ГК InfoWatch представила разработку на основе искусственного интеллекта
ТАСС, 20 июля. В пресс-центре ТАСС состоялась ежегодная пресс-конференция ГК InfoWatch. Мероприятие было посвящено коммерческому выпуску новой разработки в области информационной безопасности — InfoWatch Data Explorer.
Модуль на основе технологий искусственного интеллекта входит в состав новой версии системы предотвращения утечек InfoWatch Traffic Monitor и решает задачи автоматической кластеризации документов и автоматизированной настройки политик DLP-системы в соответствии с возникающими рисками ИБ. На сегодняшний день в мире не существует аналогов анонсированного решения.
В рамках мероприятия выступили президент ГК InfoWatch Наталья Касперская, генеральный директор Российского фонда развития информационных технологий (РФРИТ) Александр Павлов и сотрудники InfoWatch — директор экспертно-аналитического центра Михаил Смирнов и руководитель направления InfoWatch Traffic Monitor Александр Клевцов.
About InfoWatch
Открыла пресс-конференцию Наталья Касперская, которая посвятила свое выступление новой ситуации в сфере информационной безопасности, необходимости кардинального пересмотра модели угроз и необходимости решения проблемы дефицита кадров в ИБ за счет автоматизации процессов. Спикер отметила, «тренды, которые я перечисляю — это то, что произошло после февраля и довольно радикально изменило ландшафт отрасли информационной безопасности.
Самое первое, что мы заметили, это переход в киберпреступлениях от экономической мотивации к политической. Много лет мы говорили о том, что в основном злоумышленники, которые внедряются в компьютеры или другие электронные устройства, имеют своей целью хищение информации, либо хищение денежных средств. Сейчас ситуация изменилась.
Например, коллеги нашли предложение $2 тыс. за установку вредоносной программы в конкретной компании. Раньше это стоило $100-200. Экономически это окупить невозможно, получается, что мотивация злоумышленников стала политической. Есть примеры усиленной вербовки на российских объектах КИИ и т.п.
При этом идет сращивание с медийной сферой и очень часто та вредоносная активность, которая ведется, оказывается подсвечена в СМИ или даже напрямую связана со СМИ. Таким образом, можно констатировать, что экономическая преступность сегодня превращается в диверсионную…В целом, роль кибербезопасности на уровне государства резко выросла.
И если раньше кибербезопасность была «падчерицей», и в основном все говорили о цифровизации, то сейчас, с массовыми атаками, особенно на государственные ресурсы, пришло понимание, что сначала нужно обеспечивать безопасность, а потом уже все цифровизовать… Еще один тренд — необходимость в квалифицированных внедренцах ИБ-решений. Нужны кадры, которых катастрофически не хватает, и вполне возможно, что эту нехватку кадров могут частично компенсировать автоматизированные системы, в том числе, обеспечивающие информационную безопасность». Глава InfoWatch также выразила благодарность РФРИТ за оказание грантовой поддержки, в том числе, прорывных разработок InfoWatch. Модуль InfoWatch Data Explorer разработан при софинансировании РФРИТ.
Назначение и возможности InfoWatch Traffic Monitor
Александр Павлов рассказал о новых инициативах и программах Фонда, направленных на поддержку российского IT-рынка и важности отечественных разработок. Он также выразил надежду, что в стране будет появляться все больше и больше инновационных российских IT и ИБ-решений, способных составить конкуренцию иностранным — как по степени зрелости, так по широте и востребованности функционала заказчиками.
Примером таких разработок как раз является InfoWatch Data Explorer. Павлов уточнил, «поддержка проектов ИБ — одно из приоритетных направлений Фонда. За период 2020 — 2021 было поддержано 12 проектов в сфере информационной безопасности. Модуль InfoWatch Data Explorer, который сейчас сверхвостребован и выполняет все KPI, разработан при поддержке РФРИТ».
Он также отметил, что в 2022 году Фонд продолжит поддерживать перспективные проекты в сфере ИБ. «В настоящее время через портал ЕПГУ подано порядка 750 заявок, среди которых 29 относятся к области информационной безопасности. Проекты проходят комплексную экспертизу, которую осуществляют РФРИТ, центры компетенций и органы исполнительной власти. По ее итогам Грантовый комитет Фонда примет решение о востребованности продуктов и целесообразности выделения гранта в 2022 году», — добавил Павлов.
В своем выступлении Михаил Смирнов поделился некоторыми фактами и выводами по результатам анализа мировых тенденций, состояния ИБ-рынка и потребностей корпоративных заказчиков. «По данным ассоциации индустрии безопасности уже второй год подряд искусственный интеллект занимает первое место среди тенденций в мире ИБ, т.е.это — мегатенденция. При этом с 2019 года эта тенденция перешла с пятого места на первое.
И одна из причин почему искусственный интеллект в информационной безопасности является мегатрендом — это уверенность, что он и дальше будет влиять на развитие всех отраслей безопасности, начиная с охраны и заканчивая кибербезопасностью, аналитикой и т.д. Почему же так важна роль искусственного интеллекта? Уже сейчас мы видим, что инциденты могут достигать сотен и тысяч в минуту — человек не успевает обработать такой объем информации. И стандартного подхода к автоматизации, когда он основан только на алгоритмах, становится недостаточно. Поэтому искусственный интеллект становится ключевым элементом, который позволяет построить процессы и получить обоснованную уверенность в их результатах», — отметил Смирнов.
Пресс-конференцию завершил Александр Клевцов, который представил сам продукт и с практической точки зрения раскрыл инновационность и уникальность InfoWatch Data Explorer. В частности, эксперт описал почему так важно иметь высокотехнологичные средства защиты информации, способные быстро адаптироваться к новым угрозам и разным форматам работы. «Эффективной DLP-системой является та система, которая в своих политиках полностью отражает все важные категории информации, циркулирующей в организации.
Однако вопрос непредсказуемых событий, так называемых «черных лебедей», приводящих к масштабным проблемам, в мире информационной безопасности имеет особую актуальность. Таких событий много — внезапно обнаруженные уязвимости, атаки «нулевого» дня и т.п. Что является «черным лебедем» с точки зрения защиты данных?
Это новые данные или процесс, о котором служба безопасности даже не подозревает. Вследствие возникшего теневого бизнес-процесса в компании, неформальной коммуникации в рамках организации создается новый информационный актив, который никак не отражен в политиках информационной безопасности, служба ИБ ничего про него знает. Модуль InfoWatch Data Explorer на основе технологий искусственного интеллекта позволил нам изменить подход к информационной безопасности: если раньше защищалось то, о чем знаешь, то сегодня DLP-система сама подсказывает «серые» зоны, о которых в компаниях никто не догадывался».
Возрастная категория 16+.
Источник: tass.ru
Infowatch программа что это
Среди корпоративных инфобезопасников давно существует негласное деление на два типа, которые отражают подход к безопасности. Обобщённо их называют «пиджаки/футболки», хотя встречаются и «ботинки/кроссовки», «галстуки/бейсболки», «костюмы/худи» и другие способы передать внутреннюю суть через манеру одеваться.
Штрафы за утечки данных российскому бизнесу пока не страшны. Надолго ли это?
Один из ключевых активов нашей цифровой эпохи – персональные данные. Чем дальше, тем больше утечки персданных влияют на финансовое состояние организации и ее капитализацию. Но так не везде. В России пока все иначе. Мы провели исследование, как по-разному видит ценность персданных законодательство разных стран, а также посчитали, сколько денег…
Что такое DLP-система, как она видит ваши данные и почему они – кладезь информации для управления бизнесом
DLP-системы (Data Leakage Prevention) давно используются не только для защиты от утечек данных. Экспансивное развитие технологий сменилось интенсивным. DLP начали расти вглубь, улучшая качество анализа и перехвата контента. Благодаря этому данные из DLP становятся бесценны для принятия любых управленческих решений. Это позволяет превратить…
Зачем бизнесу данные из DLP, кроме обеспечения кибербезопасности? InfoWatch
Низкобюджетная информационная безопасность: почему любому бизнесу от мала до велика нужно знать про модель ИБ-зрелости
Состояние ИТ-инфраструктуры и подходы к информационной безопасности современных бизнесов во время пандемии показали, что многие оказались не готовы к серьезным рискам, прилетающим со стороны кибермира. Особенно когда вокруг и так много новых «пандемических» вводных: сложности с сотрудниками на удаленке, во взаимодействии c налоговыми органами,…
Источник: vc.ru
Infowatch программа что это
InfoWatch Traffic Monitor – DLP-система, которая предотвращает утечки конфиденциальной информации на основе полноценного контентного анализа информационных потоков.
InfoWatch Traffic Monitor надежно работает под большими нагрузками на сотнях тысяч рабочих мест не только в режиме мониторинга, но и блокировки. Чтобы минимизировать проблему ложных срабатываний, традиционную для всех DLP, InfoWatch Traffic Monitor сделал ставку на развитие технологий анализа контента и за 15+ лет продуктовой жизни стал технологическим лидером среди аналогов.
Система «ловит» сложные текстовые и графические объекты даже в случае, если нарушитель сумел значительно видоизменить их и ухитрился замаскировать свои действия. Благодаря многомерному анализу содержания, InfoWatch Traffic Monitor понимает, о какой информации идет речь. Это облегчает сотруднику службы информационной безопасности неблагодарную работу с ложноположительными срабатываниями.
Чем полезна DLP-система InfoWatch Traffic Monitor
Выявляет и блокирует утечки конфиденциальной информации любого формата
Помогает соответствовать требованиям регулятора и отраслевым стандартам
Позволяет распознать мошеннические схемы, злой умысел и недобросовестных сотрудников
InfoWatch Traffic Monitor исходит из требований бизнеса и решает конкретные задачи информационной безопасности
Уметь остановить, а не только контролировать
Если DLP-система оповещает о попытках передачи конфиденциальных данных без возможности автоматического предотвращения, нельзя назвать ее достаточной.
InfoWatch Traffic Monitor может устанавливаться в разрыв и позволяет блокировать передачу данных по максимальному числу каналов. Система поймает конфиденциальные данные, отправляемые за пределы организации, и не допустит, чтобы они «гуляли» по сетевым папкам и папкам FTP-серверов внутри инфраструктуры компании.
Работа по всем видам каналов утечки информации
Чем больше каналов контролирует DLP, тем полнее защита. InfoWatch Traffic Monitor контролирует как стандартные каналы, так и уникальные. Среди них: корпоративная и веб-почта, мессенджеры, облачные хранилища, сетевые папки, FTP, терминальные соединения, локальные и сетевые принтеры, съемные носители.
InfoWatch Traffic Monitor поддерживает каналы передачи информации даже для случаев, когда компания пользуется проприетарными приложениями. Для этого разработан открытый API и возможность не только перехватывать такой трафик, но и формировать политики с учетом ИТ-инфраструктуры конкретной компании.
Интеграции с бизнес-системами
Корпоративные данные создаются, живут и динамически меняются в бизнес-системах. Отсутствие интеграции с DLP означает, что большая часть бизнес-информации будет анализироваться с непозволительной задержкой по времени или вовсе пройдет мимо служб безопасности.
InfoWatch Traffic Monitor интергируется с ERP, CRM, СЭД-системами: в соответствии с политиками безопасности обработает данные и автоматически актуализирует те из них, которые надо защищать.
InfoWatch Traffic Monitor передает инциденты ИБ в SIEM- и IRM-системы, чтобы офицер безопасности мог обработать их в общем потоке, видеть полную картину и сопоставлять события из разных систем.
InfoWatch Traffic Monitor интергируется с сетевыми устройствами, чтобы снизить трудоемкость внедрения DLP и общую стоимость владения системой.
Визуальная аналитика, чтобы говорить на языке бизнеса
С внедрением DLP в распоряжении компании оказывается огромный массив данных. Инструмент визуальной аналитики заставляет эти данные «говорить», чтобы увидеть процессы и коммуникации в компании с совершенно иной стороны.
Для задач ИБ, в которых известно, что искать, такой инструмент поможет быстро получить наглядный срез данных. Например, за пару секунд понять, как перемещался файл по компании и на каких сотрудников могла распространиться информация из него.
Но бывают задачи, где предмет поиска не очевиден. Выявить аномалии, скрытые связи, найти неформального лидера или узкие места в коммуникациях внутри компании, оценить эффективность проектного взаимодействия или выявить риски, связанные с управленческими изменениями и так далее.
Специальный инструмент визуального анализа данных, хранящихся в InfoWatch Traffic Monitor, может объять коммуникации всей компании, отобразить их на графе связей и с помощью единой системы фильтров выдавать различные срезы данных в понятном виде. Такая картина мира никому в вашей компании еще не открывалась!
Технологии анализа для защиты цифровых данных компаний
- Лингвистический анализ текста на 42-х языках, на 20 языках – с поддержкой морфологии
- 200 отраслевых баз контентной фильтрации минимизируют количество ложных срабатываний уже на старте проекта
- Автоматическая актуализация базы цифровых отпечатков и отпечатков баз данных позволяет поддерживать политики безопасности актуальными и защищать данные из бизнес-систем (ERP, CRM, СЭД и других)
- Анализатор векторной графики идентифицирует присутствие любого фрагмента конфиденциального чертежа в составе другого чертежа, даже если он был модифицирован
- Защита сложных объектов, документов с несколькими признаками, например, детектирование сканов заполненных договоров с печатью
- Детектирование отсканированных и заполненных от руки анкет и форм, структурированных документов, например, накладных
- Идентификация выгрузок из баз данных: защита наборов конкретных именованных сущностей, например: ФИО, ИНН, номера паспорта, а также номенклатурных позиций или позиций прайс-листа
- Защита персональных данных, номеров платежных карт
Источник: group-benefit.ru
Infowatch программа что это
Всем добрый день.
Недавно главный инфобезопасник конторы проболтался, что на офисные компьютеры некоторых избранных сотрудников нашей конторы (3 категории: особо отличившиеся, работающие с очень закрытой информацией и те, которых «готовят на выход») негласно устанавливается ПО infowatch, которое отслеживает всю их переписку, их походы в интернет, что они печатают и что они записывают на съемные носители. Слово «негласно» несколько напугало и в связи с подслушанным стало очень интересно, это ПО действительно может быть установлено так, что «жертва» ничего не заметит? Как можно обнаружить присутствие этого ПО на собственном ПК? Нужны ли админские права для выявления этих «троянцев»? Наконец, как можно их обезвредить, желательно так же негласно.
Нет, конечно всю «левую» (ту, которой у меня на компе не должно быть по моей работе, банальный пример — анкеты на визу) и закрытую (которую, по идее, я не должен забирать с работы но ведь иногда бывает необходимо что-то срочно сделать к следующему утру) информацию я пишу на носители, перезагрузившись с Hiren’s boot CD (да, эту лазейку пока не перекрыли), но не хочется из-за каждой мелочи перезагружать комп.
Что скажет уважаемое сообщество?
Re: Infowatch — обнаружить присутствие
| От: | wildwind | |
| Дата: | 17.02.17 21:23 | |
| Оценка: | +2 | |
Здравствуйте, teapot2, Вы писали:
T>это ПО действительно может быть установлено так, что «жертва» ничего не заметит?
Иначе оно не стоило бы своих денег, не так ли?
T>Как можно обнаружить присутствие этого ПО на собственном ПК?
Если это не твой профиль, то скорее всего никак.
T>Нет, конечно всю «левую» (ту, которой у меня на компе не должно быть по моей работе, банальный пример — анкеты на визу) и закрытую (которую, по идее, я не должен забирать с работы но ведь иногда бывает необходимо что-то срочно сделать к следующему утру) информацию я пишу на носители, перезагрузившись с Hiren’s boot CD (да, эту лазейку пока не перекрыли), но не хочется из-за каждой мелочи перезагружать комп.
А почему лазейку не прикрыли, не задавался вопросом? Видимо, для того, чтобы отслеживать, кто ей пользуется. Вообще держать что-то левое на компе в конторе с такими порядками это главная ошибка. Наверное, ты уже либо в первой, либо в третьей категории.
Работал я в такой конторе. Очень неприятно. Свалил с радостью.
Re[2]: Infowatch — обнаружить присутствие
| От: | teapot2 |
| Дата: | 23.02.17 18:00 |
| Оценка: |
Здравствуй, wildwind, спасибо за ответ, но хотелось бы понять, ты ответил со знанием дела (то бишь обсуждаемого продукта) или исходя из общих соображений, которые показались тебе разумными во время составления ответа?
