5 условий, при которых
защитное ПО подойдет
компании
Эффективность работы ИБ-отдела напрямую зависит от функциональности доступных ему инструментов, но не только. Разбираемся, какие еще потребности должны «закрывать» средства защиты, чтобы компания и ИБ-специалист остались довольны результатом.
1. Вписаться в инфраструктуру
Из-за «удаленки» ИТ-периметры размылись: на рабочих ПК сотрудников происходит только 30-40% рабочих процессов. По данным Selectel, в прошлом году уже 55% компаний частично или полностью переехали в «облака». К тому же российские компании переходят на «отечественное». Исследование «СёрчИнформ» показывает, что импортозамещением заняты 33% организаций, еще 45% приступят в ближайшее время.
Чтобы качественно защитить компанию в этих условиях, ИБ-системы должны учитывать нюансы и гибко интегрироваться в инфраструктуру любой конфигурации.
Как это делают решения «СёрчИнформ»?
Системы можно установить на серверы с разными ОС и СУБД, в зависимости от потребностей компании: Windows и MS SQL, Ubuntu и PostgreSQL, Astra Linux и Postgres Pro и т.д. – в любых сочетаниях. И контролировать рабочие станции под управлением Linux, Windows и Mac.
«СёрчИнформ КИБ» и «СёрчИнформ FileAuditor» интегрированы со 100+ бизнес-приложений и сервисов, включая отечественные: Squadus, Jira/Confluence, Microsoft 365, Яндекс 360, 1С ЗУП, «Контур.Диадок» и т.д.
«СёрчИнформ SIEM» поставляется с 40+ преднастроенными коннекторами к наиболее популярному прикладному ПО, оборудованию и СЗИ: антивирусу Kaspersky, АПКШ «Континент», Astra Linux, IBM Domino и др.
КИБ контролирует всю активность пользователей в интернете, в том числе на облачных платформах для совместной работы, доступных с любого устройства через браузер.
FileAuditor может вычитывать содержимое сетевых папок, почтовых и FTP-серверов, облаков, встроенных файловых хранилищ в бизнес-платформах по FTP/SFTP/FTPS, API, WebDav и другим протоколам.
SIEM поставляется с «универсальными» коннекторами к сетевым протоколам и стандартам: NetFlow, SSH, SNMP Trap и др.
КИБ поддерживает 10+ протоколов и механизмов импорта или экспорта данных: API, Syslog/CEF, SMTP(S), ICAP, SMB, SSH, ODBC и т.д. Для каждого способа в системе есть понятные мануалы с шаблонами сценариев подключения, которые легко адаптировать под свои нужды.
FileAuditor поддерживает несколько видов API (Graph и S3), протоколы SFTP, FTPS, SSH, HTTPS, SMB\NFS и т.д.
К SIEM можно подключить любые нетиповые источники, передающие данные в формате Eventlog или Syslog, либо путем вычитки события напрямую из их БД. Также доступно простое создание пользовательского коннектора к источнику при помощи скриптов PowerShell по готовым шаблонам.
«под себя»?
2. Адаптироваться «под задачу»
Защита должна учитывать специфику работы компании: бизнес-процессы, отраслевые особенности и регуляторные требования, актуальные угрозы. Поэтому ИБ-инструменты должны гибко и просто кастомизироваться.
Как это делают решения «СёрчИнформ»?
В КИБ есть готовые ИБ-политики для промышленности, финансов, ритейла и других отраслей, которые учитывают специфику отрасли и автоматически находят актуальные для компании угрозы.
В FileAuditor «из коробки» доступны предустановленные критерии поиска для разных видов персональных данных, финансовой информации, программного кода и других типов данных, популярных в разных отраслях.
КИБ блокирует передачу конфиденциальных данных во всех каналах разными способами: от полного запрета доступа к каналу до совершения отдельных действий в них, например, возможности звонить или записывать голосовые сообщения в мессенджерах. Ограничения настраиваются по контенту или атрибутам и могут действовать только там, где востребованы: для отдельных сотрудников, ПК или при заданных условиях. При настройке блокировки можно проверить ее влияние на бизнес-процессы в отладочном режиме. Это позволяет внедрять меры безопасности, не мешая легитимной работе сотрудников.
FileAuditor блокирует нежелательные действия с файлами в любом заданном приложении, включая самописный софт. Это помогает создать безопасные сценарии обработки данных: например, с данными можно будет работать, но нельзя пересылать.
КИБ и SIEM можно развернуть на нескольких серверах – основном и филиальных. Филиальные сервера будут собирать и отправлять данные в основной. Это уменьшит нагрузку на каналы связи и создаст единую базу данных для аудитора по всем событиям.
3. Автоматизировать рутину
Средства защиты оперируют сотнями гигабайт корпоративных данных. Эффективно работать с таким объемом – выявлять инциденты и реагировать на них, настраивать ИБ-политики – помогут средства автоматизации. Они возьмут на себя часть рутинных задач, упростят работу и позволят сконцентрироваться на принятии решений.
Как это делают решения «СёрчИнформ»?
КИБ и FileAuditor автоматически извлекают текст из сканов, фото и других изображений при помощи OCR-систем. КИБ также использует ASR-движки для перевода звонков, записей разговоров и других аудиофайлов в текст.
КИБ автоматически обнаруживает изображения паспортов, СНИЛС, военных билетов и других типов данных. И определяет, есть ли на корпоративных документах печать и какая.
FileAuditor вычитывает содержимое файлов и присваивает каждому из них метку, которая показывает, что находится внутри: персональные данные, бухгалтерская отчетность, договоры и т.д.
КИБ использует искусственный интеллект для распознавания фотоаппаратов, смартфонов и лиц, создания кратких резюме коммуникаций сотрудников и быстрого поиска инцидентов по готовым промтам.
КИБ и SIEM могут использовать скрипты Windows PowerShell, чтобы автоматически отдавать команды любым ОС и оборудованию на выполнение действий, необходимых для нейтрализации обнаруженного инцидента.
4. Упрощать работу
Использование ИБ-инструментов должно быть легким и простым, чтобы работа с ними ускоряла решение ежедневных задач. Это помогает повысить общую эффективность защиты компании.
Как это делают решения «СёрчИнформ»?
КИБ поставляется с 250+ готовыми ИБ-политиками. С их помощью можно быстро выявить попытки слива данных, откатов, мошенничества и другие типовые инциденты без долгой предварительной настройки.
450+ готовых правил классификации FileAuditor позволят оперативно найти самые популярные типы данных: ПДн, финансовые отчеты, договоры, клиентские базы и др., где бы они ни находились.
SIEM минимизирует ручной труд при помощи предустановленных коннекторов и 500+ правил корреляции к ним. Совместно они позволяют в пару кликов подключить источники данных и увидеть самые важные события в инфраструктуре.
Работа со всеми системами реализована в графическом интерфейсе и не требует навыков программирования. Все параметры и действия можно «накликать» в консолях.
65+ шаблонов отчетов в КИБ позволят визуализировать собранные данные и быстро узнать количество инцидентов по пользователям, с кем они чаще всего коммуницируют, как передавались документы и т.д. Отчеты можно экспортировать в разных форматах и кастомизировать под задачу.
Дашборды в SIEM удобно покажут статистику по событиям в инфраструктуре, а интерактивная карта инцидентов позволит обнаружить центры аномальной активности, проблемные узлы сети и пользователей с большим числом инцидентов.
КИБ создает скриншоты, аудио и видеозаписи действий пользователя. Позволяет вывести на монитор сотрудника водяные знаки, подключиться к его ПК, чтобы проследить за действиями в реальном времени. Система фиксирует не только коммуникации сотрудников, но и активность на сайтах, с устройствами и ПО и собирает «сводки» для каждого пользователя в удобных карточках.
FileAuditor отслеживает все операции и действия с файлами. Позволяет узнать, как менялись права доступа к каждому документу, сколько у него было редакций и копий, что менялось в каждой из них и т.д. отслеживает все операции и действия с файлами. Позволяет узнать, как менялись права доступа к каждому документу, сколько у него было редакций и копий, что менялось в каждой из них и т.д.
