© 1995-2021 Компания «Инфосистемы Джет»
Интегрировать нельзя игнорировать
Информационная безопасность

Разумеется, мы хотим интеграцию с максимально возможным количеством систем, хотим выжать всю возможную информацию из всех мыслимых источников…

Информационная безопасность

Интегрировать нельзя игнорировать

16.04.2013

Посетителей: 28

Просмотров: 24

Время просмотра: 3.8 мин.

«Разумеется, мы хотим интеграцию с максимально возможным количеством систем, хотим выжать всю возможную информацию из всех мыслимых источников… Только “трогать” их ни в коем случае нельзя – мы в прошлом месяце Exchange “уронили”, поссорились со службой ИТ» – популярная фраза среди ИБ-специалистов компаний при внедрении DLP-систем.

 

 

 

Две стороны одной медали

 

Такую постановку задачи любят многие руководители департаментов информационной безопасности – бесшумный мониторинг всего и вся. Одной стороной медали в этом случае является полноценная картина информационного обмена: контроль всех возможных каналов утечки информации, поведенческий анализ активности пользователей, корреляция всех информационных событий компании. Обратная сторона – техническая сложность интеграции, риски остановки важных бизнес-процессов, нарушение нормальной жизнедеятельности инфраструктурной экосистемы.

 

Принимая во внимание описанные нюансы, компании, выбирая DLP-систему, становятся перед выбором. Одно решение предоставляет настолько мощные возможности интеграции, что из-за этого очень велики риски отрицательного воздействия – от «безобидного» снижения производительности до полного нарушения работоспособности бизнес-приложения. Другое гарантирует отсутствие вмешательства ввиду минимальных функциональных выгод от интеграции.

Золотая середина

 

Десятилетний опыт выполнения комплексных проектов по защите от утечек информации позволил нашим экспертам-разработчикам достичь золотой середины в интеграции. В комплексе «Дозор-Джет» есть возможность взаимодействия с наиболее интересными с точки зрения мониторинга утечек системами на уровне, оптимальном для их нормального функционирования.

 

Одними из самых востребованных интеграционных возможностей комплекса являются мониторинг максимального количества каналов информационного обмена, идентификация пользователей и выявление аномалий поведения сотрудников компании в интернете.

 

«Дозор-Джет» в версии 5.0 имеет в своем распоряжении подсистему интеграции данных с внешними системами, включая CRM, ERP, Active Directory и др. То есть специалист службы безопасности может вести расследование инцидентов на основании данных, полученных из самых разных бизнес-приложений. Благодаря использованию интеллектуального анализа текста осуществлять поиск e-mail-сообщений и документов можно не только по точным совпадениям, но и по словосочетаниям и фразам. Таким образом, на базе комплекса «Дозор-Джет» можно создать универсальный рабочий стол для специалиста информационной безопасности, помогающий использовать в расследовании инцидентов комплекс данных охваченных интеграцией систем.

 

Деликатная интеграция

 

Недостаточно просто написать коннектор к определенной системе – интеграция должна обеспечивать действительно хороший функционал и при этом не мешать нормальной работе приложений. Такой подход можно назвать «деликатным» – мы считаем, что системы, с которыми осуществляется интеграция, являются хрупкими, и нужно очень осторожно получать нужный функционал при взаимодействии с ними.

 

Яркий пример «осторожного обращения с хрупкими предметами» – деликатная интеграция «Дозор-Джет» с почтовой системой Lotus. Наши эксперты разобрались с недокументированными структурами Lotus и получили функционал мониторинга внутренней почтовой переписки без оказания какого-либо влияния на производительность и рисков нарушения работы системы. Если говорить о максимальной функциональности, то разработанный метод оказался настолько фундаментальным, что для некоторых версий Lotus, помимо работы с почтовой корреспонденцией, есть возможность осуществлять мониторинг внутреннего документооборота.

 

Повышение удобства использования

 

Одним из приоритетных направлений развития интеграции комплекса «Дозор-Джет» мы считаем повышение удобства его использования. DLP-система – это ежедневный инструмент, который должен быть удобным решением задач контроля утечек информации.

 

Получая обратную связь от компаний, мы обратили внимание, что офицерам ИБ приходится затрачивать большое количество времени и сил для идентификации реального пользователя. Приведем пример: в компании обнаружена утечка конфиденциальной информации, злоумышленник воспользовался сервисом Skype с подставным логином «dark_boy_666». Без превращения виртуального злоумышленника в реального сотрудника компании расследование инцидента зайдет в тупик. Ввиду разных технологических особенностей это «преобразование» иногда оказывается довольно не простой задачей. «Дозор-Джет» имеет сразу несколько ветвей интеграции, позволяющих ее решить. Первая – это модуль интеграции с Active Directory. Помимо логина Skype, к сообщению прикрепляется логин из Active Directory, под которым пользователь осуществил вход в ОС. Здесь открывается простор для второй ветви интеграции – модуля «Досье», который позволяет, однажды определив принадлежность какого-либо идентификатора к реальному пользователю, в дальнейшем все время ассоциировать его сообщения с ним. Так, запросив информацию по указанному логину Skype «dark_boy_666», офицер ИБ получит полную информацию о реальном пользователе, например, с корпоративного портала, из адресной книги компании или кадрового приложения.

