С чего начинается работа в Консоли пользователя DLP SecureTower?

Автор статьи: Завадская Анастасия, 

менеджер по развитию бизнеса, ведущий специалист отдела продаж

Опыт работы: 7 лет

В этой статье я подробно рассмотрю, с чего начинается работа с Консолью пользователя у большинства наших клиентов.

Стартовый экран консоли выглядит следующим образом.

Основная работа будет проходить в модуле Политики безопасности. 

Зачем нужны политики безопасности?

SecureTower автоматически перехватывает данные в большинстве информационных каналов, мониторит активность сотрудников в течение рабочего дня, фиксирует время запуска, выключения и простоя компьютеров и проч.

Вся информация сохраняется на ваших серверах и анализируется на предмет нарушений. 

Прежде чем внедрить DLP-систему, необходимо определить, какие данные нужно защищать и от каких действий с ними компания может понести финансовый и репутационный ущерб. В контроле нуждаются документы для служебного пользования, персональные данные сотрудников, партнеров и клиентов, сведения, составляющие коммерческую тайну и другие. 

Чтобы система могла распознать, какие операции с такими документами является нарушением, и оповестить вас — и нужны политики, или правила безопасности. 

В случае их нарушения офицер безопасности может оперативно получить уведомление, отреагировать, провести расследование, получить необходимые отчеты — и пресечь нарушение в кратчайшие сроки!

Либо — если это было настроено заранее — система произведет блокировку и не даст возможность нарушителю передать информацию.

С чего начать работу?

В рабочем окне есть 2 вкладки: «Правила» и «Анализ». Сегодня мы рассмотрим функции из вкладки «Правила».

Здесь мы можем выполнить следующие действия:

1.Включить предустановленные правила безопасности и применить их ко всем проиндексированным данным — в рамках ретроспективного анализа.

2.Вносить корректировки в предустановленные правила безопасности, для этого нажимаем «Дублировать», правило попадает в «Пользовательскую» категорию и становится доступным для редактирования.

3.Создавать новые — собственные, подходящие для задач вашей компании.

4.Просматривать инциденты по дням.

Напротив активированного правила отображается количество инцидентов и уровень риска. Здесь же вы можете перейти к просмотру возможных нарушений.

При двойном клике по правилу система в правой зоне рабочего окна развернет список инцидентов. Каждый инцидент вы можете просмотреть подробно: когда произошел и какой пользователь был нарушителем. Также вы можете получить дополнительные сведения в зависимости от типа инцидента.

Так, если мы рассматриваем инциденты с играми в рабочее время, SecureTower предоставит хронологию запусков и продолжительность сеансов, если нарушения связаны с утечкой данных — система развернет текст переписок, отправленные документы или файлы.

Мы предусмотрели в системе готовые правила безопасности, разбитые на группы: утечка информации, контроль поиска работы, запуск приложений, группы риска, неэффективное использование рабочего времени и многое другое. При этом вы можете создавать собственные правила.

Система позволяет создавать правила, соответствующие специфике работы вашей организации. Доступны различные виды правил: 

• обычные; 
• статистические; 
• по цифровому отпечатку; 
• контроль по словарю; 
• по банкам хэшей.

В этой статье я расскажу, как добавить обычное правило. Для этого нужно кликнуть по кнопке «Добавить» и в выпадающем списке правил выбрать графу «Обычное».

Предположим, перед нами стоит задача контролировать и пресекать попытки передачи документов с меткой «Конфиденциально» внутри организации и за ее пределы. Для этого в поле текст мы вводим ключевое слово «конфиденциально». Следующим условием правила указываем область поиска — то есть информационные каналы, по которым нужно контролировать движение таких документов.

Правило безопасности можно использовать в рамках ретроспективы, для этого нужно переместить переключатель внизу окна создания/редактирования, как показано на изображении.

При необходимости во вкладке «Уровень риска» вы можете присвоить уровень риска нарушениям данного правила, а также для удобства и наглядности назначить категорию из списка: «Нелояльность сотрудников», «Некорректное поведение», «Непродуктивная деятельность», «Нарушение трудового режима» и проч. В нашем случае это «Утечка информации».

Теперь вес настроено — жмем кнопку «Сохранить». Новое правило отобразится в папке «Пользовательские правила».

Система с учетом ретроспективного анализа уже перехваченных данных выявила три нарушения по заданным условиям. При детальном рассмотрении нарушений удалось установить: локальный пользователь Елена Кравцова скопировала из буфера обмена документ с меткой «Конфиденциально» (для удобства ключевые слова подсвечены желтым цветом).

Поведение сотрудницы подозрительно — и ее можно взять под дополнительный контроль. Для этого инцидент нужно добавить в дело, а также настроить еще одно правило безопасности для контроля действий конкретного пользователя — то есть Елены Кравцовой. 

Для этого мы дублируем наше правило, добавляем еще одно условие «Пользователь» и заполняем поля, как указано на изображении.

Примечание: вы можете настраивать правила, исключая пользователей, контроль действий которых вам не нужен, при этом их рабочая активность будет давать большое количество ложных сработок. Для этого в поле «Равно» нужно выбрать другое значение — «Не равно».

Теперь система будет контролировать операции, которые совершает указанная сотрудница с документами с пометкой «Конфиденциально».

Для оперативного реагирования на инциденты в каждом правиле можно настраивать отправку уведомлений о нарушениях на электронную почту либо корпоративный мессенджер офицера безопасности. 

О создании правил безопасности из других категорий я расскажу в следующих статьях. 

В заключение

SecureTower использует данные о нарушениях правил безопасности для создания подробных отчетов и анализа рискового поведения пользователей.

От того, насколько тщательно настроены правила, зависят точность выявления нарушений, количество ложных сработок и оповещений, и, конечно, безопасность ваших конфиденциальных данных.

Мы предлагаем вам попробовать DLP-систему Falcongaze SecureTower в течение 30 дней бесплатно. В этот период вы будете работать с техническим специалистом и менеджером, которые помогут вам освоить систему и настроить правила безопасности под задачи вашего бизнеса. По окончании пробного периода мы предоставим вам итоговый отчет с результатами и возможностями SecureTower.

Оформить заявку на тестовый период можно тут.

Используя клиентскую консоль DLP SecureTower, вы сможете эффективно контролировать работу вашей команды и предотвратить утечки данных. Разрабатывайте свои правила безопасности и адаптируйте систему под нужды вашей компании, чтобы защитить важные данные от внешних и внутренних угроз.