КИБ хранит всю перехваченную информацию. Ее всегда можно проверить по новым политикам безопасности. Архив не ограничен как по времени, так и по объему.
FileAuditor создает теневые копии критичных документов на основе их контента и хранит заданное количество редакций каждого файла. Это позволяет создавать «умный» бэкап в зависимости от ценности данных.
SIEM хранит полученные от каждого коннектора события в специальных журналах. Позволяет структурировать информацию по типу и количеству событий, времени их возникновения.
Для координации действий ИБ-специалистов в КИБ и SIEM вшит Task Management – инструмент организации командной работы. В нем удобно распределять задачи, отслеживать ход расследований и формировать отчеты по их итогам – в том числе для SOC и ГосСОПКА.
«Открытый» режим контроля с использованием интерфейса на пользовательских ПК повышает дисциплину сотрудников и снижает нагрузку на ИБ-отдел. Он уведомляет работников о действующих разрешениях или запретах доступа, заданных в КИБ и FileAuditor, а также позволяет пользователям напрямую запросить у службы ИБ доступ к использованию документов, флешек, принтеров и других устройств.
FileAuditor позволяет выводить на документы видимые сотрудникам графические метки с указанием типа контента или уровня доступа к данным. Постановку этих меток можно доверить авторам документов, которые точно знают их ценность.
КИБ ведет аудит блокировок. От помогает отследить все случаи, когда сотрудники пытались обойти политики безопасности или совершили нежелательное действия, не зная о запрете.
FileAuditor автоматически перепроверяет корректность проставления графических меток с указанием уровня доступа к файлам и исправляет намеренные или случайные ошибки. Например, если сотрудник присвоит файлу с коммерческой тайной метку «Общедоступно», то система автоматически сменит ее на нужную.
5. Экономить ресурсы
Стоимость корпоративного внедрения ИБ-систем формируют не только лицензии на ПО, но и нужное для него оборудование. С учетом поступательного роста цен на «железо» нужны оптимизированные решения, которые остаются эффективными при меньших требованиях к ресурсам.
Как это делают решения «СёрчИнформ»?
Системы могут использовать в качестве служебных компонентов как коммерческие, так и opensource-версии ОС и СУБД. Все аналитические компоненты и поисковый движок внутри продуктов – собственная разработка «СёрчИнформ», что избавляет заказчиков от скрытых доплат за заимствованные white label технологии. Это снижает стоимость владения.
Все компоненты систем работают на одном сервере – если он достаточно производителен, этого хватает на среднее и даже весьма крупное внедрение (до 1000 ПК), часто можно обойтись и без отдельной СХД. При этом КИБ, FileAuditor и SIEM имеют общие административные компоненты, поэтому при комплексном внедрении могут быть установлены на одном «железе».
Стоимость КИБ зависит от количества контролируемых каналов на одного пользователя. Систему можно внедрить в актуальной для компании конфигурации без переплат за невостребованный функционал.
FileAuditor лицензируется на основе количества контролируемых ПК и объема выбранных каталогов в сетевых хранилищах.
SIEM лицензируется по количеству сетевых узлов, с которых производится сбор данных. Это нивелирует риск, что поток событий от источников превысит допустимый объем и контроль прекратится.
Такой подход позволяет точно рассчитать стоимость внедрения уже на этапе планирования.
Во всех хранилищах собранных данных КИБ и FileAuditor используют дедупликацию, то есть хранят только одну копию каждого файла, сколько бы раз его ни пересылали. Для сжатия аудио- и видеофайлов и обработки других медиаформатов системы используют собственные высокоэффективные кодеки. Эти и другие настройки позволят сократить место под архив событий до восьми раз.
КИБ и FileAuditor могут автоматически архивировать и переносить серверные компоненты и БД с архивом событий на другие, в т.ч. «медленные» диски, если, например, на основном останется меньше 50 ГБ. Это позволит оставлять в «горячих» хранилищах только актуальные данные.
Больше об инструментах безопасности: