Заказчики: Инфотекс Интернет Траст (ИИТ) Подрядчики: SearchInform (СёрчИнформ) Продукт: Контур информационной безопасности SearchInform (КИБ Сёрчинформ)Второй продукт: СёрчИнформ SIEM Третий продукт: SearchInform FileAuditor Дата проекта: 2016/05 — 2022/05
|
Технология: ИБ - Предотвращения утечек информации
Технология: ИБ - Система обнаружения мошенничества (фрод)
Технология: ИБ - Управление информацией и событиями в системе безопасности (SIEM)
|
Содержание |
«ИнфоТеКС Интернет Траст» создает сертифицированные решения для цифровизации госсектора и бизнеса, работает в том числе в сфере защиты персональных данных. Мы предоставляем оборудование, готовим всю документацию для ИСПДн и аттестуем такие системы, а также предлагаем инструменты для защищенного электронного документооборота. Например, «взломостойкую» деловую почту или единственное в России мобильное приложение IDPoint, при помощи которого можно получить усиленную квалифицированную подпись на мобильном устройстве. При этом на нашей стороне хранится много клиентских данных, а отдел разработки ежедневно генерирует массу информации, потеря которой может стоить нам бизнеса.
Поэтому долгое время в компании царила гегемония инфобеза – отдел ИБ головной структуры определял политики безопасности и контролировал их соблюдение, фокусируясь на данных. Когда в компанию пришел я, предложил руководству изменить подход к безопасности и в качестве эксперимента внедрить DLP.
Никакая технологическая оснащенность – брандмауэрами, блокировщиками трафика, антивирусами – не спасает от непредсказуемости человеческого фактора. А его контроль в зоне ответственности службы безопасности. ИБ-специалисты редко обладают навыками оперативно-розыскной деятельности, а без них не провести расследование, если инцидент произошел, и больше того: не разглядеть первые признаки того, что сотрудник готовит слив или мошенническую схему. Я же поставил во главе угла свой опыт в органах, чтобы выявлять, предупреждать и пресекать негативные тенденции, и сформировал отдельную службу безопасности.
Соответствующим образом разделились приоритеты в выборе инструментов, которые помогают решать наши задачи.
DLP-система и анализ пользовательского поведения
Задачу внедрения DLP-системы СБ инициировала в 2016 году. Я глубоко убежден, что это система в первую очередь для службы безопасности, не понимаю, почему коллеги настаивают, что это ИБ-инструмент. Еще до прихода в «ИнфоТеКС Интернет Траст» я использовал систему «СёрчИнформ КИБ», это российская разработка, в которой, на мой взгляд, есть все что нужно СБ. КИБ дает специалисту по безопасности данные, которые отвечают основным критериям, предъявляемым к информации. А именно:
- Обеспечивает полноту сбора данных – предоставляет сведения о месте, времени, участниках события, которое создает риски безопасности.
- Гарантирует достоверность собираемой информации – т.е. собирает подтверждения инцидента из нескольких источников.
- Позволяет оценить важность события, т.е. посмотреть на него в сравнительном контексте и определить значимость относительно других, «рядовых» событий.
- Предоставляет информацию своевременно, т.е. выявляет угрозы на ранних стадиях, пока утечка или другой инцидент еще не нанесли компании ущерб.
- Помогает однозначно определять, что событие несет риски – репутационные, экономические или нормативные, то есть грозящие санкциями от регуляторов.
У нас DLP защищает более 350 ПК внутренних пользователей, а также выделенные машины, доступ к которым предоставляется партнерам и контрагентам. КИБ – система модульная, контролирует все каналы передачи данных и хранилища информации. Мы используем все 10 модулей контроля, вместе они обеспечивают полноту, каждый в отдельности – глубину расследования. Метавселенная ВДНХ
Вот хорошая иллюстрация. КИБ зафиксировал аномальное количество копирований на флешку: сотрудник «сливал» клиентскую базу. Мы изучили его переписки, проанализировали переговоры – выяснилось, он открыто предлагал переманивать клиентов к конкуренту. Позднее взяли специалиста с поличным, и он признался, что хотел получать дополнительный доход. Убытков компания не понесла: КИБ позволяет шифровать содержимое флешек так, что за любыми ПК вне организации данные на них не читаются.
Позднее, в 2018 году, «СёрчИнформ» предложили нам поучаствовать в тестировании новой разработки – автоматизированного профайлинга. Мы одними из первых «обкатали» необычный инструмент, попробовали дорелизный функционал. Уже тогда «СёрчИнформ ProfileCenter» помог нам и руководству принять определенные кадровые решения – программа анализирует психологию пользователя, это важно, чтобы заранее понимать, какие риски несет то или иное назначение. Программа хорошо дополняет DLP-систему и усиливает наши возможности в работе с человеческим фактором.
