторизации. Поддержка работы с SSL позволяет применять эти политики во всех случаях, что не всегда возможно при использовании альтернативных решений.
Улучшение качества интернет-доступа
Для непрерывного выполнения бизнес-задач крайне важно обеспечить надежность работы интернета, защиту от любых сбоев основного интернет-канала и автоматическое переключение на резервный канал. UserGate UTM обеспечивает все эти возможности, а также ускоряет работу интернета с помощью использования функции кэширования. Продукт также позволяет гарантировать необходимую ширину канала для работы критично важных приложений и обеспечить контроль за использованием программ и сервисов, связанных с интернетом, повышая качество и бесперебойность работы интернета.
Безопасность электронной почты
UserGate UTM обеспечивает качественную защиту от угроз, связанных с электронной почтой, и работает с любыми почтовыми серверами. Таким образом, продукт позволяет полноценно использовать функционал того или иного почтового сервера и в то же время получать все преимущества от использования дополнительных функций по безопасности и мониторингу. Вся загружаемая электронная почта проверяется на спам и вирусы, при этом используются различные методы детекции, что позволяет улучшить качество и скорость обработки.
Другие преимущества
Увеличение производительности
Широко известно, что офисные сотрудники тратят часть своего времени на использование интернета в несвязанных с работой целях — для личных коммуникаций, общения в социальных сетях, чтения блогов, новостей и других развлекательных ресурсов. Объем напрасно использованного рабочего времени может быть очень существенным. UserGate UTM обеспечивает контроль за использованием интернета и применение индивидуальных политик. Понимание того, что социальная активность может контролироваться, заставляет сотрудников больше концентрироваться на использовании интернета в рабочих целях.
Защита приватности
Многие крупные компании, включая, например, Facebook и Google, а также сотни других ресурсов связаны со сбором данных пользователей в рекламных целях, для чего они отслеживают все действия пользователя в интернета. UserGate UTM обеспечивает защиту персональных данных, блокируя скрытое отслеживание cookie-файлов и плагинов на многих веб-сайтах и предотвращая передачу персональных пользовательских данных социальными сетями после прекращения работы с ними.
Защита пользователей и корпоративной сети от внешних угроз:
система предотвращения вторжений, контроль приложений (DPI), контентная фильтрация веб-трафика (включая HTTPS), антивирус и антиспам Касперского, защита опубликованных веб-серверов (Web Application Firewall), межсетевой экран.
Комплексное управление интернет-трафиком:
авторизация пользователей, балансировка каналов, ограничение полосы пропускания, приоритезация, отчеты.
Средства коммуникации и почта:
почтовый сервер, многоуровневая фильтрация спама, защита от вирусов и фишинговых ссылок, фильтрация входящей почты для внутреннего почтового сервера, современный веб-интерфейс.
Построение корпоративной сети:
безопасное подключение удаленных пользователей, организация защищенных каналов между филиалами (поддержка VPN с использованием PPTP, OpenVPN, IPsec позволяют соединить в сеть практически любые маршрутизаторы или программные шлюзы), использование нескольких подключений к провайдерам, маршрутизация, интеграция с Active Directory, DLP, SIEM-системами.
ПРЕИМУЩЕСТВА IDECO UTM
Встроенные средства безопасности обеспечивают эффективную защиту от современных интернет-угроз
С Ideco UTM сеть защищена от вирусов, ботнетов, спама, хакерских атак, DoS, криптомайнеров и несанкционированного доступа.
Мощный контент-фильтр
144 категории, более 500 млн. url, всегда актуальная база данных для фильтрации и защиты пользователей от нежелательных ресурсов (в том числе фишинговых и вредоносных сайтов).
Ideco UTM – это единая система для решения многих задач
Комплексная защита сетевого периметра от современных угроз. Предприятие получает все необходимое в одном UTM-решении.
Движение вперед
В 2017 году вышло пять новых мажорных версий Ideco UTM. В 2018-ом уже четыре. Мы стремимся создавать современный продукт для блокирования новейших угроз и удобства наших пользователей.
ОБЗОР ВОЗМОЖНОСТЕЙ
Защита и безопасность:
Система предотвращения вторжений IDS/IPS блокирует попытки несанкционированного доступа, эксплойты, ботнеты, DoS-атаки, вирусную активность в сети, TOR, анонимайзеры, криптомайнеры и помогает в расследовании инцидентов безопасности и поиске зараженных устройств.
Контроль приложений (DPI) позволяет администратору управлять трафиком множества приложений на уровне layer-7 (и блокировать торренты, Skype и др. приложения).
Web Application Firewall защищает опубликованные серверы от сканирования на уязвимости и атак.
Межсетевой экран и NAT.
Защита от DoS-атак и блокирование чрезмерной активности с помощью предустановленных правил межсетевого экрана и оптимальной настройки сетевых служб.
Блокирование зараженных и фишинговых сайтов контент-фильтром.
Антивирусная проверка почтового и веб-трафика с помощью технологий «Лаборатории Касперского» и антивируса ClamAV.
Многоуровневая фильтрация нежелательной почты (спама) и фишинговых ссылок в письмах, в том числе при публикации внутреннего почтового сервера.
Возможность подключения к внешним службам (например к DLP-серверам) по протоколу ICAP для анализа HTTP(S)-трафика.
Разграничение доступа к корпоративным ресурсам, создание общих и закрытых серверов сети, DMZ.
Защита от подстановки IP адреса — при авторизации через VPN, PPPoE или L2TP/IPsec каждому пользователю назначается личный IP-адрес.
Публикация сервисов с помощью DNAT portmapper. При этом сервис попадает под защиту системы предотвращения вторжений и становится устойчивым к попыткам взлома, использования вредоносных скриптов и эксплойтов.
Контроль доступа
Персональный полноценный доступ в интернет для каждого сотрудника. Авторизация по логину и паролю через VPN, PPPоE, через Ideco Agent или логин-пароль через веб-браузер, авторизация по IP-адресу (с возможностью привязки MAC-адреса).
Возможность синхронизации и авторизации пользователей через Active Directory и LDAP сервер, авторизация осуществляется по протоколу Kerberos.
Фильтрация веб-контента по категориям непродуктивных сайтов (в том числе фильтрация HTTPS-трафика).
Контроль доступа к веб-ресурсам, вся информация о действиях пользователя сохраняется.
Запрет трафика приложений: TOR, Skype и других мессенджеров, BitTorrent.
Модуль формирования отчетов для руководителей и IT-менеджеров, позволяющий мгновенно оценивать степень использования интернет-ресурсов сотрудниками.
Ограничение трафика
Подсчет статистики в реальном времени, автоматическое предупреждение и отключение пользователя при превышении лимита.
Ограничение полосы пропускания для пользователей и групп.
При авторизации через VPN и PPPoE – защита от прослушивания трафика и подстановки IP-адреса.
Расширенный контент-фильтр — 144 категории трафика. Более 500 млн url. Регулярные обновления базы данных.
Блокирование потокового видео, аудио и скачивания файлов по расширениям и MIME-type.
Удаленное подключение, виртуальные частные сети VPN.
Доступ сотрудников к сети предприятия из дома или командировки по защищенному каналу (PPTP, IPsec). В том числе с использованием мобильных устройств на базе ОС Android и iOS.
Возможность объединить все удаленные подразделения в общую сеть на единой платформе по шифрованным протоколам VPN PPTP, OpenVPN или IPsec.
Возможность создать закрытые корпоративные серверы для ограниченного круга сотрудников.
Полноценный маршрутизатор, поддерживающий множество интерфейсов (как локальных, так и внешних). Поддерживаются виртуальные 802.1q VLAN интерфейсы, PPTP, L2TP, PPPoE и OpenVPN интерфейсы.
Подключение к провайдерам, резервирование каналов
Поддержка нескольких каналов провайдеров и нескольких внешних сетей.
Автоматическая проверка связи с провайдером и переключение на альтернативного провайдера при необходимости.
Подключение к провайдеру по протоколам PPTP (VPN), L2TP и PPPoE.
Балансировка трафика между каналами.
ИНТЕГРИРОВАННЫЕ ИНТЕРНЕТ-СЛУЖБЫ
Почтовый сервер с антивирусом и фильтрацией спама. Ideco UTM включает сконфигурированный и настроенный почтовый сервер. Все возможности фильтрации почты также доступны при использовании UTM в качестве почтового релея, при нахождении основного почтового сервера внутри сети.
Многоуровневая проверка писем на вирусы, спам, типы вложений, фишинговые ссылки: антиспам Касперского, DNSBL, greylisting, почтовые фильтры и защита от DoS.
Поддержка нескольких почтовых доменов.
DKIM-подпись для исходящих сообщений.
Поддержка протокола IMAP, шифрованных протоколов POP3S, IMAPS, STARTTLS и общих почтовых папок.
Удобный полнофункциональный веб-интерфейс для работы с личной почтой позволяет работать с почтой из любой точки мира по шифрованному каналу через обычный браузер.
Возможность переадресации, групповой рассылки, фильтрации по адресам и содержимому.
Возможность дублирования всей почты на один адрес для контроля и архивирования корреспонденции.
Возможность загружать почту с других серверов по протоколу POP3, POP3S и IMAP.
Настраиваемый автоответчик.
DNS-сервер. Ideco UTM включает в себя кэширующий DNS-сервер для локальной сети с возможностью поддержки им внешних DNS-зон для неограниченного числа доменов. Простота настройки позволяет легко настроить его для DNS-фильтрации с использованием внешних облачных сервисов для дополнительной защиты сети от фишинга и ботнетов.
FortiGate-60E надежно защищает от современных угроз и поддерживает концепцию управления каналами связи (SD-WAN). Небольшой, легкий, но сочетающий в себе весь функционал классического UTM устройства от Fortinet. Система лицензирования «за устройство» гарантирует, что количество пользователей ограничено только производительностью системы.
Порты:
Console Port
2x GE RJ45 WAN Ports
1x GE RJ45 DMZ Ports
7x GE RJ45 Internal Ports
Технические характеристики устройства
Производительность межсетевого экрана
3 Гбит/с
Количество конкурентных сессий
1 300 000
Новых сессий в секунду
30 000
Производительность IPSec-VPN
2 Гбит/с
Производительность SSL-VPN
150 Мбит/с
Число одновременных SSL-VPN пользователей (максимум)
Система Zecurion Zdiscovery предназначена для обнаружения мест хранения конфиденциальной информации в корпоративной сети и предотвращения нарушений политик безопасности. Для обнаружения данных в Zecurion Zdiscovery используются специальные агенты. Они анализируют данные со всех устройств, которые считаются операционной системой Microsoft Windows логическими дисками, в том числе и со «скрытых дисков».
Zecurion Zdiscovery позволяет в режиме реального времени обнаруживать несанкционированные копии конфиденциальной информации и персональные данные, которые хранятся на рабочих компьютерах и ноутбуках пользователей и в общедоступных сетевых хранилищах.
Для обнаружения конфиденциальной информации в Zecurion Zdiscovery используется гибридный анализ — комплекс современных технологий детектирования. Они с высокой точностью определяют уровень конфиденциальности и категорию обнаруженного документа с учетом особенностей бизнеса, требований отраслевых стандартов и законодательства России, СНГ, Европы и США. Применение гибридного анализа повышает эффективность обнаружения конфиденциальной информации до 95% по сравнению с системами, использующими какие-то отдельные технологии детектирования.
Настройки Zecurion Zdiscovery позволяют назначить различные действия, которые будут производиться при обнаружении нарушений политик безопасности. Сами данные можно удалить или переместить в специальное хранилище, а информацию о нарушении незамедлительно сообщить администратору и пользователю, допустившему неправильное хранение. Помимо этого все события, в том числе список обнаруженных нарушений, сохраняются в специальных журналах (логах) для последующего анализа.
Возможности
Поиск информации
Zecurion Zdiscovery сканирует все доступные сетевые и локальные хранилища информации, в том числе рабочие станции и ноутбуки пользователей, файловые и иные серверы.
Обнаружение конфиденциальных документов
Система Zecurion Zdiscovery позволяет эффективно обнаруживать различные типы конфиденциальных документов, например, договоры с поставщиками, планы развития, резюме сотрудников и персональные данные.
Контентный анализ файлов различных типов
Zecurion Zdiscovery анализирует содержание найденных файлов на предмет содержания в них конфиденциальных данных.
Комплекс технологий контентного анализа
Для анализа данных Zecurion Zdiscovery использует несколько специальных технологий, в том числе проверку по шаблонам регулярных выражений, лингвистику, обучаемую технологию SmartID и метод опорных векторов SVM.
Сканирование в режиме реального времени
Zecurion Zdiscovery сканирует доступные хранилища в режиме реального времени, моментально реагируя на создание новых файлов и внесение изменений в документы. Это позволяет постоянно контролировать соблюдение политик хранения конфиденциальной информации и оперативно принимать меры при обнаружении нарушений.
Уведомление администраторов о нарушениях
При выявлении нарушений политик безопасности Zecurion Zdiscovery мгновенно уведомляет об этом администратора безопасности. Администратору сообщается вся необходимая информация, в том числе наименование хранилища, где были найдены нарушения, и точное расположение данных.
Перемещение или удаление файлов
Файлы, нарушающие политики безопасного хранения, можно переместить или удалить. Для этого можно настроить реакцию на события с помощью стороннего программного обеспечения или специальных скриптов.
Предупреждение пользователей о нарушениях
При необходимости Zecurion Zdiscovery может уведомлять пользователей о том, что на их компьютере была обнаружена запрещенная к хранению локально и в целом по компании информация.
Категоризация всей обнаруженной информации
При анализе содержимого файлов Zecurion Zdiscovery относит данные к той или иной категории исходя из отраслевых особенностей деятельности компании.
Комфортное администрирование
Управление Zecurion Zdiscovery осуществляется удаленно и централизованно через единую систему управления DLP-решениями Zconsole. В настройках системы существуют широкие возможности для разделения ролей администраторов. Кроме того, в журнале событий регистрируются все действия администраторов.
Гибкая настройка политик
Настройки политик сканирования, анализа и реакции на обнаруженные нарушения имеют множество различных настроек. Например, в Zecurion Zdiscovery можно задать приоритетное время и дату для сканирования.
Работа в виртуальных средах
Архитектура Zecurion Zdiscovery специально адаптирована для использования в виртуальных средах, в частности, VMware и Hyper-V.
Масштабируемость
Масштабируемость и модульная архитектура Zecurion Zdiscovery позволяет учитывать самые жесткие требования к производительности.
Возможность работы без домена
Система Zecurion Zdiscovery может работать как в доменных сетях, так и в корпоративных сетях без домена.
Оптимизация производительности
В агентах Zecurion Zdiscovery используются специальные встроенные ограничители, которые дают возможность оптимально использовать ресурсы компьютеров и загружать их только в наиболее подходящий момент, например в ночное время.
Поддержка всех современных операционных и файловых систем Microsoft
Zecurion Zdiscovery работает на компьютерах под управлением Microsoft Windows XP SP3, 2003 SP2, Vista SP1, 2008, 7 и с поддерживаемыми ими файловыми системами.
Преимущества
Контроль всех основных мест хранения данных. Zecurion Zdiscovery контролирует все основные хранилища информации в корпоративной сети. Система Zdiscovery сканирует любые серверные хранилища (в том числе сетевые ресурсы с общим доступом), базы данных и рабочие станции пользователей.
Специальные технологии поиска. Для анализа данных Zecurion Zdiscovery использует множество специальных технологий, в том числе проверку по шаблонам регулярных выражений, лингвистику, обучаемую технологию SmartID и метод опорных векторов SVM.
Различные варианты реагирования. В зависимости от настроек система может различным образом реагировать на нарушения политик безопасности, информировать офицера безопасности и владельца данных, удалять чувствительные данные либо перемещать их в безопасное хранилище и т.д.
Готовые шаблоны конфиденциальной информации. В установку Zecurion Zdiscovery включено более 50 шаблонов, с помощью которых можно определять конфиденциальные данные. Это существенно сокращает трудозатраты при внедрении.
Масштабируемость и производительность. Для снижения нагрузки, создаваемой агентами Zecurion Zdiscovery, в системе используются специальные поисковые технологии, существенно оптимизирующие процесс сканирования.
Сканирование в режиме реального времени. Такая уникальная возможность Zecurion Zdiscovery позволяет системе моментально реагировать на создание новых файлов и внесение изменений в документы и оперативно принимать меры при обнаружении нарушений.
Управление через единую консоль. Управление Zecurion Zdiscovery осуществляется через единую систему управления DLP-решениями Zconsole, которая также поддерживает управление Zgate, Zlock и Zserver Suite.
Автоматический мониторинг и диагностика слабых мест в ИТ-инфраструктуре и работе персонала
Управление запуском приложений
Быстрое и надежное шифрование данных
Контроль доступа сотрудников к внешним устройствам и файлам
Мгновенное удаление данных на рабочих станциях и мобильных устройствах
Безопасная работа в облачных хранилищах
Централизованные политики безопасности для мобильных устройств
Green IT
InfoWatch EndPoint Security реализует концепцию «сначала понять ситуацию в компании, затем выстроить систему защиты».
Для понимания ситуации в компании служит Insight, а для защиты – функциональные модули InfoWatch EndPoint Security.
Модуль Insight собирает данные:
На уровне периферии:
Копирование данных на внешние устройства: кто, когда, какую информацию записывает на съемные носители
Использование внешних устройств и съемных носителей
Назначенные на сотрудников права доступа к файлам и внешним устройствам
Анализ активности персонала по рабочим часам и дням
Категории данных, копируемых сотрудниками (exe-файлы, документы, xls-файлы, видеофайлы, логи и т.д.), на внешние носители
Попытки доступа к запрещенным устройствам и файлам
На уровне сетевых каталогов:
Наиболее популярные классы устройств (сетевые папки, облачные хранилища, терминальные диски)
Статистика использования сотрудниками и отделами использования сетевых каталогов
Анализ активности персонала по рабочим часам и дням
Категории данных, копируемых сотрудниками в сетевые каталоги (exe-файлы, документы, xls-файлы, видеофайлы, логи и т.д.)
На уровне приложений:
Статистика запуска и использования приложений
Наиболее популярные приложения в разрезе конкретного сотрудника или отдела
Фоновая и активная работа приложений на компьютерах сотрудников
Категорирование приложений (например, рабочие и нерабочие приложения)
Возможность удаления программы или приложения прямо в консоли
На уровне сети интернет:
Посещение сотрудниками различных категорий сайтов
Активность сотрудников в сети Интернет по рабочим часам или дням
Статистика фонового и активного использования Интернет-ресурсов
Система защиты InfoWatch EndPoint Security
Разграничение доступа сотрудников к важной информации
В процессе работы сотрудники активно пользуются съемными носителями, флешками, планшетами, смартфонами и другими коммуникационными устройствами – всё это несет серьезный риск того, что сотрудники скопируют и используют в личных целях важную для компании информацию.
InfoWatch EndPoint Security обеспечивает контроль доступа к устройствам, портам, сетевым интерфейсам, сетевым каталогам и облачным хранилищам.
Продукт предлагает множество возможностей для управления правами доступа:
по списку разрешенных классов носителей;
по разрешенным моделям устройств (в таком случае разрешается доступ лишь к тем моделям устройств, которые находятся в разрешенном списке, доступ к остальным запрещен);
по серийному номеру устройства (в таком случае разрешается доступ к устройствам с определенным серийным номером независимо от прав пользователя);
по списку разрешенных беспроводных сетей (можно запретить доступ к Wi-Fi сетям, не входящим в список разрешенных).
Контроль информации во время ее копирования, хранения и использования в облачных хранилищах
Небольшие компании активно пользуются «облаками» для обмена и хранения данных, однако лишь малая доля таких компаний задумывается о защите информации, отправляемой в «облако».
InfoWatch EndPoint Security отслеживает все файлы, отправляемые сотрудниками в Dropbox, SkyDrive, GoogleDrive, ЯндексДиск, BoxSync, а также регулирует эти процессы, запрещая или разрешая перемещение документов по определенному типу и формату данных.
Возможности InfoWatch EndPoint Security позволяют обмениваться файлами через облачные хранилища и не беспокоиться о безопасности информации.
Защита информации от кражи при потере ноутбуков и флешек
Съемные носители и ноутбуки – наиболее уязвимое звено в корпоративной инфраструктуре компании, поскольку сотрудники их часто теряют или «забывают».
InfoWatch EndPoint Security предлагает простой и удобный способ защитить информацию, зашифровав данные. Включив функцию шифрования в InfoWatch EndPoint Security, можно значительно повысить безопасность хранимой информации:
никто из посторонних людей не сможет прочитать данные;
потеря или кража устройства не повлечет за собой утечку информации;
все данные автоматически шифруются сразу при их создании, не мешая сотрудникам и не требуя дополнительных временных затрат (прозрачное шифрование).
Продукт может шифровать информацию на ноутбуках, ПК, внешних устройствах, каталогах облачных хранилищ.
Шифрование данных происходит в фоновом режиме и абсолютно прозрачно незаметно для сотрудников.
Шифрование в InfoWatch EndPoint Security может осуществляться как по инициативе сотрудника, так и в принудительном порядке системным администратором. С помощью функции мобильного шифрования InfoWatch EndPoint Security обеспечивает безопасную работу с данными, когда сотрудники находятся вне офиса.
Управление запуском приложений
Игры, фильмы, музыка и другой развлекательный контент… Вы уверены, что сотрудники компании не смотрят сейчас новый фильм на рабочем месте? Не играют в игры? Как это отслеживается в вашей компании?
InfoWatch EndPoint Security позволяет управлять запуском приложений и контролировать доступ к ним сотрудников с помощью разрешенного (белого) или запрещенного (черного) списков. Это гарантирует, что никакая запрещенная программа или файл не будут установлены или запущены в рабочее время на компьютере предприятия.
Система управления энергопитанием. Позволяет настроить возможность отключать неиспользуемые компьютеры по расписанию или заданным параметрам, понижать их энергопотребление при простое, а также классифицировать включение компьютеров во внерабочее время как инцидент.
Уничтожение данных. Администратор может настроить регулярное безвозвратное уничтожение данных в корзине и временных директориях пользователей, а также дать им возможность безвозвратно удалять любые файлы и папки самостоятельно. Механизм предусматривает 5 возможных методов безвозвратного удаления информации, от наименее ресурсоемких, до самых надежных.
Система отчетов. Отчеты позволяют просматривать журналы событий, назначения и изменения прав пользователей, использования внешних устройств, активности компьютеров, состояние самой системы, протоколы действий пользователей с внешними устройствами, и даже узнать экономию в деньгах и объемах выбросов CO2 благодаря управлению электропитанием компьютеров.
Преимущества InfoWatch EndPoint Security
Руководителю
Оптимизация работы персонала и укрепление дисциплины
Возможности для расследования причин нарушений дисциплины и невыполнения обязательств со стороны сотрудников
Экономия ресурсов и денежных средств на закупках оборудования, ПО, найме дополнительного ИТ-персонала, а также благодаря функционалу Green IT
ИТ-отделу и системному администратору
Комплексная диагностика ИТ-инфраструктуры и используемых ресурсов компании
Контроль использования закупленных программ и бизнес-приложений
Экономия на закупках программ и бизнес-приложений
Службе информационной безопасности
Автоматизация правил информационной безопасности и регламентов работы с корпоративной информацией
Целостная картина ИТ и ИБ-ситуации в компании
Гибкое управление настройками политик безопасности в компании и своевременная реакция на их нарушения
HR-Специалисту
Выявление сотрудников, занимающихся в рабочее время поиском работы
Контроль персонала, который отлынивает от выполнения своих должностных обязанностей, и своевременная реакция в отношении таких сотрудников
5 причин установить продукт прямо сейчас
Установка и настройка решения за 15 минут
Все необходимые функции в одном продукте
Модульная структура – выбирайте и платите только за нужные функции
Гарда БД предназначена для защиты разнородных баз данных в единой системе управления:
Гарда БД обеспечивает тотальную защиту баз данных и бизнес-приложений из единого интерфейса
Многоуровневый анализ сетевого трафика выявит неконтролируемые базы данных, уязвимости в комплексе СУБД и подозрительные действия пользователей баз данных
Интеллектуальная система отчетности сделает расследование инцидентов простым и быстрым
Профессиональный подход к защите баз данных
Повышение уровня защищенности баз данных и веб-приложений
Оповещение о попытках доступа (неудачные авторизации к базам данных, ошибки доступа)
Сканирование и выявление уязвимостей СУБД
Обеспечение соответствия требованиям законодательства, отраслевых стандартов и международных соглашений (СТО БР ИББС, PCI DSS, 152-ФЗ, 161-ФЗ, П-1119, 382-П, Basel ll, SOX и пр.)
