InfoWatch: Центр расследований

Продукт
Разработчики: InfoWatch (ИнфоВотч)
Дата премьеры системы: 2024/03/28
Дата последнего релиза: 2024/09/24
Отрасли: Информационная безопасность
Технологии: ИБ - Предотвращения утечек информации,  Ситуационные центры

Содержание

Основные статьи:

2024

Представление «Младшего аналитика»

24 сентября 2024 года ГК InfoWatch анонсировала технологическое решение в Центре расследований InfoWatch – «Младший аналитик». Это разработка на базе искусственного интеллекта для обработки информации, которую собирают продукты InfoWatch для обеспечения безопасности данных. Задача «Младшего аналитика» – оптимизировать время и ресурсы на мониторинг трафика и анализ инцидентов. На сентябрь 2024 года инструмент проходит внутреннее тестирование и будет доступен для пользователей консоли InfoWatch Центр расследований уже в 2025 году.

«Младший аналитик» – собственная разработка ГК InfoWatch на базе технологий искусственного интеллекта с применением больших языковых моделей. Его работа строится на основе интерактивного взаимодействия: в отдельном окне внутри Центра расследований офицер безопасности задает вопрос текстом или голосом, просит выгрузить конкретные данные, показать активность нужного пользователя или групп либо другую информацию. «Младший аналитик» обрабатывает данные из DLP-системы Traffic Monitor и всех продуктов для защиты данных, которые работают в компании (Activity Monitor, Data Discovery, Data Access Tracker), и предоставляет текстовый ответ или данные по запросу, визуализированные на виджетах. В результате офицер безопасности получает структурированные ответы со ссылками на данные из Центра расследований.TAdviser выпустил Гид по российским операционным системам 10.7 т

«Младший аналитик» сможет ответить на несколько категорий вопросов, среди которых формирование выборки нарушителей, предмет и интенсивность общения между сотрудниками, поиск и оценка аномалий в работе с конфиденциальной информацией, качественная оценка коммуникаций. На вопросы, не касающиеся ИБ, сервис не отвечает и предлагает вернуться к диалогу по теме, отмечают разработчики.

«
С Центром расследований специалист ИБ тратит в три раза меньше времени на всю цепочку действий от момента обнаружения подозрительного события до принятия решения о том, является ли оно инцидентом. Интерфейс позволяет видеть и сопоставлять информацию в общем пространстве с единой системой фильтров и перекрёстных переходов из одного представления данных в другое. А теперь представьте, что с подключением «Младшего аналитика» вы сделаете эту работу ещё быстрее. Мы стали первыми на рынке, кто сфокусировался на эффективности службы информационной безопасности. И благодаря данной возможности мы на порядок ускоряем работу по анализу трафика, принятию решений по инцидентам, а также по запросам других подразделений службы безопасности и руководителей ИБ, – отметил руководитель направления InfoWatch Центр расследований ГК InfoWatch Сергей Кузьмин.
»

«Младший аналитик» не лицензируется дополнительно и появится в Центре расследований по умолчанию у всех пользователей средств защиты данных InfoWatch. Потребуется отдельная установка сервиса и видеокарта. В будущем его можно будет кастомизировать и дать помощнику собственное имя. Инструмент будет доступен в Центре расследований уже в 2025 году.

Добавление инструментов InfoWatch Vision, InfoWatch Prediction и InfoWatch Data Discovery

13 сентября 2024 года ГК InfoWatch сообщила о расширении возможности продуктов в Центре расследований. В данной версии единой консоли InfoWatch реализована автоматическая разметка снимков экрана и расшифровка аудиозаписей, инструмент для работы с группами риска, а также другие дополнительные возможности для еще более быстрой работы офицера безопасности.

Центр расследований – это собственная разработка ГК InfoWatch, которая работает на базе ОС Linux, полностью соответствует требованиям импортозамещения и совместима с отечественными операционными системами. Центр расследований объединяет в себе возможности работы с событиями DLP-системы, данные о действиях сотрудников InfoWatch Activity Monitor, информацию о хранении и доступе к файлам InfoWatch Data Discovery, визуальную аналитику InfoWatch Vision и оповещение о вероятных рисках модуль работы с рисками InfoWatch Prediction в едином интерфейсном пространстве.

