Обновленная система, по словам разработчиков, принципиально отличается от предыдущей версии: в частности расширен аналитический функционал проведения расследований и создан интерфейс нового поколения.
Руководитель экспертного направления Solar Security Андрей Прозоров на презентации, посвященной выходу Dozor 6.0, отметил: «Дело в том, что на российском рынке довольно много DLP-решений. Все выполняют примерно один и тот же функционал. И на сегодняшний день того функционала, который имеют популярные на рынке системы, становится недостаточно для заказчиков, так как они не знают, что делать с результатами мониторинга. Возникает необходимость оптимизации процедур и обработки полученных данных. И мы движемся с нашим продуктом именно в этом направлении — организации помощи в расследовании экспертам информационной безопасности и экономической безопасности, потому что у нас есть соответствующий функционал и логика решения».
Генеральный директор компании Solar Security Игорь Ляпунов представляет новую версию DLP-системы Dozor 6.0
Стоит отметить, что в процессе создания новой версии Solar Dozor специалисты компании опирались на результаты собственного исследования, которые в значительной степени повлияли на сам продукт. Исследование выявило изменение векторов внутренних угроз. Сегодня внимание специалистов по информационной и финансовой безопасности в основном сосредоточено на корпоративном мошенничестве, поведении сотрудников (нелояльные сотрудники и сотрудники из группы риска), которые могут принести компании экономический или репутационный ущерб.
В Solar Security провели анализ работы более ста инсталляций предыдущих версий Dozor, который показал рост требований со стороны заказчиков к функциональным возможностям DLP-систем. Сегодня клиентов уже не удовлетворяет просто мониторинг информационной среды и блокировка угроз. То есть, помимо получения информации об угрозе, пользователям стало важно получить инструменты для последующего расследования инцидента. Именно поэтому разработчики Solar Dozor решили расширить инструментарий функционала системы, улучшить поисковый алгоритм и в соответствии с новой логикой работы обновить интерфейс.
Руководитель экспертного направления Solar Security Андрей Прозоров
рассказывает об особенностях обновленной системы
«Системе Dozor уже много лет, и основной функционал в ней заложен давно. Напомню о том, что уже было в версии Dozor 5.04. Например, в ней был заложен функционал не только стандартных DLP-систем (выявление, блокирование, лингвистика и т. д.), но и сложные технологии и инструменты анализа — такие, как досье и т. д. В текущей версии мы дотачиваем наши инструменты, делаем систему удобнее, понятнее и лучше. Стоит отметить, что в новой версии было сделано много мелких и больших улучшений. Но из самых заметных изменений хочется выделить появление нового интерфейса. Еще одно улучшение — это новая сущность, новый инструмент для расследования инцидентов — это так называемые досье на информационные объекты. И третий момент — у нас появился действительно быстрый поиск», - прокомментировал выход шестой версии системы Андрей Прозоров.
Если подробнее рассматривать интерфейс 6-й версии системы Solar Dozor, то, по словам разработчиков, стоит обратить внимание на то, что он в него заложена логика ситуационного центра. Благодаря такому подходу интерфейс получился очень удобным, ведь специалист по безопасности имеет возможность оценивать оперативную обстановку в компании и при этом выстраивать иерархию актуальных на текущий отрезок времени задач по степени их приоритетности в рамках единой информационной панели, на которую передается информация по важнейшим результатам работы Solar Dozor.
Сам ситуационный центр устроен таким образом, чтобы полностью контролировать все процессы в рамках системы безопасности Dozor. Его работа строится на базе кейс-менеджмента, который необходим для управления жизненным циклом инцидента. Это означает, что после фиксирования угрозы система назначает ответственное за проведение расследования лицо, контролирует ход расследования и предоставляет информацию о его результатах.
Глава экспертного направления Solar Security Андрей Прозоров также подробно рассказал о новом интерфейсе системы Dozor: «Первое на что мы обратили внимание, что существует условно 4 роли в работе сотрудников с нашей DLP-системой. Мы это использовали следующим образом: мы сделали 4 разных функциональных рабочих стола, которые могут переключаться в зависимости от задач сотрудника, который совмещает в себе несколько ролей. То есть мы сделали регулярный мониторинг и распознавание инцидентов удобным, быстрым и функциональным. Базовый рабочий стол в принципе настраивается под любые задачи, но по умолчанию отображает информацию по трем функциональным направлениям. Во-первых, он отслеживает то, что произошло с точки зрения инцидентов и событий в системе безопасности. Во-вторых, он показывает события, связанные с конкретными персонами, либо группами лиц (например, отдел или команда разработчиков). В-третьих, на рабочем столе отображается информация о событиях, связанных с информационными объектами, то есть специалист информационной или экономической безопасности имеет возможность одновременно выявлять, блокировать и работать в совокупности объединенных информационных сообщений и документов. Этот фокус внимания позволяет в комплексе посмотреть, что происходит в организации, и это крайне удобно с точки зрения расследования и реагирования на инциденты. Наш интерфейс оптимизирован под любые экраны — хорошо работает на мониторах с большим разрешением и на мобильных устройствах. В России я ничего подобного пока не видел. Западные разработчики вкладывают много сил и средств в оптимизацию интерфейсов. Наша компания тоже тратит много усилий на создание удобного и функционального интерфейса».
Возможности нового интерфейса системы демонстрирует руководитель аналитического отдела Solar Security Галина Рябова
Говоря о функциональных изменениях в шестой версии Solar Dozor, нельзя не отметить и улучшенный поисковый механизм DLP-системы. Поиск стал очень быстрым – теперь на получение результатов после введения запроса требуется не более 1 секунды, причем поиск может осуществляться по архиву объемом 17 млн. сообщений. Кроме того, новая версия системы дает возможность вводить запросы в формате стандартных интернет-поисковых систем, а также использовать библиотеку готовых запросов. Пользователь также может воспользоваться режимом углубленного поиска и расширенной детализации.
На поисковом функционале системы Андрей Прозоров остановился отдельно: «Быстрый поиск — наша гордость. Проблема большинства DLP-систем заключается в том, что приходится обрабатывать большие массивы данных. Это не критично для компании численностью сто или 500 человек. Если же в штате компании тысячи человек, то объем данных растет очень серьезно. Сделать работу аналитика, работу специалиста по безопасности удобной — это, в первую очередь, сократить время работы системы. Много времени тратится на поиск информации, генерацию отчетов, и мы вложили немало усилий, чтобы этот аспект функционирования системы оптимизировать. Мы можем работать в стандартных условиях, то есть использовать поиск похожий на поиск в популярных информационных системах. То есть мы начинаем вводить поисковый запрос и настраивать фильтры. При этом можно создавать поисковые шаблоны и сохранять их в системе. У нас сохраняется история поиска. В системе можно искать сообщения, файлы, людей, цепочки коммуникаций и это можно делать очень быстро».
Обновленный Solar Dozor расширил функциональность аналитической части системы. Так, разработчики добавили новые возможности по отслеживанию нетипичного поведения сотрудников и аномального характера коммуникаций между ними. Кроме того, была обновлена технология, отвечающая за построение динамического уровня доверия сотруднику.
Solar Dozor версии 6.0 отличается также обновленным функционалом инструмента «Досье», который позволяет пользователю системы самостоятельно формировать «Досье» как в ручном, так и в автоматическом режиме. Так, например, в «Досье» из базы данных отдела кадров можно добавить анкету сотрудника, файлы с комментариями или данные из внешних систем проверки контрагентов.
По словам генерального директора Solar Seсurity Игорь Ляпунов, компания стремилась сделать Solar Dozor инструментом для эффективного ежедневного мониторинга и полноценных внутренних расследований. «Мы решили пойти дальше традиционного функционала DLP-систем и дать в руки офицера по экономической или информационной безопасности инструмент для борьбы с корпоративными мошенниками, результатом этой работы стало существенное обновление системы», — отметил Игорь Ляпунов.
Денис Назаренко, Руководитель отдела по работе с партнерами компании Solar Security:
«В компании Solar Security очень прозрачная партнерская политика – мы работаем только через партнерскую сеть. На данном этапе мы готовы предложить нашим потенциальным партнерам три статуса: Reseller, Implement и Support.
Как руководитель отдела по работе с партнерами я вижу две ключевые задачи: первая – это увеличение компетенций уже существующих партнеров. Продукты и сервисы компании Solar Security, предназначенные для целевого мониторинга и оперативного управления информационной безопасностью, открывают дополнительные возможности для развития бизнеса наших партнеров, но и требуют от них определенных компетенций. Для нас важно, чтобы партнеры умели самостоятельно продавать наши продукты, вовлекая специалистов Solar только на этапе сложного пресейла. Понимая это, в рамках партнерства мы предлагаем комплексный подход, который будет включать программу по партнерскому обучению, дающую полное представление о продуктах компании и технологиях, которые используются в них, помощь в организации услуг по технической поддержке продуктов и совместные маркетинговые активности. Специалисты компании готовы оказывать всестороннюю поддержку по продвижению продуктов компании на этапе демонстрации и презентации, а также при проведении пилотных проектов;
Вторая задача – это максимальное расширение сети, так как Solar Security вышла на рынок только 4 месяца назад, мы хотим заявить о себе не только за счет собственного продвижения, но и через наших партнеров. На данный момент у нас их уже более 40 и условно их можно разделить на 3 основные группы: крупные федеральные интеграторы, крупные региональные интеграторы и компании, которые только выходят на рынок информационной безопасности в России.»
«Инфосистемы Джет»:
«На наш взгляд, релиз 6 версии получился очень объемным. Команде Solar Security удалось проделать большую работу, причем это не только «работа над ошибками», а, в большей степени, разработка нового функционала. Изменения настолько глубокие, что затронут даже стиль ежедневной работы офицеров информационной безопасности с DLP-системой. В частности, привлекает внимание новая концепция «Люди»-«Информационные объекты»-«События». Нам кажется, что это позволит сделать работу DLP более эффективной и лучше контролировать утечки информации, добавит полноты картине информационного обмена. Среди технических нововведений хочется отметить действительно быстрый «гуглоподобный» поиск.»