«Сёр­чИнформ» пос­ле недав­него релиза DCAP-решения FileAuditor выпус­тила DAM-сис­тему — DataBase Monitor. Теперь у вен­дора есть прак­тичес­ки пол­ная линей­ка для защиты информа­ции от инсай­деров. В ком­пании не скры­вают, что новые про­дук­ты — это не пере­изоб­ретение велоси­педа, вмес­то это­го раз­работ­чики сос­редото­чились на интегра­ции. Лев Мат­веев, пред­седатель совета дирек­торов «Сёр­чИнформ», уве­рен, что выс­тра­ива­ние сво­ей эко­сис­темы вок­руг DLP обес­печит ком­пании пре­иму­щес­тво на рын­ке.

— За два года вы выпус­тили два раз­ных про­дук­та: FileAuditor и DataBase Monitor. Оба защища­ют так называ­емые дан­ные в покое. Давай­те погово­рим о том, зачем их надо защищать, — ведь они никуда не уте­кают.

— Если дан­ные не уте­кают, это еще не зна­чит, что они в безопас­ности. Прос­того дос­тупа к фай­лам и базам дан­ных недоб­росовес­тно­му сот­рудни­ку дос­таточ­но, что­бы нанес­ти ком­пании ущерб. Кро­ме сли­ва информа­ции, есть ведь внут­реннее мошен­ничес­тво, под­делка докумен­тов, мас­са дру­гих вари­антов, ког­да инсай­дер исполь­зует дан­ные ком­пании незакон­но. Поэто­му, что­бы говорить о пол­ной защите, недос­таточ­но кон­тро­лиро­вать толь­ко переме­щение информа­ции, нуж­но сле­дить и за тем, как она хра­нит­ся.

За аудит фай­лов и папок отве­чают DCAP-сис­темы. Они находят наруше­ния прав дос­тупа и отсле­жива­ют изме­нения в кри­тич­ных докумен­тах.

При­мер: наша DCAP-сис­тема FileAuditor находит файл, про­веря­ет его по пра­вилам и прис­ваивает слу­жеб­ную мет­ку (что за документ — нап­ример, пер­сональ­ные дан­ные, договор, прайс), при необ­ходимос­ти копиру­ет в хра­нили­ще, логиру­ет все дей­ствия, вычиты­вает пра­ва дос­тупа. Это набор фун­кций, который в пер­вую оче­редь нужен ИБ‑спе­циалис­там. Но и для ИТ‑служб он тоже важен, потому что поз­воля­ет при­вес­ти всю фай­ловую сис­тему ком­пании в порядок.

Кар­тину того, что про­исхо­дит с базами дан­ных и биз­нес‑при­ложе­ниями, монито­рят DAM-про­дук­ты. Кто обра­щает­ся к информа­ции, с какой целью. Мож­но нас­тро­ить полити­ки безопас­ности на любые сом­нитель­ные дей­ствия, прог­рамма будет показы­вать не толь­ко попыт­ки сли­вов, но и любые манипу­ляции с информа­цией внут­ри базы дан­ных.

— Эти задачи нель­зя решить без DCAP и DAM?

— Там, где остро сто­ит задача кон­тро­ля фай­лов и БД, ком­пании справ­лялись при помощи под­ручных средств. Но это «кос­тыли», которые поз­воля­ют решать задачу защиты толь­ко на базовом уров­не. Нап­ример, монито­рить ситу­ацию с базами дан­ных мож­но и на уров­не СУБД, в любую вшит какой‑то инс­тру­мент кон­тро­ля. Но эти инс­тру­мен­ты видят толь­ко лог — «было обра­щение к базе дан­ных». А какое имен­но обра­щение и какой резуль­тат — это­го не показы­вают.

Вот клас­сичес­кая исто­рия в бан­ке — сот­рудник зашел в базу, под­менил номера телефо­нов в кар­точках кли­ентов, спи­сал у них со сче­та неболь­шие сум­мы и испра­вил номера на вер­ные. Без спе­циаль­ной прог­раммы монито­рин­га ник­то не заподоз­рит нелад­ное. Кли­ент не получит СМС о спи­сании, так как номер был под­менен, потерю 100–200 руб­лей, ско­рее все­го, не заметит. Служ­ба безопас­ности тоже не уви­дит пло­хого. Да, есть лог, что сот­рудник обра­тил­ся к базе дан­ных, но фор­маль­но дей­ство­вал «в законе» — по дол­жнос­ти ему не зап­рещено обра­щать­ся к кар­точкам кли­ентов.

