Анна Костина, руководитель направления систем управления безопасностью Центра информационной безопасности компании "Инфосистемы Джет"

О том, зачем компаниям нужен мониторинг систем информационной безопасности и как происходят утечки критичных данных, в беседе с ComNews рассказала руководитель направления систем управления безопасностью Центра информационной безопасности компании "Инфосистемы Джет" Анна Костина.

- Расскажите о предпосылках создания вами аналитической системы для ИБ нового уровня?

- Представьте: у вас есть хорошо настроенный SIEM c правильно выстроенными правилами корреляции, система защиты от утечек, мониторинг уязвимостей и т.д. Но сможете ли вы в потоке типичных и повторяющихся инцидентов ИБ быстро и безошибочно выявить инцидент, совершенно нехарактерный, которого никогда не было, такую аномалию, которая не случалась ранее и от этого становится интересной, как потенциально новый вектор атаки? Выявить-то да, но вот быстро и безошибочно – это вряд ли.

Но почему же так? У вас ведь так много средств защиты, готовых эту информацию предоставить. А дело в том, что современные средства защиты под это просто не "заточены". Они часто умеют строить ретроспективную картину безопасности или активности пользователя/системы, но каждая из них "видит" ситуацию в очень узком разрезе согласно собственному профилю. Поэтому они не "осознают" всей "картинки" безопасности и не понимают, все ли хорошо в компании.

Однако очень хочется иметь возможность взглянуть на то, как исторически изменяется уровень безопасности, поведение пользователя/системы. Нормален ли текущий объем инцидентов/аномалий в поведении пользователя для этого дня календарного месяца?  Являются ли выявленные при сканировании сети новые уязвимости адекватным приростом за месяц или мы стали менее защищены? Возникают ли все новые инциденты/аномалии на одной конкретной системе, является ли она взломанной или они равномерно распределены между разными узлами сети?

Например, профиль работы пользователя – это десятки разных параметров: почтовые коммуникации, работа в Интернете, с бизнес-системами и т.д. При этом нормальные значения разнятся для разных календарных дней, месяцев. Построить этот профиль имеющимися средствами еще можно, а вот оперативно отслеживать без специального инструментария уже невозможно. И наши заказчики с этим сталкиваются регулярно.

Возможность "длинного" профилирования и контроля отклонений в поведении пользователя или защищенности системы позволяет увидеть аномалии и угрозы, которые невозможно заметить при помощи какого-то одного современного средства защиты, даже таких, казалось бы, "всемогущих" систем, как SIEM.

Именно такие мысли натолкнули нас на идею о создании аналитической системы – Jet inView Security, − которая позволит руководителю подразделения ИБ и его сотрудникам получать данные от всех имеющихся средств защиты и в любой момент времени понимать ситуацию в части ИБ. Благодаря этому руководитель службы ИБ может постоянно держать руку на пульсе и принимать решения на основе исчерпывающей информации о том, что происходит в компании.

- Что представляет собой система? Это исключительно программное решение или программно-аппаратное?

- Jet InView Security сочетает в себе классический функционал Business Intelligence и Data Mining. Он позволяет оперативно и с минимальными трудозатратами собирать и анализировать информацию из разных подсистем безопасности и бизнес-систем с последующими ее преобразованием и подачей в виде аналитических панелей различного уровня детализации.

Архитектура системы включает три функциональных уровня. Первый − это сбор и концентрация данных о безопасности. Для эффективного сбора информации из самых разных источников разработаны специальные коннекторы, обеспечивающие связь с бизнес-системами, системами обеспечения ИБ и вспомогательными (например, кадровыми). В каждом конкретном проекте их состав может варьироваться в зависимости от инфраструктуры организации-заказчика и насущных потребностей.

Далее следует уровень анализа и преобразования данных. Аналитический движок системы, основанный на  BI-технологиях, позволяет связывать между собой различные данные, проводить необходимые расчеты и корреляцию.

Ну и, наконец, третий уровень − это представление информации с помощью модулей визуализации – аналитических панелей. В их число входят Dashboard`ы, содержащие высокоуровневую информацию, модуль Analytics, связывающий базы данных всех средств защиты и проводящий по ним сквозную аналитику.

