Журнал "Директор по безопасности" Апрель 2020 | Page 28
ИНСТРУМЕНТЫ
БЕЗОПАСНОСТИ
ИБ – швейцарский
нож: что такое
комплексная
защита
ГЕОРГИЙ МИНАСЯН,
директор по безопасности
«СёрчИнформ»
М
ного лет назад, на заре карье-
ры в информационной без-
опасности, я мог спать спо-
койно, имея на вооружении только
антивирус и файрвол. По логам фай-
рвола как-то раз даже «поймал» утеч-
ку: заметил нетипично большую вы-
грузку данных и выяснил, что умелец
копирует себе закрытую информацию
в образах виртуальных машин. Сил и
времени ушло много, но в отсутствии
специальных инструментов это был
единственный доступный выход.
Сегодня все по-другому. За 30 лет,
что я в IT, технологии поменяли биз-
нес-процессы: в разы увеличилось
количество каналов передачи инфор-
мации, с ними пришли и множатся
новые угрозы. Теперь нельзя ограни-
чиваться подручными средствами –
под каждую проблему безопасности
есть свое решение. Вопрос в том, как
использовать их эффективно.
Защиты много не бывает
При всем многообразии инструмен-
тов, до сих пор большинство компа-
ний обходятся «маст-хэв» – миниму-
мом вроде антивирусов, AD и прокси.
Узкоспециализированные системы
ставят редко: например, DLP-системы
есть только в трети компаний, SIEM
у десятой части, DCAP для контроля
хранилищ информации всего у 1%.
Это данные последнего исследования
«СёрчИнформ».
Как правило, компании начина-
ют вооружаться против конкретных
угроз, когда сами с ними столкнутся.
Случилась утечка – поставили, нако-
нец, DLP. Это дальше появляется «на-
смотренность», предпочитают учить-
ся уже на чужих ошибках, а не ждать
своих – так закупают системы мони-
торинга, которые должны работать на
упреждение (те же SIEM). А хорошо бы
не ждать с самого начала.
КЕЙС
Я работал в банке, у нас стояла
DLP-система. Однажды она
просигнализировала о попытке
слива данных. Рядовой сотрудник
отправил на свою внешнюю почту
выписки по счетам VIP-клиентов –
информацию, к которой не должен
был иметь доступ. Мы вовремя
вмешались, сотрудник удалил
письмо из обоих почтовых ящиков
и конфиденциальные файлы с
компьютера. Но остался вопрос,
как данные к нему попали. Только
постфактум обнаружили, что в
файловом хранилище сбились
настройки: в папку с данными
VIP-клиентов вместо узкого круга
получили доступ все линейные
менеджеры. Если бы у нас было
DCAP-решение для файлового
аудита, мы бы узнали о сбое сразу
и инцидента можно было избежать.
DLP-СИСТЕМЫ ЕСТЬ ТОЛЬКО В ТРЕТИ
КОМПАНИЙ, SIEM У ДЕСЯТОЙ ЧАСТИ,
DCAP ДЛЯ КОНТРОЛЯ ХРАНИЛИЩ
ИНФОРМАЦИИ ВСЕГО У 1%
Мораль простая: чем больше у вас
инструментов, тем меньше вероят-
ность, что «проскочит мышь». Инци-
дент – это не конечное событие,
а цепочка, когда одно тянет за собой
другое. С хорошим арсеналом вы бу-
дете в курсе происходящего на всех
уровнях IT-инфраструктуры и удержи-
те под контролем все ее звенья.
Добиться взаимопонимания
При этом в использовании большого
количества защитных систем есть свои
подводные камни. Возникают про-
блемы взаимодействия инструментов
друг с другом.
Нередко ИБ-системы конфликту-
ют или плохо интегрируются. Поддер-
живают разные ОС и СУБД, требуют
каждая свое «железо». Это усиливает
нагрузку на бюджет. К тому же сле-
дить за правильной конфигурацией
парка разнородных систем – дополни-
тельные затраты сил и времени.
