Gestione delle indagini e blocco veloce per SearchInform

La sezione "Blocco" è apparsa all'interno dell'Endpoint Controller, riunendo tutte le regole di blocco che gestiscono programmi per siti web, messaggistica e file. Questo avviene direttamente dall'interno dell'agente, senza dipendere da una connessione di rete o da un server con SearchInform installato.

Il controllo e la proattività sono ora, quindi, più continui: i dati vengono elaborati in maniera decisamente più rapida e il traffico non sovraccarica l’infrastruttura di rete, anche perché il sistema non deve trasferire dati tra il PC di un dipendente e un server con SearchInform DLP installato. 

 

Immagine: Interfaccia dello strumento in Endpoint Controller. 

I limiti per i siti Web e i documenti inviati alla stampa funzionano in base al contenuto, quindi il sistema interromperà automaticamente il download di informazioni su una pagina Web o la stampa se contiene dati sensibili. Nella scheda “Messangers”, puoi configurare l’elenco delle applicazioni che possono o non possono essere utilizzate, nonché limitare determinate azioni come l’invio di allegati. Ora, inoltre, puoi bloccare i messaggi indesiderati.

Le funzionalità di blocco dei file, invece, sono disponibili quando si integra DLP con FileAuditor: questa soluzione DCAP assegna tag a tutti i documenti in base al tipo e contenuto, mentre DLP adatta le “istruzioni operative” a tutti i file della categoria selezionata tramite tag. Di conseguenza, uno specialista della sicurezza delle informazioni può limitare l’accesso degli utenti ai file tramite qualsiasi programma, che si tratti di un editor di testo o di un client di posta elettronica: gli utenti non autorizzati non saranno in grado di inviare un allegato di posta elettronica o addirittura di aprirlo per leggerlo.

Immagine: Impostazioni di blocco degli appunti

Da oggi potrai trovare anche impostazioni di blocco degli appunti, vengono configurate in DeviceController e operano in base al contenuto: gli esperti ,infatti, possono specificare un testo, una sequenza di caratteri o espressioni regolari che saranno poi soggetti a restrizioni. Essendo, poi, supportate anche query complesse, si potrà vietare anche la copia di testi contenenti numeri di carte bancarie e inviarli a messenger, browser, ecc.

Quarantena intelligente

La quarantena ora è anche più veloce. Il controllo del traffico e-mail non è più occupato dal server DLP principale, ma da un motore appositamente allocato nell’Endpoint Controller: esso fornisce una rapida scansione e analisi del contenuto dei messaggi, inclusa l’analisi di testo; come nel caso del blocco all’interno dell’agente, questo aumenta la velocità di rilevamento e risposta agli incidenti sospetti.

Per gli utenti ordinari, invece, c’è la possibilità di decidere se sono pronti ad accettare i rischi e inviare o meno una lettera dal contenuto riservato. Dopo aver scritto una lettera del genere, un dipendente vedrà un avviso riportante il fatto che il trasferimento dei dati contenuti nell’e-mail può portare a una violazione delle politiche di sicurezza delle informazioni. Se un utente è certo che tutto rientri nelle regole, allora potrà confermare l’invio cliccando sul link nella notifica o tramite una mail di risposta.

Strumenti di indagine

Lo strumento di gestione delle attività è stato creato nella DLP per facilitare l’indagine sugli incidenti da parte dei reparti di sicurezza delle informazioni. Può essere paragonato al sistema Jira, con la differenza che nel Task Management tutto viene fatto tenendo conto delle specifiche esigenze degli specialisti infosecInoltre, Task Manager supporta il caricamento di file esterni che possono aiutare durante l’indagine. È possibile combinare più incidenti in un unico progetto, raccogliere un archivio di dettagli sulle persone coinvolte e continuare a integrare le informazioni raccolte in tempo reale. Esistono poi filtri speciali che funzionano per trovare i progetti di cui si ha bisogno, ad esempio:

Di conseguenza, ogni dipendente del dipartimento di sicurezza delle informazioni sarà a conoscenza degli ultimi compiti per le indagini attuali e nuove: per questo è stato sviluppato un sistema di notificaIl livello di accesso alla sezione Gestione attività per dipendenti specifici è configurato dai responsabili e può essere: Controllo completo, Sola lettura o Negato

Inoltre, nell’ambito del DLP, è stato elaborato il concetto di People-Centric Security, un approccio in cui l’indagine sugli incidenti viene avviata a partire non dai dati che potrebbero essere trapelati, ma da una persona che potrebbe aver commesso una violazione. Se un’azienda ha installato ProfileCenter, i dati verranno “richiamati” automaticamente. Un rapporto riassuntivo del ProfileCenter viene visualizzato nella scheda Profilo nelle schede utente: punti di forza e di debolezza del carattere, tratti della personalità, valori fondamentali e tendenze criminali se presenti.

Integrazione conveniente

Con la DLP puoi ampliare il perimetro di controllo: ora è più semplice connettere fonti di dati esterne al sistema ed “esportare” la funzionalità di protezione dei dati ad altri sistemi IT.

La Console analitica, infatti, ora comprende un programma di gestione delle politiche di sicurezza e criteri di lavoro per il modulo API esterna, consentendo ad uno specialista di configurare rapidamente il controllo su fonti esterne, come  dati provenienti da sistemi non connessi all’agente o all’intercettazione di rete, ma necessari per capire se gli utenti trasmettono informazioni riservate al di fuori del perimetro di controllo. Nel gestore delle politiche, con due clic è possibile impostare le regole, in base alle quali il DLP cercherà incidenti di sicurezza in fonti di terze parti tramite l’API esterna. Tutti i tipi di ricerche sono disponibili nei criteri, inclusi quelli combinati in query complesse. I risultati del controllo vengono visualizzati nel sistema che interagisce con il DLP tramite l’API esterna.

 

Anche la funzione “Esegui script esterno” è ora disponibile, accedendovi dal Centro avvisi durante l’impostazione delle politiche di sicurezza. Utilizzando script esterni, la DLP trasmette le informazioni sugli incidenti ad applicazioni di terze parti, rispondendo così in modo completo agli eventi negativi. In Gestione criteri di sicurezza nel Centro avvisi, è possibile configurare un elenco di attributi per il caricamento che sarà particolarmente utile in un sistema di terze parti. Ad esempio: qualora venisse attivato un criterio relativo a un numero anormalmente elevato di e-mail inviate, è possibile configurare il trasferimento di questi dati al sistema UEBA, il quale correggerà i dati sul comportamento utente tipico e atipico.

 

 

Altre funzionalità per Linux

La funzionalità degli agenti per Linux è integrata con le capacità del ProgramController, il quale è progettato per tenere traccia del tempo che i dipendenti trascorrono nelle applicazioni. Ora gli specialisti della sicurezza delle informazioni nelle aziende con un’infrastruttura basata su Linux saranno in grado di ricevere dati completi sull’attività, la produttività e l’efficienza del personale. Il modulo monitora i processi attivi e i titoli delle finestre sui PC dei dipendenti e determina chi è impegnato a lavorare nel software relativo al lavoro e chi è inattivo o utilizza programmi sospetti. Si possono personalizzare le liste di controllo come richiesto, ed è, inoltre, possibile specificare i dipendenti che non devono essere monitorati.

 

Infine, anche la funzionalità PrintController è disponibile per gli utenti Linux. Per il Top Mangement ora è quindi limpido tutto ciò che i dipendenti stampano: si può controllare chi può utilizzare le stampanti e quali documenti possono e non possono essere stampati. 

 

Clicca qui per leggere l’articolo tratto dal blog di SearchInform 

Compila il form per avere maggiori informazioni su SearchInform

Torna in cima