ИБ-задачка: как усилить защиту от внутренних угроз и сократить расходы на нее

14.12.2023 |

Для противостояния внутренним угрозам информационной безопасности компании используют сразу несколько видов защитных систем. Как вооружиться оптимально, не заплатив дважды за один функционал, – рассказывает Алексей Парфентьев, руководитель отдела аналитики «СёрчИнформ».

С ростом числа задач внутренней информационной безопасности растут потребности компаний в дополнительных защитных средствах. На рынке существует множество ИТ-решений от различных производителей. Вместе эти продукты способны обеспечить комплексную защиту, дополняя возможности друг друга. Но при этом появляются проблемы: первая – ограниченный бюджет, вторая – дублирование функционала в смежных решениях. Предлагаю разобрать это «уравнение» и найти оптимальный ответ на примере комплекса решений, которые мы разрабатываем.

Алексей Парфентьев, руководитель отдела аналитики «СёрчИнформ»

Один по цене двух

Рассмотрим три категории программных продуктов:

DCAP-решения осуществляют аудит хранения данных и контроль доступа к ним. Это инструменты для защиты и аудита с фокусом на данных.

DLP-системы предотвращают утечки информации, контролируют, как пользователи работают с данными и куда их передают.

Системы класса SIEM, управляющие событиями и информацией о безопасности, мониторят ИТ-инфраструктуру и обнаруживают сбои и угрозы в ней.

Представим конкретную ситуацию. Например, часть задач по внутренней ИБ решено закрыть с помощью софта для контроля рабочего времени. Он умеет отслеживать активность сотрудников за ПК и контролировать переписки, но не защищает от утечек. Однако со временем большинство заказчиков приходят к необходимости поставить полноценную DLP-систему, которая не только закрывает задачи контроля рабочего времени, но еще и блокирует каналы передачи данных, анализирует передаваемый контент, и в итоге защищает компанию от утечек информации. Если использовать эти системы вместе, получится «задвоение» функциональности: заказчик платит за одно и то же дважды.

Избежать этого помогают так называемые платформы ИБ. Обычно это комплекс взаимодополняющих решений от одного производителя. Рассмотрим преимущества такого подхода.

Универсальный набор

Мы начинали свой путь в инфобезе много лет назад как разработчик DLP. Но затем поняли, что необходимо расширять линейку продуктов, следуя логике развития инцидента. Исходили из того, что любой слив данных начинается с нарушения прав доступа: кто-то добрался до конфиденциальной информации, которая «плохо лежала» или была не защищена.

Поэтому первый «уровень» защиты – DCAP-система. «СёрчИнформ FileAuditor» анализирует все файлы на ПК, в СХД, на файловых, FTP- и почтовых серверах, исследует их содержимое и определяет категорию: ПДн, бухгалтерские документы, коммерческая тайна и пр. Узнав «тему» документа, FileAuditor оставляет на нем соответствующую метку, которую нельзя случайно снять или удалить. Для категорий задаются разные правила доступа и использования, в зависимости от ее ценности. Программа позволяет настраивать права пользователей в ОС или решать вопрос радикальней: запретить доступ к файлу не только пользователям, но и процессам. Последняя функция – ноу-хау «СёрчИнформ». Например, если настроен запрет на отправку файлов с меткой «Финансовая отчетность» в MS Outlook у заданной группы сотрудников или на указанных ПК, приложение не сможет открыть такой документ – значит, не сможет и прикрепить во вложение письма при отправке. Более того, можно в целом запретить открытие определенного содержания группам пользователей, то есть они не смогут не только его отправить, но даже и ознакомиться с ним. Блокировка действует для любого ПО, даже самописного, просто по имени процесса.

Таким образом, DCAP приводит хранение файлов в порядок. Но для мониторинга и контроля за перемещением информации службе ИБ нужен другой инструмент. Здесь в игру вступает DLP.

«СёрчИнформ КИБ» автоматически выявляет признаки инцидентов безопасности более чем по 250 готовым политикам, которые учитывают распространенные проблемы бизнеса: не только утечки, но и откаты, фирмы-боковики, связи с конкурентами, подделку документов и т.п. КИБ умеет выявлять случайные утечки, фишинг, «угон» аккаунтов, попытки сфотографировать экран ПК на телефон и так далее. В системе используются технологии компьютерного зрения и машинного обучения. Программа умеет блокировать любые пересылки, в том числе по содержимому – даже если это текстовое сообщение, которое попытались отправить в соцсети. Блокируется копирование и перенос файлов, опасные переписки, подозрительные визиты на сайты и подключения по удаленному доступу. Возможностей много, настройки позволяют применять их тонко, не влияя на стандартные рабочие процессы. КИБ контролирует даже то, что долгое время оставалось «слепым пятном» в других DLP-решениях, например, подключение программ удаленного доступа, передачу через среды виртуализации или «сливы» на смартфоны.

DLP в этой схеме выступает как основной «борец с внутренними нарушениями». Но ей также необходим взгляд «сверху», который поможет мониторить всю ИТ-инфраструктуру компании. Нужна SIEM-система.

У нас это «СёрчИнформ SIEM». Преимущество решения – в простоте настройки и эксплуатации. К каждому из более тридцати коннекторов «из коробки» доступны десятки готовых правил корреляции – алгоритмов сопоставления событий из разных источников (всего более 400). Даже сложные взаимосвязи легко отследить, в два клика создав правило кросс-корреляции в графическом конструкторе, без применения программирования. Система легко кастомизируется: нужный коннектор можно написать самостоятельно с помощью простых команд. Так же можно написать правило автоматической реакции на инцидент – это, кстати, значительно расширяет рамки привычного функционала SIEM. Например, когда на ПК происходит массовое шифрование файлов, SIEM может запустить реакцию антивируса (сканирование, удаление файлов или помещение зловреда в песочницу). Еще в системе есть встроенный сканер уязвимостей – тоже нестандартный инструмент в составе SIEM.

Все указанные системы «СёрчИнформ» работают в связке, дополняя друг друга и комплексно закрывая задачи внутренней ИБ.

Части целого

При использовании систем от разных производителей избыточность и дублирование функционала видны по загруженности вычислительных мощностей, каналов передачи и систем хранения. Мы пошли по пути, когда вся линейка представляет собой единое целое уже на уровне служебных компонентов. Вот главные преимущества такого подхода.

У FileAuditor, КИБ и даже SIEM общий агент. Соответственно, ПК пользователей не перегружаются контролирующим ПО; они интегрированы в одном интерфейсе. Все три системы хранят данные в едином дата-центре. Это экономит усилия ИБ-специалиста по контролю всех систем, а также ресурсы компании по закупке серверного оборудования.

Бесшовная интеграция означает сквозной обмен данными: информация из всех источников не теряется и учитывается при комплексных расследованиях. Для этого в КИБ и SIEM есть специальный общий инструмент – Task Management, который позволяет управлять ИБ-командой, контролировать выполнение задач по инциденту, составлять и направлять отчеты в IRP или регулятору (через ГосСОПКА).

Системы усиливают и расширяют возможности друг друга. Например, когда DCAP выявляет конфиденциальный документ и запрещает его пересылку, DLP дополнительно страхует от «расшаривания» пользователем отдельных критичных отрывков из него, скажем, в мессенджере. А SIEM проверяет, как системные администраторы справляются с базовым распределением доступов к файловым ресурсам.

Совместное использование продуктов делает контроль комплексным: DCAP наводит порядок, DLP расставляет «блок-посты», а SIEM контролирует, что все работает правильно. Благодаря единому интерфейсу с платформой легко работать. При помощи единого центра управления – ее просто настраивать. А общая система хранения экономит затраты на СХД. Таким образом, решаются две задачи: владеть комплексом выгоднее, чем набором ПО от разных производителей; в линейке одного вендора не будет дублей в функциональности – не придется за одно и то же платить дважды.

Попробовать преимущества комплексной защиты можно по ссылке.