Работая в разных средах, про-
граммы не могут обмениваться дан-
ными или передают их в усеченном
виде. Часть «фактуры» может про-
пасть из виду. Чтобы ничего не упу-
стить, службе безопасности придется
сопоставлять данные вручную.
Продукты предоставляют данные
в разных форматах – у специалистов
нет общего источника информации
для анализа. Это снижает скорость вы-
явления и реакции на инциденты.
Эти проблемы можно обойти, если
уже на этапе планирования заложить
четкие требования к элементам, кото-
рые сложатся в единый защитный пери-
метр. Правила простые: компактность,
интеграция, удобство использования.
Настоящая комплексность
Когда встает вопрос расширения
ИБ-инфраструктуры, есть два пути.
Первый – выделить время (месяцы!),
чтобы в пилотном режиме проверить
совместимость новых продуктов с
имеющимися, или параллельно раз-
вернуть два-три теста и смотреть, как
продукты ведут себя в связке. Второй –
сразу выбирать максимум решений от
одного вендора.
Разные классы решений в одной
линейке «дружат» между собой. Вен-
доры заинтересованы в том, чтобы
их продуктами было удобно пользо-
ваться. В итоге получите бесшовную
интеграцию, в оптимальном случае –
сквозной обмен данными между ПО.
В идеальном – одну консоль, где све-
ден функционал разных продуктов.
Так все инструменты будут под рукой,
а вся «фактура» перед глазами.
К тому же «конструктор» от одного
производителя выйдет экономичней
за счет единой техподдержки и обуче-
ния специалистов.
Есть еще идеология: вендор про-
думывает линейку логически, чтобы
инструменты не просто закрывали
отдельные проблемы, но дополня-
ли друг друга. Например, концепция
«СёрчИнформ» в том, чтобы обеспе-
чивать контроль угроз на всех уров-
нях информационной сети: от обору-
дования и ПО до файловых систем и
БД, от действий пользователей за ПК
до их активности в интернете. Так что
продукты, по сути, решают общую за-
дачу – комплексной безопасности.
КЕЙС
В одном из крупных банков
наша система мониторинга БД
зафиксировала многочисленные
изменения данных в клиентской
базе. По теневым копиям
запросов к БД установили, что
несколько сотрудников с правом
доступа к базе подменяли в ней
номера клиентов из отдаленных
часовых поясов, а через короткое
время отменяли изменения. В
DLP перехватили закрытый Tele-
gram-чат, в котором эти сотрудники
обсуждали поиск «надежных
людей», чтобы передать им
«инструкции». К переписке
прилагался одноименный файл
с описанием схемы: в ночное
для клиентов время мошенники
меняли их номера на собственные,
чтобы по SMS подтверждать
небольшие платежи по их счетам,
а затем возвращали в базу
верные телефоны. Мошенников
остановили, но служба безопасности
пошла дальше: с помощью
файлового аудитора выявила, у
кого еще в компании хранится файл
с преступными инструкциями, его
изъяли из доступа.
Итого
Для надежной защиты нужно иметь
инструменты против разных типов
угроз. Чтобы арсенал не получился
слишком громоздким, защитные си-
стемы нужно «подружить». Проще
всего добиться этого эффекта, рабо-
тая с одним проверенным производи-
телем. Получите компактный набор
со всем необходимым, который рабо-
тает по принципу швейцарского ножа.
Я убедился в этом дважды. Снача-
ла с позиции заказчика, когда нуж-
но было создавать защитную ин-
фраструктуру и «на результат», и
комфортной в работе. Теперь – со
стороны вендора, который заказчи-
ков слышит и готов ответить на их
запрос. «СёрчИнформ» предлагает
готовый комплекс решений: SIEM для
управления событиями в IT-инфра-
структуре, DLP для защиты от утечек
и человеческого фактора, FileAuditor
для контроля хранилищ информации,
Database Monitor для мониторин-
га операций с базами данных и биз-
нес-приложениями. Вместе они дают
синергетический эффект.
Протестируйте решения бесплатно
и сделайте выводы сами.