«
В Центре Расследований InfoWatch офицер информационной безопасности может видеть и сопоставлять различные данные в общем пространстве с единой системой фильтров и перекрестных переходов из одного представления в другое. Благодаря этому специалист ИБ тратит в три раза меньше времени с момента обнаружения подозрительного события до момента принятия решения о том, является ли это инцидентом. И мы пошли еще дальше – во-первых, добавили возможности, помогающие пользователям ЦР держать фокус на важных событиях, поскольку от этого зависит скорость реагирования на инциденты. Во-вторых, расширили количество источников, к которым специалист ИБ обращается для понимания контекста нарушения, чтобы принимать решения взвешено и с учетом всех факторов. Также улучшили инструменты прогнозирования – с их помощью офицеры безопасности могут работать на опережение и таким образом снижать число потенциальных инцидентов в будущем, – сказал руководитель направления InfoWatch Центр расследований ГК InfoWatch Сергей Кузьмин.
»

Фокусировку на важных событиях обеспечивают новые инструменты InfoWatch Vision, InfoWatch Prediction и InfoWatch Data Discovery. В модуле визуальной аналитики InfoWatch Vision разработана дополнительная функциональность по отображению данных DLP-системы. Появилась возможность редактировать граф связей для подготовки отчетов – теперь офицер безопасности может отредактировать граф связей, чтобы сфокусировать внимание руководства на нужных деталях. В InfoWatch Prediction добавлены инструменты для работы с группами риска: в разделе «Риски» Центра расследований появилась вкладка «Контроль рисков», которая помогает специалистам ИБ оперативно оценить, какие сотрудники входят сразу в несколько групп риска и как меняется количество персон в каждой из таких групп. Модуль InfoWatch Data Discovery, в свою очередь, теперь поддерживает мгновенный поиск похожих по смыслу файлов.

InfoWatch Activity Monitor разработчики дополнили возможностями широкого анализа контекста – обновленный модуль обеспечивает автоматическую разметку снимков экрана, распознает запрещенные или потенциально опасные графические объекты. Также Activity Monitor переводит аудио в текст, это позволяет специалисту ИБ вдвое быстрее анализировать аудио-окружение ПК персоны под наблюдением, определять в тексте ключевые слова и использовать документ для составления отчета. Появились новые виджеты для контроля печати, что дает возможность отслеживать события отправки документов на печать, а также новые виджеты со статистикой по сотрудникам и принтерам. Это упрощает контроль за печатной техникой и помогает выявлять ее нецелевое использование. Кроме того, расширение анализа контекста обеспечивают новые возможности модуля InfoWatch Vision. В разделе «События» Центра расследований теперь можно открывать и просматривать сообщения из мессенджеров в виде диалога. С появлением этой функции специалисты ИБ могут видеть сразу весь диалог пользователей и оперативно оценивать ситуацию, исходя из контекста и истории общения.

Для работы на опережение разработчики Центра расследований добавили в InfoWatch Data Discovery функционал по автоматической группировке 100% текстовых документов в периметре организации. Благодаря технологии группировки документов собственной разработки появилась возможность автоматически рассортировать по смыслу все текстовые документы на файловых хранилищах и ПК сотрудников. Кроме того, в InfoWatch Prediction добавлены инструменты анализа рисков с учетом актуальной геополитической ситуации.

Представление центра расследований

ГК InfoWatch 28 марта 2024 года представила новую разработку для бизнеса в области защиты конфиденциальных данных – Центр расследований. Это интерфейсное решение, которое объединяет данные всей линейки InfoWatch по защите информации по принципу «одного окна». Такой подход к организации работы ИБ-специалистов позволяет проводить мониторинг трафика, анализ и расследование инцидентов на принципиально новом уровне погружения в данные и работать со всеми продуктами линейки InfoWatch по защите данных, включая DLP-систему последнего поколения, одновременно.

Центр расследований объединяет в себе события DLP-системы, данные о действиях сотрудников InfoWatch Activity Monitor, информацию о хранении и доступе к файлам InfoWatch Data Discovery, визуальную аналитику InfoWatch Vision и оповещение о вероятных рисках InfoWatch Prediction в едином интерфейсном пространстве.

Центр расследований – это собственная разработка ГК InfoWatch, которая работает на базе ОС Linux, полностью соответствует требованиям импортозамещения и совместима с отечественными операционными системами.

Пользовательские возможности и внешний вид Центра расследований спроектированы с учетом требований современного UX-дизайна, протестированы на фокус-группах офицеров безопасности компаний-клиентов и экспертов рынка и созданы с учетом их обратной связи. По оценкам участников фокус-групп, Центр расследований InfoWatch в три раза сокращает время от первого подозрения в нарушении до результата – принятия решения, что стало возможным благодаря основным опциям:

  • единая консоль позволяет работать с необходимыми данными в одном окне
  • единый фильтр и интерактивный интерфейс помогают быстро переключаться между разными срезами данных, сохранять контекст расследования и фокус на важных деталях
  • можно сопоставлять информацию из нескольких модулей и быстро интерпретировать данные для принятия решений.

Это принципиально новый для индустрии информационной безопасности подход к ежедневной работе ИБ-специалиста, который позволяет офицеру безопасности анализировать данные из разных источников в едином контексте и работать с комплексной картиной событий при расследовании инцидентов ИБ. Такой подход особенно актуален для enterprise-компаний с большим штатом персонала и объемными массивами данных по ним.

«
Мы обсуждали с бизнес-сообществом продвинутые опции по защите данных и получили обратную связь: несмотря на интерес к новым возможностям, у организаций часто не хватает ИБ-ресурсов даже на разбор всех инцидентов за день. Каждый инструмент безопасности генерирует множество различных данных и кратно повышает нагрузку на офицера безопасности по их поиску в различных модулях, сопоставлению, интерпретации и подготовке отчетности. Мы поставили перед собой задачу максимально упростить для ИБ-специалиста сбор информации и помочь ему сконцентрироваться на проведении расследований и принятии решений. Так мы пришли к разработке Центра расследований – единого информационного пространства с оперативным доступом к максимально полному набору данных. Теперь офицер безопасности сможет в несколько кликов сформировать интересующий его срез данных, при необходимости донастраивать и дополнять его, без переключения между несколькими консолями отслеживать цифровой след сотрудника, анализировать его и при необходимости действовать на опережение, - отметил руководитель направления InfoWatch Employee Monitoring ГК InfoWatch Сергей Кузьмин.
»

Логика работы в Центре расследований построена таким образом, чтобы предоставить специалисту ИБ максимум релевантных данных, которыми можно управлять с помощью интерактивных инструментов сопоставления и поиска взаимосвязей, в удобном визуальном представлении. Например, специалист ИБ обращает внимание на инцидент на дашборде для ежедневного мониторинга и добавляет связанные события в расследование. Затем оценивает действия сотрудника до, во время и после инцидента в разделе «Мониторинг». Без перенастройки фильтра можно перейти в раздел «Аналитика» и на графе связей посмотреть круг общения сотрудника, чтобы найти всех задействованных в инциденте. В разделе «Риски» можно посмотреть, в какие группы риска входят задействованные сотрудники. Если же у специалиста ИБ возникает потребность оценить информацию на сетевых хранилищах, то он может сделать это в разделе «Хранение файлов». Собранная информация из четырех модулей InfoWatch Vision, Activity Monitor, Prediction и Data Discovery, включая данные о прошлых инцидентах и угрозах, аккумулируется в досье в разделе «Персоны». Оформить результаты расследования без перехода в сторонние текстовые редакторы можно в разделе «Расследования» и после этого выгрузить финальный отчет. А благодаря функции гибких отчетов есть возможность регулярно или по запросу предоставлять необходимые данные смежным департаментам.

Таким образом, после выхода Центра расследований решение InfoWatch Traffic Monitor становится единственной DLP-системой в России, которая в едином окне объединяет все технологии DLP нового поколения, а именно:

  • контроль всех необходимых каналов передачи данных;
  • точное детектирование конфиденциальной информации;
  • автоматизированная настройка;
  • интерактивная визуализация;
  • поведенческая аналитика;

Важно, что Центр расследований не требует покупки дополнительных лицензий и доступен всем клиентам в рамках регулярного обновления любого из продуктов по защите данных ГК InfoWatch. Если в компании установлена DLP-система InfoWatch, но при этом не используется один или несколько ее дополнительных модулей, это не станет помехой для работы Центра расследований. В этом случае он будет работать с учетом возможностей установленных ИБ-решений. При этом его функционал в части расследований и составления отчетов будет полностью доступен при любой конфигурации защитного ПО.