Сегодня с КИБ мы закрываем две большие задачи СБ: с одной стороны, это комплексные расследования с возможностью собрать доказательства для принятия управленческих и других решений, с другой – предотвращение инцидентов «на подходе». Например, мы используем блокировки доступа к USB и в облака, чтобы у сотрудников физически не было возможности слить конфиденциальные файлы.
Расширение контроля: аудит хранилищ и мониторинг инфраструктуры
Когда в компании появилась SIEM, она тоже встала «на вооружение» СБ. У нас распределенная структура, много филиалов, чтобы не пропустить инцидент, необходимо постоянно «видеть» их все – SIEM позволяет это делать. Но кроме масштабируемости и «широты» мониторинга нам была важна гладкость интеграции. Уже в первых релизах «СёрчИнформ SIEM» позволял в один клик перейти в КИБ, чтобы просмотреть подробности по каждому обнаруженному инциденту. Для своего времени (2017-го года) это был верх удобства, теперь система еще упрощается в управлении и обрастает функционалом.
Приведу показательный кейс. С помощью связки КИБ и SIEM мы раскрыли боковую схему: в SIEM увидели активность в нерабочее время, а также, что несколько сотрудников в разных подразделениях используют одну и ту же учетку. В КИБ стали видны детали: два менеджера и специалист техподдержки сговорились с партнером и стали замыкать на себе обслуживание договоров с клиентами в обход всех регламентов. Партнер пользовался своим правом в исключительных случаях ставить задачи напрямую менеджерам, накручивая ценник за счет срочности и техподдержки. Маржу делили между собой. Схему раскрыли за день, виновников наказали, доброе имя компании сохранили.
Допускаю, что SIEM – не самый типовой инструмент для СБ, но он полезен, чтобы вести постоянный мониторинг угроз и выявлять их в большом потоке.
Аппетит приходит во время еды – взяв на вооружение DLP и SIEM, я присматриваюсь и к другим ИБ-продуктам. Проблема аудита хранения данных и избыточных прав доступа не новая, обычно она в компетенции ИБ, но службе безопасности тоже полезно знать, кто и как с данными работает. DCAP (data-centric audit and protection) – системы для файлового аудита – составляют «карту» хранения данных и отслеживают операции с ними. У «СёрчИнформ» был такой инструмент – FileAuditor, в 2022 году мы его внедрили и успешно используем.
С позиций СБ мы с помощью системы отслеживаем факты копирования, удаления данных, искажения критичной документации – всевозможные «приписки» и «пририсовки». Сейчас вендор крупно обновил FileAuditor, появились видимые пользователю метки конфиденциальности, блокировки опасных действий и доступов к файлам через любые приложения – у нас большие ожидания от нового функционала, так что в ближайшее время, думаю, станем пользоваться программой активнее.
Экономия ресурсов
Под контролем DLP, SIEM и DCAP в сумме более 350 рабочих мест, сотня хостов и терабайты файловых хранилищ. Поэтому в составе решений нам важнее всего были аналитические инструменты, которые сами видят инцидент в большом потоке трафика и сокращают время на реагирование. Отдельный плюс, что системы дружат между собой, обмениваются данными. Итого мы видим инцидент сразу с трех сторон, это тоже облегчает работу.
Например, в КИБ можно искать по меткам FileAuditor, это удобнее, чем каждый раз прописывать критерии к содержанию документа, вокруг которого строится расследование. Если кто-то расшарил доступы к важному файлу, об этом можно оперативно узнать из SIEM, не дожидаясь, пока дойдут руки просмотреть отчет в DCAP. Или, к примеру, о том, что несколько человек пользуются одной почтой, можно узнать сразу тремя способами – хоть в DLP из отчета по авторизациям, хоть в файловом аудиторе по локальному кэшу ящика на диске, хоть в SIEM по готовому правилу корреляции. И так далее. То есть системы позволяют решать задачи разными способами, нам остается выбрать самый короткий и удобный в конкретный момент путь.
При этом работу всех систем можно координировать. В общей консоли есть таск-менеджер, аналог Jira для службы безопасности – там я раздаю задачи по инцидентам. По ним виден прогресс: кто из моих сотрудников что и где уже успел сделать. В итоге расследования у нас идут бесперебойно, даже если ответственный выбыл, дело как эстафетную палочку перехватит другой – вся фактура на виду. Заодно удобно взаимодействовать с коллегами из головной структуры, не мешая друг другу.
От коллег по цеху я часто слышу, что сложно согласовать с руководством закупку стольких ИБ-систем. У нас с этим проблем не возникает – руководство понимает, что информацию нужно защищать, и видит, что ПО окупается. Во многом именно набор этих инструментов позволяет нам обходиться небольшими ресурсами и не раздувать штат, чтобы обеспечить весь необходимый контроль. В долгосрочной перспективе это не только эффективно, но и экономично.
Скачайте «Белую книгу» о комплексной защите данных в компании.