Вместо анализа регулярных отчетов о работе систем безопасности, "ручного" поиска дополнительной информации из других источников Jet inView Security позволяет быстро получать из них данные и приводить их к виду, дающему руководителю подразделения безопасности возможность видеть полное текущее состояние дел по клику мыши.

Структура Jet inView Security модульная, и это обуславливает высокий уровень гибкости продукта, легкость его кастомизации и адаптации в соответствии с индивидуальными потребностями заказчика. Каждый модуль решает определенный бизнес-кейс. За счет плотной работы с представителями разных отраслей и обмена идеями наша база кейсов по применению Jet inView Security постоянно пополняется, а горизонты аналитики ИБ − расширяются.

- Чем отличается аналитическая система от традиционных инструментов управления ИБ? Какими преимуществами обладает?

- Jet inView Security в достаточной степени отличается от обычных средств обеспечения ИБ. На мой взгляд, примерно так же, как отличаются современные смартфоны и обычные телефоны. Она создавалась для руководителей подразделений ИБ и еще более высокостоящего руководства. И это уже не "техническая" система, оперирующая конкретными событиями ИБ или конкретными уязвимостями на серверах. В данном случае можно говорить о полноценном ситуационном центре, позволяющем, не углубляясь в технические детали, оценить состояние ИБ, динамику его изменения,  оценить эффективность тех или иных мероприятий, выявить узкие места в части ИБ и соответствующим образом скорректировать развитие ИБ в целом.

Функционал Jet inView Security позволяет практически мгновенно "спускаться" от высокоуровневой аналитики к данным более низкого уровня в интерфейсе одной системы (вплоть до перехода в консоли систем-источников). В итоге руководители ИБ-подразделения получают возможность вместо перманентного анализа регулярных отчетов о работе систем безопасности, "ручного" поиска дополнительной информации из других источников в максимально наглядной форме, в рамках "единого окна", видеть актуальное состояние дел в области ИБ с желаемым уровнем детализации.

- Какие задачи в основном призвана решать подобная аналитическая система для ИБ?

- Задачи, решаемые Jet inView Security, включают в себя централизованный контроль ИБ, мониторинг эффективности подразделения ИБ, поведенческий анализ работы систем и пользователей.

Как уже говорилось выше, деятельность по ИБ далеко не всегда прозрачна для руководства. Это влечет за собой ряд проблем. В частности, руководство не всегда досконально понимает, куда уходят деньги, затраченные на ИБ, и какой эффект дают эти траты. Руководители подразделений ИБ, в свою очередь, сталкиваются со сложностями при демонстрации отдачи от деятельности ИБ, эффекта от вложенных в ИБ средств.

В связи с этим приобретает актуальность создание иерархии показателей результативности и эффективности ИБ (от бизнес-метрик до технических показателей). Использование таких метрик позволяет количественно и качественно оценить ожидаемые результаты от внедрения мер по защите информации (в том числе с точки зрения эффективности расходования средств) и определить степень соответствия внедряемых и уже внедренных процессов ожиданиям компании.

Jet inView Security позволяет автоматически рассчитывать значения метрик по поступающим от подсистем ИБ данным, давая возможность выявлять реальные и потенциальные недостатки в обеспечении ИБ, принимать своевременные и обоснованные меры по его улучшению и устранению коренных причин возникших отклонений.

В случае возникновения инцидентов ИБ часто требуется быстро собрать и сопоставить информацию из разных, не связанных между собой, источников. В этом контексте Jet inView Security позволяет делать самые разнообразные срезы данных за считанные секунды. Например, произошла утечка информации? Можно быстро посмотреть, кто, когда и куда отсылал по почте или кто сохранил на флешку файлы, содержащие критичную для компании информацию, с кем эти люди общались в последнее время по почте, на какие сайты ходили в день утечки (за день до этого, за неделю и т.д.).

Помимо этого, часто работодатели озабочены эффективностью работы своих сотрудников: сколько времени проводят в Интернете, на сколько опаздывают на работу и т.п. Все это также можно анализировать. Подобных примеров применения системы может быть масса. И единственное ограничение по получению данных – наличие источников, из которых можно взять интересующую информацию. Все остальное, как говорится, − дело техники.