Контроль администраторов и привилегированных пользователей
Хранение всех запросов и ответов баз данных для ретроспективного анализа
Поведенческий анализ — выявление аномальных и подозрительных событий в реальном времени
Аналитические возможности
Защита баз данных
Система автоматически находит новые БД, не стоящие на контроле, и классифицирует их по типу хранимых данных (например, выявляет персональные данные).
На основе типа данных «Гарда БД» автоматически сформирует политики ИБ для новой базы данных.
Всегда актуальный перечень СУБД компании.
Обнаружение новых БД (создание новых ИС/АС).
Выявление открытия новых портов, изменения IP-адресов СУБД.
Сканирование на уязвимости
Тесты уязвимости определяют:
Местонахождение критичной информации;
Незаблокированные учетные записи;
Неустановленные обновления;
Учетные записи с простыми паролями;
Матрицу доступа к базам данных;
Активность системных учетных записей других приложений;
Атаки по подбору учетных записей или названий таблиц.
Выявление и расследование инцидентов
Встроенные средства аналитики позволяют выявлять отклонения в обычных сценариях работы пользователей БД и предоставляют наглядные статистические отчеты.
Интерактивная отчётность.
Конструктор отчётов с возможностью анализа
любого объёма данных за любой промежуток времени.
Возможность создания индивидуального дашборда.
Поведенческий анализ пользователей БД (UBA).
Уведомление о нарушениях по электронной почте.
Поведенческий анализ
Автоматическое построение профилей пользователей каждой защищаемой системы.
Выявление аномалий
Нетипичное поведение для данного пользователя (чужие IP, нестандартные таблицы, и т.д);
Статистические аномалии;
Большое количество запросов;
Большие выгрузки;
Много неуспешных авторизаций
Функциональные возможности
Регулярное сканирование баз данных для обнаружения конфиденциальной информации
Интеллектуальное хранилище для архивирования и анализа запросов за любой период
Построение статистических профилей всех пользователей и выявление аномалий в реальном времени
Более 70 предустановленных шаблонов для выявления инцидентов
Полный контроль сетевых потоков данных на предприятии
Анализ сетевых уязвимостей, выявление причин и последствий компьютерных атак, ликвидация подозрительных активностей в сети организации, – на все это вы можете затратить недели и даже месяцы, и не получить результата.
Расследование инцидентов с Гардой Монитор заменяет месяцы ручной работы на считанные часы и даже минуты. Запись всего трафика и возможность декодирования сообщений позволяет выявить причины аномалии и просмотреть каждый этап сетевой активности.
Внедрение системы мониторинга сетевого трафика помогает выявлять угрозы, которым удалось проникнуть из открытой сети за выстроенный периметр безопасности.
Гарда Монитор – программно-аппаратный комплекс класса сетевой форензики (Network forensics) для расследования сетевых инцидентов. Система ведет сбор данных о соединениях и объектах, выявляет различные признаки присутствия вредоносного ПО в сетевом трафике.
Система выявляет аномалии на уровне сетевых взаимодействий через анализ потоков поступающих данных. Производит профилирование трафика для каждого сетевого хоста через мониторинг трафика сети для выявления отклонений от «нормального» профиля.
Принцип работы Гарды Монитор
Перехват данных со скоростью 10 Гбит/с. Хранение свыше 100 Tb трафика. Быстрый поиск по накопленному архиву.
Контроль сетевых каналов на соответствие потоков данных политикам безопасности, включая анализ текстовой информации.
Многоуровневые отчеты и гибкая система фильтров для удобства расследования
Профессиональный подход к сетевой форензике
Мониторинг трафика сети крупных предприятий
Работа центров по мониторингу и реагированию на инциденты
Компьютерная криминалистика
Преимущества решения
Высокая производительность: анализ трафика со скоростью 10 Гбит/с на модуль, хранение более 100 Tб данных
Неограниченный объем записи трафика и оперативный доступ к данным за любой период времени
Библиотека предустановленных политик для выявления инцидентов и возможность настроить свои политики для оперативного контроля трафика в режиме реального времени
Интерактивные отчеты и понятная аналитика входящего и исходящего трафика, статистика инцидентов
Zecurion SWG предназначен для контроля посещений сайтов и использования веб-приложений. Система обеспечивает высокоточную фильтрацию веб-ресурсов —в базе данных Zecurion SWG содержится более 500 млн URL и более 100 категорий сайтов, в т. ч. опасных или нежелательных. Также система проводит с помощью специальных технологий морфологический анализ на наличие слов и словосочетаний. Все параметры запросов сохраняются в архив данных и в дальнейшем могут быть просмотрены, отфильтрованы и проанализированы с помощью веб-интерфейса.
Система также блокирует передачу конфиденциальных данных при совместной работе с Zecurion DLP. Системы в связке анализируют содержимое пересылаемых сообщений и файлов на предмет наличия в них конфиденциальных данных, а в случае обнаружения нарушения политик безопасности блокируют передачу данных.
Преимущества
Система позволяет контролировать потребление входящего и исходящего интернет-трафика, ограничивать доступ пользователей к веб-ресурсам и получать детализированные отчёты по подключениям.
Система интегрирована с Microsoft Active Directory.
Высокая производительность Zecurion SWG позволяет работать в сетях любого масштаба. Управление Zecurion SWG осуществляется через удобную веб-консоль, единую для всех продуктов Zecurion.
Расширенный модуль отчётности в Zecurion SWG позволяет создавать и изучать отчёты с любым уровнем детализации и разной формой представления данных.
Zecurion SWG тесно интегрируется с Zecurion DLP для предотвращения утечек данных по более чем 100 локальным и сетевым каналам.
Схема работы Zecurion SWG
Полный контроль и управление трафиком
В состав Zecurion SWG входит полнофункциональный прокси-сервер, который помогает решать следующие задачи:
Решение задач:
анализ запросов пользователей и загружаемых сайтов;;
блокировка нежелательных интернет-ресурсов в зависимости от политик;
поддержка всех необходимых протоколов (включая HTTP, HTTPs, FTP over HTTP);
оптимизация трафика для эффективной работы организации;
создание гранулярных политик для пользователей и групп.
Kaspersky Security для систем хранения данных обеспечивает IT-безопасность сетевых устройств хранения данных (NAS).
Высокая производительность
Новейшее антивирусное ядро «Лаборатории Касперского», технологии оптимизации проверки и гибкая система исключений из проверки обеспечивают максимальную производительность защитного решения.
Надежная защита
Автоматический перезапуск Kaspersky Security для систем хранения данных в случае принудительного завершения его работы обеспечивает устойчивую защиту вашей инфраструктуры от вредоносного ПО и надежную защиту всех файловых операций на сетевом устройстве хранения данных.
Простое управление
Данное решение спроектировано для удобства использования и поддерживает удаленную установку. Удаленная установка, настройка и управление, включая отправку уведомлений, обновление и гибкую систему отчетов, осуществляется через консоль Kaspersky Security Center с простым, интуитивно понятным интерфейсом. Работой решения можно также управлять в режиме командной строки.
Регулярное обновление баз
Обновление антивирусных баз происходит автоматически, обеспечивая актуальную защиту и избавляя вас от рутинной работы.
Возможности
Поддержка основных платформ хранения данных
Приложение Kaspersky Security для систем хранения данных эффективно защищает сетевые устройства хранения данных (NAS), производимые компаниями EMC, NetApp, Dell, Hitachi, Oracle и IBM, а также другие хранилища, обеспечивающие полную поддержку протокола ICAP или RPC.
Постоянная антивирусная защита и проверка по требованию
Файл автоматически проверяется при каждом его открытии или изменении. При этом система защиты лечит обнаруженные подозрительные объекты или удаляет их, помещая в карантин для дальнейшего анализа.
Облачная защита
Kaspersky Security Network (KSN) – комплексная распределенная инфраструктура, предназначенная для обработки потоков данных о событиях IT-безопасности, поступающих в режиме реального времени от миллионов добровольных участников по всему миру. KSN обменивается информацией непосредственно с установленным на вашем хранилище решением Kaspersky Security для систем хранения данных. Это позволяет обеспечить максимально возможный уровень защиты благодаря обнаружению и практически моментальному реагированию на известные и неизвестные угрозы, включая угрозы нулевого дня, при минимальном уровне ложных срабатываний.
Проактивная защита от вредоносных программ
Новейшее антивирусное ядро «Лаборатории Касперского обеспечивает максимально возможный уровень защиты систем хранения данных от вредоносного ПО с помощью передовых методов, включая эвристический анализ.
Резервные копии подозрительных объектов
При обнаружении подозрительного объекта он помещается в карантин, а копия оригинального файла создается в хранилище резервных копий до того, как над объектом будут произведены какие-либо действия.
Гибкие настройки проверки
Гибкие настройки проверки позволяют оптимизировать нагрузку на серверы и обеспечить гибкое управление безопасностью корпоративной сети. Доступно множество настроек проверки, включая:
Настройку глубины антивирусной проверки
Определение типов файлов, которые следует проверять всегда
Определение типов файлов, которые следует всегда исключать из проверки
Удобная консоль централизованного управления
В состав Kaspersky Security для систем хранения данных входит Kaspersky Security Center – консоль централизованного управления с поддержкой удаленной установки и настройки продукта, которая облегчает управление работой решения, обновлениями и уведомлениями.
Выбор инструментов управления
Решением Kaspersky Security для систем хранения данных можно управлять напрямую или удаленно через Microsoft Management Console или консоль Kaspersky Security Center, а также используя командную строку. Консоль предоставляет возможность формирования наглядных отчетов о статусе защиты оборудования NAS.
Разграничение прав администраторов
Каждому администратору сервера предоставляется определенный уровень полномочий, чтобы обеспечить соответствие конкретным требованиям безопасности.
Система уведомлений
Решение содержит обширный перечень событий, о которых администраторам может быть отправлено уведомление средствами службы сообщений или по электронной почте. Kaspersky Security для систем хранения данных поддерживает также протокол Simple Network Management Protocol (SNMP).
Гибкая система отчетов
Администраторы могут контролировать работу продукта, используя наглядные отчеты, а также просматривая журнал событий Microsoft Windows или Kaspersky Security Center. Система отчетов снабжена инструментами поиска и фильтрами, что позволяет быстро находить нужную информацию в журналах большого объема.
Виртуализация необходима любой современной компании, стремящейся вести бизнес гибко и эффективно. Использование облачных технологий – следующий логический шаг. Оно позволяет избежать ограничений, связанных с поддержкой сложной IT-инфраструктуры, и предлагает ранее недоступный уровень эффективности. Однако применение облаков также может иметь негативные стороны и представлять риски – как новые, так и унаследованные от физических систем.
Одна лицензия, одна консоль, различные виды облаков
Одна лицензия позволяет обеспечить защиту всех ваших виртуальных и облачных ресурсов, независимо от того, где они размещены. Управление безопасностью различных видов облаков и других компонентов вашей гибридной инфраструктуры осуществляется из единой консоли.
Признанные технологии защиты
Решение обеспечивает высочайший уровень безопасности виртуальных и публичных облачных сред, который высоко оценивают наши клиенты и независимые агентства. В Kaspersky Security для виртуальных и облачных сред используются как специализированные, так и хорошо проверенные в других продуктах «Лаборатории Касперского» передовые технологии защиты.
Многоуровневая защита, оптимизация для высоких нагрузок
В Kaspersky Security для виртуальных и облачных сред реализованы самые передовые технологии защиты для эффективной борьбы с наиболее сложными, ранее неизвестными угрозами. В основе этих технологий лежит наш 20-летний опыт борьбы с киберугрозами и 10-летний опыт применения методов машинного обучения, а также обширные постоянно обновляемые базы, которые содержат сведения об угрозах, поступающие с компьютеров клиентов «Лаборатории Касперского» по всему миру.
При этом все приложения в составе решения оптимизированы для защиты виртуальных и облачных сред и учитывают все особенности их работы. Это позволяет сохранить такие важные преимущества виртуальных сред, как эффективность и гибкость, без ущерба для их безопасности и производительности.
Усиленная защита для повышения общего уровня безопасности
Kaspersky Security для виртуальных и облачных сред предлагает не только эффективное обнаружение угроз нового поколения, но также дополнительные уровни проактивной защиты. Применение сценария «Запрет по умолчанию» позволяет ограничить несанкционированное использование приложений и периферийных устройств. Он также отслеживает и блокирует любые попытки внести несанкционированные изменения в критически важные компоненты системы и приложения.
Защита без границ для физических, виртуальных и облачных систем
Безопасность ваших облачных ресурсов
Независимо от того, сразу вы размещаете свои ресурсы в облаке или переводите в него уже существующие системы, Kaspersky Security для виртуальных и облачных сред обеспечивает их безопасность без снижения производительности.
Многоуровневая защита гибридных сред
Решение осуществляет многоуровневую защиту всех виртуальных ресурсов – как серверов, так и рабочих станций – от всех видов современных киберугроз, независимо от их источника, распространенности и сложности.
Максимальная безопасность без снижения производительности
Решение Kaspersky Security для виртуальных и облачных сред учитывает особенности работы серверов, оказывает минимальное влияние на производительность защищаемых систем и не нуждается в ресурсоемком обслуживании.
Эффективная защита различных облачных систем
Решение обеспечивает безопасность ваших облачных сред независимо от вида облака (частное или публичное) и провайдера облачных сервисов, услуги которого вы используете. Защита легко масштабируется в соответствии с вашими потребностями .
Единая консоль для управления всеми ресурсами
Управление всеми вашими ресурсами – физическими, виртуальными и облачными – из единой консоли обеспечивает максимальный уровень контроля, снижает нагрузку на администраторов и в конечном счете сокращает ваши расходы на обеспечение безопасности.
Больше тестов. Больше наград. Больше защиты
Мы не просим вас верить нам на слово. На протяжении последних лет наши продукты участвовали в независимых тестах и обзорах (и получали первые места) чаще, чем решения других производителей.
Совместимость и поддержка различного серверного ПО
Продукт защищает файловые серверы под управлением Windows, Linux и Free BSD.
Оптимальное использование ресурсов и высокая производительность
Эффективное антивирусное ядро, распределение нагрузки на ресурсы сервера, технологии оптимизации антивирусного сканирования и возможности настройки исключений из проверки повышают производительность продукта и снижают суммарную нагрузку на сервер.
Стабильная и надежная защита
Автоматический перезапуск компонентов продукта в случае принудительного завершения его работы или программного сбоя обеспечивает стабильность системы защиты, в то время как система диагностики позволяет установить причину сбоя.
Возможности
Поддержка многоплатформенных сред
Kaspersky Security для файловых серверов защищает серверы, работающие под управлением систем Citrix и Microsoft, а также может запускаться на кластерах серверов. Это обеспечивает удобное администрирование и совместимость аппаратного и программного обеспечения для компаний, стремящихся свести к минимуму затраты и оптимизировать использование ресурсов.
Поддержка виртуализированных сред
Многие программы в составе продукта имеют сертификат VMware Ready, подтверждающий его эффективную работу в виртуализированных средах.
Состав продукта
Kaspersky Endpoint Security для Windows (для файловых серверов)
Kaspersky Security для Windows Server
Антивирус Касперского для Linux File Server
Kaspersky Security Center
Многие программы в составе продукта имеют сертификат VMware Ready, подтверждающий его эффективную работу в виртуализированных средах.
Новое мощное антивирусное ядро, технологии оптимизации сканирования и распределение нагрузки позволяют повысить производительность продукта и снизить потребление системных ресурсов.
Защита в режиме реального времени
Регулярные обновления антивирусных баз обеспечивают надежную бесперебойную защиту как от известных, так и от вновь возникающих угроз.
Возможности
Защита шлюзов на базе Linux
Kaspersky Security для интернет-шлюзов защищает наиболее распространенные интернет-шлюзы на базе Linux.
Поддержка работы в виртуализированной среде
Kaspersky Security для интернет-шлюзов поддерживает работу в виртуализированных средах, что подтверждается сертификатом VMware Ready.
Надежность
Автоматический перезапуск Kaspersky Security для интернет-шлюзов в случае принудительного завершения его работы или программного сбоя обеспечивает стабильность системы защиты, в то время как система диагностики позволяет установить причину сбоя.
Интеллектуальные технологии фильтрации нежелательных электронных сообщений (спама) позволяют значительно сократить объем входящего трафика.
Высокая производительность
Новое антивирусное ядро, оптимизация использования системных ресурсов и возможность исключения заданных объектов из сканирования повышают производительность решения при одновременном снижении объема потребляемых ресурсов, что способствует обеспечению бесперебойной работы и эффективности бизнес-процессов компании.
Надежность
Автоматический перезапуск Kaspersky Security для почтовых серверов в случае принудительного завершения его работы или программного сбоя обеспечивает стабильность системы защиты, в то время как система диагностики позволяет установить причину сбоя.
Возможности
Простота управления
Благодаря простым и удобным в использовании инструментам управления, подробным сведениям и наглядным отчетам о состоянии защиты почтовых серверов, а также гибким настройкам проверки администратор может эффективно управлять безопасностью корпоративной почты и системы документооборота компании.
Регулярное обновление антивирусных баз
Регулярное обновление антивирусных и антиспам-баз обеспечивает эффективную защиту корпоративной почты и системы документооборота компании от новейших вредоносных программ и спама при минимальной нагрузке на системные ресурсы.
Надежная и эффективная защита
Надежность и высокая производительность Kaspersky Security для почтовых серверов помогают минимизировать нагрузку на внутренние бизнес-процессы.
Поддержка виртуализации
Сертификат VMware Ready подтверждает надежную работу Kaspersky Security для почтовых серверов в виртуальных средах.
Эффективная техническая поддержка
«Лаборатория Касперского» предлагает своим пользователям эффективную и доступную техническую поддержку круглосуточно и без выходных. Для корпоративных пользователей предусмотрены расширенные программы обслуживания, которые включают дополнительные услуги по поддержке бизнес-клиентов.
Как и почтовый сервер, шлюз это просто сервис, размещающийся на обычном сервере. Поэтому, если используемой операционной системой является Windows, кроме защиты шлюза сети Интернет требуется обеспечить и защиту самого сервера, то есть приобрести два продукта:
Dr.Web Server Security Suite (программный продукт Dr.Web для файловых серверов Windows);
Dr.Web Gateway Security Suite (программный продукт Dr.Web для интернет-шлюзов Kerio или Dr.Web для Microsoft ISA Server и Forefront TMG).
Отсутствие такой защиты позволяет злоумышленникам скомпрометировать сеть компании.
Возможности
Антивирусная проверка FTP- и HTTP-трафика
Фильтрация доступа по MIME-типу и размеру файлов или по названию хоста
Регулирование доступа к веб-ресурсам
Оптимизация проверки трафика за счет использования технологии Preview
Работа как с протоколом IPv4, так и с протоколом следующего поколения IPv6
Проверка и применение различных действий в зависимости от типов проверяемых файлов
Изоляция зараженных объектов в карантине
Предоставление отчетности в удобном виде
Обработка нескольких запросов в ходе одного соединения
Защита от несанкционированного доступа
Мониторинг и автоматическое восстановление работы системы
Оповещение пользователя о попытках загрузки вредоносной страницы или об обнаружении вируса
Dr.Web для интернет-шлюзов Kerio
Dr.Web для интернет-шлюзов Kerio подключается к межсетевому экрану Kerio и обеспечивает надежную защиту сетевого трафика от всех видов вредоносного программного обеспечения.
Преимущества
Надежная защита доступа в Интернет как для частных пользователей, так и для компаний любого размера и рода деятельности
Удобное управление из консоли администрирования Kerio
Возможность работы в режиме централизованной защиты при помощи Центра управления Dr.Web Enterprise Security Suite*
Минимальное время проверки и повышенная надежность продукта за счет использования технологии многопоточной проверки
Возможности
Детектирование вредоносных объектов, передаваемых по протоколам HTTP, FTP, SMTP и POP3, а также посредством веб-сервиса Kerio Clientless SSL VPN*
Детектирование инфицированных вложений в электронных письмах до их обработки почтовым сервером
Формирование списка проверяемых протоколов обмена данными
Возможность выбора действий для файлов, не поддающихся проверке
Сканирование с возможностью настройки параметров: выбор максимального размера*, типов проверяемых объектов, способов обработки инфицированных файлов
Применение действий к обнаруженным угрозам согласно настройкам Kerio
Регистрация ошибок и происходящих событий
Возможность получать сообщения обо всех вирусных инцидентах как через почтовые уведомления, так и через СМС
Автоматические обновления вирусных баз
Dr.Web для Qbik WinGate
Антивирусная и антиспам-проверка почтовых сообщений, передаваемых по протоколам SMTP и POP3, включая проверку вложенных файлов.
Антивирусная проверка файлов и данных, передаваемых по протоколам HTTP и FTP.
Лечение инфицированных файлов, передаваемых по протоколу HTTP.
Возможность сформировать список проверяемых протоколов обмена данными.
Настраиваемые параметры сканирования: максимальный размер и типы проверяемых объектов, способы обработки инфицированных объектов.
Возможность включения/отключения детектирования вредоносных программ (по их типам). При обнаружении угроз безопасности к ним применяются действия согласно настройкам Qbik.
Возможность выбора действий для файлов, не поддающихся проверке.
Детектирование вредоносных объектов в многократно заархивированных файлах.
Наличие эффективного и компактного модуля антиспама, что выгодно выделяет Dr.Web для Qbik WinGate среди конкурирующих продуктов.
Антиспам не требует обучения и позволяет задавать различные действия для разных категорий спама.
Черные и белые списки электронных адресов.
Возможность выбора действий для различных видов спама, включая перемещение в карантин и добавление префикса к теме письма.
Регистрация ошибок и происходящих событий в журнале регистрации событий (Event Log). В журналы заносится информация о параметрах модулей, сообщения об обнаружении вирусов для каждого зараженного письма и для каждого вируса в отдельности (русский и английский языки сообщений).
Изоляция инфицированных файлов в собственном карантине плагина и/или карантине WinGate.
Возможность просмотра карантина, восстановления и / или пересылки сохраненных в нем файлов.
Сохранение в карантине резервных копий вылеченных файлов.
Собственная панель управления и менеджер карантина.
Автоматические обновления вирусных баз.
Dr.Web для Microsoft ISA Server и Forefront TMG
Большие возможности по установке и тонкой настройке в зависимости от потребностей компании.
Возможность работы на серверах любой конфигурации – в том числе с малым количеством оперативной памяти.
Защита как реальных, так и виртуальных серверов.
Использование технологий многопоточной проверки и динамического анализа необходимых ресурсов, что обеспечивает высокую скорость проверки трафика при минимальной нагрузке на операционную систему.
Встроенный антиспам, не требующий обучения (действует с момента установки), обеспечивающий снижение нагрузки на сервер и увеличение производительности труда сотрудников компании.
Блокировка доступа к различным интернет-ресурсам и возможность фильтрации по типам файлов, что позволяет компании исключить проникновение вирусов с заведомо вредоносных ресурсов и уменьшить объем трафика.
Уникальные технологии обнаружения неизвестных (новейших) упаковщиков и вредоносных объектов.
Удобная система обновлений.
Исчерпывающая документация на русском языке.
Dr.Web для MIMEsweeper
Dr.Web для MIMEsweeper устанавливается на те же компьютеры, что и контентный фильтр MIMEsweeper, и выполняет сценарий фильтрации первого типа, рекомендованный компанией ClearSwift.
Продукт подключается к MIMEsweeper в качестве антивирусной и антиспам-политики проверки содержимого почтовых сообщений и осуществляет фильтрацию почты от вирусов, спама и прочей нежелательной корреспонденции. При обнаружении угроз Dr.Web для MIMEsweeper классифицирует нежелательную почту согласно назначенным политикам ClearSwift MIMEsweeper и обезвреживает обнаруженные вредоносные объекты.
Возможность использования в организациях, требующих повышенного уровня безопасности – продукт полностью отвечает требованиям российского законодательства и обладает сертификатами соответствия ФСТЭК России и ФСБ.
Большие возможности по установке и тонкой настройке в зависимости от потребностей компании.
Высокая скорость сканирования при минимальной нагрузке на операционную систему, что позволяет Dr.Web идеально функционировать на серверах практически любой конфигурации.
Встроенный антиспам, не требующий обучения (действует с момента установки), который существенно снижает нагрузку на сервер и увеличивает производительность труда сотрудников компании.
Возможность фильтрации по черным и белым спискам, что позволяет как исключать из проверки определенные адреса, так и увеличивать ее эффективность.
Возможность фильтрации по типам файлов, что позволяет компании уменьшить объем трафика.
Наличие механизма группирования, что позволяет задавать различные параметры для разных групп сотрудников, а следовательно – существенно сокращает введение системы антивирусной защиты в строй и упрощает сопровождение продукта.
Гибкое конфигурирование параметров защиты приложения через браузер в удобном для пользователя режиме при помощи веб-консоли администратора.
Высокая производительность и стабильность работы благодаря функции многопоточной проверки.
Уникальные технологии обнаружения неизвестных (новейших) упаковщиков и вредоносных объектов.
Полностью автоматизированный запуск приложения (при старте системы).
Удобная система обновлений при помощи штатного планировщика Windows.
Исчерпывающая документация на русском языке.
Dr.Web для IBM Lotus Domino
Минимальная совокупная стоимость
Dr.Web для IBM Lotus Domino работает не только на отдельно стоящих серверах, но и на partitions-серверах и кластерах Lotus Domino. Копии антивирусов на разных разделах действуют в памяти компьютера автономно, используя общие базы и исполняемые файлы. В этом случае лицензировать необходимо только одну копию, что существенно снижает затраты на антивирусную защиту.
Ready for IBM Lotus software
Dr.Web для IBM Lotus Domino внесен в каталог решений IBM Lotus Business Solutions Catalog и имеет знак Ready for IBM Lotus software. Этот знак подтверждает совместимость продукта c системой Lotus Domino и свидетельствует о выполнении всех требований на соответствие IBM.
Исключительная вирусоустойчивость
Продукт может быть установлен на уже инфицированный сервер Lotus Domino и способен вылечить его без помощи дополнительных утилит. Все почтовые и другие базы данных могут сканироваться по требованию немедленно после установки. Для повышения надежности такого сканирования предусмотрена возможность заблаговременного обновления вирусных баз, что позволяет повысить актуальность средств защиты.
Высокая скорость сканирования
Организация системы Dr.Web для IBM Lotus Domino, особая реализация метода проверки и возможность гибко управлять этим процессом позволили добиться высокой скорости сканирования при малом потреблении системных ресурсов. Благодаря функции многопоточной проверки антивирус способен обрабатывать одновременно большой объем почтовых сообщений. Это преимущество позволяет Dr.Web идеально функционировать на серверах практически любой конфигурации.
Простота установки и гибкость настроек
Предусмотрено автоматизированное и легко контролируемое развертывание Dr.Web для IBM Lotus Domino. Программа поддерживает административные скрипты и имеет подробную документацию. Удобство управления комплексом обеспечивается благодаря возможности гибкого конфигурирования через консоль администратора. Средства «тонкой» настройки алгоритмов действий антивируса по результатам проверки позволяют отсылать уведомления об обнаруженных вирусах отправителю, получателям и администраторам системы, сохранять заголовки полученных почтовых сообщений и вложения к ним и т.д.
Удобство администрирования
Механизм группирования и управление группами значительно упрощают администрирование антивирусной защиты. Для каждой группы могут быть заданы индивидуальные установки. Также одни и те же установки могут быть заданы для нескольких групп при помощи редактирования соответствующего профиля.
Эффективная фильтрация почтового «мусора» без необходимости обучения антиспама
Встроенный антиспам существенно снижает нагрузку на сервер и увеличивает производительность труда сотрудников компании. Механизм черных и белых списков адресов позволяет исключать из проверки определенные адреса и увеличивать эффективность фильтрации.
Dr.Web для почтовых серверов Unix
Соответствие требованиям российского законодательства
Возможность гибкой настройки под потребности пользователей
Нетребовательность к квалификации администратора
Нетребовательность к системе
Минимальная совокупная стоимость
Отличная масштабируемость
Высокая скорость отклика
Эффективная фильтрация нежелательных сообщений
Повышенная безопасность корпоративной почты
Защита конфиденциальной информации
Гарантированная доставка почты
Удобство администрирования
Dr.Web для почтовых серверов Kerio
Приложение подключается к почтовому серверу Kerio и проверяет файловые вложения всех входящих и исходящих электронных сообщений.
Преимущества
Прекрасная совместимость с почтовыми серверами Kerio, подтвержденная тестированиями Kerio Technologies
Возможность работы в режиме централизованной защиты при помощи Центра управления Dr.Web Enterprise Security Suite
Dr.Web – единственный на сегодняшний день российский антивирусный плагин для почтовых серверов Kerio, что особенно важно при поставке продукта государственным предприятиям
Локализованная поддержка пользователей, в России – на русском языке
Минимальное время доставки сообщений и повышенная надежность продукта за счет использования технологии многопоточной проверки
Щадящие системные требования и отсутствие нагрузки на локальную сеть
Гибкая клиентоориентированная система настройки: выбор объектов проверки и действий с обнаруженными вирусами или подозрительными файлами
Возможность выбора действий для файлов, не поддающихся проверке
Удобное управление из консоли администрирования почтового сервера Kerio
Серьезный бизнес в наши дни сложно представить без современного программного обеспечения. Однако с ростом количества программ растет и количество уязвимостей. В ходе исследований компании Positive Technologies выяснилось, что в 2014 году внешний нарушитель из интернета был способен получить доступ к узлам внутренней сети 87 % крупных компаний, хотя в 2011—2012 годах это было возможно лишь в 74 % систем. При этом большинство уязвимостей можно выявить задолго до атаки, а изучение исходного кода приложений позволяет обнаружить в 10 раз больше критически опасных уязвимостей, чем тестирование систем без анализа кода.
Последние нормативы регулирующих организаций, таких как Банк России, ФСТЭК и PCI Council, в области безопасности платежных приложений, государственных информационных систем и систем персональных данных требуют выявления и устранения уязвимостей. Решение этих задач в организациях, использующих сотни копий различного ПО, невозможно без автоматизации. Однако предлагавшиеся до сих пор решения имеют ряд недостатков:
Инструменты статического анализа показывают не конкретные проблемы безопасности, а ошибки программирования, что приводит к огромному количеству ложных срабатываний и дополнительным трудозатратам на проверку.
Ряд уязвимостей невозможно определить методом статического анализа кода (SAST), поскольку эти уязвимости проявляются только во время исполнения программ.
Метод динамического анализа (DAST) требует развертывания систем, что в случае масштабных корпоративных приложений ведет к дополнительным расходам. Этим методом нельзя выявить уязвимости на этапе разработки, зато можно привести к сбою уже работающее приложение. DAST требует очень много времени на тесты, но при этом покрывает лишь 30 % кода.
Где применяется PT Application Inspector?
PT Application Inspector может использоваться для обеспечения безопасности приложений любых масштабов — от корпоративного сайта до облачных сервисов и систем электронного правительства.
Банки и финансовые учреждения
Банки используют множество критически важных приложений, которые используются как клиентами, так и их партнерами (ДБО, CRM, приложения для трейдинга). Зачастую в подобных приложениях существуют уязвимости высокой степени риска, связанные с ошибками в коде, недостатками конфигурации. Внесение изменений в крупные системы управления финансовой деятельностью иногда требует больших временных затрат. Непрерывная работа практически не оставляет возможности для установки актуальных обновлений безопасности. Они представляют большой интерес для злоумышленников: на них совершаются автоматизированные и ручные атаки. Происходят также атаки на клиентов банковских приложений.
Сертифицирующие органы
При сертификации защитного ПО испытательные лаборатории должны соблюдать предписания регулирующих организаций. Последние нормативы ФСТЭК обязывают контролировать отсутствие угроз НДВ в ПО («функциональных возможностей средств вычислительной техники, не описанных или не соответствующих описанным в документации, при использовании которых возможно нарушение конфиденциальности, доступности или целостности обрабатываемой информации») и обнаруживать недостатки в защищенности. Вовремя не обнаруженные ошибки кода и конфигурации, слабые механизмы аутентификации и другие внутренние недостатки системы могут быть использованы злоумышленниками.
Инженерные сети и коммуникации
В основе любого современного предприятия лежит ERP-система, при помощи которой осуществляются бухгалтерский учет, управление, контроль поставок и многие другие процессы. Такие системы часто имеют доступ в интернет (например, SRM, CRM и HCM) и связаны через интеграционные шлюзы. Системы часто обслуживаются компаниями-посредниками и контролируются удаленно, а механизмы их защиты ослаблены для упрощения эксплуатации. Разработчики кода бизнес-приложений больше заботятся о функциональности, чем о безопасности. Такие системы часто подвергаются специфической модификации и адаптации к нуждам заказчика. Требования к непрерывности работы подобных систем практически не оставляют возможности для разработки и установки актуальных обновлений безопасности.
Преимущества для разработчиков
Простота и безопасность тестирования
Не нужно устанавливать и настраивать приложение для тестирования, а затем восстанавливать его, как бывает в случае «живых» тестов. Для работы PT Application Inspector достаточно указать каталог, содержащий код приложения или даже часть кода.
Адаптация
PT Application Inspector легко адаптируется к логике работы ваших приложений, поэтому способен выявлять недостатки, характерные для каждого конкретного приложения.
Встроенная база знаний стороннего ПО
PT Application Inspector анализирует элементы сторонних программ (в том числе с открытым кодом), которые используются в ваших приложениях.
Выявление симптомов
PT Application Inspector можно настроить как на поиск самих уязвимостей, так и на поиск признаков уязвимостей, что позволяет предотвратить реализацию скрытых угроз.
Сканировать исходные коды, бинарные и даже исполняемые файлы
Сканировать мобильные приложения по ссылке в App Store, Google Play
Проверять на уязвимости унаследованное ПО
Декомпилировать и деобфусцировать код приложения
Проверять смарт-контракты, написанные на Solidity
Формировать детальные рекомендации по настройке компенсирующих мер на WAF
Solar inCode выбирают, потому что он:
Не требует опыта разработки для работы с системой и имеет интуитивно понятный интерфейс
Предоставляет понятные отчеты на русском языке
Автоматически детектирует язык приложения и без труда понимает программы-полиглоты, написанные на нескольких языках
Формирует детальные рекомендации по настройке компенсирующих мер на WAF
Легко интегрируется в процесс безопасной разработки SDLC
Может работать по модели SaaS или устанавливаться на локальный сервер
Solar inCode – инструмент статического анализа кода, предназначенный для выявления уязвимостей информационной безопасности и недекларированных возможностей (НДВ). Основной отличительной чертой продукта является возможность восстанавливать исходный код приложений из рабочего файла с использованием технологии декомпиляции (обратной инженерии).
Статический анализ кода
Solar inCode позволяет проводить анализ исходного кода, написанного на следующих языках: Java, JavaScript, Scala, PHP, Python, Ruby, HTML5, PL/SQL, T/SQL, Java for Android, Swift, Objective C, С#, C/C++, VB 6.0, Delphi, ABAP, Solidity, Groovy, Kotlin.
Исходный код может загружаться для анализа как простой загрузкой файлов с исходным кодом в сканер, так и напрямую из репозитория.
В случаях, когда исходный код недоступен, можно загрузить в Solar inCode рабочие файлы мобильного или web-приложения. В частности, для мобильных приложений достаточно просто скопировать в сканер ссылку на его страницу в Google Play или Apple Store. Приложение будет автоматически скачано, декомпилировано и проверено.
Динамический и интерактивный анализ кода
Solar inCode 2.2 включает в себя модули динамического и интерактивного анализа (DAST/IAST) с двумя режимами работы – fuzzing-методов и fuzzing-запросов. Совместное использование статического, динамического и интерактивного анализа позволяет добиться более полных результатов проверки на уязвимости, ошибки и закладки в исходном коде приложений.
Поиск потенциальных НДВ
Поиск недекларированных возможностей является нетривиальной задачей, даже если ее решать в «ручном режиме» в идеальных условиях: когда есть исходный код, подробная документация к нему и большое количество времени. В Solar inCode реализован ряд алгоритмов автоматического поиска НДВ. Эти алгоритмы являются нашей собственной базой знаний и постоянно пополняются. Конечно, нельзя утверждать, что сканер сможет выявить все НДВ в приложении. Но, учитывая, что алгоритм поиска автоматизирован, количество выявляемых НДВ достаточно велико.
Проверяя исходный код с помощью Solar inCode, пользователь имеет возможность редактировать правила поиска уязвимостей и отмечать ложные срабатывания. В ходе такого обучения системы удается создавать развитые механизмы выявления ложноположительных срабатываний, а также определять новые типы уязвимостей и недекларированных возможностей.
Рекомендации по настройке наложенных средств защиты
Значительной долей приложений, которые наши клиенты проверяют на наличие уязвимостей, являются web-приложения. Они находятся на рубеже периметра защиты и, как правило, в них обрабатывается важная информация, которая привлекает злоумышленников. Риски достаточно велики, но в ряде случаев для устранения обнаруженной в коде уязвимости разработчики называют неприемлемый срок, например, в несколько месяцев. Это может быть связано как с ресурсными сложностями разработчиков, так и с объективной необходимостью внести большие архитектурные изменения в код приложения. Определенное количество опасных уязвимостей можно закрыть наложенными средствами защиты, пока не будет исправлен код приложения. Для этого Solar inCode предлагает детальные рекомендации по настройке наложенных средств защиты информации (СЗИ). Этот функционал реализован для многих популярных в России СЗИ, например, Imperva WAF, Cisco, Check Point.
Интеграция в разработку
Solar InCode встраивается в системы непрерывной интеграции (Continuous Integration – CI), позволяя наладить процесс контроля качества и снижая временные затраты на решение данной задачи. Кроме этого, Solar InCode помогает автоматизировать проверку новых сборок ПО и может быть встроен в процесс безопасной разработки (SDLC). Решение позволяет разграничить доступ пользователей к ПО, чтобы каждый разработчик мог контролировать уровень безопасности и наличие ошибок только в своей части проекта.
Понятный интерфейс
Интерфейс Solar InCode отличается простотой и удобством, в его основу заложена облегченная логика взаимодействия с пользователем, не требующая глубоких технических знаний для интерпретации результатов сканирования. На выбор пользователя предлагается русский и английский язык интерфейса. Также поддерживается работа с решением через командную строку.
Выгрузка отчетов
Помимо удобного интерфейсного представления результатов, в Solar inCode реализован гибкий функционал генерации отчетов в форматах .pdf, .html, а также в формате системы Solar inView. Отчеты формируются автоматически, а их содержание и наполнение может быть выбрано пользователем.
Solar inCode состоит из системы отчетности и системы анализа, в которую входит несколько функциональных модулей.
Модули Solar inCode
Механизмы системы отчетности inCode реализуют следующий функционал:
Выдача рекомендаций в формате как ИБ, так и разработки.
Отчетность в формате ИБ представляет собой детальные рекомендации по устранению уязвимостей на русском языке с описанием способов их эксплуатации. Также данный формат содержит детальные рекомендации по настройке средств защиты и мониторинга. Такие рекомендации полезны, когда необходимо заблокировать возможность эксплуатации уязвимостей еще ДО того, как будет исправлен код.
Отчетность в формате разработки содержит детальные описания уязвимостей, ссылку на участки кода, содержащие данные уязвимости, и рекомендации по их устранению путем внесения изменений в код.
Постоянно пополняемые базы сигнатур уязвимостей и детальных рекомендаций по их устранению.
Возможность выгрузки отчетов в различных форматах.
Система анализа
Механизмы системы анализа inCode представлены несколькими функциональными модулями.
Технологии анализа кода
В основе Solar inCode лежат две технологии:
декомпиляция – восстановление исходного кода из исполняемых файлов;
технология анализа исходного кода, включающая в себя лексический и семантический модули.
Важно подчеркнуть ценность семантического модуля анализа. Большинство уязвимостей в программном коде – это не лексические ошибки в записи инструкций, которые можно обнаружить лексическим анализатором, а ошибки в последовательности этих инструкций. Такие ошибки можно обнаружить, только если представить, как эти инструкции будут выполняться и что будет результатом их выполнения. Это можно сделать, только выполнив семантический анализ, результатом которого является математическая модель выполнения программы.
Модуль Enterprise
Данный модуль успешно используется в настоящее время и реализует следующий функционал:
Анализ исходного кода приложений;
Бинарный анализ приложений;
Анализ приложений, реализованных на различных языках, осуществляется с применением запатентованной технологии реверс-инжиниринга. Данная технология позволяет восстановить исходный код с высокой степенью точности, даже если к коду были применены обфусцирующие (запутывающие) преобразования.
Модуль нечеткой логики (Fuzzy Logic Engine)
Данный модуль необходим для минимизации количества ложных срабатываний (False Positive) и пропуска уязвимостей в коде (False Negative). Данный модуль реализован с использованием математического аппарата нечеткой логики и является технологическим ноу-хау Ростелеком-Solar. Параметры работы фильтров данного модуля определяются базой знаний, которая постоянно пополняется по результатам проведенных проектов. Количество ложных срабатываний и пропусков уязвимостей является одним из ключевых параметров сканера кода, поэтому технологическая модернизация данного модуля является важным приоритетом развития продукта.
Возможности интеграции inCode
Решение Solar inCode обладает широкими возможностями интеграции:
Интеграция с репозиторием разработки. Код для анализа загружается напрямую из репозитория, в этом случае отсутствует необходимость каждый раз загружать файлы с исходным кодом.
Интеграция с Service Desk. При обнаружении уязвимостей безопасник может не только устранить уязвимости силами своего подразделения, но и в несколько кликов открыть кейс по реализации выданных рекомендаций другими подразделениями. Например, чтобы администраторы внесли соответствующие правила в WAF или SIEM.
Интеграция в процессы непрерывной интеграции (Continuous Integration) и безопасной разработки (SDLC).
Интеграция с Solar inView. Результаты работы Solar inCode встраиваются в структуру отчетности и метрик inView.
Редкое тиражное бизнес-приложение на 100% удовлетворяет требованиям организации. 90% крупных и средних компаний дорабатывают их «своими силами» (ERP, АБС, CRM, 1С…).
При этом анализ кода бизнес-приложений на закладки чаще всего проводится вручную или никак, т.к. во многих системах используются собственные языки программирования и для выявления случайных или умышленных закладок нужно быть экспертом в программировании на этом языке.
Большинство закладок внедряется программистами не для противоправных действий, а для отладочных работ и оперативного внесения изменений в бизнес-приложение в обход бюрократических процедур.
Программист волен наделить закладку в бизнес-приложении любыми возможностями. При этом учитывается специфика архитектуры приложения и бизнес-процессы. Несмотря на внушительный арсенал технологий защиты, ИБ-индустрия пока не предлагает специальных средств для выявления программных закладок.
Решение — InfoWatch APPERCUT
Простой в использовании, гибкий и масштабируемый веб-сервис, который позволяет реализовать поэтапный сценарий анализа кода бизнес-приложений.
Система является статическим анализатором исходного кода (SAST — Static Application Security Testing).
Не требует специальной подготовки кода и потенциально совместима с любым языком программирования бизнес-приложений. Сейчас Appercut® Custom Code Scanner поддерживает 1C 8x, Delphi, Java, JavaScript, LotusScript, PHP, C#, PL\SQL, SAP Abap4, T-SQL. По заказу мы готовы поддержать другие языки.
Система содержит регулярно пополняемую базу данных шаблонов известных закладок. Она мгновенно анализирует код приложения на совпадение с шаблонами и не требует запуска приложения на исполнение.
Преимущество Appercut — учёт специфики архитектуры приложения и бизнес-процессов и концентрация на защите именно от закладок, умышленно оставленных программистами.
InfoWatch Appercut создан для принимающей стороны или заказчиков программного обеспечения, и его использование не требует специальных знаний в области программирования или аудита кода.
Код приложения в целом, его обновления или модули приложения за секунды сканируются на соответствие требованиям, автоматически создается описание несоответствий, а также выдаются рекомендации для их устранения.
В сравнении с ручной проверкой кода InfoWatch Appercut на порядок повышает скорость и результативность анализа и значительно сокращает расходы на оплату услуг сторонних аудиторов.
InfoWatch APPERCUT для анализа кода веб-приложений
Анализ языков веб-программирования реализуется модулем InfoWatch Attack Killer Custom Code Scanner (CCS), который входит в комплексный продукт InfoWatch Attack Killer.
Модуль выполняет статический анализ исходного кода, написанного на языках Java, JavaScript, PHP, Python. Совместное использование модулей InfoWatch Attack Killer WAF и CCS автоматизирует процесс безопасной веб-разработки и сократит время выхода обновлений ресурса до 10 раз.
Благодаря технологии «виртуальный патчинг» ошибки, обнаруженные в коде, автоматически закрываются системой до их исправления разрабо
тчиками. Официальные патчи,
в свою очередь, также проходят анализ Custom Code Scanner, что гарантирует их качество и высокую надежность. Процесс поиска уязвимостей веб-инфраструктуры происходит непрерывно, и даже при частых обновлениях ресурс надежно защищен от хакерских взломов и DDoS-атак комплексом InfoWatch Attack Killer.
Даже уязвимые обновления – безопасны и готовы к выпуску. Самые простые обновления ресурса могут содержать в себе угрозу безопасности, поэтому приложение необходимо регулярно сканировать. При частых обновлениях ручная проверка замедляет выпуск кода. Оперативное внедрение нового функционала возможно благодаря непрерывному поиску уязвимостей и их автоматическому устранению InfoWatch Attack Killer до исправления программистами.
Безопасность – как фича и конкурентное преимущество вашего бизнеса. Надежный фундамент, заложенный в приложении на стадии разработки, гарантирует стабильную работу ресурса, а также безопасность проведения финансовых транзакций и хранения конфиденциальной информации.
Архитектура InfoWatch APPERCUT
5 причин использовать InfoWatch APPERCUT
Не требует специальных навыков. Результат анализа кода приложения или его фрагмента представляет собой отчет с рекомендациями по исправлению ошибок. Специальные знания и навыки программирования для получения и последующей интерпретации результатов анализа не нужны.
Учитывает требования международных стандартов и специфику бизнеса. В базе InfoWatch Appercut заложены требования международных стандартов PCI DSS и HIPAA, лучшие практики CERT и OWASP, рекомендации SDLC, а также рекомендации производителей платформ 1С, SAP, Oracle, Microsoft. Пользователи InfoWatch Appercut могут добавлять в базу данных некорректных программных конструкций собственные шаблоны, отражающие специфику бизнес-процессов организации.
Легко масштабируется и поддерживает более 20 языков программирования. Лицензия InfoWatch Appercut позволяет исследовать любое количество приложений бесконечное количество раз. Поддерживает наиболее популярные языки разработки бизнес-приложений, в том числе 1С и ABAP4, а также языки веб-программирования.
Обеспечивает непрерывность бизнес-процессов. Нет необходимости останавливать исполнение критичных для бизнеса приложений для трудоемкой и длительной ручной проверки кода или внешнего аудита.
Подходит для использования на любом этапе цикла разработки ПО. Интерфейс командной строки позволяет встраивать вызов InfoWatch Appercut и запускать процесс анализа исходного кода в любой процедуре жизненного цикла разработки ПО – от программирования до приемки.
Система управления привилегированным доступом дает возможность ограничить доступ инсайдеров компании, таких как системные администраторы, администраторы безопасности и привлеченные по контракту внешние специалисты, к ИТ-системам. Фактически они смогут работать только с теми данными, на которые они получат разрешение, и будут выполнять только разрешенные действия. Но при этом решение Xceedium ведет детальный протокол действий пользователя, что позволяет в любой момент проверить все действия, которые выполнялись в этой системе.
Возможность контролировать действия пользователей, выделяя им минимально необходимые права, позволяет применять в организации политику Zero Trust, то есть политику «Нулевого доверия». Управление паролями привилегированных учетных записей (то есть своевременная смена паролей, соблюдение достаточной сложности) производится со стороны администратора (например, владельца бизнеса), при этом гарантируется неразглашение паролей, поскольку пароли неизвестны даже самими пользователям. Решение Xceedium Xsuite содержит в себя функциональность Шлюза доступа, Менеджера паролей и систему аутентификации для приложений в одном компактном и предустановленном устройстве.
Контроль и аудит привилегированного доступа в гибридных средах
Многие компании сегодня переводят ИТ-инфраструктуру в виртуальные или облачные среды. Однако такие действия создают множество проблем с обеспечением надежного и защищенного административного доступа. Благодаря Xsuite возможно максимально тонкое разделение и применение политик привилегированного доступа для системных администраторов разного уровня. Управляющий может определить политики для всех вариантов инфраструктур – датацентров компаний, виртуальных инфраструктур, приватных или публичных облаков.
После внедрения Xccedium Xsuite заказчик сможет сэкономить время, деньги, избежать административной неразберихи, а также повысить качество и целостность контроля. Запись выполненных действий позволяет проводить аудит событий быстрее и проще.
