Проект

Как средства защиты данных помогают находить и ликвидировать реальные угрозы

Заказчики: Инфотекс Интернет Траст (ИИТ)

Информационные технологии

Продукт: Контур информационной безопасности SearchInform (КИБ Сёрчинформ)
Второй продукт: СёрчИнформ SIEM
Третий продукт: SearchInform FileAuditor

Дата проекта: 2016/05 — 2022/05
Технология: ИБ - Предотвращения утечек информации
подрядчики - 281
проекты - 1122
системы - 429
вендоры - 248
Технология: ИБ - Система обнаружения мошенничества (фрод)
подрядчики - 69
проекты - 215
системы - 185
вендоры - 135
Технология: ИБ - Управление информацией и событиями в системе безопасности (SIEM)
подрядчики - 74
проекты - 272
системы - 296
вендоры - 157
Руководитель службы безопасности АО «ИнфоТеКС Интернет Траст» Сергей Матвеев рассказал, как средства защиты данных помогают находить и ликвидировать реальные угрозы для компании и почему полезно иметь комплекс таких инструментов.

«ИнфоТеКС Интернет Траст» создает сертифицированные решения для цифровизации госсектора и бизнеса, работает в том числе в сфере защиты персональных данных. Мы предоставляем оборудование, готовим всю документацию для ИСПДн и аттестуем такие системы, а также предлагаем инструменты для защищенного электронного документооборота. Например, «взломостойкую» деловую почту или единственное в России мобильное приложение IDPoint, при помощи которого можно получить усиленную квалифицированную подпись на мобильном устройстве. При этом на нашей стороне хранится много клиентских данных, а отдел разработки ежедневно генерирует массу информации, потеря которой может стоить нам бизнеса.

Поэтому долгое время в компании царила гегемония инфобеза – отдел ИБ головной структуры определял политики безопасности и контролировал их соблюдение, фокусируясь на данных. Когда в компанию пришел я, предложил руководству изменить подход к безопасности и в качестве эксперимента внедрить DLP.

Никакая технологическая оснащенность – брандмауэрами, блокировщиками трафика, антивирусами – не спасает от непредсказуемости человеческого фактора. А его контроль в зоне ответственности службы безопасности. ИБ-специалисты редко обладают навыками оперативно-розыскной деятельности, а без них не провести расследование, если инцидент произошел, и больше того: не разглядеть первые признаки того, что сотрудник готовит слив или мошенническую схему. Я же поставил во главе угла свой опыт в органах, чтобы выявлять, предупреждать и пресекать негативные тенденции, и сформировал отдельную службу безопасности.

Соответствующим образом разделились приоритеты в выборе инструментов, которые помогают решать наши задачи.

DLP-система и анализ пользовательского поведения

Задачу внедрения DLP-системы СБ инициировала в 2016 году. Я глубоко убежден, что это система в первую очередь для службы безопасности, не понимаю, почему коллеги настаивают, что это ИБ-инструмент. Еще до прихода в «ИнфоТеКС Интернет Траст» я использовал систему «СёрчИнформ КИБ», это российская разработка, в которой, на мой взгляд, есть все что нужно СБ. КИБ дает специалисту по безопасности данные, которые отвечают основным критериям, предъявляемым к информации. А именно:

  • Обеспечивает полноту сбора данных – предоставляет сведения о месте, времени, участниках события, которое создает риски безопасности.
  • Гарантирует достоверность собираемой информации – т.е. собирает подтверждения инцидента из нескольких источников.
  • Позволяет оценить важность события, т.е. посмотреть на него в сравнительном контексте и определить значимость относительно других, «рядовых» событий.
  • Предоставляет информацию своевременно, т.е. выявляет угрозы на ранних стадиях, пока утечка или другой инцидент еще не нанесли компании ущерб.
  • Помогает однозначно определять, что событие несет риски – репутационные, экономические или нормативные, то есть грозящие санкциями от регуляторов.

У нас DLP защищает более 350 ПК внутренних пользователей, а также выделенные машины, доступ к которым предоставляется партнерам и контрагентам. КИБ – система модульная, контролирует все каналы передачи данных и хранилища информации. Мы используем все 10 модулей контроля, вместе они обеспечивают полноту, каждый в отдельности – глубину расследования. Российский рынок облачных ИБ-сервисов только формируется 2.5 т

Вот хорошая иллюстрация. КИБ зафиксировал аномальное количество копирований на флешку: сотрудник «сливал» клиентскую базу. Мы изучили его переписки, проанализировали переговоры – выяснилось, он открыто предлагал переманивать клиентов к конкуренту. Позднее взяли специалиста с поличным, и он признался, что хотел получать дополнительный доход. Убытков компания не понесла: КИБ позволяет шифровать содержимое флешек так, что за любыми ПК вне организации данные на них не читаются.

Позднее, в 2018 году, «СёрчИнформ» предложили нам поучаствовать в тестировании новой разработки – автоматизированного профайлинга. Мы одними из первых «обкатали» необычный инструмент, попробовали дорелизный функционал. Уже тогда «СёрчИнформ ProfileCenter» помог нам и руководству принять определенные кадровые решения – программа анализирует психологию пользователя, это важно, чтобы заранее понимать, какие риски несет то или иное назначение. Программа хорошо дополняет DLP-систему и усиливает наши возможности в работе с человеческим фактором.

Сегодня с КИБ мы закрываем две большие задачи СБ: с одной стороны, это комплексные расследования с возможностью собрать доказательства для принятия управленческих и других решений, с другой – предотвращение инцидентов «на подходе». Например, мы используем блокировки доступа к USB и в облака, чтобы у сотрудников физически не было возможности слить конфиденциальные файлы.

Расширение контроля: аудит хранилищ и мониторинг инфраструктуры

Когда в компании появилась SIEM, она тоже встала «на вооружение» СБ. У нас распределенная структура, много филиалов, чтобы не пропустить инцидент, необходимо постоянно «видеть» их все – SIEM позволяет это делать. Но кроме масштабируемости и «широты» мониторинга нам была важна гладкость интеграции. Уже в первых релизах «СёрчИнформ SIEM» позволял в один клик перейти в КИБ, чтобы просмотреть подробности по каждому обнаруженному инциденту. Для своего времени (2017-го года) это был верх удобства, теперь система еще упрощается в управлении и обрастает функционалом.

Приведу показательный кейс. С помощью связки КИБ и SIEM мы раскрыли боковую схему: в SIEM увидели активность в нерабочее время, а также, что несколько сотрудников в разных подразделениях используют одну и ту же учетку. В КИБ стали видны детали: два менеджера и специалист техподдержки сговорились с партнером и стали замыкать на себе обслуживание договоров с клиентами в обход всех регламентов. Партнер пользовался своим правом в исключительных случаях ставить задачи напрямую менеджерам, накручивая ценник за счет срочности и техподдержки. Маржу делили между собой. Схему раскрыли за день, виновников наказали, доброе имя компании сохранили.

Допускаю, что SIEM – не самый типовой инструмент для СБ, но он полезен, чтобы вести постоянный мониторинг угроз и выявлять их в большом потоке.

Аппетит приходит во время еды – взяв на вооружение DLP и SIEM, я присматриваюсь и к другим ИБ-продуктам. Проблема аудита хранения данных и избыточных прав доступа не новая, обычно она в компетенции ИБ, но службе безопасности тоже полезно знать, кто и как с данными работает. DCAP (data-centric audit and protection) – системы для файлового аудита – составляют «карту» хранения данных и отслеживают операции с ними. У «СёрчИнформ» был такой инструмент – FileAuditor, в 2022 году мы его внедрили и успешно используем.

С позиций СБ мы с помощью системы отслеживаем факты копирования, удаления данных, искажения критичной документации – всевозможные «приписки» и «пририсовки». Сейчас вендор крупно обновил FileAuditor, появились видимые пользователю метки конфиденциальности, блокировки опасных действий и доступов к файлам через любые приложения – у нас большие ожидания от нового функционала, так что в ближайшее время, думаю, станем пользоваться программой активнее.

Экономия ресурсов

Под контролем DLP, SIEM и DCAP в сумме более 350 рабочих мест, сотня хостов и терабайты файловых хранилищ. Поэтому в составе решений нам важнее всего были аналитические инструменты, которые сами видят инцидент в большом потоке трафика и сокращают время на реагирование. Отдельный плюс, что системы дружат между собой, обмениваются данными. Итого мы видим инцидент сразу с трех сторон, это тоже облегчает работу.

Например, в КИБ можно искать по меткам FileAuditor, это удобнее, чем каждый раз прописывать критерии к содержанию документа, вокруг которого строится расследование. Если кто-то расшарил доступы к важному файлу, об этом можно оперативно узнать из SIEM, не дожидаясь, пока дойдут руки просмотреть отчет в DCAP. Или, к примеру, о том, что несколько человек пользуются одной почтой, можно узнать сразу тремя способами – хоть в DLP из отчета по авторизациям, хоть в файловом аудиторе по локальному кэшу ящика на диске, хоть в SIEM по готовому правилу корреляции. И так далее. То есть системы позволяют решать задачи разными способами, нам остается выбрать самый короткий и удобный в конкретный момент путь.

При этом работу всех систем можно координировать. В общей консоли есть таск-менеджер, аналог Jira для службы безопасности – там я раздаю задачи по инцидентам. По ним виден прогресс: кто из моих сотрудников что и где уже успел сделать. В итоге расследования у нас идут бесперебойно, даже если ответственный выбыл, дело как эстафетную палочку перехватит другой – вся фактура на виду. Заодно удобно взаимодействовать с коллегами из головной структуры, не мешая друг другу.

От коллег по цеху я часто слышу, что сложно согласовать с руководством закупку стольких ИБ-систем. У нас с этим проблем не возникает – руководство понимает, что информацию нужно защищать, и видит, что ПО окупается. Во многом именно набор этих инструментов позволяет нам обходиться небольшими ресурсами и не раздувать штат, чтобы обеспечить весь необходимый контроль. В долгосрочной перспективе это не только эффективно, но и экономично.

Скачайте «Белую книгу» о комплексной защите данных в компании.