Программа searchinform что это

Разработчик ПО для защиты информации

О компании Привет, Хабр. Это корпоративный блог компании «СёрчИнформ». Мы создаём продукты в сфере информационной безопасности. Разрабатываем собственные системы: DLP, SIEM, DCAP и автоматизированный профайлинг. Писать будем про них, про технологии и про всякое.

Технически, на Хабре наш призрак бродил довольно давно. Люди делали обзоры на наши продукты (тут, тут и тут), о нас рассказывали партнёры (тут и тут) и независимые пользователи (тут). Ну мы и подумали, почему бы и нет?

Мы искренне верим, что пластмассовый мир ещё не победил, и пиарщики с маркетологами не отберут клавиатуры у тех, кто будет писать в этом блоге.

«СёрчИнформ» – IT-компания, которая разрабатывает ПО для защиты информации. Входит в НП «Руссофт». Клиенты – 4000 компаний из промышленности, здравоохранения, ритейла, IT, нефтегазовой, финансовой и государственной сфер в 20+ странах мира. Преимущественно крупный бизнес, но не только.

Команда разработчиков с 1995 года создавала технологии поиска по неструктурированным данным, в 2004 начала разработку решений по информационной безопасности.

Сегодня команда работает над созданием инструментов комплексной защиты данных: на уровне IT-инфраструктуры («СёрчИнформ SIEM»), рабочих станций пользователей и каналов передачи информации (DLP-система «СёрчИнформ КИБ»), файловой системы (DCAP-программа «СёрчИнформ FileAuditor»), рисков, связанных с человеческим фактором (система для автоматизированного профилирования сотрудников «СёрчИнформ ProfileCenter»). Также предоставляет услуги по аутсорсингу информационной безопасности. Информация

Self-motivation, self-control and self-assessment –
going remote to boost your performance

More attention to tasks, better responsibility, extra secured communication channels and
exacting management will help both colleagues to feel they are part of the team and a company
to monitor its processes

Tone up your security and double professional proactivity

White papers, research
and more

SearchInform has collected the most relevant purposes you can use the solution for in one place alongside the most recent research and practices

CHALLENGES

All the tools and features you need to keep your company protected and solve the most complex monitoring issues.

ROLES

SearchInform Risk Monitor addresses a wide range of problems that occur within a company. The solution helps Risk Managers, Internal Auditors and C-level executives, as well as Information Security Analysts and Compliance Officers in their day-to-day job.

Sign up for a free trial

index form

ANALYTICAL TOOLS AND REPORTING

300+ preset policies

The preconfigured policies are ready to work with just as soon as the system is installed. The policies are tailored to various industries, including Energy, Manufacturing, Retail, Insurance, Hospitality, Government, Financial Services, etc. The software includes specific solutions suitable for any business scope and equips different organizations with an optimal framework.

100+ reports

Statistical reports offer you a structured layout and correct details for any requested area of activity monitoring. Investigation reports, such as a relational graph and content routing report, visualize all the connections established via internal and external communication channels, thereby revealing the sources of distributed information.

И еще раз про КИБ SearchInform: разбираемся с новинками

Анна Попова, руководитель Блока DLP ГК Инфосекьюрити, продолжает делиться своими впечатлениями от использования разных DLP-систем. В этой статье пойдет речь о КИБ SearchInform.

Первым из тех, по кому хочу актуализировать знания, будет именно КИБ SearchInform, что вполне логично, так как с этим решением я работала дольше, чем с любым другим, и мне конечно же очень интересно, что там происходит у вендора. Поэтому от предложения в комментариях протестировать новую версию софта я не стала отказываться.

Полноценного тестирования до конца года провести не получилось, но немного погрузиться в изучение новинок все-таки мне удалось.

Итак, по порядку.

Консоль аналитика

Кто знает меня или читал мой предыдущий обзор, в курсе, что я давно жду консоль аналитика от вендора. И вот, наконец, она вышла!

Визуально она мне понравилась, потому что чего-то сверх навороченного в ней не появилось (чтобы было бы плохо, мне кажется), но при этом она совместила то, что удобно иметь в одной консоли – общий клиент, репорт-центр и профайл-центр.

В текущих релизах в нее еще не встроен алерт-центр (он остался без особых визуальных изменений), но, например, меня это не пугает, потому что в последнее время чаще занимаюсь точечным мониторингом сотрудников, чем настройкой политик и созданием правил для отлова всяких вкусняшек.

Для работы с событиями мне всегда был более удобен общий клиент.

Также отдельным окном в консоль вынесли из общего клиента модуль онлайн-наблюдения за компьютером (LiveView), что мне тоже понравилось, потому что им я пользуюсь довольно часто. С другой стороны, отделение его от общей консоли просмотра удобно, не люблю, когда все в одном окне и постоянно одно сбрасывает другое.

Ну и присутствие в той же консоли всех возможных отчетов бывшего репорт-центра – это большой плюс.

Так что я довольна таким изменением.

Веб-версия

Симпатичная и тоже вполне простая, для любителей минимализма сразу плюс. В ней пока воплощены веб-версии алерта и репорта. Администрирование алерта при этом осталось в толстом клиенте, но обещают скорый перенос – также в веб.

Новые фишки

Файловый аудитор

Новый модуль, который теперь выступает универсальным сканером пространств с возможностью выхватывания теневых копий и разметки документов. Ранее эту задачу приходилось решать двумя разными модулями – файл контроллером и ИРС. Второй, к слову, так же переработан и стал на порядок быстрее и удобнее в настройке.

Сканирование облачных хранилищ

Вещь скорее всего востребованная, потому что в облака с каждым днем улетает все больше и больше компаний. По сути это тоже сканер, который соберет теневые копии, разметит файлы и даст возможность с ними работать, в том числе посредством политик алерт-центра.

Съемные носители

Теневая копия файлов, находящихся на съемном носителе.

Вот это круто, правда. Сколько проблем я лично испытала с тем, когда очень было надо посмотреть, а что же там за файлы на флэшке, которую сотрудник подключил к компу. Долго сидишь и ловишь на видео момент в надежде, что сотрудник их хотя бы частично открывал.
Шифрование данных, записываемых на носитель. Кому-то будет полезно, ну и меньше заморочек с дополнительными средствами шифрования для флэшек. Тонкая настройка параметров прав записи на носитель. По размерам файлов, например.

Появилась галочка, нажав которую можно перестать завязывать глаза при мониторинге, а просто перестать видеть пароли.
Радуйтесь борцы за свободу и всадники GDPR!

Перехват мессенджеров

Один из самых популярных, мне кажется, вопросов у клиентов. Причем любят спрашивать даже про те мессенджеры, которые в компании не используются вообще, либо использует 1 человек. Ну да ладно.

Так вот. В новом КИБе перехватывается все из наших любимых ватсапа, телеги и вайбера в обоих вариантах: веб и десктоп. Кстати, это, видимо, эксклюзив, в части ватспапа точно.

Работа почты в режиме блокировки

Есть поддержка всех самых используемых протоколов: IMAP, NNTP, POP3, SMTP, HTTP (S), и MAPI.

Перехват реализован для перечисленного, в том числе, с использованием s\mime. Блокировка доступна для исходящих протоколов, опять же включая MAPI и s\mime.

Видео рабочего стола и веб-камеры

Появился модуль контроля изображений с веб-камеры, то есть у каждого инцидента теперь есть «человеческое лицо». Аналогично формату скриншотов можно включить запись только в привязке к определенным процессам или даже сайтам.

Контроль трафика на всем семействе Astra Linux, Ubuntu и CentOS. Скоро обещают, что добавится и device sniffer.

Одно из моих любимых.
Добавился контроль агентов. Если в течение какого-то времени агент не отстукивает серверу, запускается его переустановка.
Причем теперь агенту для обновления нужен только интернет для коннекта с сервером и даже необязательно нахождение внутри корпоративной сети.

Репорт-центр

Его больше нет как отдельной сущности. Аллилуйя! А еще забываем о постоянной синхронизации его баз – теперь она циклична.

Профайл-центр

Его польза для меня очевидна. Зачем ловить постфактум инциденты, если какую-то часть из них можно предвидеть. Да и знать своего сотрудника не только в лицо для меня прямо хлебушек с маслом.

Как это работает в технике мне сказать сложно, но визуально вкладка с ним выглядит очень скромно и минималистично, а значит не надо мучиться с настройками.

Честно сказать, кому какое дело, как там работают эти алгоритмы. Люди, которые разрабатывали этот продукт, явно много лет посвятили профайлингу и работе с живыми людьми. Если бы такой разработкой занялись люди, которые могут быть супер-разработчиками и супер-инженерами, но в психологии ничего не понимают, то тогда это было совсем странно.
Надо тестировать. Потребности на рынке в таком продукте точно есть, особенно в службах безопасности и очень продвинутом HR. Ну и конкурентов как минимум на российском рынке UBA и DLP особо-то и нет.

По словам вендора, в среднем 1-2 месяца нужно накапливать данные для построения достоверного портрета сотрудника. Да, как в фильмах путем мгновенного высасывания мозга через ухо пока не работает, если кто мечтал об этом.

Скорость поиска

Про быстроту поиска и изменилось ли в ней что-то, ничего сказать не могу, визуальным анализом этого не поймешь. Разработчик рассказывает о выпуске принципиально нового поискового движка, лишенного старых проблем. Объясняется новой 64х архитектурой, не имеющей программных ограничений (как было в старом движке) по памяти, ядрам и потокам. С технической точки зрения звучит вполне обоснованно, но сама о реальной скорости судить не берусь. Нужны данные. Много реальных данных…

Еще раз дайджест:

• интерфейс не утратил своей простоты и понятности;
• общий клиент с репортом поженились и усыновили профайл-центр, так получилась дружная семья — консоль аналитика;
• алерт-центр пока не сдается и живет в отдельной квартире;
• LiveView теперь в отдельном окошке объединенной консоли;
• кейлоггер сдался и включил режим запрета сбора паролей;
• агенты научились бороться с жестокостью этого мира и теперь используют переустановку в автоматическом режиме, мониторинг собственной работоспособности и прочие плюшки;
• загадочный профайл-центр выглядит весьма дружелюбно;
• теневая копия данных, находящихся на флэшке, — для особо фанатеющих от своей работы офицеров безопасности;
• морально готовым к переходу на линуксы можно уже начинать радоваться;
• атавизм файлового контроллера реинкарнировал в крутой сканер с разметкой данных;
• телеги, сани, лыжи и прочие ватсапы: мы вас не боимся, мы вас перехватываем во всех позах;
• сканирование облаков для тех, кто идет в ногу со временем.

Надеюсь, что у меня будет возможность погрузиться в новый КИБ поглубже и рассказать вам еще много интересного.

Возможно даже возьмем интервью с провокационными вопросами у вендора и покажем все, что скрыто.

До новых встреч, DLP-зависимые!

Анна Попова, руководитель Блока DLP, Infosecurity a Softline company

• информационная безопасность
• security
• DLP

При подготовке материала использовались источники:
https://habr.com/ru/companies/searchinform/profile/
https://searchinform.com/
https://habr.com/ru/companies/softline/articles/434332/