Руководитель службы безопасности АО «ИнфоТеКС Интернет Траст» Сергей Матвеев рассказал, как средства защиты данных помогают находить и ликвидировать реальные угрозы для компании и почему полезно иметь комплекс таких инструментов.

«ИнфоТеКС Интернет Траст» создает сертифицированные решения для цифровизации госсектора и бизнеса, работает в том числе в сфере защиты персональных данных. Мы предоставляем оборудование, готовим всю документацию для ИСПДн и аттестуем такие системы, а также предлагаем инструменты для защищенного электронного документооборота. Например, «взломостойкую» деловую почту или единственное в России мобильное приложение IDPoint, при помощи которого можно получить усиленную квалифицированную подпись на мобильном устройстве. При этом на нашей стороне хранится много клиентских данных, а отдел разработки ежедневно генерирует массу информации, потеря которой может стоить нам бизнеса.

Поэтому долгое время в компании царила гегемония инфобеза – отдел ИБ головной структуры определял политики безопасности и контролировал их соблюдение, фокусируясь на данных. Когда в компанию пришел я, предложил руководству изменить подход к безопасности и в качестве эксперимента внедрить DLP.

Никакая технологическая оснащенность – брандмауэрами, блокировщиками трафика, антивирусами – не спасает от непредсказуемости человеческого фактора. А его контроль в зоне ответственности службы безопасности. ИБ-специалисты редко обладают навыками оперативно-розыскной деятельности, а без них не провести расследование, если инцидент произошел, и больше того: не разглядеть первые признаки того, что сотрудник готовит слив или мошенническую схему. Я же поставил во главе угла свой опыт в органах, чтобы выявлять, предупреждать и пресекать негативные тенденции, и сформировал отдельную службу безопасности.

Соответствующим образом разделились приоритеты в выборе инструментов, которые помогают решать наши задачи.

DLP-система и анализ пользовательского поведения

Задачу внедрения DLP-системы СБ инициировала в 2016 году. Я глубоко убежден, что это система в первую очередь для службы безопасности, не понимаю, почему коллеги настаивают, что это ИБ-инструмент. Еще до прихода в «ИнфоТеКС Интернет Траст» я использовал систему «СёрчИнформ КИБ», это российская разработка, в которой, на мой взгляд, есть все что нужно СБ. КИБ дает специалисту по безопасности данные, которые отвечают основным критериям, предъявляемым к информации. А именно:

Обеспечивает полноту сбора данных – предоставляет сведения о месте, времени, участниках события, которое создает риски безопасности.
Гарантирует достоверность собираемой информации – т.е. собирает подтверждения инцидента из нескольких источников.
Позволяет оценить важность события, т.е. посмотреть на него в сравнительном контексте и определить значимость относительно других, «рядовых» событий.
Предоставляет информацию своевременно, т.е. выявляет угрозы на ранних стадиях, пока утечка или другой инцидент еще не нанесли компании ущерб.
Помогает однозначно определять, что событие несет риски – репутационные, экономические или нормативные, то есть грозящие санкциями от регуляторов.

У нас DLP защищает более 350 ПК внутренних пользователей, а также выделенные машины, доступ к которым предоставляется партнерам и контрагентам. КИБ – система модульная, контролирует все каналы передачи данных и хранилища информации. Мы используем все 10 модулей контроля, вместе они обеспечивают полноту, каждый в отдельности – глубину расследования.

Вот хорошая иллюстрация. КИБ зафиксировал аномальное количество копирований на флешку: сотрудник «сливал» клиентскую базу. Мы изучили его переписки, проанализировали переговоры – выяснилось, он открыто предлагал переманивать клиентов к конкуренту. Позднее взяли специалиста с поличным, и он признался, что хотел получать дополнительный доход. Убытков компания не понесла: КИБ позволяет шифровать содержимое флешек так, что за любыми ПК вне организации данные на них не читаются.

Позднее, в 2018 году, «СёрчИнформ» предложили нам поучаствовать в тестировании новой разработки – автоматизированного профайлинга. Мы одними из первых «обкатали» необычный инструмент, попробовали дорелизный функционал. Уже тогда «СёрчИнформ ProfileCenter» помог нам и руководству принять определенные кадровые решения – программа анализирует психологию пользователя, это важно, чтобы заранее понимать, какие риски несет то или иное назначение. Программа хорошо дополняет DLP-систему и усиливает наши возможности в работе с человеческим фактором.

Сегодня с КИБ мы закрываем две большие задачи СБ: с одной стороны, это комплексные расследования с возможностью собрать доказательства для принятия управленческих и других решений, с другой – предотвращение инцидентов «на подходе». Например, мы используем блокировки доступа к USB и в облака, чтобы у сотрудников физически не было возможности слить конфиденциальные файлы.

Расширение контроля: аудит хранилищ и мониторинг инфраструктуры

Когда в компании появилась SIEM, она тоже встала «на вооружение» СБ. У нас распределенная структура, много филиалов, чтобы не пропустить инцидент, необходимо постоянно «видеть» их все – SIEM позволяет это делать. Но кроме масштабируемости и «широты» мониторинга нам была важна гладкость интеграции. Уже в первых релизах «СёрчИнформ SIEM» позволял в один клик перейти в КИБ, чтобы просмотреть подробности по каждому обнаруженному инциденту. Для своего времени (2017-го года) это был верх удобства, теперь система еще упрощается в управлении и обрастает функционалом.

Приведу показательный кейс. С помощью связки КИБ и SIEM мы раскрыли боковую схему: в SIEM увидели активность в нерабочее время, а также, что несколько сотрудников в разных подразделениях используют одну и ту же учетку. В КИБ стали видны детали: два менеджера и специалист техподдержки сговорились с партнером и стали замыкать на себе обслуживание договоров с клиентами в обход всех регламентов. Партнер пользовался своим правом в исключительных случаях ставить задачи напрямую менеджерам, накручивая ценник за счет срочности и техподдержки. Маржу делили между собой. Схему раскрыли за день, виновников наказали, доброе имя компании сохранили.

Допускаю, что SIEM – не самый типовой инструмент для СБ, но он полезен, чтобы вести постоянный мониторинг угроз и выявлять их в большом потоке.

Аппетит приходит во время еды – взяв на вооружение DLP и SIEM, я присматриваюсь и к другим ИБ-продуктам. Проблема аудита хранения данных и избыточных прав доступа не новая, обычно она в компетенции ИБ, но службе безопасности тоже полезно знать, кто и как с данными работает. DCAP (data-centric audit and protection) – системы для файлового аудита – составляют «карту» хранения данных и отслеживают операции с ними. У «СёрчИнформ» был такой инструмент – FileAuditor, в 2022 году мы его внедрили и успешно используем.

С позиций СБ мы с помощью системы отслеживаем факты копирования, удаления данных, искажения критичной документации – всевозможные «приписки» и «пририсовки». Сейчас вендор крупно обновил FileAuditor, появились видимые пользователю метки конфиденциальности, блокировки опасных действий и доступов к файлам через любые приложения – у нас большие ожидания от нового функционала, так что в ближайшее время, думаю, станем пользоваться программой активнее.

Экономия ресурсов

Под контролем DLP, SIEM и DCAP в сумме более 350 рабочих мест, сотня хостов и терабайты файловых хранилищ. Поэтому в составе решений нам важнее всего были аналитические инструменты, которые сами видят инцидент в большом потоке трафика и сокращают время на реагирование. Отдельный плюс, что системы дружат между собой, обмениваются данными. Итого мы видим инцидент сразу с трех сторон, это тоже облегчает работу.

Например, в КИБ можно искать по меткам FileAuditor, это удобнее, чем каждый раз прописывать критерии к содержанию документа, вокруг которого строится расследование. Если кто-то расшарил доступы к важному файлу, об этом можно оперативно узнать из SIEM, не дожидаясь, пока дойдут руки просмотреть отчет в DCAP. Или, к примеру, о том, что несколько человек пользуются одной почтой, можно узнать сразу тремя способами – хоть в DLP из отчета по авторизациям, хоть в файловом аудиторе по локальному кэшу ящика на диске, хоть в SIEM по готовому правилу корреляции. И так далее. То есть системы позволяют решать задачи разными способами, нам остается выбрать самый короткий и удобный в конкретный момент путь.

При этом работу всех систем можно координировать. В общей консоли есть таск-менеджер, аналог Jira для службы безопасности – там я раздаю задачи по инцидентам. По ним виден прогресс: кто из моих сотрудников что и где уже успел сделать. В итоге расследования у нас идут бесперебойно, даже если ответственный выбыл, дело как эстафетную палочку перехватит другой – вся фактура на виду. Заодно удобно взаимодействовать с коллегами из головной структуры, не мешая друг другу.

От коллег по цеху я часто слышу, что сложно согласовать с руководством закупку стольких ИБ-систем. У нас с этим проблем не возникает – руководство понимает, что информацию нужно защищать, и видит, что ПО окупается. Во многом именно набор этих инструментов позволяет нам обходиться небольшими ресурсами и не раздувать штат, чтобы обеспечить весь необходимый контроль. В долгосрочной перспективе это не только эффективно, но и экономично.

Скачайте «Белую книгу» о комплексной защите данных в компании.

Источник — «https://zdrav.expert/index.php/%D0%9F%D1%80%D0%BE%D0%B5%D0%BA%D1%82:%D0%98%D0%BD%D1%84%D0%BE%D1%82%D0%B5%D0%BA%D1%81_%D0%98%D0%BD%D1%82%D0%B5%D1%80%D0%BD%D0%B5%D1%82_%D0%A2%D1%80%D0%B0%D1%81%D1%82_(%D0%98%D0%98%D0%A2)»