T>>это ПО действительно может быть установлено так, что «жертва» ничего не заметит?
W>Иначе оно не стоило бы своих денег, не так ли?
Возможно, продукт и стоит тех денег, за которые его продают, но как из этого следует его недетектируемость на компьютере «жертвы», совсем не очевидно. Кстати, наш Главинфобез уверял, что стоит сия софтина сущие копейки. Так ты знаком с продуктом или так, мимо проходил?
T>>Как можно обнаружить присутствие этого ПО на собственном ПК?
W>Если это не твой профиль, то скорее всего никак.
Да, это не мой профиль. Я не инфобезопасник, я рядовой программист с некоторыми навыками администрирования. И эти самые навыки дают надежду, что зловреда, внедренного на мой офисный комп, удастся обнаружить, если он действительно там есть. Вернемся к исходному вопросу: каковы признаки присутствия этого софта? Он ставится как сервис или как-то еще?
По какому протоколу он общается со своим шпионским центром?
W>А почему лазейку не прикрыли, не задавался вопросом? Видимо, для того, чтобы отслеживать, кто ей пользуется.
Я загрузил древнюю XP-шку с сидюка, сеть в этой конфигурации не настроена, никакие проги с жесткого диска не запускаются и драйверы не грузятся. Не могу себе представить, что в этих обстоятельствах кто-то может контролировать инфообен компа с его периферийными устройствами типа USB-портов. В «подземные стуки» я не верю.
W>Вообще держать что-то левое на компе в конторе с такими порядками это главная ошибка. Наверное, ты уже либо в первой, либо в третьей категории.
Ну это массовое явление. Наоборот, вызовет подозрение, если у меня на компе не окажется чего-нибудь «левого», но при этом безобидного, типа камасутры с картинками. О категориях: в первой вряд ли, я мало выделяюсь на общем фоне, в третьей — может быть. Если так, то хотелось бы обнаружить этот факт прежде, чем мне о нем сообщат «кадры» Собственно, почему и написал сюда.
W>Работал я в такой конторе. Очень неприятно. Свалил с радостью.
Свалю, как только поступят более выгодные предложения. А пока приходится горбатиться да еще терпеть весь этот маразм.
Re[3]: Infowatch — обнаружить присутствие
| От: | Michael7 |
| Дата: | 23.02.17 23:10 |
| Оценка: |
Здравствуйте, teapot2, Вы писали:
T>Я загрузил древнюю XP-шку с сидюка, сеть в этой конфигурации не настроена, никакие проги с жесткого диска не запускаются и драйверы не грузятся. Не могу себе представить, что в этих обстоятельствах кто-то может контролировать инфообен компа с его периферийными устройствами типа USB-портов. В «подземные стуки» я не верю.
Я не знаю как устроена эта софтина и что она может, но в принципе предположение, что никакие проги не запускаются до загрузки с CD-ROM неверное. Это возможно, BIOS вполне может что-то такое запускать. В UEFI это даже почти штатная возможность.
T> Собственно, почему и написал сюда.
Если качествено сделано хрен простыми способами обнаружишь. Но для начала можно взять прогу вроде Process Explorer и изучить весь список запущенных процессов (и автостартуемых) после старта системы. Кто что чего и откуда. Отдельно не грех проверить процесс svchost — настоящий ли он, кем запущен.
Re[3]: Infowatch — обнаружить присутствие
| От: | wildwind |
| Дата: | 24.02.17 12:42 |
| Оценка: |
Здравствуйте, teapot2, Вы писали:
T>Здравствуй, wildwind, спасибо за ответ, но хотелось бы понять, ты ответил со знанием дела (то бишь обсуждаемого продукта) или исходя из общих соображений, которые показались тебе разумными во время составления ответа?
Из общих соображений и личного опыта. С данным продуктом знаком только по описаниям.
T>каковы признаки присутствия этого софта? Он ставится как сервис или как-то еще? По какому протоколу он общается со своим шпионским центром?
Как правило, это драйвер или несколько, сервис и GUI процессы для информирования и управления. драйвера могут быть скрыты с использованием rootkit техник.
T>Я загрузил древнюю XP-шку с сидюка, сеть в этой конфигурации не настроена, никакие проги с жесткого диска не запускаются и драйверы не грузятся. Не могу себе представить, что в этих обстоятельствах кто-то может контролировать инфообен компа с его периферийными устройствами типа USB-портов. В «подземные стуки» я не верю.
Re: Infowatch — обнаружить присутствие
| От: | Vasiliy2 |
| Дата: | 27.02.17 09:03 |
| Оценка: |
Здравствуйте, teapot2, Вы писали:
T>. отслеживает всю их переписку, их походы в интернет, что они печатают и что они записывают на съемные носители.
Конкретно с этой системой не знаком, но, зачастую, они, помимо прочего, делают снимки экрана и отсылают на базу. При недоступности сети они их складывают в укромное местечко, чтобы потом, при появлении возможности, скинуть их куда надо. Соответственно, отключив на некоторое время сеть (возможно на несколько дней), можно получить на диске скопление определенных файлов.
Затем утилитой от sysinternals (не помню как она называется, возможно FileMonitor) можно пробежаться по диску и найти области файлов. Нужные будут лежать большой заметной однотипной кучкой, утилита покажет где они находятся. Глянув эти кучки можно определить точно там скриншоты или что-то безобидное. Точной информации метод может не дать, но как один из вариантов расследования может применяться.
Re: Infowatch — обнаружить присутствие
| От: | ShaggyOwl | http://www.rsdn.org |
| Дата: | 07.03.17 19:35 | |
| Оценка: | +4 | |
Здравствуйте, teapot2, Вы писали:
T>Недавно главный инфобезопасник конторы проболтался, что на офисные компьютеры некоторых избранных сотрудников нашей конторы (3 категории: особо отличившиеся, работающие с очень закрытой информацией и те, которых «готовят на выход») негласно устанавливается ПО infowatch, которое отслеживает всю их переписку, их походы в интернет, что они печатают и что они записывают на съемные носители. Слово «негласно» несколько напугало и в связи с подслушанным стало очень интересно, это ПО действительно может быть установлено так, что «жертва» ничего не заметит? Как можно обнаружить присутствие этого ПО на собственном ПК? Нужны ли админские права для выявления этих «троянцев»? Наконец, как можно их обезвредить, желательно так же негласно.
T>Нет, конечно всю «левую» (ту, которой у меня на компе не должно быть по моей работе, банальный пример — анкеты на визу) и закрытую (которую, по идее, я не должен забирать с работы но ведь иногда бывает необходимо что-то срочно сделать к следующему утру) информацию я пишу на носители, перезагрузившись с Hiren’s boot CD (да, эту лазейку пока не перекрыли), но не хочется из-за каждой мелочи перезагружать комп.
T>Что скажет уважаемое сообщество?
* Весомая часть софта в корпоративной среде разворачивается прозрачно для пользователя, через групповые политики.
* Класс систем о которых ты говоришь называются DLP (data leak prevention). infowatch является производителем одной из (https://www.infowatch.ru/dlp).
* Великого смысла в проверке установлен ли у тебя агент dlp на компьютере не вижу. Если есть сомнения, считай, что установлен.
* Бороться и обходить их не надо, во избежание прямого конфликта с безопасниками. (Обоснование — взять документы домой, поработать, при разборе полётов будет выглядеть наивно.)
Upd. Необходимо понимать, что с точки зрения безопасника ситуации отключаются радикально:
* вынос документов
* вынос документов с предварительной попыткой отключения/обхода инструментов обеспечения безопасности
Хорошо там, где мы есть! 🙂
Отредактировано 07.03.2017 19:45 ShaggyOwl . Предыдущая версия .
Re[4]: Infowatch — обнаружить присутствие
| От: | Somescout |
| Дата: | 10.03.17 19:44 |
| Оценка: |
Здравствуйте, Michael7, Вы писали:
M>Если качествено сделано хрен простыми способами обнаружишь. Но для начала можно взять прогу вроде Process Explorer и изучить весь список запущенных процессов (и автостартуемых) после старта системы.
Это если есть права админа. И если они есть, то у их безопасников реально странные представления о безопасности (хотя, конечно, возможность загрузки не с системного диска на «защищённом» ПК — это уже facepalm).
Источник: www.rsdn.org