Ес­ли же сто­ит DAM-решение, оно сиг­нализи­рует, что сот­рудник обра­щал­ся к базе дан­ных с пло­хими намере­ниями. Сра­бота­ет сочета­ние усло­вий: кто‑то делал выбор­ку по кли­ентам, у которых на сче­ту боль­шие сум­мы (свы­ше 100 тысяч), обра­щал­ся к кар­точкам с одним и тем же зап­росом в корот­кий про­межу­ток вре­мени, менял в кар­точках номера телефо­нов.

Та же кар­тина с DCAP. Да, теоре­тичес­ки мож­но обхо­дить­ся и без него, раз­гра­ниче­ние дос­тупа к фай­лам мож­но сде­лать на любом фай­ловом сер­вере. Но это раз­гра­ниче­ние не решит проб­лему, если поль­зователь с легитим­ным дос­тупом перело­жит файл из кон­фиден­циаль­ной пап­ки в общую. Нап­ример, лич­ный помощ­ник ген­дирек­тора перемес­тила гра­фик встреч, к которо­му име­ет дос­туп по дол­жнос­ти. Логиро­вание дей­ствий покажет: 14 октября помощ­ница перело­жила файл «гра­фик» из пап­ки на сво­ем компь­юте­ре в пап­ку «новос­ти_2020», к которой име­ет дос­туп вся ком­пания. Но одна малень­кая улов­ка — пере­име­нова­ние фай­ла из «гра­фика» в «doc1» — и ИБ‑спе­циалист такой инци­дент про­пус­тит. Если толь­ко он вруч­ную не прос­матри­вает содер­жимое каж­дого переме­щен­ного фай­ла в орга­низа­ции.

— А почему вы взя­лись за раз­работ­ку собс­твен­ных про­дук­тов?

— Мы получи­ли зап­рос от кли­ентов. Они доволь­ны нашей DLP-сис­темой и хотели наращи­вать инфраструк­туру из дру­гих защит­ных решений вок­руг одной прог­раммы. То есть, по сути, кли­енты выб­рали нашу эко­сис­тему с ядром в виде DLP.

Нап­ример, зап­рос на FileAuditor был от круп­ной тор­говой сети. Им был нужен DCAP-про­дукт — ком­пания боль­шая, рынок кон­курен­тный, любой документ, попав­ший не в те руки даже внут­ри ком­пании, может обер­нуть­ся мил­лион­ными убыт­ками. Сна­чала они рас­смат­ривали DCAP, которые уже были на рын­ке, пытались нас­тро­ить интегра­цию нашей DLP и зарубеж­ного решения, но в пол­ной мере не получа­лось. Поэто­му обра­тились к нам с зап­росом на раз­работ­ку DCAP в нашей линей­ке.

— А в чем проб­лема интегри­ровать решения раз­ных вен­доров?

— Не получа­ется бес­шовной интегра­ции. Это как вклю­чать тех­нику в доме с десят­ка раз­ных пуль­тов — один потерял­ся, у дру­гого села батарея, тре­тий вооб­ще сло­ман. С одним уни­вер­саль­ным гораз­до удоб­нее.

Кро­ме того, зона при­мене­ния интегри­рован­ного про­дук­та гораз­до боль­ше. DLP — это базовая прог­рамма для защиты информа­ции от инсай­дер­ских рис­ков. Минималь­но ее дос­таточ­но. Но что­бы под­нять уро­вень безопас­ности, нуж­но наводить порядок, про­водить аудит. Если ты не зна­ешь, какие дан­ные есть в ком­пании, не можешь точ­но знать, как их защищать. Дела­ешь аудит — уточ­няешь полити­ки безопас­ности.

Это работа­ет и в обратную сто­рону. Зная, какие инци­ден­ты обна­ружи­вает DLP, дела­ешь выводы, как луч­ше выс­тро­ить порядок в БД и файл‑сер­верах. Получа­ется пол­ный цикл защиты дан­ных. И все в одном решении с еди­ными полити­ками безопас­ности.

Еще интегра­ция очень мно­гое дает с точ­ки зре­ния сис­темати­зации дан­ных и визу­али­зации. ИБ‑спе­циалист видит, как файл переме­щал­ся внут­ри сети, на каких машинах лежит. То есть пол­ная исто­рия инци­ден­та «в кар­тинках», какой не уви­дишь, если интегри­рова­ны решения раз­ных вен­доров. Это такой эффект 1 + 1 = 3.

— Вы говори­ли об эко­сис­теме. Идея понят­на — если кли­ент раз попал в зону вашего вли­яния, он оста­нет­ся с вами. Воп­рос в том, почему заказ­чик дол­жен выб­рать имен­но вашу эко­сис­тему.

— Потому что мы пред­лага­ем кон­курен­тоспо­соб­ный под­ход. Мы сей­час, по сути, завер­шили линей­ку защиты от инсай­дер­ских рис­ков, ни один вен­дор на рос­сий­ском рын­ке такого не пред­лага­ет. Теперь у нас есть прог­раммы для защиты на всех уров­нях: конеч­ных поль­зовате­лей (DLP «Сёр­чИнформ КИБ»), фай­ловой сис­темы (DCAP-сис­тема FileAuditor), баз дан­ных (DAM-решение DataBase Monitor), всей ИТ‑инфраструк­туры (SIEM). И конеч­но, ProfileCenter, который уни­кален на рын­ке — он поз­воля­ет прог­нозиро­вать поведе­ние поль­зовате­лей.

Для тех ком­паний, перед которы­ми сто­ит задача импорто­заме­щения, очень удоб­но, что есть пол­ная линей­ка рос­сий­ских про­дук­тов. FileAuditor стал пер­вым оте­чес­твен­ным решени­ем, DataBase Monitor тоже в чис­ле пионе­ров рын­ка. Мы дос­тупнее по цене, чем запад­ные ана­логи. В усло­виях сегод­няшне­го кри­зиса, думаю, это важ­но для заказ­чиков. Наша стра­тегия была в том, что­бы выб­рать наибо­лее кри­тич­ные для заказ­чиков фун­кции и реали­зовать их за дос­тупные день­ги.

Нап­ример, в пла­не воз­можнос­тей FileAuditor и DataBase Monitor мы решили не изоб­ретать велоси­пед, а ори­енти­ровать­ся на клас­сичес­кие пред­став­ления, что дол­жен уметь софт: учли тре­бова­ния рын­ка и регуля­торов.

— А смо­жете ли вы со сво­ими про­дук­тами кон­куриро­вать на гло­баль­ном рын­ке?

— Уве­рен, что да. Зарубеж­ные DLP-вен­доры, нап­ример, исхо­дят из совер­шенно дру­гого под­хода — прос­то бло­киро­вать инци­ден­ты, а не рас­сле­довать при­чины, обсто­ятель­ства. Нап­ример, в базу записы­вает­ся толь­ко наруше­ние полити­ки безопас­ности, что было до или пос­ле, не фик­сиру­ется. Так, ИБ‑спе­циалист уви­дит: была заб­локиро­вана утеч­ка, а раз­говор наруши­теля с соучас­тни­ками, что этот слив был нужен, что­бы орга­низо­вать боковик, — нет. Сей­час мы видим, что зарубеж­ные раз­работ­чики приб­лижа­ют воз­можнос­ти сво­их решений к рос­сий­ским, но мы тут уже на шаг впе­реди.

Но глав­ное, что кон­курен­тоспо­соб­на не каж­дая кон­крет­ная наша прог­рамма. Условно в машине может быть по отдель­нос­ти все хорошо, но покупа­тель выбира­ет ее не из‑за каж­дой отдель­ной опции, а потому что в сум­ме они — «Мер­седес». Может, проз­вучит нес­кром­но, но мы уве­рены, что соз­даем такую сис­тему ИБ, которая может заво­евать рынок.

— Рас­ска­жите пару кей­сов. Чем делят­ся кли­енты?

— При­веду при­мер, как у кли­ента в связ­ке сра­бота­ли FileAuditor и DLP. Запус­тили аудит фай­ловой сис­темы, где и какие докумен­ты лежат на компь­юте­рах у людей. Уви­дели, что кон­фиден­циаль­ный файл ока­зал­ся на локаль­ном дис­ке у сот­рудни­ка, хотя не дол­жен был. Даль­ше в DLP-сис­теме уточ­нили, почему так про­изош­ло. Кон­тен­тный мар­шрут показал: документ при­шел к сот­рудни­ку от его руково­дите­ля. Тот легаль­но имел дос­туп к пап­ке с кон­фиден­циаль­ным содер­жимым, вытащил отту­да файл, пере­име­новал и по друж­бе рас­шарил «млад­шему товари­щу». А тот, не будь дураком, не прос­то удов­летво­рил любопытс­тво, но и сох­ранил «на вся­кий слу­чай» у себя на ком­пе. Это­го уже дос­таточ­но, что­бы при­нимать меры. Но ИБ‑спе­циалист может пой­ти и даль­ше — нап­ример, пос­мотреть по гра­фам свя­зи в DLP, с кем общался наруши­тель. Даль­ше под­нима­ются перепис­ки, что­бы понять, успел ли наруши­тель кому‑то раз­гла­сить сек­ретные све­дения.

С DataBase Monitor ана­логич­ная кар­тина — обна­ружи­ваем ран­ние приз­наки наруше­ния в DAM-сис­теме, рас­сле­дуем в DLP. Изна­чаль­но зап­рос на это решение при­шел от бан­ка. Но кли­енты из дру­гих сфер встре­чают про­дукт тоже очень хорошо.

Бан­ков­ский кейс я при­водил выше, а вот при­мер из про­изводс­твен­ной ком­пании. DataBase Monitor показал, что базе дан­ных из 1С была подана коман­да мас­сово уда­лить информа­цию. Это может быть и пла­новое дей­ствие, а может быть наруше­ние, нуж­но выяс­нять обсто­ятель­ства. Так как 1С обща­ется с БД через общую учет­ку, ИБ‑спе­циалист обра­тил­ся к DLP, что­бы по вре­мени инци­ден­та пос­мотре­ли активность кон­крет­ных компь­юте­ров. Так выяс­нил, что с базой работал глав­бух. Прав у нее в 1С боль­ше, чем у рядовых сот­рудни­ков отде­ла, она даже догада­лась отклю­чить жур­налиро­вание — это узна­ли, под­няв записи с монито­ра ее компь­юте­ра. Даль­нейший раз­бор показал, что сот­рудни­ца хотела под­ста­вить кол­легу. Было нас­тро­ено бэкапи­рова­ние, поэто­му дан­ные вос­ста­нови­ли, но в будущем у DataBase Monitor будет реали­зова­на опция бло­киров­ки опас­ных зап­росов.

— Каким вы видите будущее сво­их про­дук­тов?

— У нас обыч­но скла­дыва­ется такая прак­тика: года два пос­ле релиза про­дукт обка­тыва­ется, кли­енты выс­казыва­ют свои пожела­ния, что нуж­но дорабо­тать. Я всег­да говорю: у нас нет дара пред­видения, пред­почита­ем слу­шать кли­ентов. Хоть мы сами поль­зуем­ся сво­ими про­дук­тами, но у заказ­чиков гораз­до более слож­ная ИТ‑инфраструк­тура, тысячи компь­юте­ров — им луч­ше знать, как дол­жен работать про­дукт. По FileAuditor уже есть боль­шая обратная связь, DataBase Monitor толь­ко накап­лива­ет. Мы слу­шаем, отра­баты­ваем — эта стра­тегия всег­да работа­ет.

Ком­пания «Сёр­чИнформ» пред­лага­ет бес­плат­ные проб­ные вер­сии сво­их про­дук­тов для тес­тирова­ния в течение 30 дней.

  • Подпишись на наc в Telegram!

    Только важные новости и лучшие статьи

    Подписаться

  • Подписаться
    Уведомить о
    7 комментариев
    Старые
    Новые Популярные
    Межтекстовые Отзывы
    Посмотреть все комментарии