 

Рис. 1. Данные о пользователе dark_boy_666

 

Мониторинг событий

 

«Работа с инцидентами» – общая фраза, позволяющая описать если не основную, то значительную часть задач департамента информационной безопасности компании. Офицеры ИБ обоснованно хотят видеть в списке функционала DLP-системы работу с инцидентами, связанными с утечками информации. Таковыми в том числе являются аномалии поведения пользователей в сети. Представим себе вполне реальный сценарий утечки – более-менее технически грамотный сотрудник, которых сейчас достаточно в любой компании, пытается организовать утечку конфиденциальных данных. На подсознательном уровне он понимает, что нельзя выкладывать разом на внешний FTP-сервер объемный архив, содержащий большое количество критичной информации. Следующими его шагами являются разбивка архива на тома и поочередное их выкладывание на FTP. Комплекс «Дозор-Джет», интегрируясь с системой мониторинга событий пользователей в сети интернет, позволяет обнаруживать аномальное количество выгрузок на внешнее хранилище и оповещает об этом инциденте офицера ИБ.

Такая интеграция дает возможность выявить утечку информации даже в том случае, если критичные данные были зашифрованы или замаскированы злоумышленником. При этом не оказывается никакого влияния на легитимную работу сотрудников компании в интернете.

 

Кроме того, в версии 5.0 комплекса защиты от утечек информации «Дозор-Джет» присутствует новый модуль интеграции с BI-платформой QlikView. Он предназначен как для контроля исполнения бизнес-процессов, так и для мониторинга уровня лояльности сотрудников за счет составления высокоуровневых отчетов по информационному обмену для руководства компании. Одновременно упрощается работа офицеров ИБ. Обновленный механизм интеллектуального анализа текста позвоР%

Уведомления об обновлении тем – в вашей почте

DLP - не роскошь, а средство комфортного предупреждения утечек

Как нам кажется, DLP-систему в части ее назначения и функционирования вполне можно сравнить с автомобилем.

«Если ваш безопасник не умеет программировать, увольте его и наймите нормального»

Кирилл Ермаков, СТО компании QIWI, — личность известная. Кто-то знает Кирилла как жесткого спикера, способного озвучивать «неудобную» правду о рынке ИБ, кто-то — как создателя Vulners, яркого приверженца Bug Bounty и топового багхантера.

DLP – зачем нам это нужно

Как обосновать необходимость DLP-системы для бизнеса – наш опыт

Новая версия DLP-системы Дозор-Джет - что же нового?

Какие изменения содержит в себе 28-й релиз комплекса защиты от утечек информации «Дозор-Джет»?

Контентная фильтрация: разбор объектов информационного обмена

Под контентной фильтрацией понимается фильтрация содержимого информационного обмена по каналам Интернет (электронная почта, веб, интернет-пейджеры типа ICQ, MSN и т.п.)

Инструментальный анализ уязвимости бизнес-процессов

Когда речь заходит о применении DLP-систем, воображение сразу рисует картины противостояния специалистов службы ИБ и инсайдеров, передающих за охраняемый периметр конфиденциальную информацию.

Интервью с Ларисой Борисевич, начальником отдела информационной защиты департамента экономической и информационной защиты бизнеса компании РОСГОССТРАХ

Общеизвестно, что страховые компании избавляют нас от рисков, связанных с потенциальным ущербом. Но насколько они сами могут быть застрахованы от угроз информационной безопасности? Об этом и многом другом мы поговорим сегодня с Ларисой Борисевич , начальником отдела информационной защиты департамента экономической и информационной защиты бизнеса компании РОСГОССТРАХ.

Компания «Инфосистемы Джет»: разработки в области информационной безопасности

К преимуществам этого способа передачи информации относятся: оперативность, доступность, универсальность передачи данных разных форматов, сравнительно невысокая стоимость сервиса, надежность, высокая скорость доставки информации

Спасибо!
Вы подписались на обновления наших статей
Предложить
авторский материал





    Спасибо!
    Вы подписались на обновления наших статей
    Подписаться
    на тему







      Спасибо!
      Вы подписались на обновления наших статей
      Оформить
      подписку на журнал







        Спасибо!
        Вы подписались на обновления наших статей
        Оформить
        подписку на новости







          Спасибо!
          Вы подписались на обновления наших статей
          Задать вопрос
          редактору








            Оставить заявку

            Мы всегда рады ответить на любые Ваши вопросы

            * Обязательные поля для заполнения

            Спасибо!

            Благодарим за обращение. Ваша заявка принята

            Наш специалист свяжется с Вами в течение рабочего дня