Xsuite® позволяет управлять и проверять действия пользователей с привилегированным доступом (системных администраторов, операторов, специалистов по установке, настройке и обслуживанию оборудования и программных сред) в различных сценариях. В программно-аппаратных комплексах реализован принцип «Zero trust» («Отсутствия доверия»), который запрещает доступ к любым ресурсам, за исключением явно разрешенных.
Xsuite позволяет контролировать действия привилегированных пользователей в гетерогенной среде, включая разнообразные версии Linux, Microsoft Windows, популярные версии Unix, сетевое оборудование (например, роутеры и маршрутизаторы), различные приложения (например, базы данных и бизнес-приложения) и многое другое. Дополнительные компоненты Xsuite позволяют выполнить интеграцию и повысить защищенность гибридных облачных сред, платформ мэйнфреймов, серверов в дата-центрах, ресурсов в Amazon Web Services (AWS) и наборов ресурсов под контролем VMware vSphere.
Всесторонняя защита привилегированного доступа
Целостный подход к защите
Многие заказчики задумываются над переводом части своей ИТ-инфраструктуры в виртуальные и (или) облачные среды. С помощью Xsuite возможно максимально точное разделение и применение политик привилегированного доступа для системных администраторов разного уровня. Вы можете определить политики доступа для всех вариантов инфраструктур – физических серверов в дата-центрах, виртуальных инфраструктур и частных или публичных облаков.
Всесторонний контроль привилегированных пользователей на основе заданных ролей, интеграция и использование существующей у заказчиков системы аутентификации и контроля доступа (IAM) позволяют надежно контролировать доступ к ресурсам, вне зависимости от их расположения. При работе в облаке Amazon Web Services (AWS), Xsuite позволяет автоматически связать уже имеющиеся роли из AWS IAM, в том числе для пользователей из службы AWS Federated users.
Внедрив Xsuite, Вы сэкономите время, деньги и избежите проблем с организацией привилегированного доступа, а также повысите качество и целостность контроля среды информационных ресурсов. Устройство Xsuite (вне зависимости от его формата – физическое, виртуальное или облачное) является единым источником политик доступа и в сочетании с возможностью записи выполненных действий позволяет проводить аудит событий информационной безопасности быстрее и проще.
Контроль пользователей с привилегированным доступом
Xsuite позволяет детально разделить доступ на основе ролей в гетерогенных средах. Xsuite управляет доступом сетевых администраторов, доверенных лиц, поставщиков услуг и подрядчиков работ, а также других пользователей с привилегированным доступом. Контроль начинается с попытки первоначального подключения, так как реализован принцип запрета любого действия, кроме явно разрешенного (deny all, permit by exception (DAPE)), позволяющий минимизировать права привилегированного пользователя в системе. Выполнение команд, которые не соответствуют политике, блокируется, и посылается уведомление о нарушении политики пользователем сотрудникам информационной безопасности. Кроме того, после одной или нескольких попыток такой сеанс может быть прекращен. Дополнительно, Xsuite предупреждает возможность «прыжка» или «перехода» (“leapfrog”) с одних ресурсов на другие системы (явно не разрешенные пользователю), что снижает возможность неавторизованного доступа к конфиденциальным данным, как и использования различных внутренних ресурсов для организации атаки.
В наши дни проблема защиты деловой информации приобрела особую остроту, как с технической, так и с правовой точек зрения. Именно поэтому компания WALLIX разработала решение Wallix AdminBastion (WAB), которое устанавливается в ИТ-среде всего за несколько часов и предоставляет информацию о выполняемых в системе операциях как в реальном времени, так и ретроспективно. WAB позволяет надежно контролировать доступ внутренних и внешних и поставщиков ИТ-услуг, владельцев учетных записей с расширенными привилегиями и пользователей с повышенными рисками. Кроме того, пользователь может записывать рабочие сеансы и просматривать их при необходимости (аудит, управление инцидентами и т. д.). WAB обеспечивает надежную защиту в условиях ротации кадров ИТ-отдела: вы можете быть уверены, что сотрудники, покинувшие компанию, больше не смогут получить доступ к важным серверам. Решение Wallix AdminBastion позволяет внедрить надежную политику безопасности, соответствующую всем применимым технологическим и правовым требованиям, и тем самым снизить риски несоответствия стандартам и нормативам.
Мониторинг действий
Полная информация о том, кто, как и когда выполнил определенную операцию. Wallix AdminBastion обеспечивает мониторинг подключений и действий, выполняемых ИТ-специалистами и поставщиками услуг на администрируемых устройствах. Консоль администрирования WAB позволяет осуществлять мониторинг подключений к ИТ-системам в реальном времени и ретроспективно (в журнале).
Запись сеансов
Действия, выполняемые на управляемых устройствах, непрерывно записываются для последующего просмотра в формате Flash Video (для графических сеансов Windows Terminal Server (RDP) и (VNC)) и в текстовом формате (для сеансов командной строки (SSH, Telnet)).
Статистика и отчеты о действиях
Благодаря встроенной функции создания отчетов, администраторы системы AdminBastion могут просматривать графики и статистику активности WAB (количество и распределение подключений, классификация пользователей и т.д.), а так же автоматически создавать ежедневные отчеты в формате CSV.
Работа без использования агентов
WAB не требует установки на администрируемых устройствах или рабочих станциях, что обеспечивает быстрое развертывание.
Анализ потока SSH
Все вводимые команды анализируются в реальном времени. При обнаружении запрещенных строк можно отправить предупреждение или прервать подключение SSH.
Контроль доступа
Контроль доступа к устройствам на основе простых и эффективных правил. Эти правила основаны на различных критериях, таких как IP-адрес, имя пользователя, интервал времени, протокол или тип сеанса SSH (X11, Shell, Remote exec, и т.д.).
Контроль в реальном времени
WAB уведомляет вас о подключениях к устройствам, определенным как критичные, о неудачной попытке входа в WAB или о невозможности автоматического входа с использованием заданной учетной записи.
Единый вход
Каждый пользователь входит в WAB, используя свои учетные данные, и получает доступ к разрешенным устройствам без выполнения второй процедуры входа. Пароли для устройств хранятся в WAB, поэтому сеансы могут открываться автоматически.
Администрирование практически всех серверов осуществляется с помощью зашифрованных протоколов Shell (Unix) или Remote Desktop (Windows), что усложняет наблюдение и контроль над администрированием системы.
Для осуществления надежного контроля необходимо, чтобы сбор данных был прозрачным и независимым от клиента и сервера — иначе опытный администратор (или злоумышленник) может скрыть записи о своих действиях или других событиях. Shell Control Box решает такие задачи, представляя отдельный уровень аудитора, чтобы наблюдать за администраторами системы.
Надежный контроль
SCB дает возможность контролировать каналы SSH, RDP и Telnet, которые используются для администрирования серверов и сетевых устройств. Весь трафик (включая изменения конфигурации, выполненные команды) записывается в журнал и архивируется в специальные отчеты. Все данные хранятся в зашифрованных файлах, что защищает их от любых модификаций и манипуляций.
При возникновении проблем (ошибок в конфигурации сервера, манипулирование с базой данных или аварийное отключение), информация о них сразу же отображается в отчетах. Т.о., можно легко определить причину данных инцидентов.
Полный контроль над административными каналами
Используя SCB, Вы можете полностью контролировать подключения к Вашему серверу и сетевым устройствам через SSH, RDP и Telnet. Вы можете определить кто, когда, как и откуда имеет доступ к Вашим серверам, а также контролировать дополнительные характеристики протоколов, такие, как например, тип разрешенных каналов для SSH и RDP соединений.
Чтобы сократить угрозы безопасности для серверов, Вы можете отключить ненужные каналы, как переадресация портов SSH или разделение файлов RDP. А также SCB проверяет ключ хоста на сервере для предотвращения атак типа «незаконный посредник» (man-in-the-middle).
Быстрота, радикальность, эффективность
Радикально изменить прозрачность администрирования системы Вы можете за нескольких часов: определите новый уровень ответственности администраторов с помощью предварительной установки SCB.
С BalaBit SCB вы можете прозрачно применять установленные правила во всей сети, Вам не приходится изменять среду приложений. Благодаря доступному и интуитивному веб-интерфейсу, даже детальную настройку конфигурации можно выполнить просто и быстро.
Применение КОМРАД позволяет осуществлять централизованный мониторинг событий ИБ, выявлять инциденты ИБ, оперативно реагировать на возникающие угрозы, выполнить требования, предъявляемые регуляторами к защите персональных данных, а также к обеспечению безопасности государственных информационных систем.
Функциональные возможности
Лог-менеджмент
высокопроизводительный сбор событий: позволяет осуществлять централизованный сбор событий в инфраструктуре масштаба предприятия.
нормализация: приведение журналов всех источников к единому формату для упрощения их анализа.
хранение событий: в исходном («сыром») и нормализованном виде. Возможно использование исходных событий при проведении расследований инцидентов ИБ.
мониторинг событий в реальном времени: позволяет анализировать события, как только они поступили в систему.
быстрый полнотекстовый поиск: практически мгновенно позволяет найти нужное событие среди миллионов похожих за считанные мгновения.
фильтрация событий: осуществляется при помощи удобного конструктора для создания и выполнения запросов к базе событий.
визуализация событий: представление анализируемых данных в виде графиков и диаграмм (линейные, столбчатые, круговые, радиальные и др.).
визуальное задание границ отображения данных: диаграмма событий позволяет задать точный временной интервал для отображения событий.
сохранение запросов: любой запрос к базе событий можно сохранить в системе для быстрого обращения к нему в повседневной работе.
экспорт: любую выборку событий можно сохранить в формате PDF или CSV
Корреляция событий
формирование инцидентов: при обнаружении цепочек критичных событий безопасности формируется инцидент ИБ.
наглядные директивы корреляции: интуитивно понятный графический конструктор директив делает процесс создания директивы легким и доступным.
многоуровневая корреляция: возможность задания неограниченного количества уровней и правил в конструкторе директив.
поддержка методики шаблонов поведения: пакеты директив корреляций отражают возможную цепь событий (аномалий), которая соответствует модели реальной атаки.
настраиваемая система оповещений: возможность оповещения об инцидентах различными способами (всплывающие уведомления, электронная почта, выполнение пользовательских сценариев и др.).
управление инцидентами: автоматическое назначение группы ответственных за инцидент лиц, система статусов и меток, настройка видимости инцидентов.
Аналитика
полнофункциональная подсистема визуализации SIEM системы: построение графиков по произвольным данным (любым полям событий), гибкая система параметров, настраиваемые информационные панели. Примеры использования: уровень событий в реальном масштабе времени, вектор угроз, оценка уровня угроз и др.
контроль соответствия нормативным документам: удобная автоматизированная система контроля соответствия защищаемой информационной системы нормативным документам.
инструментарий расследования инцидентов: средства для построения визуальной модели инцидента, выявления аномалий и поведенческого анализа.
отчеты: построение отчетов в удобном для печати виде (PDF, CSV).
Масштабирование
широкие возможности по масштабированию и созданию системы мониторинга информационной безопасности высокой производительности и доступности.
построение иерархических систем обработки событий: интеграция с элементами собственной системы: СОВ, сенсор событий, сервер корреляций, сервер управления. Интеграция с внешними системами (например, СОПКА).
Технические характеристики
сбор событий по протоколам Syslog (в том числе в формате CEF), Syslog-ng, SNMPv2, SNMPv3, HTTP, SQL, ODBC, WMI, FTP, SFTP, сокеты Unix/Linux, plain log, SSH, Rsync;
производительность: до 20 000 EPS. 10 000 EPS на серверной платформе со следующими характеристиками: 2 CPU Intel Xeon E5 2650, ОЗУ: 32 Гб, HDD: 2 Тб.
Простота и удобство использования КОМРАД
Конструктор директив
Графический конструктор директив делает процесс работы с директивами корреляции простым и наглядным. Каждое правило директивы формируется при помощи графического конструктора запросов. Обновленный механизм наследования между правилами расширяет диапазон задач, решаемых с помощью модуля корреляции. Предусмотрено визуальное иерархическое разделение правил по уровням. Для удобного просмотра «большой» директивы реализована возможность свернуть правило.
Как выглядит Конструктор директив
Визуализатор событий
Средство для визуального анализа инцидента избавляет администратора ИБ от необходимости ручного анализа таблиц из тысяч событий при расследовании инцидента. Система позволяет пользователю построить визуальную модель совокупности событий и отследить развитие инцидента во времени. Визуализация событий облегчает проведение анализа атаки и расследование инцидента.
Как выглядит Визуализатор событий
Конструктор запросов
Графический конструктор запросов позволяет строить запросы к базе событий любой сложности без единой строчки на языке сценариев. Запрос формируется из совокупности простых подзапросов, связанных логическими операциями «И» и «ИЛИ». Любой запрос можно сохранить в системе, задав ему название и описание.
Как выглядит Конструктор запросов
Виджеты
В обновленной подсистеме визуализации теперь есть возможность строить графики и диаграммы для произвольной выборки событий и сохранять их в виджете. Виджет ― это интерактивный блок визуализации данных, отражающий динамику их изменения в системе. Каждый виджет имеет ряд параметров для гибкой настройки под конкретные потребности пользователя системы.
Как выглядят Виджеты
Контроль соответствия
Система позволяет осуществлять контроль соответствия требованиям различных нормативных актов и стандартов информационной безопасности.
Как выглядит контроль соответствия
Визуальное задание границ времени
Диаграмма распределения событий по времени позволяет быстро выявлять аномалии и уточнять временной интервал отображаемых событий. Выбрать интервал времени для отображения можно при помощи простых манипуляций мышью в интересующей области диаграммы. После выбора интервала график автоматически перестраивается, и таким образом распределение событий за выбранный интервал времени уточняется.
Понимание инфраструктуры и стойкость правил корреляции к изменениям
Изменения IT-инфраструктуры автоматически отображаются в модели инфраструктуры и учитываются в работе корреляционных правил, не требуя трудоемкой ручной перенастройки.
Динамические группы активов
MaxPatrol SIEM предлагает полноценный функционал систем управления активами (Asset Management). Это позволяет создавать и автоматически обновлять группы активов по организационным, территориальным и функциональным признакам.
Подключение актуальных источников
В ходе реализации проектов компания Positive Technologies обеспечивает подключение актуальных источников данных без дополнительных затрат.
Приоритизация с учетом важности актива
Платформа MaxPatrol использует общепризнанный стандарт CVSS и позволяет приоритезировать активы, динамические группы активов, события и уязвимости и присвоить им стандартизированные метрики в рамках единой платформы.
Открытый API для быстрой интеграции
MaxPatrol SIEM предлагает открытый стандартизированный API, предназначенный для загрузки или выгрузки информации на любом этапе работы системы. Это позволяет быстро решить ряд практических задач: выполнить интеграцию с SMS-шлюзом, корпоративным порталом, самописными приложениями и т.д.
Развитая функциональность сбора данных
В SIEM-систему включена широкая функциональность удаленного безагентного сбора данных с поддержкой основных видов транспорта. Помимо этого, используются дополнительные агенты для анализа сетевой активности и сбора низкоуровневой информации с конечных точек.
Быстрая миграция
Благодаря поддержке Positive Technologies и заложенным в продукте техническим инновациям миграция с других решений осуществляется быстро и безболезненно для бизнес-процессов компании.
Гибкость платформы
Модульная архитектура позволяет построить любую конфигурацию системы, которая отвечает требованиям заказчика и не содержит избыточной функциональности, что дает существенную экономию средств при внедрении.
Российское решение мирового класса
Решения Positive Technologies целиком спроектированы в России, с учетом специфики решаемых задач и требований регуляторов. В основе продукта лежит уникальная база знаний, накопленная за годы проведения масштабных тестов на проникновение, расследования сложных инцидентов и экспертного сопровождения знаковых мероприятий, таких как Универсиада в Казани и Олимпийские игры в Сочи.
В последние годы компании все чаще страдают от целенаправленных кибератак, целью которых является кража денежных средств или конфиденциальной информации, нарушение бизнес-процессов. Несмотря на широкое распространение разнообразных решений для информационной безопасности, среднее время обнаружения вторжения по-прежнему составляет недопустимые 188 дней (согласно 2015 Trustwave Global Security Report). Также увеличивается и относительный разрыв между временем обнаружения атаки и временем, требуемым на компрометацию инфраструктуры (согласно Verizon 2016 Data Breach Investigation Report). Ключевое средство выявления сложных атак и инцидентов ИБ — решения класса Security Information and Event Management (SIEM).
На практике эффективность работы SIEM-систем оказывается низкой и их использование многими компаниями не меняет тяжелую ситуацию с качеством и временем выявления инцидентов ИБ.
Основные причины низкой эффективности традиционных SIEM-систем:
Сложность внедрения и большие трудозатраты при эксплуатации. При внедрении сложно оценить трудоемкость и сроки окончания работ по интеграции системы с инфраструктурой заказчика и настройки механизмов выявления инцидентов ИБ. Трудоемкий процесс поддержания работоспособности SIEM и учета новых угроз продолжается и в ходе эксплуатации системы.
Отсутствие автоматизированной передачи экспертизы ИБ в продукт. Даже если производитель SIEM-системы имеет знания о новых угрозах и сценариях атак, он может поделиться ими только в ручном режиме — через специализированные форумы или рассылку бюллетеней.
Большое запаздывание в учете изменений инфраструктуры. Каждый день в IT-инфраструктурах крупных компаний происходят конфигурационные изменения, но существующие средства ИБ адаптируются к изменениям с большой задержкой, так как процесс учета этих изменений слабо автоматизирован.
Функции и особенности MaxPatrol SIEM
При создании SIEM-системы и новой платформы MaxPatrol компания Positive Technologies учла недостатки существующих систем и применила новые подходы для эффективного выявления инцидентов ИБ. Внутри MaxPatrol SIEM информация об инфраструктуре постоянно обогащается данными из новых событий, результатов сканирований, сетевого трафика и агентов на конечных точках, создавая полную IT-модель предприятия. Благодаря этому правила корреляции могут оперировать не только отдельными IP-адресами или сетевыми именами, но и более высокоуровневыми категориями — активами и динамическими группами активов.
Информация о состоянии актива
В MaxPatrol SIEM реализован механизм передачи в продукт экспертизы исследовательского центра Positive Research, основанный на базе знаний Positive Technologies Knowledge Base (PT KB). Это высокоуровневый, постоянно пополняемый набор данных, формируемый на основе 15-летнего опыта исследовательского центра, в том числе опыта тестов на проникновение и проведения аудитов защищенности. MaxPatrol SIEM является неотъемлемой частью новой комплексной платформы MaxPatrol, обладающей изначальным пониманием природы угроз и уязвимостей и позволяющей заменить множество ИБ-решений (системы управления активами, уязвимостями, соответствия стандартам и др.). Все элементы MaxPatrol SIEM разработаны Positive Technologies как часть новой платформы MaxPatrol и используют единые принципы сбора и учета информации.
На основании полной модели инфраструктуры выполняется автоматическое построение топологии сети. Это позволяет лучше понимать защищаемую инфраструктуру и потенциальную достижимость атак, упрощает расследование инцидентов.
Топология сети и достижимость
MaxPatrol SIEM использует специальный механизм для извлечения идентификаторов источника информации из трафика, событий или сканирований и их сопоставления с существующими активами. Таким образом, вся имеющаяся информация — конфигурация сетевого узла и его настройки, установленное ПО, сетевая активность, логи — унифицируется и выстраивается вокруг каждого из активов. После поступления в систему информация вначале проводится через модель инфраструктуры и привязывается к соответствующим активам и лишь после этого сохраняется в базе данных и попадает под действие правил корреляции. Благодаря этому изменение IP-адреса или имени актива не приведет к дублированию сущностей и появлению в системе нового актива.
Сбор, анализ и мониторинг событий для эффективного выявления инцидентов
Этап 1. Информация поступает в систему и проходит нормализацию.
Этап 2. Проводится через ядро и модель инфраструктуры для привязки к существующим активам.
Этап 3. Сопоставляется с данными базы знаний Positive Technologies Knowledge Base (PT KB).
Этап 4. Проводится через коррелятор с учетом всех данных, полученных на предыдущих этапах.
Оценка эффективности информационной безопасности
Для управления ИБ на стратегическом и тактическом уровнях разработан специальный модуль MaxPatrol SIEM — PT Security Intelligence Portal. Это инструмент визуализации данных, анализа процессов ИБ, работы подразделения ИБ и используемых средств защиты.
PT Security Intelligence Portal содержит готовые наборы показателей эффективности, которые помогают руководству компании оценить, насколько результативны принимаемые меры ИБ и достаточно ли ресурсов для достижения поставленных целей. Специалистам по ИБ инструмент поможет спрогнозировать возможные инциденты, приоритизировать задачи и проводить расследования.
Начиная с 2004 г. семейство продуктов HP ArcSight завоевало лидирующие позиции на мировом рынке систем мониторинга информационной безопасности, в частности в знаменитом квадранте компании Gartner (Security Information and Event Management Magic Quadrant) на протяжении 7 лет решения ArcSight занимают лидирующие позиции среди участников мирового рынка данного сегмента ИБ, с каждым годом уверенно увеличивая «отрыв» от ближайших конкурентов.
За последние годы, продукты линейки HP ArcSight получили более 30 наград ведущих издательств, экспертов и аналитиков рынка ИТ и ИБ.
Продуктовая линейка HP Arcsight
Основой продуктовой линейки HP ArcSight является комплексное решение HP ArcSight Security Intelligence, ядром которого служит продукт HP ArcSight ESM (Enterprise Security Manager). Данный продукт обеспечивает сбор, обработку и хранение событий безопасности, которые могут поступать от различных источников. HP ArcSight ESM поддерживает интеграцию с большим количеством прикладных систем и устройств (более трех сотен) и поставляется с несколькими сотнями предустановленных правил корреляции. В состав поставки также может входить уникальный агент FlexConnector, позволяющий осуществлять интеграцию с любым типом приложения.
HP ArcSight ESM является лидером на рынке по техническим возможностям и возможностям интеграции с бизнес-приложениями. Архитектура HP ArcSight ESM позволяет развернуть решение даже в территориально-распределенной информационной системе с низкоскоростными каналами связи. HP ArcSight ESM поставляется как в программном, так и программно-аппаратном виде, что выгодно отличает его от других систем корреляции.
Для упрощения задачи по сбору, хранению и анализу журналов аудита может использоваться продукт HP ArcSight Logger – готовый программный или программно-аппаратный комплекс, которой может собирать и анализировать все данные журналов аудита организации, предоставляя сжатый и экономичный репозиторий для хранения логов.
Для более простого и эффективного сбора информации о событиях безопасности в составе HP ArcSight ESM и HP ArcSight Logger могут использоваться программные комплексы HP ArcSight Connectors. Необходимо отметить, что HP ArcSight Connectors также могут поставляться в виде программно-аппаратных комплексов (HP ArcSight Connector Appliance).
Решения HP ArcSight Security Intelligence включают в себя следующие продукты:
HP ArcSight Logger — обеспечивает сбор и фильтрацию событий;
HP ArcSight Threat Response — обеспечивает моментальную реакцию на инциденты путем анализа информации от HP ArcSight ESM, локализацию проблемы и применение ответных мер реагирования;
HP ArcSight Configuration Management — позволяет провести конфигурацию сетевого оборудования и настроек безопасности.
HP ArcSight Fraud Detection — уникальное решение для выявления и предотвращения мошенничества в области интернет-банкинга и банковских (пластиковых) карт.
Внедрение системы мониторинга на основе продуктов HP ArcSight дает возможность автоматизировать процесс принятия решений по реагированию на события, связанные с нарушением политик информационной безопасности Компании. При этом применение систем мониторинга также позволяет значительно повысить эффективность уже установленных в организации средств защиты.
На сегодняшний день решения HP ArcSight активно используют во всем мире крупнейшие операторы связи, финансовые организации и государственные структуры.
Архитектура HP Arcsight
Сием система HP Arcsight состоит из следующих компонент:
ArcSight Manager – основной серверный компонент, «ядро» системы, обеспечивающее корреляцию событий и их обработку;
ArcSight DB – база данных (на основе СУБД Oracle 11g), предназначенная для хранения информации;
ArcSight Console – консоль для управления и работы с системой, представляющая собой приложение, устанавливаемое на клиентское рабочее место администратора или пользователя системы;
ArcSight Web – серверный компонент web-консоли для мониторинга и получения отчетности. Для доступа к информации используется любой современный web-браузер;
ArcSight SmartConnectors – компоненты системы, обеспечивающие сбор событий с источников, их предварительную фильтрацию и агрегацию, а также передачу событий в ArcSight Manager.
ArcSight Manager
Компонент ArcSight Manager является центральным компонентом, ядром системы. Manager представляет собой сервер приложений, написанный на языке Java и управляющий всеми процессами обработки данных в ESM – корреляцией, анализом, документооборотом и прочими внутренними сервисами. Компонент Manager записывает обработанные события в СУБД, одновременно пропуская все события через механизм корреляции, который сопоставляет события с данными о сетевой модели и данными об уязвимостях, тем самым, выявляя потенциал угрозы, представляемой событием, и проставляя приоритет событий и угроз.
ArcSight DB
Все события, поступающие от коннекторов SmartConnectors в компонент ArcSight Manager, записываются в базу данных с использованием нормализованной схемы события для дальнейшего анализа и обработки, а также отчетности.
База данных ArcSight DB основана на СУБД Oracle 11g (11.2.0.2). В состав компонента ArcSight DB входит набор программного обеспечения (скриптов), позволяющего эффективно управлять данными, архивировать события и получать статус обработки данных и работы СУБД Oracle для самодиагностики системы.
ArcSight Console
Компонент ArcSight Console представляет собой отдельное приложение, устанавливаемое на АРМ Администратора или оператора системы, и предназначенное для выполнения всех операций по взаимодействию пользователя с системой – от мониторинга событий до построения сложных правил корреляции и администрирования всех компонентов системы. В зависимости от имеющихся привилегий пользователя, при запуске консоли ему доступны те или иные возможности по взаимодействию с системой.
ArcSight Web
Компонент ArcSight Web является независимым и имеющим возможность отдельной установки на web-сервер, предоставляющим собой защищенный графический интерфейс для взаимодействия с системой посредством web-браузера.
ArcSight Web предназначен для использования в качестве основного интерфейса мониторинга для операторов системы и бизнес-пользователей системы. ArcSight Web позволяет производить мониторинг событий и работы компонентов, расследование и анализ инцидентов, а также просмотр отчетов.
ArcSight SmartConnectors
SmartConnectors (коннекторы) – это программные компоненты СУСИБ, обеспечивающие взаимодействие системы с источниками событий. Они получают информацию от источников событий в информационной системе, а затем производят нормализацию и категоризацию данных следующим образом:
нормализация значений, таких как критичность события, приоритет и временная зона;
нормализация структуры данных – приведение данных к единому формату.
После нормализации коннекторы производят фильтрацию и агрегацию событий с целью уменьшения объема передаваемых для дальнейшей обработки событий в ArcSightManager, тем самым, увеличивая производительность и эффективность системы мониторинга, а также уменьшая время обработки событий.
Основными функциями, выполняемыми компонентами SmartConnectors, являются:
сбор всех необходимых событий с источников событий;
фильтрация ненужных для анализа событий («информационного шума») для минимизации объемов сетевого трафика и нагрузки на подсистему хранения событий;
обработка событий и приведение их к единой схеме события, используемой в ESM;
агрегация повторяющихся событий для минимизации количества событий, отправляемых в ArcSight Manager для обработки;
категоризация событий, используемая для облегчения восприятия событий оператором системы и упрощения построения фильтров, правил и отчетов при дальнейшей обработке событий;
кэширование событий, полученных от источника событий в период недоступности основного компонента ArcSight Manager, при этом потери событий не происходит: события сохраняются и пересылаются в ArcSight Manager после восстановления связи с ним;
пересылка событий в ArcSight Manager для дальнейшей обработки, используя защищенное соединение.
Благодаря Splunk Enterprise Security специалисты по безопасности смогут быстро обнаруживать внутренние и внешние атаки и принимать ответные меры. Это позволяет упростить операции по защите от угроз, минимизировать риск и обеспечить безопасность вашего бизнеса. Splunk Enterprise Security оптимизирует все аспекты защиты и подходит для организаций любого масштаба и профессионального уровня.
Используется Splunk ES для постоянного мониторинга в реальном времени, быстрого реагирования на инциденты, в качестве операционного центра защиты или для руководителей, которым требуются сведения о деловых рисках, это решение позволяет настроить поиск корреляций, оповещения, отчеты и панели мониторинга с учетом ваших потребностей.
Splunk Enterprise Security запускается в среде Splunk® Enterprise или Splunk Cloud. SIEM решение Splunk ES может быть развернуто в виде программы или облачной службы, в общедоступном или частном облаке, а также в гибридной программно-облачной среде.
Улучшение операций по обеспечению безопасности
Ускоренное реагирование на инциденты и демонстрация соответствия требованиям с помощью обширного набора встроенных панелей мониторинга, визуальных таблиц, отчетов и процессов реагирования на инциденты, включая оценки рисков, быстрый поиск, аналитику, корреляции и индикаторы безопасности.
Повышение уровня безопасности
Оптимизация процессов мониторинга безопасности, расстановки приоритетов, реагирования, сдерживания и восстановления путем анализа всех машинных данных для оценки воздействия оповещений или инцидентов.
Назначение приоритетов событиям безопасности и расследованиям
Улучшение процесса принятия решений и разработка стратегии устранения рисков с учетом требований бизнеса путем применения оценок рисков к любому событию, активу, поведению или пользователю в зависимости от их относительной важности или ценности для бизнеса.
Выявление внутренних и сложных угроз
Проверка привилегированного доступа и обнаружение необычной деятельности путем использования данных об отклонениях, выявленных приложением UBA, а также применения пользовательского контекста и контекста активов ко всем машинным данным для мониторинга пользователей и активов.
Принятие более обоснованных решений
Более эффективное расследование инцидентов и нарушений защиты, оценка их масштаба на основе данных об угрозах из разных источников, включая бесплатные каналы анализа угроз, подписки на услуги сторонних поставщиков, правоохранительные органы, FS-ISAC, STIX/TAXII, Facebook ThreatExchange, а также другие внутренние и общедоступные источники.
Использование Threat Intelligence
Аналитические данные по угрозам из нескольких источников можно объединять, дедуплицировать и назначать им веса. Это позволяет использовать широкий спектр индикаторов компрометации для всех аспектов мониторинга, оповещений, отчетности, расследований и криминалистического анализа.
Мониторинг в реальном времени
Выявление необычных действий, которые могут быть признаками сложных угроз, с помощью статистического анализа, отклонений, выявленных приложением UBA, поиска корреляций, динамических пороговых условий и средств обнаружения отклонений от нормы.
Оптимизация реагирования на инциденты
Оптимизация расследований динамических, многоэтапных атак благодаря возможности визуализировать информацию об атаках и, следовательно, лучше понять ситуацию, а также выстроить последовательную цепочку различных событий для быстрого определения дальнейших действий.
Повышение операционной эффективности
Автоматическое и полуавтоматическое принятие решений поможет клиентам ускорить расследование и принятие мер с полным контекстом в программе Adaptive Response.
Понимание значения показателей безопасности
Упрощение анализа благодаря логическим или физическим представлениям визуальных таблиц, позволяющим лучше понять влияние основных показателей безопасности, включая доступ, DNS, идентификацию, электронную почту, IDS, лицензирование, вредоносное ПО, важные события, производительность, риски, SSL, вредоносные действия, трафик, UBA, обновления, уязвимости и сетевая активность.
Панель мониторинга безопасности
Панель мониторинга безопасности обеспечивает постоянный мониторинг и быструю оценку ситуации, отслеживая основные индикаторы и метрики безопасности по данным из разных источников (удостоверения, доступ, вредоносные программы, конечные точки и анализ угроз). Все аспекты источников данных, основные индикаторы и визуальные представления настраиваются и адаптируются с учетом рабочих процедур организации. С помощью интерфейса типа «укажи и щелкни» можно использовать встроенные процессы и действия прямо с графического дисплея.
Анализ инцидентов
Быстро классифицируйте события, расставляйте приоритеты необычных событий и реагируйте на них, определяя приоритет инцидента и затронутые узлы. Получайте данные о контексте инцидента и узла и используйте любой атрибут инцидента или узла для поиска дополнительных индикаторов и соответствующих событий. Специалисты по безопасности могут сотрудничать и использовать единое представление всех действий, связанных с узлом и инцидентом, а также анализировать исходные данные и просматривать журнал действий, связанных с инцидентом.
Анализатор активов
Анализатор активов дает возможность визуально коррелировать действия на устройствах, использующих различные технологии. Можно задать временные рамки и составить сценарий на основе событий, а затем создать поисковые запросы для обнаружения этих событий или поделиться сценарием с другим членом группы.
Действие угроз
Панель мониторинга действий угроз обеспечивает прямой доступ к событиям, которые коррелируются со всеми источниками аналитических данных по угрозам: подписки на услуги сторонних поставщиков, правоохранительные органы, внутренние и общедоступные источники. Эта панель показывает тенденции, действия, пользователей и события для узлов, связанные с аналитическими данными по угрозам. Используйте анализ угроз в качестве отправной точки рабочего процесса или для разных аспектов мониторинга, отчетности и расследования.
Средства для расследования
Журнал анализатора упрощает многоэтапные процессы анализа и расследования, позволяя сосредоточиться на отслеживании атак, в то время как система регистрирует ваши поисковые запросы, действия и заметки, сделанные в ходе расследования. Все важные события, действия и заметки можно добавить на временную шкалу атак и расследований. Это позволяет визуализировать информацию об атаках и лучше понять ситуацию, а также выстроить последовательную цепочку различных событий для быстрого определения дальнейших действий.
Protocol Intelligence
Protocol Intelligence обеспечивает быстрый доступ к сетевым данным и включает панели с самыми важными полями из наиболее распространенных протоколов. Данные предоставляются приложением Splunk App for Stream или средствами сетевого расследования. Встроенные отчеты с ключевыми полями из сетевых данных упрощают создание профилей для выявления признаков необычной активности. Анализ угроз применяется к конвертам электронной почты, DNS-запросам и ответам, а также сертификатам SSL для ускоренного обнаружения инцидентов и реагирования.
Визуальные таблицы
Визуальные таблицы обеспечивают пользовательскую визуализацию данных, отражающую вашу топологию, рабочие процессы, последовательности обнаружения, расследования и реагирования. Используйте панели мониторинга и сводные представления в соответствующем контексте с учетом ваших требований. При создании визуальных таблиц доступен выбор из более чем 100 показателей безопасности, включая важные события.
Adaptive Response
Программа Adaptive Response повышает эффективность эксплуатации, а также оптимизирует обнаружение угроз и принятие мер благодаря использованию контекста рабочего процесса для принятия решений — автоматического и полуавтоматического. Аналитики могут как обрабатывать действия реагирования автоматически, так и анализировать их индивидуально, чтобы можно было получить дополнительный контекст или принять необходимые меры в экосистеме безопасности, где работают продукты разных поставщиков.
В качестве дополнительной опции в этот продукт может входить подписка на IBM X-Force® Threat Intelligence, в котором содержится список потенциально вредоносных IP-адресов, включая адреса компьютеров с вредоносным ПО, источников спама и других угроз. QRadar SIEM доступен как локально, так и в облачном варианте.
Отображение событий практически в реальном времени
Перехват данных из протоколов событий и сетевых потоков практически в реальном времени и применение расширенной аналитики для выявления нарушений безопасности.
Сокращение количества и упорядочение предупреждений
Просмотр исследований, проведенных аналитиками безопасности, в коротком управляемом списке подозрительных инцидентов с высокой вероятностью возникновения.
Оптимизация обнаружения угроз
Распознавание и отслеживание серьезных нарушений безопасности и угроз с предоставлением контекста и данных для более удобного анализа. Создание подробных отчетов о доступе к данным и активности пользователей.
Простое управление соответствием нормативным требованиям
Множество настраиваемых отчетов в SIEM системе и шаблонов помогут обеспечить строгое соответствие внутренним политикам организации и внешним нормативным требованиям.
Полезные сведения о функциях
Распознавание мошенничества, злонамеренных сотрудников и сложных угроз
Развертывание единой платформы с широкими возможностями масштабирования помогает свести тысячи нарушений безопасности в небольшой управляемый список подозрительных инцидентов. Решение собирает протоколы и события из разных источников, включая сетевые ресурсы, устройства безопасности, операционные системы, приложения, базы данных и системы управления доступом и идентификацией. Также предусмотрен сбор данных сетевых потоков, включая данные уровня 7 (уровень приложений) от коммутаторов и маршрутизаторов.
Мгновенная нормализация и корреляция событий
Оптимизация отчетности об обнаружении угроз и соответствии нормативным требованиям путем сведения миллиардов событий и потоков к небольшому количеству реальных нарушений и определения приоритетов для них в соответствии с угрозой для бизнеса. Определение базовых характеристик и обнаружение отклонений для определения изменений в работе, связанных с приложениями, компьютерам, пользователями и сегментами сети. Использование IBM® X-Force® Threat Intelligence (дополнительно) для определения действий, связанных с подозрительными IP-адресами, например при подозрении на вредоносную активность.
Распознавание, отслеживание и сопоставление серьезных инцидентов и угроз
Упрощение и расширение исследований за счет анализа событий и потоков практически в реальном времени или по результатам прошлых периодов. Дополнительные компоненты IBM QRadar® QFlow и IBM QRadar VFlow Collector помогают лучше понять и увидеть приложения, базы данных, продукты для совместной работы и социальные сети с помощью глубокого анализа сетевых пакетов на уровне 7.
Быстрое и недорогое добавление процессоров и памяти
С помощью компонентов для хранения данных, предусмотренных в дополнительном модуле QRadar Data Node, можно нарастить локальные ресурсы хранения, повысить скорость поиска при извлечении данных для расследования нарушений и устранить узкие места без расширения условий лицензирования.
Обеспечение соблюдения политик конфиденциальности
В решении предусмотрен интуитивно понятный модуль отчетов, который не требует знания баз данных и специальных навыков написания отчетов. Это дает обеспечение прозрачности, возможности учета и измерения для соответствия нормативным требованиям и составления отчетов по соответствию.
Совместные действия по предотвращению угроз и управлению ими
Предусмотрена возможность предоставления доступа к IBM Security App Exchange. При внедрении SIEM системы необходимо обратить особое внимание на производителя. IBM — мировой лидер в области информационных технологий и систем.
Банки и компании финансового сектора. Мониторинг распределенной сетевой инфраструктуры со значительным числом пользователей и устройств, логирование событий и выявление инцидентов.
Мобильные операторы и телеком-компании. Мониторинг работоспособности собственной структуры. Соблюдение внутренних политик и стандартизация логов тысяч разнообразных источников.
Предприятия, уже использующие DLP, IDS, IDM. Интеграция дает ощутимый рост функционала уже существующих продуктов и SIEM, позволяя максимизировать эффект каждого элемента.
Компании из сектора малого и среднего бизнеса. Мониторинг работоспособности сетевой инфраструктуры и соблюдения пользовательских политик с учетом масштабирования финансовых нагрузок.
Крупные предприятия с 1000+ компьютеров и устройств. Анализ терабайтов ежедневных событий и фокус на инцидентах, которые требуют незамедлительной реакции и вмешательства.
Географически распределенные предприятия. Организация эффективной работы и сохранения работоспособности распределенной сетевой инфраструктуры и ее контроль из единого центра
АРХИТЕКТУРА И АЛГОРИТМ РАБОТЫ
Сервер SIEM отвечает за обработку, корреляцию событий ИБ и реагирование на них. Для сопоставления событий с их инициаторами сервер SIEM использует компонент SearchInform DataCenter. В свою очередь DataCenter получает сведения о пользователях и компьютерах путем синхронизации с Active Directory. Сбор данных для сервера SIEM, их нормализацию и взаимосвязь между собой обеспечивают коннекторы:
Алгоритм работы СёрчИформ SIEM
WinEventConnector – вычитка и анализ журнала Windows
Event Log, контроллеров доменов и серверов Windows, вычитка и анализ по протоколу LDAP информации об учётных записях.
ProgramConnector – сбор данных об активности пользователей через подключение к БД ProgramController (используется сервер «КИБ СёрчИнформ», см. схему выше).
SyslogConnector – сбор событий Syslog.
DeviceConnector – чтение БД DeviceController (информация о файловых операциях с внешними устройствами).
OracleConnector – вычитка таблиц БД и логов Oracle Listener.
VMwareConnector – сбор событий VMware ESXi.
CiscoConnector – сбор событий сетевых устройств Cisco.
SIDLPConnector – сбор событий приложений «КИБ СёрчИнформ».
FortigateConnector – сбор событий устройства комплексной сетевой безопасности FortiGate.
LinuxConnector – сбор событий ОС Linux.
CWAConnector – чтение событий журналов 1C и контрольно-весовых аппаратов.
SymantecConnector – подключение к базе данных Symantec EPM и чтение ее записей.
PaloAltoConnector – сбор событий межсетевого экрана Palo Alto.
CheckPointConnector – сбор событий межсетевого экрана Check Point.
McafeeConnector – осуществляет подключение к базе данных McAfee и чтение ее записей.
ПРЕИМУЩЕСТВА «СЁРЧИНФОРМ SIEM»
Легкое внедрение. Система «СёрчИнформ SIEM» не требует долгой предварительной настройки. Предустановленные политики готовы к работе сразу после инсталляции. Решение способно детектировать ряд угроз и инцидентов «из коробки».
Простота использования. В отличие от большинства аналогов «СёрчИнформ SIEM» интуитивно понятна; для работы с установленной и настроенной системой не требуется привлекать высококвалифицированных и дорогостоящих специалистов.
Подходит среднему и малому бизнесу. Не высокие программно-аппаратные требования «СёрчИнформ SIEM» и приемлемая ценовая политика позволяет внедрять данное решение в даже в предприятиях малого и среднего бизнеса.
Учитывает опыт тысяч клиентов. Решения «СёрчИнформ» используют более 2 000 клиентов в 17 странах. Мы изучили опыт крупнейших из них, выявили общие потребности и лучшие практики — и внедрили последние в «СёрчИнформ SIEM».
Симбиоз SIEM и DLP. Тандем систем «КИБ СёрчИнформ» и «СёрчИнформ SIEM» многократно повышает уровень ИБ компании. SIEM выявляет аномальное поведение и способ получения доступа к информации. КИБ оценивает содержимое коммуникаций. Интеграция этих двух продуктов позволяет каждому из них работать на порядок эффективнее.
Сопровождение клиента. Установку ПО и решение технических проблем возьмет на себя инженер техподдержки. Специалист отдела внедрения обучит работе с SIEM, поможет настроить правила, будет держать в курсе обновлений и консультировать. Административные и другие вопросы решит персональный менеджер.
Российский продукт. «СёрчИнформ SIEM» — продукт российского разработчика. Система удовлетворяет требованиям закона об импортозамещении.
Лицензирование. Осуществляется не по объему трафика, а по количеству пользователей/компьютеров/устройств. Это значит, что клиент может легко просчитать стоимость приобретения и владения ПО.
Поможет провести расследование и предупредить утечку
Система работает на двух уровнях: контролирует данные, уходящие в Сеть, и следит за тем, что происходит на компьютерах работников. КИБ следит за безопасностью 24 часа в сутки как внутри офиса, так и в случаях, когда сотрудники отправляются в командировки или работают из дома.
Что контролирует
Система в режиме реального времени анализирует все, что происходит в компании. Перехват сохраняется и позволяет восстанавливать детали прошедших событий, если возникает необходимость расследования.
Каналы связи. Электронная почта, Skype, мессенджеры, форумы, облачные хранилища и др.
Действия сотрудников. Занятость за компьютером, поведение, криминальные тенденции и проч.
Хранимую информацию. Ее нахождение в «правильных» сетевых папках, на «разрешенных» компьютерах и т.д.
Какие задачи решает
«КИБ СёрчИнформ» предлагает больше возможностей, чем классическая DLP. Благодаря аналитическим инструментам, а также ориентации не только на данные, но и на пользователя, система:
Защищает от последствий, связанных с утечками информации.
Разоблачает мошеннические схемы (откаты, саботаж и другое).
Помогает рассчитывать кадровые риски и прогнозировать поведение работников.
Стимулирует соблюдение трудовой дисциплины и рабочего регламента.
Помогает повысить продуктивность персонала.
Позволяет управлять лояльностью коллектива.
Принцип работы
Принцип работы КИБ СёрчИнформ
AlertCenter: анализ перехвата и оповещения о нарушениях
В «мозговом центре» КИБ задаются политики безопасности, в соответствии с которыми модуль по заданному расписанию или по команде проводит поиск по собранному массиву данных. В случае обнаружения нарушений AlertCenter уведомляет ИБ-специалиста об инциденте.
ReportCenter: сбор статистики и формирование отчетов
Модуль преобразует собранную информацию в емкие по содержанию, удобные для восприятия отчеты. Есть ряд предустановленных шаблонов отчетов. На их основе можно создавать собственные уникальные. Просмотр отчетов доступен через веб-интерфейс.
Аналитические возможности
Контроль информационных потоков и перехват данных – только часть функциональности DLP-системы. Чтобы проанализировать массив информации и обнаружить инцидент, «КИБ СёрчИнформ» запускает мощные поисковые механизмы, которые работают со всеми видами конфиденциальной информации. Анализ максимально автоматизирован, чтобы увеличить скорость реакции на инцидент
Аналитические возможности КИБ СёрчИнформ
Технические преимущества
Наиболее полный контроль информационных потоков. «КИБ СёрчИнформ» позволяет контролировать все критичные каналы коммуникации. Поддерживается полный список как корпоративных средств коммуникации (Exchange, Lync, Skype и т.д.), так и личных (Telegram, Viber и др.). Благодаря этому возможно безопасное использование сетевых каналов без их блокировки.
Уникальные технологии анализа. Помимо «классических» технологий анализа (морфология, словари, регулярные выражения, цифровые отпечатки, OCR) в КИБ доступен ряд уникальных технологий, повышающих эффективность системы. Детектирование текстов, близких по смыслу с эталоном. Поиск изображений, похожих на эталон. Поиск по любым аудио- или видеозаписям действий пользователя.
Удобные инструменты для проведения расследований. Продукт позволяет производить аудио- и видеозапись действий пользователя, фиксировать любые действия с файлами или папками, журналами аудита, устройствами или ПО. Инструменты пристального наблюдения позволяют точно восстанавливать цепочки событий и устанавливать всех причастных к нарушениям.
Возможность контроля эффективности работы пользователей. В КИБ встроена возможность оценки продуктивности работы пользователей в приложениях и на сайтах. Это позволяет расширить область применения DLP, повысить уровень общей дисциплины в компании, определять проблемы бизнес-процессов.
Обнаружить факторы, влияющие на продуктивность работы персонала
Оптимизировать внутренние процессы и модели работы
Сократить издержки
C помощью комплекса «Стахановец» Вы узнаете:
Кто из сотрудников крадет конфиденциальную информацию
Кто работает на конкурентов
Кто предлагает или берет откаты
Кто собирается уволиться
Кто тратит время на социальные сети
Архитектура комплекса позволяет развернуть, управлять и администрировать до тысяч рабочих станций одновременно! Установка не занимает много времени и не требует особых знаний или навыков. Внедрение не нарушает рабочие процессы, не нуждается в изменениях структуры локальной сети и не ведет к простоям в работе. Низкие системные требования позволяют использовать комплекс даже на маломощных ПК. «Стахановец» незаметен в работе, не замедляет работу компьютеров. Антивирусные программы не реагируют на установку и не мешают работе комплекса.
Отчет «категории/отклонения»
Регистрирует аномалии в поведении, как отдельных работников, так и структурных подразделений. Спектр применения отчета чрезвычайно широк: поиск нестандартной активности и перемещения больших массивов данных, возникающих при попытке украсть информацию; сравнение работы сотрудников и отделов для обнаружения эффективных моделей труда или для поиска «слабого» звена при сокращении штата.
Проверка фальсификаций
Любая фальсификация оставляет неизгладимый след на потоке чисел. При вмешательстве в объективные данные, злоумышленник действует по определенным схемам, и хаотичный ввод цифр превращается в математическую модель.
Выявление числовых аномалий – мощный инструмент для бизнеса, который дает возможность сократить расходы, проводить тщательное и взвешенное стратегическое планирование, и, конечно, найти недобросовестных сотрудников и подрядчиков.
Граф связей
Определяет все контакты сотрудника внутри компании. При расследовании инцидентов, связанных с утечкой данных, эта функциональность легко обнаруживает сообщников инсайдера.
Если же цель – повысить эффективность бизнеса, Граф связей в тандеме с анализатором отклонений определит, кто в компании лидер, «коммуникатор» (сотрудник, воодушевляющий коллектив) и «убийца времени», отвлекающий коллег на перекуры и болтовню.
Голосовое DLP
Перехват голосовых переговоров в Skype, Viber, Lync с преобразованием голоса в текст и последующим анализом текста. В качестве DLP «Стахановец» предотвратит утечки информации, проверит лояльность сотрудников, выявит дачу взятки или «отката».
Благодаря записи звонков руководитель легко проанализирует эффективность работы персонала: как часто личные вопросы решаются в рабочее время, и есть ли угрозы безопасности компании.
Ну а преобразование голосовых переговоров в текстовые файлы позволяет практически полностью отказаться от заметок и труда третьих лиц для стенографирования. Теперь можно быть уверенным, что результаты коммуникации не окажутся под угрозой из-за неточно зафиксированной информации.
Кроме того, комплекс мгновенно реагирует на различные фразы, произнесенные во время диалога, и уведомляет службу безопасности или ответственное лицо. Для банков и других организаций система может заменить функциональность «красной кнопки».
Анализатор рисков
Анализ рисков – основа защиты ценной коммерческой информации. Модели поведения сотрудников, развивающих свой бизнес, тайно работающих на конкурентов или собирающихся увольняться резко отклоняются от нормы. «Стахановец» позволяет вовремя выявить инсайдера и принять соответствующие меры: не дать ценной информации покинуть стены компании и подготовить соответствующий кадровый резерв.
Анализатор рисков — интеллектуальный инструмент, автоматически выявляющий возможные риски для компании в повседневной деятельности персонала, таких как: передача критически важных данных конкурентам, уязвимые точки периметра информационной безопасности поиск новой работы, снижения эффективности труда.
Анализатор рисков с точностью до секунды определяет, куда именно расходует рабочее время сотрудник, а также отделяет «полезную» активность от «вредоносной».
Staffcop — программное решение, выполняющие сбор и анализ информации с функциональностью DLP и SIEM. Для работы StaffCop Enterprise необходим только один сервер под управлением ОС семейства GNU/Linux, предназначенный для сбора, хранения, анализа и просмотра информации об активности пользователей.
Подключение к серверу осуществляется по защищенному соединению. Поддерживается работа в любых сетевых инфраструктурах, обеспечивающих подключение от клиента к серверу: через VPN, NAT и другие каналы подключения.
Программа агент запускается на рабочих станциях или терминальных серверах, с операционной системой Windows, отслеживает действия пользователя и события на его компьютере, передает их на сервер, а также реализует различные блокировки и запреты доступа. Агент StaffCop Enterprise может работать на удаленном компьютере, не находящемся в локальной сети компании.
Схема работы StaffCop
Информационная безопасность
Информационная безопасность складывается из двух взаимодополняющих частей: предупреждение и расследованиеинцидентов. Оба механизма работают быстро и эффективно благодаря архитектуре StaffCop: агенты на рабочих станциях собирают информацию, а вся обработка происходит на выделенном сервере.
Система имеет гибкую настройку фильтров и оповещений, поэтому возможную утечку или вторжение удаётся обнаружить на ранней стадии, чем существенно сократить последствия.
Глобальная система записи всех возможных событий позволяет в случае произошедшего инцидента быстро добраться до источника утечки и точно назвать время, автора и объём утраченной информации.
Контроль рабочего времени и бизнес-процессов
Мониторинг рабочего времени сотрудников дает возможность предотвратить утечки конфиденциальной информации, посещения нежелательных сайтов и многие другие опасности. Вы сможете увидеть развернутую картину деятельности каждого сотрудника.
Система учета рабочего времени StaffCop
Установите программный комплекс StaffCop Enterprise. Просматривайте отчеты о действиях сотрудников в онлайн режиме, через любимый браузер.
Вы сможете увидеть не только время начала и окончания работы, но и активность сотрудников за компьютерами в течении всего дня, оценить их продуктивность.
Удаленное администрирование рабочих станций
Мониторинг процессов и приложений, системных событий, подключение к удаленному рабочему столу делают StaffCop Enterprise незаменимым помощником IT-специалиста. Вы сможете видеть кто и когда устанавливал, удалял или запускал программы, контролировать сетевые подключения, блокировать запуск «нежелательных» программ и сайтов.
Zecurion Staff Control предназначен для мониторинга рабочей активности и оценки эффективности персонала. Продукт будет полезен руководителям компаний, специалистам служб безопасности и HR-менеджерам. Система позволяет в онлайн-режиме или в ретроспективе контролировать, соответствует ли деятельность работников корпоративным стандартам.
Основные возможности:
Мониторинг активности сотрудников на рабочем месте
Блокировка доступа к приложениям
Защита конфиденциальных данных от утечек (при совместной работе с Zecurion DLP)
Отслеживание нажатий клавиатуры (кейлогер)
Запись снимков с веб-камеры и звука с микрофона
Наглядные отчёты по контролируемым сотрудникам
Полный контроль деятельности сотрудников
Владельцы бизнеса и руководители отделов будут знать, кто реально работает, а кто только получает зарплату или ищет другую работу.
Расследование инцидентов
Гибкий конструктор отчётов и система многомерного поиска позволяют быстро находить нужную информацию в любом разрезе данных.
Простое и быстрое развёртывание системы
Позволяет удалённо устанавливать агенты на контролируемые рабочие станции, что обеспечивает его быстрое развёртывание.
Интеграция со всеми продуктами Zecurion
Благодаря тесной интеграции с продуктами Zecurion отпадает необходимость в покупке сторонних решений, а вместе они составляют комплексную систему, обеспечивающую полноценную защиту корпоративной сети от всех типов внутренних угроз.
Масштабируемость
Система легко масштабируется на любое количество рабочих мест и работает в сетях любой конфигурации и сложности.
Администрирование через веб-интерфейс
Управление системой осуществляется через удобный и лаконичный веб-интерфейс с возможностью удалённого подключения к консоли независимо от местонахождения офицера безопасности.
Контроль запуска приложений
Zecurion Staff Control фиксирует все действия сотрудников по установке и удалению приложений, а также блокирует запуск приложений.
Система оповещений
В случае выявления нарушений (отклонений от политик) система уведомляет об этом на панели администрирования и письмом по электронной почте. В сообщении содержится описание инцидента и ссылка на событие в веб-интерфейсе.
Оценка продуктивности работы
Система покажет, сколько времени сотрудники тратят на рабочие задачи, а сколько используют для личных целей. Для этого задаются параметры, по которым система делит приложения и сайты на категории и автоматически рассчитывает время, потраченное на работу и развлечения.
Удалённое подключение к рабочему столу
Даже вне локальной сети можно подключаться к рабочему столу и просматривать действия сотрудника в режиме реального времени.
Запись снимков с веб-камеры
Zecurion Staff Control с заданной периодичностью делает снимки с веб-камеры, установленной на компьютере пользователя.
Снятие скриншотов с экрана монитора
В системе реализована возможность делать скриншоты экрана пользователя в автоматическом режиме с интервалом, задаваемым администратором.
Запись звука с микрофона
Система может вести запись звуков через микрофон контролируемого компьютера. С микрофона также ведётся запись разговоров через VoIP.
Перехват ввода с клавиатуры (кейлоггер)
Система отслеживает нажатия клавиш на клавиатуре пользователя. Офицер безопасности может просматривать, какую информацию сотрудник вводит в данный момент или вводил ранее.
Схема работы Zecurion Staff Control
На сегодняшний день почти каждого работодателя интересуют два вопроса, связанных с деятельностью персонала — насколько эффективно работают люди и как выявить недобросовестных сотрудников. Zecurion Staff Control помогает ответить на них.
Zecurion Staff Control фиксирует все действия сотрудников за рабочим компьютером и следит за соблюдением корпоративных политик. Мониторинг рабочего времени позволяет вести оперативную сводку занятости персонала, а анализ статистических данных помогает оптимизировать бизнес-процессы компании.
С помощью модуля отчётности офицер безопасности получает полную картину действий по каждому сотруднику, в т. ч. детальную статистику посещения интернет-ресурсов и использования мессенджеров. На основе собранной информации о деятельности пользователей можно оптимизировать рабочий график и повысить эффективность работы персонала.
Учёт рабочего времени сотрудников
Zecurion Staff Control собирает данные о рабочей активности сотрудников. В отчётах отображается время прихода и ухода, переработки, отслеживается продуктивное и непродуктивное время.
Оценка и контроль эффективности персонала
Проводится мониторинг посещения социальных сетей и использования приложений, а также общее время работы с ними.
Расследование инцидентов
Модуль отчётности позволяет создавать и изучать отчёты с любым уровнем детализации и разной формой представления данных (таблицы и списки, ленточные отчёты, диаграммы, тепловые карты и т. д.), а также помогает выявлять потенциальные нарушения политик безопасности на ранней стадии.
Мониторинг деятельности сотрудников
Для минимизации рисков необходим мониторинг рабочего времени персонала. В Zecurion Staff Control функция мониторинга активности сотрудников даёт возможность предотвратить использование нежелательных приложений, вести учёт времени и продолжительности посещения сайтов. Данные об активности на веб-ресурсах можно посмотреть в виде таблиц и графиков.
Расследование инцидентов
В Zecurion Staff Control реализован конструктор отчётов с детальной информацией о действиях персонала, благодаря которым можно быстро выявлять недобросовестных сотрудников. Статистику можно просматривать в режиме реального времени через удобный веб-интерфейс, а гибкий конструктор отчётов и система многомерного поиска позволяют быстро находить нужную информацию в любом разрезе данных. Например, администратор может просматривать графы взаимодействий персонала, диаграммы активности конкретного сотрудника или всего отдела. Также система позволяет просматривать снимки экранов, которые производятся в автоматическом режиме с заданным интервалом, а также прослушивать аудиозапись с микрофона и сопоставлять её с другими зафиксированными событиями.
Тепловая диаграмма активности
Для анализа произошедших за определённый промежуток времени событий
Диаграммы взаимодействий сотрудников
Zecurion Staff Control детально отображает коммуникации персонала, благодаря которым можно проследить связь между событиями.
График несанкционированных действий
Для выявления аномального поведения сотрудника. Офицер безопасности может детально изучать действия персонала на рабочем компьютере, и на ранней стадии выявлять потенциальные угрозы.
Подсчёт полезной активности сотрудника на рабочем месте
В отчётах представлены показатели реального использования приложений и посещения интернет-ресурсов.
DLP-система Zecurion Zgate предназначена для предотвращения утечек конфиденциальной информации через электронную почту, социальные сети, интернет-пейджеры и любые другие сетевые каналы передачи данных.
Zecurion Zgate позволяет контролировать и архивировать:
переписку в корпоративной электронной почте;
письма и вложения, отсылаемые через сервисы веб-почты;
общение в социальных сетях, на форумах и блогах;
сообщения интернет-пейджеров;
файлы, передаваемые по FTP.
Для обнаружения конфиденциальных данных в сообщениях Zecurion Zgate использует гибридный анализ — комплекс современных технологий детектирования, которые с высокой точностью определяют уровень конфиденциальности передаваемой информации и категорию документов с учетом особенностей бизнеса, требований отраслевых стандартов и законодательства России, СНГ, Европы и США. Применение гибридного анализа позволило повысить эффективность детектирования со среднестатистических 60–70% для существующих DLP-систем до 95% у Zecurion Zgate.
Настройки Zecurion Zgate позволяют назначить различную реакцию на обнаружение подозрительных сообщений: их можно заблокировать, пропустить с уведомлением офицера безопасности или поместить в карантин для ручной проверки. Zecurion Zgate сохраняет в архиве переданные сообщения и документы, а также служебную информацию: сведения об отправителе, получателе, канале передачи и т. д. Такой архив является незаменимым инструментом для анализа, проведения внутренних расследований и профилактики утечек. Встроенная система отчетности предоставляет полный набор возможностей для наглядного анализа перехваченных данных.
Сценарии использования
Сегодня сложно представить себе компанию, в которой сотрудники не пользуются электронной почтой и Интернетом. А ведь если у сотрудников есть выход за пределы корпоративной сети, значит, есть и риски утечки конфиденциальной информации. Случайно ввел неправильный адрес при отправке письма, поделился «по секрету» инсайдерской информацией с другом по аське, выложил документ на открытый файлообменный ресурс вместо закрытого корпоративного — такие мелкие нарушения правил ИБ порой приводят к фатальным последствиям.
Потеря или кража конфиденциальных данных ведет не только к прямым финансовым убыткам, но и к снижению доверия со стороны клиентов, партнеров и инвесторов. Любая утечка данных приводит к повышенному интересу со стороны регулирующих органов и СМИ. Это увеличивает риски финансовой ответственности за нарушение отраслевых стандартов и законодательства, регулирующих защиту персональных данных и другой конфиденциальной информации.
Предотвратить как случайные, так и намеренные утечки по сетевым каналам способна DLP-система Zgate. Система Zgate компании Zecurion разрабатывалась с учетом преимуществ и недостатков существующих DLP-решений. В отличие от них, Zgate позволяет не только мониторить переписку пользователей по почте, но и блокировать утечки конфиденциальных данных по любым сетевым каналам.
Контроль электронной почты
Zgate позволяет контролировать переписку сотрудников в корпоративной почте и веб-почте и предотвращать возможные утечки по этому каналу.
Мониторинг переписки в социальных сетях и ICQ
Потенциальные каналы утечки по сети уже давно не ограничиваются электронной почтой. Zgate осуществляет мониторинг переписки пользователей в социальных сетях, блогах, форумах, а также с помощью ICQ, Skype и других IM-сервисов.
Блокирование утечек
Работа Zgate в активном режиме направлена на минимизацию рисков утечки информации по сетевым каналам. Это означает, что при обнаружении сообщения, нарушающего политики безопасности, его передача будет мгновенно автоматически заблокирована. Активный режим применяется для фильтрации сообщений по любым каналам, включая электронную почту, социальные сети, форумы, ICQ, Skype и любые другие сетевые ресурсы.
Архивирование почты
Архивирование электронной почты является признанным неотъемлемым элементом эффективной IT-инфраструктуры. Архив Zgate обладает инструментами, позволяющими решать ряд не менее важных задач, кроме непосредственной задачи резервного копирования переписки. По данным архива всегда можно обнаружить подозрительное поведение сотрудников, отследить сложные схемы коммуникаций внутри компании, выяснить обстоятельства самого запутанного инцидента.
Обнаружение и блокирование утечек информации
Zecurion Zgate способен работать как в режиме активной фильтрации, так и в режиме слежения, когда при обнаружении утечки не происходит блокировки.
Контент-анализ сетевого трафика
Zecurion Zgate определяет конфиденциальные данные в пересылаемых сообщениях и файлах с помощью специальных технологий детектирования.
Категоризация всей пересылаемой информации
При анализе содержимого сообщений и файлов Zecurion Zgate разбирает пересылаемые данные по различным категориям. Например, для телекоммуникационных компаний особую ценность имеют такие категории, как информация об объектах связи и персональные данные абонентов. Zecurion Zgate имеет встроенные инструменты для управления словарями, описывающими различные категории документов.
Фильтрация корпоративной переписки
Zecurion Zgate контролирует всю корпоративную почту: исходящий, входящий и внутренний трафик.
Перехват веб-трафика
Zecurion Zgate позволяет анализировать фактически весь исходящий и входящий сетевой трафик.
Интеграция с прокси-серверами
Интеграция с Microsoft Forefront TMG (Microsoft ISA Server) и любым прокси-сервером, поддерживающим протокол ICAP: Blue Coat, Cisco ACNS, Squid и др.
Контроль сообщений интернет-пейджеров
Zecurion Zgate перехватывает и анализирует сообщения и файлы, отправляемые через популярные IM-сервисы, в том числе ICQ, Mail.Ru Агент и Skype.
Контроль веб-почты
Zecurion Zgate позволяет также контролировать переписку в интернет-почте, включая большинство популярных почтовых сервисов: Mail.ru, Яндекс.Почта, Рамблер-Почта, Gmail.com, Hotmail и др.
Контроль социальных сетей
DLP-система Zecurion Zgate анализирует сообщения пользователей на любых интерактивных сайтах — в социальных сетях, блогах и форумах, включая «ВКонтакте», «Одноклассники», MySpace, Facebook, LiveJournal, Twitter и др.
Архивирование сообщений
В отличие от многих существующих DLP-систем Zecurion Zgate обладает встроенной функцией архивирования (теневого копирования). В архиве сохраняются копии всех перехваченных сообщений, писем, вложенных файлов.
Перехват «склеенных файлов»
Zecurion Zgate распознает маскировку файлов. Например, документ Word с конфиденциальными данными «склеен» с видео в MPEG-формате, имеющее все свойства видеофайла, который проигрывается плеерами.
Производительность и масштабируемость
Масштабируемая и модульная архитектура позволяет эффективно использовать Zecurion Zgate для анализа больших объемов трафика (более 15 Гбайт на каждый сервер Zecurion Zgate в день).
Гибкая настройка политик
Настройки политик проверки, блокировки и архивирования данных в Zecurion Zgate включают около 30 различных параметров — от проверки типа файла вложения до обработки внешним приложением.
Применение политик можно настраивать в зависимости от времени передачи, направления трафика и местоположения пользователей. Для зашифрованных вложений и заархивированных данных применяются специальные политики, позволяющие контролировать их содержимое.
Ручная проверка подозрительных сообщений и файлов
В системе Zecurion Zgate реализована возможность ручного контроля сообщений в форме «карантина».
Администрирование
Управление Zecurion Zgate осуществляется удаленно и централизованно, через единую систему управления продуктами Zecurion. В настройках системы существуют широкие возможности для разделения ролей администраторов. Кроме того, в журнале событий регистрируются все действия администраторов.
Дополнительные возможности
Модификация сообщений и уведомление пользователей о результатах фильтрации.
Интеграция со сторонним ПО для дополнительной обработки, например антиспам-системами.
Поддержка импорта статистической информации в различные конструкторы отчетов, например Crystal Reports.
Контроль компьютеров, временно находящихся вне локальной сети.
Распределение функционала Zgate на два сервера, один из которых перехватывает сообщения, второй — их анализирует.
Развитая система отчетности
Для анализа результатов работы в Zecurion Zgate встроена специальная система генерации наглядных и красивых отчетов, позволяющая в несколько кликов представить данные в визуально удобном виде.
Работа в виртуальных средах
Архитектура Zecurion Zgate специально адаптирована для использования DLP-системы в виртуальных средах, в частности, VMware, Hyper-V и других.
Контроль всего трафика
В отличие от существующих DLP-систем, кроме исходящего трафика, Zecurion Zgate может анализировать входящий и внутренний трафик, что расширяет возможности для внутреннего контроля.
10+ технологий обнаружения утечек
Для обнаружения и своевременной блокировки утечек информации в Zecurion Zgate применяется гибридный анализ, использующий более 10 специализированных технологий, в том числе цифровые отпечатки DocuPrints, лингвистический анализ MorphLogic, проверку по шаблонам регулярных выражений, OCR, обучаемую технологию SmartID, метод опорных векторов SVM и впервые используемую в DLP-системе технология распознавания изображений в документах — ImagePrints.
500+ форматов файлов
Zecurion Zgate поддерживает анализ более 500 форматов файлов, в том числе Microsoft Office, OpenOffice.org, изображения, а также обработку архивов заданного уровня вложенности.
Контроль 250+ веб-сервисов и 15+ IM
Zecurion Zgate контролирует сообщения и файлы, отправляемые через более чем 15 видов интернет-пейджеров и более чем 250 различных веб-сервисов — от почты Mail.Ru до видеохостинга YouTube.
Отчетно-аналитический модуль Zecurion Reports
Предназначен для создания интерактивных отчетов с любым уровнем детализации и разной формой представления данных. Благодаря автоматической генерации отчетов и их отправке, модуль помогает на ранних стадиях выявлять нарушения политик безопасности и предотвращать возможные утечки информации. Zecurion Reports существенно сокращает ручной труд при подготовке отчетов и экономит не менее 12-15% рабочего времени офицера безопасности, обслуживающего DLP-систему.
Архив (теневое копирование)
Все пересылаемые письма, сообщения и файлы помещаются в специальный архив, не имеющий ограничений по объему и сроку хранения данных и обладающий удобными инструментами для дальнейшего анализа данных и расследования.
Гибкие настройки
Для настройки защиты информации в Zecurion Zgate используются специальные политики безопасности, имеющие до 30 различных параметров.
Полная поддержка виртуальных сред
Благодаря оптимизации архитектуры, Zecurion Zgate работает в любых виртуальных средах, в том числе VMware и Microsoft Hyper-V.
Высокая производительность
Масштабируемость и модульная архитектура Zecurion Zgate позволяют учесть самые жесткие требования к производительности.
Контроль графических файлов (OCR)
Встроенная OCR-технология позволяет обнаруживать конфиденциальную информацию даже в графических файлах — скриншотах, сфотографированных или отсканированных документах.
Готовые шаблоны
В установку Zecurion Zgate включено более 50 шаблонов, с помощью которых можно определять конфиденциальные данные. Это существенно сокращает трудозатраты при внедрении.
Централизованное управление
Управление Zecurion Zgate осуществляется через единую систему управления DLP-решениями Zconsole, которая также поддерживает управление Zlock и Zserver Suite.
Контроль удаленных компьютеров
Zgate Агент контролирует интернет-трафик всех сетевых интерфейсов компьютера. Благодаря этому возможны контроль и блокирование утечек даже если компьютер находится вне локальной сети — например, сотрудник работает на ноутбуке из дома. Настройка условий активации Агента, политик безопасности и правил фильтрации трафика производится в зависимости от поставленных задач и может осуществляться как вручную, так и быть получена от сервера конфигураций.
Веб-сервер OCR
С целью ускорения распознавания текста в файлах изображений можно установить веб-сервер, чьей функцией является получение графических файлов от других компонентов Zgate и возврат извлеченного из этих файлов текста.
Прокси-сервер Zproxy
В Zecurion Zgate включен собственный прокси-сервер, предназначенный для перехвата и анализа трафика, передаваемого по различным протоколам включая HTTP/HTTPS и SOCKS. Zproxy обеспечивает выполнение и кеширование запросов к интернет-ресурсам по указанным запросам и ведет их журналирование. С помощью консоли управления можно задавать правила доступа к интернет-ресурсам с различных компьютеров по конкретным критериям, например, по типу контента, адресу web-сайта и пр.
Поддержка облачных сервисов
Zgate позволяет контролировать данные, передающиеся через облачные сервисы, включая популярные Dropbox, Google Drive, «Облако Mail.Ru», Яндекс.Диск и другие.
Гарда Предприятие – инструмент для автоматизации ежедневной работы служб информационной безопасности. Удобный и интуитивно-понятный интерфейс обеспечивает контроль информации в режиме онлайн.
DLP-система работает сразу после запуска и выявляет инциденты безопасности еще до завершения всех этапов внедрения и настройки политик.
В основе DLP-системы «Гарда Предприятие» современные технологии анализа:
Поиск похожих документов. Выявляет нелегитимный доступ и распространение информации по фрагментам.
Лингвистический анализ. Поиск текстовой информации при помощи ключевых слов и фраз с учетом морфологии.
Критериальный поиск. Поиск информации на основе сигнатурных и других нетекстовых критериев – тип данных (выгрузки из различных баз данных, типы файлов), объем данных, протокол передачи, учетные записи пользователей и др.
Блокировка передачи данных. Маркировка конфиденциальных документов и блокирование их передачи по всем каналам связи.
Карта коммуникаций сотрудников
Выявите факты взаимодействия с конкурентами. Интерактивный отчёт наглядно демонстрирует облако коммуникаций сотрудников как внутри компании, так и связи с внешней средой, отражает интенсивность коммуникаций и средства передачи информации.
Экономьте время на рутинных задачах
Автоматическое заполнение профилей сотрудников сэкономит значительное количество времени и упростит работу с инцидентами.
Индивидуальная статистика активности за рабочим местом.
Идентификационные данные сотрудника.
Последние события ИБ.
Статистические отчеты
Определите нехарактерные для сотрудника обращения к информационным ресурсам, сайтам и документам.
Разнообразные отчеты о результатах мониторинга трафика позволяют выявить отклонения в статистической картине обмена данными сотрудников и различные тренды.
Мгновенный поиск
Поиск инцидентов по накопленному архиву — проще, чем в популярных системах интернет-поиска. Ни один инцидент не останется незамеченным.
Технологии лингвистического анализа, критериального и сигнатурного поиска в накопленных данных позволяют быстро находить интересующие информационные объекты, персональные данные или конфиденциальные документы, определять, кто и куда передавал искомую информацию.
Схема распространения информации
Узнайте, кто имел доступ к конфиденциальным документам.
В отчете представлен маршрут движения любой информации от первой коммуникации до момента передачи за пределы организации. В маршруте учитываются как пользователи, так и каналы передачи информации.
Solar Dozor – высокопроизводительная DLP-система, обеспечивающая контроль коммуникаций сотрудников. Solar Dozor оптимизирован под задачи выявления активностей сотрудников, наносящих экономический ущерб организации, признаков корпоративного мошенничества, конфликтов интересов и аффилированности, а также проведения расследований.
Solar Dozor решает два основных типа задач. Во-первых, как классическая DLP-система, Solar Dozor решает задачи по мониторингу, фильтрации и анализу каждого сообщения на наличие конфиденциальной информации. Во-вторых, при решении задач по выявлению корпоративного мошенничества применяется другой подход. Для этого Solar Dozor осуществляет накопление переписки сотрудников, профилирование их действий и в режиме реального времени контроль появления косвенных, на первый взгляд, незначительных признаков противозаконных действий сотрудников, аномалий в их поведении. Эти механизмы позволяют проводить ретроспективный анализ и расследования по накопленным данным и переписке сотрудника на всем объеме коммуникаций сотрудника.
Правила выбора DLP-системы
Планируя внедрение DLP-системы, офицер информационной безопасности ставит высокие цели в борьбе с утечками информации и расследовании случаев подозрительного поведения сотрудников, которые могут нанести ущерб организации. В большинстве случаев промышленному внедрению предшествует пилотный проект, в ходе которого достигаются промежуточные результаты и принимается решение о выборе того или иного продукта. Тем не менее для пробной эксплуатации часто выбирается ограниченное число контролируемых рабочих станций, в результате не представляется возможным проверить решение под большими нагрузками трафика, а из-за сжатых сроков не доходят руки до апробации ключевого функционала системы в полном объеме.
Понимая все особенности выбора и эксплуатации DLP-систем, команда Solar Dozor делает все возможное, чтобы пользователи решения достигали своих целей и не тратили лишнее время на борьбу с техническими проблемами.
Оценка и мониторинг оперативной обстановки
Внедренная DLP-система без остановки трудится, собирая коммуникации сотрудников в архив. Офицер безопасности должен иметь возможность в любой момент открыть решение и быстро провести оценку оперативной обстановки, установить для себя и коллег приоритетные задачи на ближайшее время и перейти к разбору происшествий. Современный web-интерфейс Solar Dozor построен по принципу ситуационного центра, работа с которым позволяет офицеру безопасности оперативно принимать решения и получать все необходимые данные для проведения расследований.
Управление событиями и инцидентами
Проводя оперативный мониторинг, специалист по безопасности классифицирует события и инциденты, подключает к расследованию коллег и т.д. Для эффективной работы с инцидентами в Solar Dozor реализована полноценная система кейс-менеджмента, позволяющая управлять жизненным циклом инцидента на всех этапах расследования.
Мониторинг групп особого контроля
Контролировать всех значит не контролировать никого. Сконцентрировать внимание на сотрудниках и группах, вызывающих подозрение, в Solar Dozor помогают группы особого контроля.
Мониторинг движения и хранения информации
Solar Dozor, как классическая DLP-система, обеспечивает перехват информации по широкому спектру каналов передачи данных, закрывая все лазейки. Защитить и контролировать потоки критичных данных в организации помогут:
Контроль конфиденциальной информации
Контроль информационных объектов
Аудит файловых хранилищ
Расследование инцидента
Solar Dozor – продукт, аналитические возможности которого позволяют копнуть гораздо глубже и выявить угрозы и косвенные признаки мошенничества, которые были бы недоступны при использовании классических DLP-систем. Solar Dozor может похвастаться продвинутым архивом, куда попадает весь перехваченный трафик, а поиск по нему занимает считанные секунды, что обеспечивает непревзойденную полноту запрошенной информации и экономию времени при проведении расследований. Узнайте, какие еще инструменты проведения расследований помогают офицеру безопасности эффективно и быстро выполнять свою работу и представлять результаты руководству:
Полный архив коммуникаций
Аналитические возможности
Быстрый поиск
Отчеты для руководителей
Основные возможности Solar Dozor
Программный комплекс Solar Dozor – это DLP-система, позволяющая осуществлять мониторинг, анализ и, в случае необходимости, блокировку коммуникаций сотрудников. Основными задачами, решаемыми с помощью Solar Dozor, являются контроль конфиденциальной информации, выявление признаков корпоративного мошенничества и проведение расследований.
Контроль конфиденциальной информации и ее защита осуществляются через мониторинг, перехват и блокирование каналов коммуникаций пользователя на рабочей станции, а также аудит локальных и сетевых файловых ресурсов на предмет открытого хранения конфиденциальных данных. Solar Dozor позволяет установить тотальный контроль над коммуникациями сотрудников и их действиями на рабочих станциях, а также контролировать информационные потоки в организации:
Реализация классической DLP-методологии – контроль информации при использовании (in-use), при передаче (in-motion), при хранении (at-rest).
Перехват трафика сниффером на шлюзе/прокси, агентом (Windows, Linux) на рабочих станциях, файл-краулер для аудита мест хранения данных.
Контроль переписки сотрудников по электронной почте, на интернет-ресурсах, в мессенджерах, социальных сетях и других популярных сервисах.
Контроль активности пользователей на рабочих станциях– копирование на внешние устройства, печать и т.д.
Продвинутые технологии анализа и фильтрации трафика для точного выявления конфиденциальных данных в любых форматах и раннего обнаружения угроз.
Сканирование локальной сети предприятия на предмет появления новых узлов и сервисов.
Финансовые результаты бизнеса во многом определяются продуктивностью сотрудников. Нерациональные действия, прокрастинация, низкая мотивированность и недостаточный опыт наносят прямой ущерб компании. Понимание уровня продуктивности персонала поможет руководителям выявлять кадровые риски и находить точки роста производительности бизнеса.
Представьте, что у вас есть инструмент, который позволяет добиться максимальной производительности сотрудников и результативности бизнеса. Это InfoWatch Person Monitor — система непрерывного мониторинга рабочих процессов и выявления резервов роста производительности бизнеса.
Продукт разработан для руководителей подразделений и топ-менеджмента компаний. InfoWatch Person Monitor помогает находить резервы оптимизации рабочих процессов и расходов. Веб-консоль продукта позволяет отслеживать обстановку в компании в режиме реального времени и своевременно принимать решения в отношении неэффективных сотрудников.
Онлайн-мониторинг рабочей активности персонала
Что, если ваши сотрудники посещают развлекательные сайты в ущерб выполнению важных проектов? InfoWatch Person Monitor позволяет вести онлайн-мониторинг рабочей активности персонала и создавать картину рабочего дня сотрудников.
Машинное время: сколько времени был включен компьютер сотрудника
Мониторинг запускаемых приложений. Активная работа в приложениях
Log in / Log off в системе
Мониторинг посещаемых сайтов
Прогулы, опоздания на работу
Быстрое локальное расследование инцидентов и привлечение нарушителей к ответственности
InfoWatch Person Monitor включает инструменты, необходимые для сбора доказательной базы при расследовании инцидентов. Граф связей наглядно демонстрирует контакты сотрудника через электронную почту и мессенджеры. Кейлоггер фиксирует текст, набираемый в приложениях. Отчет по файловым операциям показывает операции с данными: копирование, удаление, перенос файлов, доступ к теневым копиям.
InfoWatch Person Monitor использует клиент-серверную архитектуру и поддерживает базы данных MySQL и Microsoft SQL Server.
Клиентские приложения собирают информацию об активности сотрудников на рабочих станциях и мобильных устройствах на базе Android и передают ее на аналитический сервер.
Веб-консоль в режиме реального времени получает обработанные данные от сервера и выводит их в наглядном виде для мониторинга ситуации в компании. Офицеры безопасности и администраторы системы могут получать уведомления об инцидентах по SMS и электронной почте.
Схема работы
Схема работы InfoWatch Person Monitor
Для снижения нагрузки на сервер может использоваться режим отложенного мониторинга. В этом случае данные мониторинга сохраняются локально на устройствах сотрудника и не передаются на сервер для анализа, сокращая сетевой трафик.
ПОЧЕМУ INFOWATCH PERSON MONITOR?
ДЛЯ РУКОВОДИТЕЛЕЙ:
Управление продуктивностью и рабочей активностью персонала. Контролируйте эффективность использования рабочего времени, выявляйте резервы для роста производительности сотрудников.
Оптимизация расходов компании. Сокращайте расходы компании за счет экономии на некомпетентных и недобросовестных сотрудниках.
Обоснование для управленческих решений.Выбирайте любой срез базы данных, создавайте отчеты и принимайте решения.
ДЛЯ ИТ- И ИБ-ОТДЕЛОВ:
Мониторинг в режиме реального времени. Используйте веб-консоль с оперативными сводками и отчетами из любой точки мира.
Расследование «по горячим следам». Быстро расследуйте любой инцидент благодаря оперативным сводкам и возможностям онлайн-наблюдения.
Контроль информационных активов. Выявляйте нерациональное использование сотрудниками ресурсов компании
InfoWatch Vision анализирует информационные потоки, которые зачастую остаются вне поле зрения политик DLP-системы:
Большая часть информации, которая перехватывается DLP-системой, остается вне поле зрения офицера информационной безопасности
Сложно вычленить из информационных потоков необходимые данные
Невозможно одновременно реализовать быструю и полную отчетность
InfoWatch Vision автоматически загружает всю информацию из базы данных InfoWatch Traffic Monitor. С этого момента любой срез данных и отчетность всегда доступны по клику мыши.
Единый центр статистики и обработки инцидентов
InfoWatch Vision меняет подход к управлению инцидентами информационной безопасности в крупных территориально-распределенных структурах благодаря поддержке филиальной структуры.
Функционал «Филиальной структуры» позволяет решать две крупные задачи:
Осуществлять мониторинг событий и инцидентов по всем филиалам — таким образом на базе InfoWatch Vision создается единый центр статистики и управления в головном подразделении компании.
Отслеживать показатели качества обработки инцидентов офицерами информационной безопасности и контролировать их действия на местах.
Ключевой функционал
InfoWatch Vision состоит из интерактивных листов Граф связей, Сводка, Досье, Карточка филиала, Сводка по филиалам и Детали, которые отражают основные функциональные возможности продукта.
Интерактивный граф связей
Граф используется офицером безопасности для визуального анализа связи сотрудников и внешних контактов. Граф можно строить сразу для нескольких сотрудников или целого отдела. Граф мгновенно перестраивается в зависимости от выбранных параметров: сотрудники, временные периоды, политики, пересылаемые файлы, объекты защиты и пр. Узлы и связи на графе кликабельны – можно провалиться в события любой связи.
Досье по сотруднику или внешнему контакту
Досье используется офицером безопасности для контроля конкретных сотрудников и полного анализа их активности в компании. Досье на внешний контакт позволяет оценить, с кем из компании он связан, какие политики назначены, какие файлы он получил и отправил. Досье на внешний контакт формируется автоматически без участия офицера безопасности.
Карточка филиала
«Карточка филиала» отображает данные о событиях в филиале, сгруппированные по политикам, тегам и объектам защиты:
история взаимодействия офицеров ИБ с событиями;
объем обработанных событий;
назначенные событиям вердикты.
«Карточка филиала» служит инструментом отслеживания обработки инцидентов офицерами ИБ на местах и инструментом контроля их действий.
Динамическая сводка безопасности по всей компании или по отделам
Сводка используется офицером безопасности для ежедневного мониторинга информационных потоков компании, а также для проведения расследования при отсутствии прямых входящих данных (инцидент, дата, сотрудник и т.д.).
Сводка по филиалам
В консоли InfoWatch Vision офицер информационной безопасности головного подразделения получает обобщенные данные о событиях InfoWatch Traffic Monitor, инцидентах и их расследовании офицерами безопасности в филиалах. Вся статистика по филиалам сгруппирована по политикам, объектам защиты и вердиктам.
Конструктор для построения специфических отчетов
Конструктор позволяет формировать отчеты по инцидентам информационной безопасности, представлять специфические разрезы статистики и графики в одном окне, добавлять комментарии, изображения и выгружать результаты в формате PDF и ppt.
Проведение расследований инцидентов
Инструмент ДЕТАЛИ позволяет провалиться в конкретное событие, с возможностью просматривать текст письма или сообщения, выгрузить вложение и список событий по выборке и провести расследование инцидента
Как работает infowatch vision?
InfoWatch Vision состоит из интерактивных листов Граф связей, Сводка, Досье, Карточка филиала, Сводка по филиалам и Детали. Они связаны между собой и отражают единый срез данных.
Как работает InfoWatch Vision
Листы Граф связей, Досье, Карточка филиала, Сводка и Сводка по филиалам используются для формирования выборки данных. Выборки создаются с помощью фильтров и кликабельных графиков
Детали событий используются для просмотра списка событий по сформированной выборке и детальной информации по ним
Преимущества
Существенное повышение эффективности использования DLP-системы в организации благодаря:
контролю «серой» зоны информационных потоков (то, что остается за скобками политик безопасности)
мгновенной обработке больших объемов данных (за секунды обрабатываются 10 млн событий)
анализу информационных потоков с помощью наглядных визуализаций и графиков
Наглядное и прозрачное представление результатов работы службы ИБ благодаря гибкой отчетности:
отчетность отражает любой срез данных по любым метрикам (люди, политики, даты и др.)
отчетность служит достаточным основанием для принятия управленческих решений
возможность строить специфические отчеты по инцидентам
Средний размер ущерба в результате одного инцидента ИБ для компаний среднего бизнеса составляет 1,6 млн. рублей, а для крупного бизнеса он в десять раз выше – 16,1 млн. рублей. Современной антивирусной программы уже недостаточно – необходимо комплексное решение, отвечающее за безопасность на нескольких технологических и функциональных уровнях корпоративной IT-инфраструктуры. Истинная защита рабочих мест сочетает в себе различные интеллектуальные методы и технологии для защиты от любых киберугроз на любой платформе. Обезопасив всю корпоративную IT-сеть, вы сможете обеспечить непрерывность бизнеса.
Передовые технологии, удобное управление
Бюджет информационной безопасности не может расти с той же скоростью, что и компания. Защитные решения должны обеспечивать безопасность от самых сложных угроз – текущих и будущих. Решение Kaspersky Security для бизнеса, использующее передовые технологии машинного обучения, защищает от программ-шифровальщиков, эксплойтов и самых опасных атак. Это современное решение оснащено удобными и гибкими средствами настройки защиты, автоматизированной системой оценки уязвимостей и установки исправлений, а также встроенными функциями шифрования**. Всю корпоративную сеть можно контролировать из единой консоли.
Передовая защита от киберугроз
Решение блокирует атаки в режиме реального времени, используя систему предотвращения вторжений (HIPS). Инструменты патч-менеджмента позволяют обнаруживать уязвимости и устанавливать последние исправления безопасности, а инструменты контроля программ дают возможность ограничить запуск приложений на серверах.
Защита конфиденциальных данных
Технологии шифрования и управление встроенным в операционную систему шифрованием позволяют надежно защитить корпоративную информацию и конфиденциальные данные клиентов, чтобы предотвратить утечку данных и обеспечить соответствие отраслевым стандартам и требованиям законодательства.
Расширенные возможности для администраторов
Решение экономит время и ресурсы администраторов при развертывании новых систем или обновлении ПО, позволяя создавать, хранить и клонировать образы системы.
Полная прозрачность
Наши Центры прозрачности (Transparency Centers), которые открываются в ближайшее время, дают партнерам «Лаборатории Касперского» доступ к независимым исследованиям нашего кода. Мы надеемся, что подобный, уникальный на сегодня, уровень открытости в будущем станет отраслевым стандартом.
Гибкая система лицензирования предоставляет возможность собрать комплекс безопасности под задачи каждой компании с учетом всех особенностей ИТ-инфраструктуры.
Решение включает все типы антивирусного программного обеспечения для оптимизированной работы и эффективной защиты каждого узла сети, вне зависимости от операционной системы.
Защита рабочих станций
Эффективная защита клиентских рабочих станций и виртуальных систем от всех типов вредоносного программного обеспечения.
Защита мобильных устройств
Надежные продукты с набором функций для безопасности конфиденциальной информации на смартфонах и планшетах сотрудников компании.
Защита файловых серверов
Оптимизированные продукты, которые обеспечивают высокий уровень безопасности файловых серверов без снижения их производительности.
Расширенная защита рабочих станций
Многофункциональная защита рабочих станций и конфиденциальной информации от известных и вновь появившихся угроз.
Защита почтовых серверов
Эффективные продукты для корпоративной почты, обеспечивающие сканирование входящего трафика для защиты от спама и интернет-угроз.
Защита интернет-шлюзов
Надежные антивирусные продукты для HTTP- и FTP-шлюзов, обеспечивающие высокую скорость работы для многофункциональных систем с большим входящим трафиком.
Централизованное управление
Инструменты для централизованного управления лицензиями и продуктами ESET, которые обеспечивают защиту всех объектов сети, включая мобильные устройства, под управлением различных операционных систем.
ESET NOD32 Smart Security Business Edition — комплексная защита серверов и рабочих станций для всех типов организаций, включающая в себя антивирус, антишпион, антиспам, персональный файервол, а также приложение ESET Remote Administrator, которое обеспечивает централизованное администрирование антивирусного решения в корпоративных сетевых средах предприятия или глобальных сетях.
Фильтрация почтового и веб-контента; антиспам
полное сканирование всей входящей корреспонденции через протокол POP3 и POP3s;
сканирование входящей и исходящей электронной почты;
подробный отчет по обнаруженным вредоносным программам и спам-фильтрации;
антиспам надежно защищает пользователя от нежелательных сообщений;
полная интеграция в популярные почтовые клиенты: Microsoft Outlook, Outlook Express, Windows Mail, Windows Live Mail и Mozilla Thunderbird, The Bat!.
Персональный файервол
защита от внешних вторжений;
низкоуровневое сканирование трафика обеспечивает высокую степень защиты от сетевых атак;
пять режимов работы: автоматический режим, автоматический режим с исключениями, интерактивный режим, режим на основе политик и режим обучения.
Централизованное управление
С помощью решения ESET Remote Administrator можно удаленно осуществлять инсталляцию и деинсталляцию программных продуктов ESET, контролировать работу антивирусного ПО, создавать внутри сети серверы для локального обновления продуктов ESET («зеркала»), позволяющие существенно сокращать внешний интернет-трафик.
Удобные отчеты ESET NOD32 Business Edition автоматически формирует отчет по обнаруженным инфицированным объектам, отправленным в карантин, по динамике угроз, событиям, проверкам, задачам, можно сформировать различные комбинированные отчеты и т.д. Возможна отправка предупреждений и сообщений через протокол SMTP или посредством менеджера сообщений.
Основные преимущества решений ESET:
проактивная защита,
высокая скорость сканирования,
низкие требования к системным ресурсам ПК,
минимальное число ложных срабатываний,
практически не влияет на работу бизнес-приложений,
удобная консоль администрирования с множеством настраиваемых параметров позволяет адаптировать, решение под задачи любого предприятия.
ESET NOD32 SMALL Business Pack — антивирусное решение, разработанное специально для небольшой компьютерной сети. Обеспечивает высокий уровень безопасности в компании и при этом не требует серьезных затрат.
Для оперативного обнаружения угроз и вредоносного ПО в ESET NOD32 SMALL Business Pack используются передовые методы защиты данных. Обновление сигнатурных баз происходит четыре раза в сутки. Решение не требовательно к производительности системы, быстро устанавливается и легко настраивается. Осуществляется постоянный сбор статистики, при необходимости можно получить доступ к графическим отчетам.
Продукт ESET NOD32 SMALL Business Pack предназначен для защиты рабочих станций и виртуальных машин под управлением операционных систем Windows, Linux и Mac OS X, а также мобильных устройств под управлением ОС Android, Symbian, Windows Mobile и iOS. При увеличении количества рабочих мест возможно расширение корпоративной лицензии на выгодных условиях. В стоимость лицензии входит бесплатная техподдержка 24/7. Лицензия включает модуль Удаленного администрирования ESET Remote Administrator, с помощью которого можно организовать централизованное управление.
В ESET NOD32 SMALL Business Pack входит набор продуктов для оптимальной защиты каждого узла корпоративной сети:
ESET Endpoint Antivirus;
ESET Virtualization Security для VMware vShield;
ESET Endpoint Security для Android / ESET Mobile Security Business Edition;
ESET Mobile Device Management для Apple iOS;
ESET Remote Administrator.
Ключевые преимущества ESET NOD32 SMALL Business Pack:
интеллектуальные технологии обнаружения всех типов вредоносного ПО;
удобство установки и настройки правил безопасности;
автоматическое сканирование съемных носителей и контроль доступа пользователей по типу устройства;
настраиваемая система обнаружения внешних вторжений HIPS (Host-based Intrusion Prevention System);
Symantec Endpoint Protection Small Business Edition обеспечивает непревзойденный уровень безопасности, потрясающее быстродействие и интеллектуальное управление в физических и виртуальных средах для защиты от вредоносных программ массового назначения, направленных атак и сложных устойчивых угроз без снижения эффективности работы сотрудников или систем.
Система предотвращения вторжений (IPS) и брандмауэры блокируют распространяемые по сети вредоносные программы до их проникновения в систему
Уникальные технологии интеллектуальной защиты, использующие данные крупнейшей в мире глобальной сети отслеживания угроз
Поддержка Windows, Mac и Linux в физических и виртуальных средах
Единая, высокопроизводительная, простая консоль управления
Блокирование вирусов и вредоносных программ «на лету» с помощью Symantec Endpoint Protection Small Business Edition
Облачное решение, которое настраивается за считанные минуты, автоматически проверяет наличие обновлений и подходит для развивающихся компаний, подобных вашей
С решением Symantec, мирового лидера в области безопасности, для защиты Mac и ПК вы можете сосредоточиться на развитии бизнеса, обезопасив свои данные от посягательств киберпреступников.
Ключевые преимущества Symantec Endpoint Protection Small Business Edition:
Быстрое и эффективное сканирование обеспечивает защиту от вирусов, червей, троянских коней и программ-шпионов, не замедляя работу системы и позволяя полностью сконцентрироваться на основной деятельности .
Возможность выбора между эффективной и удобной облачной услугой, обеспечивающей постоянную защиту, и использованием локального сервера управления .
Экономия времени и усилий благодаря настройке за считанные минуты без привлечения дополнительного аппаратного обеспечения или специально обученного персонала .
Технологии Symantec Insight и SONAR распознают новые и быстро меняющиеся вредоносные программы, в том числе новые и ранее неизвестные угрозы, блокируя их работу .
Оплата по подписке позволяет сгладить текущие расходы и обеспечивает обслуживание, обновление и круглосуточную техническую поддержку вне зависимости от того, какой вариант управления вы выбрали: облачную услугу или развертывание на ресурсах компании.
Блокирование вредоносного ПО из Интернета и шпионских программ, включая все известные вирусы
Несколько модулей анализа сканируют все веб-запросы в реальном времени. Эвристическая технология анализа Skeptic обнаруживает неизвестные угрозы.
Создание и внедрение политики допустимого использования Интернета
Полностью настраиваемые параметры политики для определенных веб-сайтов, категорий веб-сайтов и типов файлов. Создание правил на основе групп пользователей, времени дня и загруженности Интернета.
Настраиваемые параметры контроля исходящих данных
Политика защиты данных помогает предотвратить как умышленную, так и случайную утечку конфиденциальных и личных данных через Интернет.
Одинаковые политики и процедуры безопасности для всех пользователей вне зависимости от их расположения
Поддержка роуминга для удаленно работающих пользователей гарантирует безопасность для всех пользователей, в том числе находящихся за пределами корпоративной сети.
Надежная услуга в облачной среде
Более чем десятилетний опыт предоставления и непрерывного совершенствования высокоточной и эффективной облачной услуги для защиты и управления доступом в Интернет. Исчерпывающее, тщательно продуманное соглашение об уровне обслуживания и глобальный коллектив экспертов в области безопасности для круглосуточной поддержки пользователей.
Как это работает: Symantec Web Security.cloud
Symantec Web Security.cloud упрощает всестороннюю фильтрацию URL-адресов и контролирует использование Интернета, чтобы обеспечить соблюдение вашей приемлемой политики использования в Интернете. В антишпионском и антивирусном сервисе используются средства сканирования подписи и собственная технология Skeptic ™, обеспечивающая максимальную защиту от самых сложных и целенаправленных сетевых угроз.
Как работает Symantec Web Security.cloud
Правила политики для веб-трафика настраиваются с помощью портала управления.
Все запросы веб-трафика проходят через облачную платформу Symantec, размещенную в защищенных дата-центрах по всему миру.
Когда получен запрос веб-трафика, правила политики оцениваются и обрабатываются, чтобы определить, заблокирован ли он или разрешен ли он.
Различные правила могут быть применены к различным группам пользователей и отдельным лицам, некоторые типы файлов могут быть заблокированы, и могут быть созданы ограничения на потребление Интернета на основе времени или объема.
Запросы веб-трафика, соответствующие политике, будут соответствовать стандартным или настраиваемым правилам, установленным администратором службы. Действия включают: разрешать, блокировать, регистрировать, квоты, разрешать и регистрировать, блокировать и регистрировать.
Облачная услуга для защиты электронной почты обеспечивает фильтрацию нежелательных сообщений и защиту почтовых ящиков от направленных атак. Эта услуга с функцией самообучения использует оперативную информацию Symantec о безопасности для обеспечения наиболее эффективной и точной защиты электронной почты. Средства шифрования и предотвращения утечки данных помогают контролировать конфиденциальную информацию. Поддерживаются приложения Microsoft Office 365, Google Apps, локально или с хостингом Microsoft Exchange, а также другие почтовые службы.
Высокоточный и эффективный фильтр спама и вирусов в электронной почте
Большой опыт в сочетании с многоуровневой системой защиты, включая технологию Skeptic. Услуга обеспечивает защиту от 99 % спама (95 % для двухбайтовых символов) и 100%-ную защиту от известных и неизвестных вирусов согласно требованиям SLA.
Технология сканирования Skeptic обеспечивает защиту от спама, вредоносных программ, фишинга и направленных атак
Обнаружение новых и усовершенствованных направленных атак благодаря подробному превентивному анализу.
Технология проверки ссылок в реальном времени
Защита от атак фишинга, целевого фишинга и направленных атак, проверка ссылок, содержащихся в электронных сообщениях, на наличие вредоносного содержимого.
Надежная услуга в облачной среде
Более чем десятилетний опыт предоставления и непрерывного совершенствования высокоточной и эффективной облачной услуги для защиты и обслуживания электронной почты. Исчерпывающее, тщательно продуманное соглашение об уровне обслуживания и глобальный коллектив экспертов в области безопасности электронной почты для круглосуточной поддержки пользователей.
Конфиденциальность и управление
Выборочное шифрование, основанное на политиках, расширенные возможности фильтрации содержимого и технологии защиты данных, позволяющие упростить защиту и отслеживание конфиденциальной информации.
Защита от угроз
Защита Email Security.cloud построена на базе обширной сети анализа безопасности, которая постоянно пополняется новой ценной информацией за счет непрерывной фильтрации огромных объемов электронных сообщений наших клиентов. Кроме того, продукт поддерживается одной из крупнейших в мире организаций по исследованию вредоносных программ — Symantec™ Global Intelligence Network, в которую передаются данные с миллионов настольных ПК, серверов и сетей, в которых установлены решения Symantec для обеспечения безопасности. Помимо обширной аналитической информации, Email Security.cloud использует разнообразные технологии для предотвращения угроз.
Усовершенствованная технология эвристического анализа Skeptic ежедневно обрабатывает и анализирует более 8,4 млрд электронных сообщений и 1,8 млрд веб-запросов, регистрируемых Symantec Global Intelligence Network, для выявления и блокирования новых разновидностей вредоносных программ. Она позволяет обнаруживать и блокировать атаки нулевого дня и направленные угрозы, которые обычно не удается обнаружить с помощью традиционных решений для защиты от вредоносных программ. Создаваемый Skeptic интеллектуальный, настраиваемый уровень защиты помогает блокировать новейшие и постоянно меняющиеся вредоносные программы.
Технология проверки ссылок в реальном времени отслеживает полные и сокращенные ссылки с перенаправлением вплоть до конечного адреса, анализирует содержимое веб-сайтов в реальном времени и блокирует электронные письма, содержащие подозрительные ссылки, еще до попадания в почтовый ящик пользователя.
Для защиты от спама применяется множество технологий, в частности управление трафиком, эвристический анализ SMTP, проверка получателей, списки запрещенных адресов, а также сканирование входящих и исходящих сообщений, что позволяет заблокировать 99 % спама (95 % для двухбайтовых языков) согласно требованиям SLA. Если же спаму все-таки удастся проникнуть в ваш ящик, вы можете легко уведомить Symantec с помощью инструмента Email Submission Client. Фильтры рекламных материалов позволяют настроить индивидуальные параметры обработки рассылок новостей.
Технологии аутентификации SPF (Sender Policy Framework) и валидации DMARC обеспечивают защиту от поддельных адресов электронной почты. Symantec автоматически проверяет владельца домена на наличие записи SPF или политики DMARC, чтобы убедиться в достоверности отправителя.
Преднамеренные и благонамеренные внутренние нарушители подвергают организацию риску нарушения системы безопасности в случае неправильной обработки информации, несоблюдения корпоративной политики, нормативных государственных и отраслевых требований, а также невыполнения рекомендаций в отношении бизнес-процессов, связанных с обработкой конфиденциальной информации и объектов интеллектуальной собственности. Email Security.cloud обеспечивает многоуровневую защиту конфиденциальной информации, в том числе защиту данных, шифрование на основе политик и контроль за изображениями.
Защита данных
В состав Email Data Protection входит модуль управления политиками и готовые шаблоны на основе действующих нормативных требований для удобства создания и применения собственных политик защиты данных. Расширенные возможности создания отчетов и сопоставления содержимого позволяют настроить предупреждения о нарушении политик. Ресурсы политик, например списки регулярных выражений и ключевых слов, можно сделать доступными в службе Web Data Protection в Symantec Web Security.cloud для согласования правил защиты электронной почты и веб-операций.
Эта экономичная услуга очень проста в настройке и использовании. Она помогает снизить риск утечки данных и применить политику допустимого использования для более эффективной работы с электронной почтой в организации в соответствии с официальными и внутренними требованиями к конфиденциальности и безопасности. Технология защиты данных анализирует различные компоненты электронной почты, в том числе текст сообщения, заголовки, содержимое документов Microsoft Office® и PDF, встроенных в сообщение или отправленных в виде вложения.
Шифрование на основе политик
Услуга Policy Based Encryption Essentials обеспечивает принудительное шифрование файлов PDF в рамках плана обслуживания Email Safeguard. Шифрование сообщений активируется вручную пользователем или автоматически с помощью политик. Шифрование выполняется вне зависимости от технологии, применяемой получателем; при этом гарантируется возможность прочтения сообщений на любых устройствах, включая мобильные.
Услуга Policy Based Encryption Advanced представляет собой дополнение к плану обслуживания Email Safeguard. Этот вариант услуги поддерживает дополнительные возможности шифрования, включая PGP и S/MIME, для обеспечения безопасного взаимодействия между предприятиями независимо от применяемой платформы шифрования. Кроме того, услугу Policy Based Encryption Advanced можно предоставлять под собственным брендом.
Контроль за изображениями
Функция контроля за изображениями в электронной почте сканирует электронные письма и вложения, выявляя и блокируя нежелательные изображения при получении и отправке почты компании. Технология анализа композиции изображения (ICA), которая хорошо подходит для точного обнаружения порнографических материалов, основана на разнообразных алгоритмах фильтрации изображений, включая распознавание лиц, анализ положения тела, анализ текстур и выявление участков открытой кожи по характерному цвету.
Dr.Web Server Security Suite — Защита файловых серверов и серверов приложений (в том числе, терминальных и виртуальных серверов)
Программное обеспечение Dr.Web Server Security Suite предоставляет инструменты защиты файловых серверов и серверов приложений (в том числе виртуальных и терминальных серверов). Dr.Web Server Security Suite является комплектом в составе Dr.Web Enterprise Suite – комплекса продуктов для поддержания безопасности всех узлов корпоративной сети. Dr.Web Server Security Suite работает под управлением операционных систем и платформ Windows, Novell NetWare, Mac OS X Server, Unix (Samba), Novell Storage Services. Базовая лицензия Dr.Web Server Security Suite включает компонент «Антивирус» для всех поддерживаемых платформ. Дополнительным компонентом является «Центр управления» для Windows, Novell NetWare и Mac OS X Server.
Новое в версии Dr.Web Enterprise Security Suite 10.0:
Более простое внедрение. Новый менеджер лицензий Dr.Web, удобный для компаний с развитой иерархической структурой и постоянно меняющимся количеством защищаемых узлов в отдельных подразделениях.
Полное использование возможностей современных решений. Сетевая подсистема Dr.Web Серверы позволяет серверу работать с большим числом станций без заметных потерь производительности.
Простая установка защиты и контроля системы управления. Мобильный центр управления для Apple-устройств, специальный модуль для базового управления антивирусным сервером и получения его статистики, архитектура по принципу «единого агента».
Существенное усиление безопасности и отказоустойчивости. Поддержка кластеров антивирусных серверов Dr.Web и кластерного протокола.
Сокращение стоимости сопровождения системы защиты. Cистема оповещений, включающая поддержку SNMP.
Простое управление политиками системы защиты. Экспорт/импорт и распространение конфигурации, возможность скачивания конфигурационного файла с настройками подключения.
Упрощенная система контроля обстановки в антивирусной сети. Просмотр списка пользователей, работающих в данный момент на станциях антивирусной сети.
Больше возможностей установки, новая система обновлений.
Возможность просмотра состава аппаратно-программного обеспечения на защищенных станциях локальной сети.
Удобная система отчетов и статистики. Экспорт статистики антивирусной сети, отображение работы антивирусного сервера.
Быстрая и максимально тщательная проверка оперативной памяти, загрузочных секторов, жестких дисков и сменных носителей.
Обезвреживание вирусов, троянских программ и других видов вредоносных объектов.
Обширные базы для детектирования шпионского, потенциально-опасного, рекламно ПО, хакерских утилит и программ-шуток.
Защита в режиме реального времени (файловый монитор SpIDer Guard)
Постоянный мониторинг здоровья компьютера — перехват «на лету» обращений к файлам на дисках, дискетах, CD/DVD/ Blu-ray дисководах, флеш- и смарт-картах.
Высокая устойчивость к попыткам вредоносных программ препятствовать функционированию SpIDer Guard или остановить его работу.
Надежная защита системы от вирусов, использующих rootkit-технологии и умеющих скрывать свое пребывание в инфицированной системе.
Нейтрализация сложных руткитов (Shadow.based (Confiсker), MaosBoot, Rustock.C, Sector).
Чистая почта без вирусов (почтовый монитор SpIDer Mail)
Проверка почты на вирусы «на лету» по протоколам SMTP/POP3/NNTP/IMAP4 не влияет на работу используемой почтовой программы и не увеличивает время приема почты.
Индивидуальные правила обработки для каждого типа вредоносных программ–вирусов, потенциально-опасного ПО, рекламного ПО, хакерских утилит, программ платного дозвона, программ-шуток.
Защита от массовых рассылок сообщений почтовыми червями благодаря анализу состава и времени отправления исходящих писем, по которым может быть сделан вывод о вирусной активности.
Антиспам
Проверка поступающей и исходящей почты производится в режиме реального времени.
Работа антиспама не зависит от используемой почтовой программы и не увеличивает время приема почты.
Антиспам не требует настроек и начинает автоматически действовать с приемом первого сообщения.
Разные технологии фильтрации обеспечивают высокую вероятность распознавания спама, фишинг, фарминг, скамминг и bounce-сообщений.
Отфильтрованные письма не удаляются, а перемещаются в специальную папку вашей почтовой программы, где их можно проверить в удобное для вас время на наличие ложных срабатываний.
Щит от интернет-угроз (Веб-антивирус SpIDer Gate)
Модуль SpIDer Gate™ в режиме реального времени прозрачно сканирует входящий и исходящий HTTP-трафик, перехватывает все HTTP-соединения, производит фильтрацию данных, автоматически блокирует зараженные страницы в любых веб-браузерах, проверяет файлы в архивах, защищает от фишинговых и других опасных интернет-ресурсов.
Работа SpIDer Gate не зависит от используемого браузера.
Фильтрация практически не сказывается на производительности ПК, скорости работы с сетью Интернет и количестве передаваемых данных
В режиме «по умолчанию» не требуется никакой настройки: SpIDer Gate начинает сканирование сразу же после установки в системе.
Контроль за интернет-серфингом (Родительский контроль)
Защита детей от посещения нежелательных страниц.
Блокировка веб-сайтов по 10 тематическим группам (оружие, наркотики, игры, др.).
Запрет использования переносных хранилищ информации (флэш-дисков, USB-устройств), сетевых устройств, а также отдельных файлов и каталогов — дополнительная возможность обезопасить свои данные и важную информацию от удаления или похищения злоумышленниками.
Защита от сетевых атак (брандмауэр)
Защита от несанкционированного доступа извне, предотвращение утечек важных данных по сети, блокировка подозрительных соединений на уровне пакетов и приложений.
Контроль подключений на уровне приложений позволяет контролировать доступ конкретных программ и процессов к сетевым ресурсам и регистрировать информацию о попытках доступа в журнале приложений.
Фильтрация на уровне пакетов позволяет контролировать доступ к сети Интернет вне зависимости от программ, инициирующих подключение. Журнал пакетного фильтра хранит информацию о пакетах, переданных через сетевые интерфейсы.
Криптограф Atlansys Bastion Pro
Шифрование информации в специальных файловых контейнерах, к которым невозможно получить доступ без знания пароля.
Поддержка работы большинства известных алгоритмов шифрования.
Подключенный секретный диск доступен как обычный логический диск системы.
Безопасная работа с зашифрованной информацией как на отдельно стоящем компьютере, так и при его подключении к сети.
Высокая производительность и многоуровневая защита
Защита не должна замедлять работу ваших систем, поэтому Kaspersky Security для бизнеса оказывает минимальное влияние на их производительность. А если вы подверглись атаке, решение позволяет автоматически отменить совершенные вредоносные действия, чтобы пользователи могли работать в обычном режиме.
Защитные технологии нового поколения
Технологии «Лаборатории Касперского», включая статическое и динамическое машинное обучение, обеспечивают безопасность мирового класса. Они сокращают риск успешных атак на ваш бизнес и защищают все узлы вашей сети.
Удобное управление системой безопасности
Решение позволяет быстро и просто развернуть систему защиты, используя широкий набор предустановленных сценариев. Единая универсальная консоль управления позволяет эффективно применять заданные политики безопасности на каждом узле вашей сети.
Динамические белые списки
С каждым днем растет количество программ, нужных для вашего бизнеса. Отслеживать, какие из потенциально опасны, а какие нет — непростая задача. Динамические белые списки «Лаборатории Касперского» позволяют системным администраторам активировать политику «Запрет по умолчанию», которая блокирует все программы, за исключением тех, что находятся в белом списке. Собственное подразделение «Лаборатории Касперского», занимающееся составлением белых списков, постоянно проверяет приложения с точки зрения их безопасности и добавляет их в базу данных белых списков. Клиенты «Лаборатории Касперского» имеют доступ к этой базе данных и могут пользоваться ею в том виде, в каком она есть, или адаптировать ее к своим конкретным бизнес-требованиям.
Контроль программ
Когда приложение запускается на сервере или рабочем месте сотрудника, наш модуль «Мониторинг системы» отслеживает его активность. Заметив подозрительное поведение, модуль автоматически блокирует вредоносные файлы, а на рабочих станциях «Мониторинг системы» производит автоматический откат действий, выполненных вредоносной программой до ее блокировки.
Контроль прав приложений
Действия некоторых приложений, которые не являются вредоносными, часто представляют весьма серьезную угрозу. Как правило, такие действия рекомендуется запрещать. Наша система предотвращения вторжений (HIPS) ограничивает действия приложения на рабочих местах сообразно уровню доверия, назначенному приложению, а также ограничивает права приложений на доступ к отдельным ресурсам, включая системные и пользовательские файлы. HIPS также может контролировать доступ приложений к аудио- и видеозаписывающим устройствам.
Контроль устройств
Контроль устройств позволяет предотвратить доступ неавторизованных устройств в корпоративную сеть. Решение позволяет настроить ограничения по времени суток, географическому расположению или типу устройства. Также можно интегрировать политики со службой Active Directory для более гибкого администрирования. IT-администраторы могут применять маски, создавая правила Контроля устройств, чтобы легко внести в белый список несколько устройств. Kaspersky Endpoint Security для бизнеса Стандартный также регистрирует все операции удаления и копирования, выполняемые на съемных USB-устройствах, и управляет правами пользователя для операций чтения и записи файлов на CD и DVD-дисках.
Гибкий контроль подключения к Wi-Fi сетям
Использование недоверенных публичных сетей Wi-Fi подвергает устройства и корпоративную сеть риску. Создание списка доверенных сетей специально для сотрудников позволяет предоставлять им доступ к доверенным Wi-Fi сетям и запрещать использование других сетей.
Кроме того, благодаря функции анти-бриджинга Администраторы могут запрещать пользователям одновременное установление двух сетевых соединений для предотвращения несанкционированного создания мостов к внутренней сети в обход средств защиты периметра. В Kaspersky Endpoint Security для Windows администраторы также могут запрещать установление одновременныхсоединений с использованием проводной сети и Wi-Fi.
Контроль доступа к интернету
Веб-Контроль позволяет настроить политики доступа к интернету и отслеживать его использование сотрудниками компании. Можно запрещать, ограничивать или разрешать доступ пользователей к определенным веб-сайтам или категориям сайтов (онлайн-игры, социальные сети, азартные игры и др.). Ограничения, действующие по времени суток и географическому расположению, можно интегрировать со службой Active Directory, чтобы упростить администрирование и создание политик.
Чтобы остановить ваш бизнес, достаточно лишь одного вредоносного сообщения
Kaspersky Security для Microsoft Office 365 использует передовую эвристику, песочницу, машинное обучение и другие технологии нового поколения для защиты электронной почты от программ-вымогателей, вредоносных вложений, спама и других угроз. Как и Microsoft Office 365, решение размещается в облаке. И как все продукты «Лаборатории Касперского», оно обеспечивает надежную защиту, эффективность которой доказана независимыми тестами1.
Преимущества Kaspersky Security для Microsoft Office 365
Централизованное управление
Удобные политики
Информационная панель для сведений об угрозах
Удаление нежелательных вложений
Распознавание настоящего формата файла
Анти-спам, антифишинг, защита от вредоносного ПО
Не требуется дополнительная инфраструктура
Количество защищаемых почтовых ящиков не ограничено
ЗАЩИТА ОТ СЛОЖНЫХ УГРОЗ
Многоуровневая система безопасности на основе технологий нового поколения защищает почту в Office 365 от спама, фишинга, вредоносных вложений и новейших угроз.
ОТСУТСТВИЕ ДОПОЛНИТЕЛЬНЫХ РАСХОДОВ
Вся инфраструктура размещается в облаке «Лаборатории Касперского». Дополнительное аппаратное оборудование и установка дистрибутива не требуются.
ИНТУИТИВНО ПОНЯТНОЕ УПРАВЛЕНИЕ
Kaspersky Business Hub — единая интуитивно понятная консоль для управления всеми компонентами системы безопасности, отображающая обнаруженные угрозы и статистику в едином окне. Облачные технологии позволяют обеспечить максимальное удобство, эффективность и экономичность решения без дополнительного обучения.
Результатом одной-единственной атаки на неподготов- ленную к отражению угроз компанию могут стать:
Потеря ценных данных, в том числе сведений, составляющих интеллектуальную собственность
Утечка конфиденциальной информации о клиентах и сотрудниках
Нарушение бизнес-процессов, что напрямую влияет на прибыльность бизнеса
Малый и средний бизнес в отличие от крупных корпора- ций не может позволить себе иметь в распоряжении дорогостоящую IT-службу. Он нуждается в готовом решении, которое просто установить и которым просто управлять – на месте или удаленно. Именно таким решением является Kaspersky Endpoint Security Cloud
Защита всех устройств
Признанные технологии мирового уровня защищают рабочие станции и ноутбуки Windows и Mac, а также файловые сервера на базе Windows от известных и неизвестных угроз, в том числе от шифровальщиков и других типов программ-вымогателей. Безопасность обеспечивается на множестве уровней — защита от вредоносного ПО файлов, почтовых серверов и интернет-трафика дополняется такими эффективными технологиям, как Сетевой экран, Защита от сетевых атак и Мониторинг системы. Решение предварительно настроено с учетом рекомендаций экспертов «Лаборатории Касперского»
Гибкое облачное администрирование
Всегда готовая к работе облачная консоль Kaspersky Endpoint Security Cloud позволяет администраторам применять и изменять защитные функции буквально с любого устройства, подключенного к интернету. Это особенно удобно, если у вас нет системных адми- нистраторов, которые постоянно находятся в офисе. Благодаря тому, что консоль облачная, вам не придется покупать и обслуживать дополнительное оборудование, а первоначальные настройки выполняются предельно быстро.
Основные возможности
Контроль доступа к устройствам и интернету
Инструменты контроля устройств позволяют определить, каким устройствам разрешен доступ к корпоративной сети. В то же время Веб-Контроль помогает задавать политики безопасности в отношении интернета и отсле- живать использование веб-ресурсов сотрудниками. Вы можете запретить или ограничить доступ сотрудников к определенным сайтам или категориям сайтов (например, социальным сетям).
Простое управление мобильными устройствами
Инструменты управления мобильными устройствами (MDM) содержат функции, которые позволяют определять параметры доступа смартфонов и планшетов к корпора- тивной сети, задавать настройки Wi-Fi и Bluetooth, контролировать использование камеры и регулировать многие другие параметры. При этом вам не нужно приобретать отдельное решение для управления устройствами на базе iOS — сервер для управления iOS-устройствами уже развернут в облаке.
Защита от мобильных угроз
Передовые технологии обеспечения безопасности мобильных устройств помогают защитить мобильные устройства от новейших киберугроз, в том числе от программ-шифровальщиков. Инструменты антифишинга защищают от кражи конфиденциальной информации или учетных данных на поддельных сайтах. Попытки несанкционированной перепрошивки немедленно обнаруживаются, и для таких устройств блокируется доступ в корпоративную сеть.
Быстрое развертывание из облака
Поскольку все защитные функции управляются из облака, вам не придется устанавливать консоль управления на ваш локальный сервер. Она всегда доступна на cloud.kaspersky.com, и вы можете прямо из облака развернуть необходимое программное обеспечение на все ваши компьютеры, файловые серверы и мобильные устройства.
Защита ценных данных – даже на потерянных устройствах
Если мобильное устройство потеряно или украдено, вы можете избежать потери важной деловой информации. Администратор может удаленно заблокировать устройство или даже удалить из него все корпоративные данные.
Больше тестов. Больше наград. Больше защиты
Эффективность технологий «Лаборатории Касперского» подтверждают независимые тесты и многочисленные награды. Три года подряд наши технологии проходят больше независимых тестов и чаще удостаиваются первых мест, чем решения других производителей.
Бесплатная пробная версия
Попробуйте решение бесплатно в течение 30 дней – посетите cloud.kaspersky.com и получите пробную версию Kaspersky Endpoint Security Cloud. Если вам понравится решение, то в конце пробного периода вы просто приобретаете лицензию, и Kaspersky Endpoint Security Cloud продолжает в прежнем режиме защищать вашу компанию.
заказать обратный звонок
НАШИ КОНТАКТЫ
Мы в Белгородег. Белгород, пр. Славы, д. 44а оф. 25
Мы в Москвег. Москва, ул Дмитровка Б, 32 стр 1
телефон8-800-77-55-929
время работыпн-пт, с 9:00 до 18:00
электронная почтаib@radiuscompany.ru
Оставьте заявку
НАШИ КОНТАКТЫ
Мы в Белгородег. Белгород, пр. Славы, д. 44а оф. 25
Мы в Москвег. Москва, ул Дмитровка Б, 32 стр 1
телефон8-800-77-55-929
время работыпн-пт, с 9:00 до 18:00
электронная почтаib@radiuscompany.ru
Получить консультацию
НАШИ КОНТАКТЫ
Мы в Белгородег. Белгород, пр. Славы, д. 44а оф. 25
Мы в Москвег. Москва, ул Дмитровка Б, 32 стр 1
телефон8-800-77-55-929
время работыпн-пт, с 9:00 до 18:00
электронная почтаib@radiuscompany.ru
Заказать пилот
НАШИ КОНТАКТЫ
Мы в Белгородег. Белгород, пр. Славы, д. 44а оф. 25
Мы в Москвег. Москва, ул Дмитровка Б, 32 стр 1
телефон8-800-77-55-929
время работыпн-пт, с 9:00 до 18:00
электронная почтаib@radiuscompany.ru
Продлить на льготных условиях
НАШИ КОНТАКТЫ
Мы в Белгородег. Белгород, пр. Славы, д. 44а оф. 25
Анализ языков веб-программирования реализуется модулем InfoWatch Attack Killer Custom Code Scanner (CCS), который входит в комплексный продукт InfoWatch Attack Killer.
