Как комбинировать
ИБ-инструменты для лучшей
защиты данных
Инцидент ИБ начинается до того, как данные утекли, или периметр был скомпрометирован. Сначала у нарушителя появляется возможность: доступ к критичной информации, «незакрытый» канал связи, уязвимость корпоративных систем.
Поэтому для комплексной защиты компании нужно действовать превентивно и налаживать контроль с трех сторон.
1. Распределение доступов к чувствительной информации
Базовый уровень защиты – аудит критичных активов. Чтобы правильно настроить политики безопасности, нужно понимать, что и от чего защищать. Эту задачу решают DCAP-системы.
«СёрчИнформ FileAuditor» показывает, какие данные в организации есть, где хранятся, кто имеет к ним доступ и как с ними работает. Сильная сторона решения – продвинутая контентная аналитика. Это позволяет фокусировать защиту там, где она требуется в первую очередь: например, на персональных данных или коммерческой тайне. Для защиты FileAuditor способен ограничивать нежелательные действия с файлами: подозрительную пересылку, несанкционированные правки, работу с ними в различных приложениях.
С помощью DCAP ИБ-специалист удостоверится, что право работать с критичными данными должны иметь только сотрудники, кому это необходимо для выполнения рабочих задач. Кроме того, сотрудники с доступом должны понимать, насколько данные критичны, чтобы не допускать случайных нарушений. FileAuditor способен визуально помечать важные документы, так что сразу будет виден уровень их конфиденциальности – «общедоступный», «для служебного пользования» и так далее. Наконец, система фиксирует весь жизненный путь файла и реагирует на любые изменения в нем. Это наглядно демонстрирует, как используются данные, и позволяет заметить аномалии.
В итоге аудит файловой системы позволяет навести в ней порядок – следить за ним проще, чем разбираться с инцидентами «по незнанию» или из-за слишком широкого доступа. Контроль прав доступа вместе с мониторингом файловых операций в DCAP предоставляет ИБ-специалисту необходимые вводные, чтобы правильно настроить другие системы ИБ.
ИБ по шагам
2. Контроль допустимых сценариев работы
с данными
ИБ-специалисту нужно ясное понимание, как пользователи обращаются с информацией, чтобы делать выводы о группах риска и тонких местах в бизнеc-процессах. Это обеспечивают DLP: они аккумулируют максимум информации о движении данных и пользовательской активности.
DLP «СёрчИнформ КИБ» контролирует коммуникации и действия сотрудников не только на локальных ПК, но и в виртуальных рабочих пространствах. Это позволяет фиксировать нарушения, даже если доступ к корпоративным сервисам они получают с устройств за периметром. А для любых нежелательных действий в системе есть блокировки: не только на передачу чувствительного контента в каналах связи, но и на работу с сайтами, ПО, устройствами, средствами удаленного доступа.
Такие ограничения хорошо работают в связке с DCAP, которая обеспечивает первичное распределение доступов. Например, в FileAuditor задано правило: менеджерам можно работать с данными клиентов, но нельзя отправлять их за пределы компании. Эта инструкция «зашита» в служебную метку на файле с выгрузкой из клиентской базы, которую понимает DLP. КИБ не нужно заново сканировать файл – она отреагирует, как только файл с меткой попытаются отправить почтой, загрузить в облако или записать на флешку. Кроме того, DLP заблокирует пересылку данных, если их отправляют не файлом, а просто текстом.
В обеих программах есть аудит блокировок – ИБ-служба всегда будет знать, кто пытался обойти запреты.
Дополнительно «СёрчИнформ КИБ» контролирует риски непреднамеренной компрометации данных. Например, система анализирует надежность паролей от корпоративных аккаунтов сотрудников и следит, чтобы рабочие учетные данные не использовали для авторизации на внешних сервисах. Есть алгоритмы выявления фишинговых писем, вредоносных расширений для браузеров, установки ПО со скрытыми возможностями. Все это снижает риск взлома и других внешних атак «через внутреннего пользователя».
3. Мониторинг на стыке внутренней
и внешней ИБ
Системы класса SIEM мониторят инфраструктуру в целом и обнаруживают как сбои и инциденты внутри, так и угрозы извне. Кроме того, они сводят воедино результаты работы других СЗИ: все события безопасности обрабатываются в единой среде, SIEM видит их взаимосвязи, даже если они произошли в разных источниках.
«СёрчИнформ SIEM» подключается к любому ПО и оборудованию в компании и автоматически выделяет потенциально опасные сигналы от них – для этого используются готовые правила корреляции. Расширить базовый набор или создать правила кросс-корреляции, чтобы отслеживать цепочки развития атак, можно в простом графическом интерфейсе. Для полноты картины система использует встроенный сканер уязвимостей, это дает оценить защищенность всех элементов инфраструктуры. А проблемные участки подсвечиваются на карте инцидентов: там видны узлы корпоративной сети, ПК и учетные записи, с которыми связаны опасные события.
SIEM работает как система видеонаблюдения, обеспечивая «взгляд сверху» сразу на все проблемы ИБ. Это повышает эффективность реагирования. Например, DCAP зафиксирует массовое изменение файлов в сетевых папках. Или DLP увидит, как некая программа на ПК сотрудника инициирует отправку писем на внешний ящик. SIEM поймет, что работает вирус – шифровальщик или шпион – и даст команду антивирусу на срочное сканирование пораженных источников.
Кроме того, «СёрчИнформ SIEM» контролирует, чтобы все системы защиты работали как надо. А администраторы этих систем не допускали ошибки и соблюдали правила. Например, SIEM проверяет, как администраторы распределяют права учетных записей в домене, «запаролили» ли служебную БД, не злоупотребляют ли полномочиями во вред компании.
Преимущества готового комплекса
DCAP «СёрчИнформ FileAuditor», DLP «СёрчИнформ КИБ» и «СёрчИнформ SIEM» бесшовно интегрированы уже «из коробки». Это обеспечивает:
- Сквозной обмен данными.
Системы в полной мере «понимают» результаты работы друг друга. Например, КИБ опирается на метки FileAuditorдля мониторинга и блокировки инцидентов с файлами. SIEM получает от обеих систем сведения об инцидентах с полной «фактурой». Информация из всех источников не теряется и учитывается при комплексных расследованиях. - Удобство эксплуатации.
У систем общий центр управления, так что все три удобно настраивать. DLP и DCAP сведены в один интерфейс, в котором также есть общие с SIEM инструменты. Например, в КИБ и SIEM есть Task Management – элемент, который позволяет управлять ИБ-командой, контролировать выполнение задач по инциденту, составлять и направлять отчеты в IRP или регулятору (через ГосСОПКА). Экономию ресурсов.
Все три системы хранят данные в едином дата-центре, причем в хранилищах работает дедупликация – собранная DCAP, DLP и SIEM информация не задваивается. Это снижает требования к оборудованию при внедрении.Кроме того, КИБ и FileAuditor имеют общий агент для контроля локальных ПК и серверов. Это минимизирует нагрузку на конечное оборудование.
Совместное использование продуктов делает контроль сквозным: DCAP наводит порядок, DLP расставляет «блок-посты», а SIEM контролирует, что все работает правильно. Это кратно повышает уровень ИБ в компании.
Попробовать преимущества комплексной защиты
Больше об инструментах безопасности: