«Сёр­чИнформ» пос­ле недав­него релиза DCAP-решения FileAuditor выпус­тила DAM-сис­тему — DataBase Monitor. Теперь у вен­дора есть прак­тичес­ки пол­ная линей­ка для защиты информа­ции от инсай­деров. В ком­пании не скры­вают, что новые про­дук­ты — это не пере­изоб­ретение велоси­педа, вмес­то это­го раз­работ­чики сос­редото­чились на интегра­ции. Лев Мат­веев, пред­седатель совета дирек­торов «Сёр­чИнформ», уве­рен, что выс­тра­ива­ние сво­ей эко­сис­темы вок­руг DLP обес­печит ком­пании пре­иму­щес­тво на рын­ке.

— За два года вы выпус­тили два раз­ных про­дук­та: FileAuditor и DataBase Monitor. Оба защища­ют так называ­емые дан­ные в покое. Давай­те погово­рим о том, зачем их надо защищать, — ведь они никуда не уте­кают.

— Если дан­ные не уте­кают, это еще не зна­чит, что они в безопас­ности. Прос­того дос­тупа к фай­лам и базам дан­ных недоб­росовес­тно­му сот­рудни­ку дос­таточ­но, что­бы нанес­ти ком­пании ущерб. Кро­ме сли­ва информа­ции, есть ведь внут­реннее мошен­ничес­тво, под­делка докумен­тов, мас­са дру­гих вари­антов, ког­да инсай­дер исполь­зует дан­ные ком­пании незакон­но. Поэто­му, что­бы говорить о пол­ной защите, недос­таточ­но кон­тро­лиро­вать толь­ко переме­щение информа­ции, нуж­но сле­дить и за тем, как она хра­нит­ся.

За аудит фай­лов и папок отве­чают DCAP-сис­темы. Они находят наруше­ния прав дос­тупа и отсле­жива­ют изме­нения в кри­тич­ных докумен­тах.

При­мер: наша DCAP-сис­тема FileAuditor находит файл, про­веря­ет его по пра­вилам и прис­ваивает слу­жеб­ную мет­ку (что за документ — нап­ример, пер­сональ­ные дан­ные, договор, прайс), при необ­ходимос­ти копиру­ет в хра­нили­ще, логиру­ет все дей­ствия, вычиты­вает пра­ва дос­тупа. Это набор фун­кций, который в пер­вую оче­редь нужен ИБ‑спе­циалис­там. Но и для ИТ‑служб он тоже важен, потому что поз­воля­ет при­вес­ти всю фай­ловую сис­тему ком­пании в порядок.

Кар­тину того, что про­исхо­дит с базами дан­ных и биз­нес‑при­ложе­ниями, монито­рят DAM-про­дук­ты. Кто обра­щает­ся к информа­ции, с какой целью. Мож­но нас­тро­ить полити­ки безопас­ности на любые сом­нитель­ные дей­ствия, прог­рамма будет показы­вать не толь­ко попыт­ки сли­вов, но и любые манипу­ляции с информа­цией внут­ри базы дан­ных.

— Эти задачи нель­зя решить без DCAP и DAM?

— Там, где остро сто­ит задача кон­тро­ля фай­лов и БД, ком­пании справ­лялись при помощи под­ручных средств. Но это «кос­тыли», которые поз­воля­ют решать задачу защиты толь­ко на базовом уров­не. Нап­ример, монито­рить ситу­ацию с базами дан­ных мож­но и на уров­не СУБД, в любую вшит какой‑то инс­тру­мент кон­тро­ля. Но эти инс­тру­мен­ты видят толь­ко лог — «было обра­щение к базе дан­ных». А какое имен­но обра­щение и какой резуль­тат — это­го не показы­вают.

Вот клас­сичес­кая исто­рия в бан­ке — сот­рудник зашел в базу, под­менил номера телефо­нов в кар­точках кли­ентов, спи­сал у них со сче­та неболь­шие сум­мы и испра­вил номера на вер­ные. Без спе­циаль­ной прог­раммы монито­рин­га ник­то не заподоз­рит нелад­ное. Кли­ент не получит СМС о спи­сании, так как номер был под­менен, потерю 100–200 руб­лей, ско­рее все­го, не заметит. Служ­ба безопас­ности тоже не уви­дит пло­хого. Да, есть лог, что сот­рудник обра­тил­ся к базе дан­ных, но фор­маль­но дей­ство­вал «в законе» — по дол­жнос­ти ему не зап­рещено обра­щать­ся к кар­точкам кли­ентов.

Ес­ли же сто­ит DAM-решение, оно сиг­нализи­рует, что сот­рудник обра­щал­ся к базе дан­ных с пло­хими намере­ниями. Сра­бота­ет сочета­ние усло­вий: кто‑то делал выбор­ку по кли­ентам, у которых на сче­ту боль­шие сум­мы (свы­ше 100 тысяч), обра­щал­ся к кар­точкам с одним и тем же зап­росом в корот­кий про­межу­ток вре­мени, менял в кар­точках номера телефо­нов.

Та же кар­тина с DCAP. Да, теоре­тичес­ки мож­но обхо­дить­ся и без него, раз­гра­ниче­ние дос­тупа к фай­лам мож­но сде­лать на любом фай­ловом сер­вере. Но это раз­гра­ниче­ние не решит проб­лему, если поль­зователь с легитим­ным дос­тупом перело­жит файл из кон­фиден­циаль­ной пап­ки в общую. Нап­ример, лич­ный помощ­ник ген­дирек­тора перемес­тила гра­фик встреч, к которо­му име­ет дос­туп по дол­жнос­ти. Логиро­вание дей­ствий покажет: 14 октября помощ­ница перело­жила файл «гра­фик» из пап­ки на сво­ем компь­юте­ре в пап­ку «новос­ти_2020», к которой име­ет дос­туп вся ком­пания. Но одна малень­кая улов­ка — пере­име­нова­ние фай­ла из «гра­фика» в «doc1» — и ИБ‑спе­циалист такой инци­дент про­пус­тит. Если толь­ко он вруч­ную не прос­матри­вает содер­жимое каж­дого переме­щен­ного фай­ла в орга­низа­ции.

— А почему вы взя­лись за раз­работ­ку собс­твен­ных про­дук­тов?

— Мы получи­ли зап­рос от кли­ентов. Они доволь­ны нашей DLP-сис­темой и хотели наращи­вать инфраструк­туру из дру­гих защит­ных решений вок­руг одной прог­раммы. То есть, по сути, кли­енты выб­рали нашу эко­сис­тему с ядром в виде DLP.

Нап­ример, зап­рос на FileAuditor был от круп­ной тор­говой сети. Им был нужен DCAP-про­дукт — ком­пания боль­шая, рынок кон­курен­тный, любой документ, попав­ший не в те руки даже внут­ри ком­пании, может обер­нуть­ся мил­лион­ными убыт­ками. Сна­чала они рас­смат­ривали DCAP, которые уже были на рын­ке, пытались нас­тро­ить интегра­цию нашей DLP и зарубеж­ного решения, но в пол­ной мере не получа­лось. Поэто­му обра­тились к нам с зап­росом на раз­работ­ку DCAP в нашей линей­ке.

— А в чем проб­лема интегри­ровать решения раз­ных вен­доров?

— Не получа­ется бес­шовной интегра­ции. Это как вклю­чать тех­нику в доме с десят­ка раз­ных пуль­тов — один потерял­ся, у дру­гого села батарея, тре­тий вооб­ще сло­ман. С одним уни­вер­саль­ным гораз­до удоб­нее.

Кро­ме того, зона при­мене­ния интегри­рован­ного про­дук­та гораз­до боль­ше. DLP — это базовая прог­рамма для защиты информа­ции от инсай­дер­ских рис­ков. Минималь­но ее дос­таточ­но. Но что­бы под­нять уро­вень безопас­ности, нуж­но наводить порядок, про­водить аудит. Если ты не зна­ешь, какие дан­ные есть в ком­пании, не можешь точ­но знать, как их защищать. Дела­ешь аудит — уточ­няешь полити­ки безопас­ности.

Это работа­ет и в обратную сто­рону. Зная, какие инци­ден­ты обна­ружи­вает DLP, дела­ешь выводы, как луч­ше выс­тро­ить порядок в БД и файл‑сер­верах. Получа­ется пол­ный цикл защиты дан­ных. И все в одном решении с еди­ными полити­ками безопас­ности.

Еще интегра­ция очень мно­гое дает с точ­ки зре­ния сис­темати­зации дан­ных и визу­али­зации. ИБ‑спе­циалист видит, как файл переме­щал­ся внут­ри сети, на каких машинах лежит. То есть пол­ная исто­рия инци­ден­та «в кар­тинках», какой не уви­дишь, если интегри­рова­ны решения раз­ных вен­доров. Это такой эффект 1 + 1 = 3.

— Вы говори­ли об эко­сис­теме. Идея понят­на — если кли­ент раз попал в зону вашего вли­яния, он оста­нет­ся с вами. Воп­рос в том, почему заказ­чик дол­жен выб­рать имен­но вашу эко­сис­тему.

— Потому что мы пред­лага­ем кон­курен­тоспо­соб­ный под­ход. Мы сей­час, по сути, завер­шили линей­ку защиты от инсай­дер­ских рис­ков, ни один вен­дор на рос­сий­ском рын­ке такого не пред­лага­ет. Теперь у нас есть прог­раммы для защиты на всех уров­нях: конеч­ных поль­зовате­лей (DLP «Сёр­чИнформ КИБ»), фай­ловой сис­темы (DCAP-сис­тема FileAuditor), баз дан­ных (DAM-решение DataBase Monitor), всей ИТ‑инфраструк­туры (SIEM). И конеч­но, ProfileCenter, который уни­кален на рын­ке — он поз­воля­ет прог­нозиро­вать поведе­ние поль­зовате­лей.

Для тех ком­паний, перед которы­ми сто­ит задача импорто­заме­щения, очень удоб­но, что есть пол­ная линей­ка рос­сий­ских про­дук­тов. FileAuditor стал пер­вым оте­чес­твен­ным решени­ем, DataBase Monitor тоже в чис­ле пионе­ров рын­ка. Мы дос­тупнее по цене, чем запад­ные ана­логи. В усло­виях сегод­няшне­го кри­зиса, думаю, это важ­но для заказ­чиков. Наша стра­тегия была в том, что­бы выб­рать наибо­лее кри­тич­ные для заказ­чиков фун­кции и реали­зовать их за дос­тупные день­ги.

Нап­ример, в пла­не воз­можнос­тей FileAuditor и DataBase Monitor мы решили не изоб­ретать велоси­пед, а ори­енти­ровать­ся на клас­сичес­кие пред­став­ления, что дол­жен уметь софт: учли тре­бова­ния рын­ка и регуля­торов.

— А смо­жете ли вы со сво­ими про­дук­тами кон­куриро­вать на гло­баль­ном рын­ке?

— Уве­рен, что да. Зарубеж­ные DLP-вен­доры, нап­ример, исхо­дят из совер­шенно дру­гого под­хода — прос­то бло­киро­вать инци­ден­ты, а не рас­сле­довать при­чины, обсто­ятель­ства. Нап­ример, в базу записы­вает­ся толь­ко наруше­ние полити­ки безопас­ности, что было до или пос­ле, не фик­сиру­ется. Так, ИБ‑спе­циалист уви­дит: была заб­локиро­вана утеч­ка, а раз­говор наруши­теля с соучас­тни­ками, что этот слив был нужен, что­бы орга­низо­вать боковик, — нет. Сей­час мы видим, что зарубеж­ные раз­работ­чики приб­лижа­ют воз­можнос­ти сво­их решений к рос­сий­ским, но мы тут уже на шаг впе­реди.

Но глав­ное, что кон­курен­тоспо­соб­на не каж­дая кон­крет­ная наша прог­рамма. Условно в машине может быть по отдель­нос­ти все хорошо, но покупа­тель выбира­ет ее не из‑за каж­дой отдель­ной опции, а потому что в сум­ме они — «Мер­седес». Может, проз­вучит нес­кром­но, но мы уве­рены, что соз­даем такую сис­тему ИБ, которая может заво­евать рынок.

— Рас­ска­жите пару кей­сов. Чем делят­ся кли­енты?

— При­веду при­мер, как у кли­ента в связ­ке сра­бота­ли FileAuditor и DLP. Запус­тили аудит фай­ловой сис­темы, где и какие докумен­ты лежат на компь­юте­рах у людей. Уви­дели, что кон­фиден­циаль­ный файл ока­зал­ся на локаль­ном дис­ке у сот­рудни­ка, хотя не дол­жен был. Даль­ше в DLP-сис­теме уточ­нили, почему так про­изош­ло. Кон­тен­тный мар­шрут показал: документ при­шел к сот­рудни­ку от его руково­дите­ля. Тот легаль­но имел дос­туп к пап­ке с кон­фиден­циаль­ным содер­жимым, вытащил отту­да файл, пере­име­новал и по друж­бе рас­шарил «млад­шему товари­щу». А тот, не будь дураком, не прос­то удов­летво­рил любопытс­тво, но и сох­ранил «на вся­кий слу­чай» у себя на ком­пе. Это­го уже дос­таточ­но, что­бы при­нимать меры. Но ИБ‑спе­циалист может пой­ти и даль­ше — нап­ример, пос­мотреть по гра­фам свя­зи в DLP, с кем общался наруши­тель. Даль­ше под­нима­ются перепис­ки, что­бы понять, успел ли наруши­тель кому‑то раз­гла­сить сек­ретные све­дения.

С DataBase Monitor ана­логич­ная кар­тина — обна­ружи­ваем ран­ние приз­наки наруше­ния в DAM-сис­теме, рас­сле­дуем в DLP. Изна­чаль­но зап­рос на это решение при­шел от бан­ка. Но кли­енты из дру­гих сфер встре­чают про­дукт тоже очень хорошо.

Бан­ков­ский кейс я при­водил выше, а вот при­мер из про­изводс­твен­ной ком­пании. DataBase Monitor показал, что базе дан­ных из 1С была подана коман­да мас­сово уда­лить информа­цию. Это может быть и пла­новое дей­ствие, а может быть наруше­ние, нуж­но выяс­нять обсто­ятель­ства. Так как 1С обща­ется с БД через общую учет­ку, ИБ‑спе­циалист обра­тил­ся к DLP, что­бы по вре­мени инци­ден­та пос­мотре­ли активность кон­крет­ных компь­юте­ров. Так выяс­нил, что с базой работал глав­бух. Прав у нее в 1С боль­ше, чем у рядовых сот­рудни­ков отде­ла, она даже догада­лась отклю­чить жур­налиро­вание — это узна­ли, под­няв записи с монито­ра ее компь­юте­ра. Даль­нейший раз­бор показал, что сот­рудни­ца хотела под­ста­вить кол­легу. Было нас­тро­ено бэкапи­рова­ние, поэто­му дан­ные вос­ста­нови­ли, но в будущем у DataBase Monitor будет реали­зова­на опция бло­киров­ки опас­ных зап­росов.

— Каким вы видите будущее сво­их про­дук­тов?

— У нас обыч­но скла­дыва­ется такая прак­тика: года два пос­ле релиза про­дукт обка­тыва­ется, кли­енты выс­казыва­ют свои пожела­ния, что нуж­но дорабо­тать. Я всег­да говорю: у нас нет дара пред­видения, пред­почита­ем слу­шать кли­ентов. Хоть мы сами поль­зуем­ся сво­ими про­дук­тами, но у заказ­чиков гораз­до более слож­ная ИТ‑инфраструк­тура, тысячи компь­юте­ров — им луч­ше знать, как дол­жен работать про­дукт. По FileAuditor уже есть боль­шая обратная связь, DataBase Monitor толь­ко накап­лива­ет. Мы слу­шаем, отра­баты­ваем — эта стра­тегия всег­да работа­ет.

Ком­пания «Сёр­чИнформ» пред­лага­ет бес­плат­ные проб­ные вер­сии сво­их про­дук­тов для тес­тирова­ния в течение 30 дней.

7 комментариев

  1. Аватар

    Роман

    02.11.2020 в 10:41

    Галимый маркетинг. Зная этот рынок вижу какую кучу голословностей при сравнении используете. Хоть бы писали что реклама. Позорники.

  2. Аватар

    MrSweetsmo

    02.11.2020 в 11:41

    что это? рекламмМММная интеграция от журнала!Интересно! ПИШИТЕ как ютуб СТАТЬЯ СОДЕРЖИТ ПРЯМОЙ ПРОДУКТ ПЛЕЙСМЕНТ ИЛИ РЕКЛАМА !

  3. Аватар

    MrSweetsmo

    02.11.2020 в 11:42

    пс я не против рекламы ! просто за честность со своими подписчиками =_)

  4. Аватар

    0d8bc7

    02.11.2020 в 13:16

    А слабо не набирать на работу морально непригодных для неё людей? Кража денег у клиентов банка, желание посдавить коллегу… БЛИИИН… Вы хоть понимаете, что вот именно это и есть самый настоящий треш?)
    Но а так за статью спасибо. Хоть и реклама, что печально. Но хоть какая-то поверхностная инфа о аудите безопасности. Пойду защищать свою диванную войсковую часть от своего кота)

  5. Аватар

    atx

    02.11.2020 в 18:47

    ммм нихуёвая рекламка в любимом журнале, нивелирует факт того что > Ком­пания «Сёр­чИнформ» пред­лага­ет бес­плат­ные проб­ные вер­сии сво­их про­дук­тов для тес­тирова­ния в течение 30 дней.
    Всегда угарал с ребят что злобят на рекламу, будто к ним в дом зашли и сели на уши тебе, мне, заварили твой дошик сьели сами, похитили твоих детей чтобы ты точно взял трубку… Можно же просто не читать! Никто не заставляет, такие вещи держат на плаву. Относитесь терпимее.

    • Аватар

      Роман

      11.11.2020 в 06:21

      Не злоблю на рекламу. Просто нормальным тоном является указывать, что это реклама. Так то все равно было интересно узнать что у нас тоже dlp делают. Но остальное вода.

Оставить мнение