— За два года вы выпустили два разных продукта: FileAuditor и DataBase Monitor. Оба защищают так называемые данные в покое. Давайте поговорим о том, зачем их надо защищать, — ведь они никуда не утекают.
— Если данные не утекают, это еще не значит, что они в безопасности. Простого доступа к файлам и базам данных недобросовестному сотруднику достаточно, чтобы нанести компании ущерб. Кроме слива информации, есть ведь внутреннее мошенничество, подделка документов, масса других вариантов, когда инсайдер использует данные компании незаконно. Поэтому, чтобы говорить о полной защите, недостаточно контролировать только перемещение информации, нужно следить и за тем, как она хранится.
За аудит файлов и папок отвечают DCAP-системы. Они находят нарушения прав доступа и отслеживают изменения в критичных документах.
Пример: наша DCAP-система FileAuditor находит файл, проверяет его по правилам и присваивает служебную метку (что за документ — например, персональные данные, договор, прайс), при необходимости копирует в хранилище, логирует все действия, вычитывает права доступа. Это набор функций, который в первую очередь нужен ИБ‑специалистам. Но и для ИТ‑служб он тоже важен, потому что позволяет привести всю файловую систему компании в порядок.
Картину того, что происходит с базами данных и бизнес‑приложениями, мониторят DAM-продукты. Кто обращается к информации, с какой целью. Можно настроить политики безопасности на любые сомнительные действия, программа будет показывать не только попытки сливов, но и любые манипуляции с информацией внутри базы данных.
— Эти задачи нельзя решить без DCAP и DAM?
— Там, где остро стоит задача контроля файлов и БД, компании справлялись при помощи подручных средств. Но это «костыли», которые позволяют решать задачу защиты только на базовом уровне. Например, мониторить ситуацию с базами данных можно и на уровне СУБД, в любую вшит какой‑то инструмент контроля. Но эти инструменты видят только лог — «было обращение к базе данных». А какое именно обращение и какой результат — этого не показывают.
Вот классическая история в банке — сотрудник зашел в базу, подменил номера телефонов в карточках клиентов, списал у них со счета небольшие суммы и исправил номера на верные. Без специальной программы мониторинга никто не заподозрит неладное. Клиент не получит СМС о списании, так как номер был подменен, потерю 100–200 рублей, скорее всего, не заметит. Служба безопасности тоже не увидит плохого. Да, есть лог, что сотрудник обратился к базе данных, но формально действовал «в законе» — по должности ему не запрещено обращаться к карточкам клиентов.
Если же стоит DAM-решение, оно сигнализирует, что сотрудник обращался к базе данных с плохими намерениями. Сработает сочетание условий: кто‑то делал выборку по клиентам, у которых на счету большие суммы (свыше 100 тысяч), обращался к карточкам с одним и тем же запросом в короткий промежуток времени, менял в карточках номера телефонов.
Та же картина с DCAP. Да, теоретически можно обходиться и без него, разграничение доступа к файлам можно сделать на любом файловом сервере. Но это разграничение не решит проблему, если пользователь с легитимным доступом переложит файл из конфиденциальной папки в общую. Например, личный помощник гендиректора переместила график встреч, к которому имеет доступ по должности. Логирование действий покажет: 14 октября помощница переложила файл «график» из папки на своем компьютере в папку «новости_2020», к которой имеет доступ вся компания. Но одна маленькая уловка — переименование файла из «графика» в «doc1» — и ИБ‑специалист такой инцидент пропустит. Если только он вручную не просматривает содержимое каждого перемещенного файла в организации.
— А почему вы взялись за разработку собственных продуктов?
— Мы получили запрос от клиентов. Они довольны нашей DLP-системой и хотели наращивать инфраструктуру из других защитных решений вокруг одной программы. То есть, по сути, клиенты выбрали нашу экосистему с ядром в виде DLP.
Например, запрос на FileAuditor был от крупной торговой сети. Им был нужен DCAP-продукт — компания большая, рынок конкурентный, любой документ, попавший не в те руки даже внутри компании, может обернуться миллионными убытками. Сначала они рассматривали DCAP, которые уже были на рынке, пытались настроить интеграцию нашей DLP и зарубежного решения, но в полной мере не получалось. Поэтому обратились к нам с запросом на разработку DCAP в нашей линейке.
— А в чем проблема интегрировать решения разных вендоров?
— Не получается бесшовной интеграции. Это как включать технику в доме с десятка разных пультов — один потерялся, у другого села батарея, третий вообще сломан. С одним универсальным гораздо удобнее.
Кроме того, зона применения интегрированного продукта гораздо больше. DLP — это базовая программа для защиты информации от инсайдерских рисков. Минимально ее достаточно. Но чтобы поднять уровень безопасности, нужно наводить порядок, проводить аудит. Если ты не знаешь, какие данные есть в компании, не можешь точно знать, как их защищать. Делаешь аудит — уточняешь политики безопасности.
Это работает и в обратную сторону. Зная, какие инциденты обнаруживает DLP, делаешь выводы, как лучше выстроить порядок в БД и файл‑серверах. Получается полный цикл защиты данных. И все в одном решении с едиными политиками безопасности.
Еще интеграция очень многое дает с точки зрения систематизации данных и визуализации. ИБ‑специалист видит, как файл перемещался внутри сети, на каких машинах лежит. То есть полная история инцидента «в картинках», какой не увидишь, если интегрированы решения разных вендоров. Это такой эффект 1 + 1 = 3.
— Вы говорили об экосистеме. Идея понятна — если клиент раз попал в зону вашего влияния, он останется с вами. Вопрос в том, почему заказчик должен выбрать именно вашу экосистему.
— Потому что мы предлагаем конкурентоспособный подход. Мы сейчас, по сути, завершили линейку защиты от инсайдерских рисков, ни один вендор на российском рынке такого не предлагает. Теперь у нас есть программы для защиты на всех уровнях: конечных пользователей (DLP «СёрчИнформ КИБ»), файловой системы (DCAP-система FileAuditor), баз данных (DAM-решение DataBase Monitor), всей ИТ‑инфраструктуры (SIEM). И конечно, ProfileCenter, который уникален на рынке — он позволяет прогнозировать поведение пользователей.
Для тех компаний, перед которыми стоит задача импортозамещения, очень удобно, что есть полная линейка российских продуктов. FileAuditor стал первым отечественным решением, DataBase Monitor тоже в числе пионеров рынка. Мы доступнее по цене, чем западные аналоги. В условиях сегодняшнего кризиса, думаю, это важно для заказчиков. Наша стратегия была в том, чтобы выбрать наиболее критичные для заказчиков функции и реализовать их за доступные деньги.
Например, в плане возможностей FileAuditor и DataBase Monitor мы решили не изобретать велосипед, а ориентироваться на классические представления, что должен уметь софт: учли требования рынка и регуляторов.
— А сможете ли вы со своими продуктами конкурировать на глобальном рынке?
— Уверен, что да. Зарубежные DLP-вендоры, например, исходят из совершенно другого подхода — просто блокировать инциденты, а не расследовать причины, обстоятельства. Например, в базу записывается только нарушение политики безопасности, что было до или после, не фиксируется. Так, ИБ‑специалист увидит: была заблокирована утечка, а разговор нарушителя с соучастниками, что этот слив был нужен, чтобы организовать боковик, — нет. Сейчас мы видим, что зарубежные разработчики приближают возможности своих решений к российским, но мы тут уже на шаг впереди.
Но главное, что конкурентоспособна не каждая конкретная наша программа. Условно в машине может быть по отдельности все хорошо, но покупатель выбирает ее не из‑за каждой отдельной опции, а потому что в сумме они — «Мерседес». Может, прозвучит нескромно, но мы уверены, что создаем такую систему ИБ, которая может завоевать рынок.
— Расскажите пару кейсов. Чем делятся клиенты?
— Приведу пример, как у клиента в связке сработали FileAuditor и DLP. Запустили аудит файловой системы, где и какие документы лежат на компьютерах у людей. Увидели, что конфиденциальный файл оказался на локальном диске у сотрудника, хотя не должен был. Дальше в DLP-системе уточнили, почему так произошло. Контентный маршрут показал: документ пришел к сотруднику от его руководителя. Тот легально имел доступ к папке с конфиденциальным содержимым, вытащил оттуда файл, переименовал и по дружбе расшарил «младшему товарищу». А тот, не будь дураком, не просто удовлетворил любопытство, но и сохранил «на всякий случай» у себя на компе. Этого уже достаточно, чтобы принимать меры. Но ИБ‑специалист может пойти и дальше — например, посмотреть по графам связи в DLP, с кем общался нарушитель. Дальше поднимаются переписки, чтобы понять, успел ли нарушитель кому‑то разгласить секретные сведения.
С DataBase Monitor аналогичная картина — обнаруживаем ранние признаки нарушения в DAM-системе, расследуем в DLP. Изначально запрос на это решение пришел от банка. Но клиенты из других сфер встречают продукт тоже очень хорошо.
Банковский кейс я приводил выше, а вот пример из производственной компании. DataBase Monitor показал, что базе данных из 1С была подана команда массово удалить информацию. Это может быть и плановое действие, а может быть нарушение, нужно выяснять обстоятельства. Так как 1С общается с БД через общую учетку, ИБ‑специалист обратился к DLP, чтобы по времени инцидента посмотрели активность конкретных компьютеров. Так выяснил, что с базой работал главбух. Прав у нее в 1С больше, чем у рядовых сотрудников отдела, она даже догадалась отключить журналирование — это узнали, подняв записи с монитора ее компьютера. Дальнейший разбор показал, что сотрудница хотела подставить коллегу. Было настроено бэкапирование, поэтому данные восстановили, но в будущем у DataBase Monitor будет реализована опция блокировки опасных запросов.
— Каким вы видите будущее своих продуктов?
— У нас обычно складывается такая практика: года два после релиза продукт обкатывается, клиенты высказывают свои пожелания, что нужно доработать. Я всегда говорю: у нас нет дара предвидения, предпочитаем слушать клиентов. Хоть мы сами пользуемся своими продуктами, но у заказчиков гораздо более сложная ИТ‑инфраструктура, тысячи компьютеров — им лучше знать, как должен работать продукт. По FileAuditor уже есть большая обратная связь, DataBase Monitor только накапливает. Мы слушаем, отрабатываем — эта стратегия всегда работает.