Подрядчики-лидеры по количеству проектов

За всю историю
2021 год
2022 год
2023 год
Текущий год

  Инфосистемы Джет (66)
  Softline (Софтлайн) (56)
  SearchInform (СёрчИнформ) (52)
  ДиалогНаука (44)
  Информзащита (39)
  Другие (918)

  Инфосистемы Джет (5)
  R-Vision (Р-Вижн) (4)
  Card Security (Кард Сек) (4)
  Softline (Софтлайн) (4)
  Национальный аттестационный центр (НАЦ) (4)
  Другие (62)

  Солар (ранее Ростелеком-Солар) (8)
  SearchInform (СёрчИнформ) (4)
  А-Реал Консалтинг (3)
  Информзащита (3)
  Национальный аттестационный центр (НАЦ) (2)
  Другие (44)

  Инфосистемы Джет (7)
  Softline (Софтлайн) (4)
  Уральский центр систем безопасности (УЦСБ) (3)
  Compliance Control (Комплаенс контрол) (3)
  Inspect (3)
  Другие (42)

  SearchInform (СёрчИнформ) (13)
  Уральский центр систем безопасности (УЦСБ) (5)
  Инфосистемы Джет (4)
  Softline (Софтлайн) (4)
  МСС Международная служба сертификации (2)
  Другие (37)

Распределение вендоров по количеству проектов внедрений (систем, проектов) с учётом партнёров

За всю историю
2021 год
2022 год
2023 год
Текущий год

  SearchInform (СёрчИнформ) (19, 56)
  InfoWatch (ИнфоВотч) (14, 49)
  Солар (ранее Ростелеком-Солар) (4, 48)
  FalconGaze (Фалконгейз) (1, 38)
  Positive Technologies (Позитив Текнолоджиз) (8, 37)
  Другие (406, 309)

  R-Vision (Р-Вижн) (1, 4)
  Солар (ранее Ростелеком-Солар) (2, 2)
  Инфосекьюрити (Infosecurity) (2, 2)
  Tele Link Soft (TLS) PTE. Ltd (1, 2)
  SETERE Group (быв. Security Technology Research -ТБИ (Технологии Безопасность Исследования)) (1, 2)
  Другие (10, 13)

  Солар (ранее Ростелеком-Солар) (2, 7)
  SearchInform (СёрчИнформ) (2, 4)
  А-Реал Консалтинг (1, 3)
  Positive Technologies (Позитив Текнолоджиз) (1, 2)
  Makves (Маквес) (1, 2)
  Другие (5, 6)

  SearchInform (СёрчИнформ) (2, 2)
  Перспективный мониторинг (1, 1)
  BI.Zone (Безопасная Информационная Зона, Бизон) (1, 1)
  Colizeum Langame Software, CLS (Колизеум Лангейм Софт) (1, 1)
  Makves (Маквес) (1, 1)
  Другие (8, 8)

  SearchInform (СёрчИнформ) (2, 14)
  Перспективный мониторинг (1, 3)
  Positive Technologies (Позитив Текнолоджиз) (1, 2)
  Crosstech Solutions Group (Кросстех Солюшнс Групп) (1, 1)
  Интеллектуальная безопасность ГК (бренд Security Vision) (1, 1)
  Другие (3, 3)

Распределение систем по количеству проектов, не включая партнерские решения

За всю историю
2021 год
2022 год
2023 год
Текущий год

  Контур информационной безопасности SearchInform (КИБ Сёрчинформ) - 50
  InfoWatch Traffic Monitor Enterprise (IWTM) - 46
  FalconGaze SecureTower - 38
  MaxPatrol SIEM - 33
  DeviceLock Endpoint DLP Suite - 31
  Другие 345

  R-Vision SGRC Центр контроля информационной безопасности (ЦКИБ) - 4
  MaxPatrol SIEM - 2
  SETERE: ПК ИСУ Терминал (Интегрированная система управления терминалами защищенного доступа) - 2
  Kickidler Система учета рабочего времени - 2
  Контур информационной безопасности SearchInform (КИБ Сёрчинформ) - 2
  Другие 12

  Контур информационной безопасности SearchInform (КИБ Сёрчинформ) - 4
  Solar Dozor DLP-система - 4
  А-Реал Консалтинг: Интернет-шлюз ИКС - 3
  Solar JSOC - 3
  SearchInform FileAuditor - 2
  Другие 10

  Контур информационной безопасности SearchInform (КИБ Сёрчинформ) - 2
  Makves DCAP (Data-Centric Audit and Protection) - 1
  Jet CyberCamp - 1
  Cloud4Y Стахановец аренда и хостинг - 1
  Перспективный мониторинг: Ampire Киберполигон - 1
  Другие 9

  Контур информационной безопасности SearchInform (КИБ Сёрчинформ) - 14
  SearchInform FileAuditor - 4
  Перспективный мониторинг: Ampire Киберполигон - 3
  MaxPatrol SIEM - 2
  BI.Zone CESP (Cloud Email Security & Protection) - 1
  Другие 4

Подрядчики-лидеры по количеству проектов

За всю историю
2021 год
2022 год
2023 год
Текущий год

  Ростелеком (21)
  Вокорд (Vocord) (15)
  Полимедиа (Polymedia) (9)
  Астерос Информационная безопасность (ранее Кабест) (8)
  Т1 Интеграция (ранее Техносерв) (8)
  Другие (203)

  Вулкан НТЦ (1)
  Гринатом (Greenatom) (1)
  Инфосекьюрити (Infosecurity) (1)
  Концерн Автоматика (1)
  Коркласс (ранее ТехноИнвестПроект УК Технологии Проектных Инвестиций) (1)
  Другие (6)

  САТЕЛ (2)
  Областной центр информационных технологий, ОблЦИТ (Новосибирск) (1)
  ЭР-Телеком Холдинг (Дом.ру) (1)
  Галэкс ГК (Галэкс НТЦ) Galex (1)
  ИТС (1)
  Другие (1)

  РИР (Росатом Инфраструктурные решения) (2)
  Ростелеком (1)
  Ростелеком-Юг (1)
  Ситроникс КТ (ранее Кронштадт Технологии) (1)
  Цифровые Платформы и Решения Умного Города (1)
  Другие (5)

  NVI Solutions (Норд Вижен Интелледженс Солюшенс) (1)
  Сбербанк-Телеком (СберМобайл) (1)
  Другие (1)

Распределение вендоров по количеству проектов внедрений (систем, проектов) с учётом партнёров

За всю историю
2021 год
2022 год
2023 год
Текущий год

  Вокорд (Vocord) (2, 16)
  SAS Institute Inc (1, 13)
  Ростелеком (2, 12)
  Астерос Информационная безопасность (ранее Кабест) (1, 9)
  AT Consulting Восток Сибирь (3, 5)
  Другие (91, 69)

  Коркласс (ранее ТехноИнвестПроект УК Технологии Проектных Инвестиций) (1, 1)
  Инфосекьюрити (Infosecurity) (1, 1)
  Другие (0, 0)

  САТЕЛ (1, 2)
  Сател Про (1, 2)
  Концерн Созвездие (1, 1)
  Другие (0, 0)

  Ростелеком (1, 1)
  Инфосекьюрити (Infosecurity) (1, 1)
  Ситроникс КТ (ранее Кронштадт Технологии) (1, 1)
  Другие (0, 0)

  Сбербанк-Телеком (СберМобайл) (1, 1)
  Другие (0, 0)

Распределение систем по количеству проектов, не включая партнерские решения

За всю историю
2021 год
2022 год
2023 год
Текущий год

  Vocord Traffic - 16
  SAS Visual Analytics - 13
  Ростелеком: Безопасный город - 11
  Securix: защита объектов стратегического назначения - 9
  ПТК ЭнергоГород - 5
  Другие 59

  Инфосекьюрити ISOC - 1
  Коркласс: Гелиос (t.HIP) - 1
  Другие 0

  СОВА Программный комплекс - 2
  Созвездие: Регион-МПЭ - 1
  Другие 0

  Sitronics KT: Цифровая платформа управления территорией (ЦПУТ) - 1
  Ростелеком: Безопасный город - 1
  Инфосекьюрити ISOC - 1
  Другие 0

  SberMobile AIoT - 1
  Другие 0