Контакты
Подписка 2024

ГК InfoWatch: как в 3 раза ускорить расследование инцидентов ИБ без дополнительной нагрузки на офицера безопасности

Сергей Кузьмин, 29/08/24

Сегодня защита данных – это не только контроль всех каналов коммуникаций сотрудников и разбор трафика для поиска инцидентов информационной безопасности. С учетом того, как стремительно масштабируются DLP-системы и какой огромный массив данных генерирует каждый инструмент безопасности, защита информации требует к себе принципиально нового подхода. Рассмотрим, как снизить нагрузку на офицера безопасности, улучшить качество его работы и при этом в несколько раз увеличить скорость проведения расследований.

Автор: Сергей Кузьмин, руководитель направления Центр расследований ГК InfoWatch

Проблема защиты данных

Результаты опросов офицеров безопасности компаний-клиентов и экспертов рынка показывают, что несмотря на интерес к новым возможностям средств защиты информации и DLP-систем в частности, у большинства организаций недостаточно ресурсов, чтобы использовать их с максимальной эффективностью. Это связано с тем, что каждый инструмент безопасности генерирует огромное количество разнообразных данных, чем кратно повышает нагрузку на офицера безопасности по их поиску, сопоставлению, интерпретации и дальнейшей подготовке отчетности.

ИБ-специалисту приходится вникать в множество деталей:

  • являются ли выявленные DLP-системой события реальными нарушениями правил информационной безопасности;
  • действительно ли указанная персона совершила эти действия – то есть, тот ли сотрудник реально работал за рабочей станцией;
  • какие события предшествовали инциденту и что произошло после него;
  • был ли у нарушителя злой умысел и т.д.

Кроме того, ему необходимо заранее продумать, как обеспечить достаточное количество доказательств для предъявления обвинения нарушителю, и какие политики необходимо разработать для предотвращения нарушений в будущем. Огромное количество вопросов превращает расследование в сложный пазл, решение которого требует от специалистов ИБ не только технической экспертизы, но и аналитических способностей и проницательности. В таких условиях новый подход к ежедневной работе ИБспециалиста, основанный на удобстве, интеграции и автоматизации, становится жизненно необходимым.

Что предлагает рынок защиты данных?

Инструментарий для защиты данных с течением времени стал многообразным: DLP-системы, мониторинг действий сотрудников, решения класса DCAP, PAM, контроль использования внешних устройств, средства категоризации информационных активов и защиты БД. Почему на практике этот арсенал средств защиты данных не оправдывает ожиданий? Вот ключевые причины.

  1. Нет интеграции между различными инструментами и сервисами ИБ. Это усложняет процесс анализа и реагирования на инциденты, так как специалисты вынуждены самостоятельно разбираться в разрозненных решениях, искать способы сопоставления и интерпретации данных вручную, чтобы составить полную картину инцидента.
  2. Не соблюдены принципы юзабилити, то есть у решений зачастую отсутствует интуитивно понятный интерфейс. Это негативно влияет на скорость и результативность работы с инцидентами – мониторинг, служебную проверку и расследования.
  3. Сложность самих решений становится такой, что требует все больше людей и ресурсов, чтобы использовать все возможности. Порог входа в мир технологий становится все выше, а должно быть наоборот.

Стандартные средства защиты, доступные на рынке

  1. Узкоспециализированные решения, в которых отсутствует набор необходимых возможностей.
  2. Универсальные решения, где каждая функция требует отдельной консоли, что усложняет поиск, сопоставление данных и сохранение контекста расследования;
  3. Решения с единой консолью, но без фильтров, когда контекст теряется изза способа получения данных через статичные отчеты. Например, после получения отчета из DLP требуется запоминать время инцидента и задействованных сотрудников, чтобы дальше отслеживать их действия в других системах.
  4. Решения с ограниченным числом рабочих панелей. Специалист по ИБ тратит дополнительное время на ежедневный мониторинг оперативной обстановки и контроль сотрудников, если панели не адаптированы под его конкретные задачи в организации.
  5. DLP-решения, где выявленные события приходится аккумулировать в стороннем ПО, например, в Word, Excel или облачных блокнотах.

Центр расследований InfoWatch: защита данных на новом уровне

В Центре расследований реализован принципиально новый подход к ежедневной работе ИБ-специалиста, который позволяет офицеру безопасности анализировать данные из разных источников в едином контексте и работать с комплексной картиной событий при расследовании инцидентов ИБ. Такой подход особенно актуален для компаний с большим штатом и объемными массивами данных по ним, так как максимально упрощает для ИБ-специалиста сбор информации и помогает ему сконцентрироваться на проведении расследований и принятии решений.

ris1-Aug-29-2024-03-29-08-3132-PM

Центр расследований работает по принципу одного окна. Данные собираются разными специализированными инструментами (InfoWatch Vision, InfoWatch Activity Monitor, InfoWatch Data Discovery, InfoWatch Prediction) в единую консоль. Специалист ИБ в несколько кликов может формировать интересующий его срез данных и сразу получать результат. Все это – без необходимости переключаться между инструментами и сопоставлять данные вручную. Этот принцип работы позволяет сократить время на каждом этапе расследования, так что ИБ-специалисты могут сосредоточиться на анализе информации и принятии решений, а не тратить время на поиск и сбор данных из разных источников.

Интерфейс Центра расследований интуитивно понятен и легко адаптируется под конкретные задачи пользователей. Независимо от сложности и масштаба инцидента, специалисты могут быстро оценить ситуацию, построить цепочку событий и выработать стратегию реагирования, а также отслеживать цифровой след сотрудника, анализировать его и при необходимости действовать на опережение. При этом каждый шаг в процессе расследования проанализирован и задокументирован, что минимизирует риски и повышает точность выводов. Интеграция с различными системами и отслеживание аномалий в режиме реального времени обеспечивают непрерывный контроль и возможность мгновенно приступить к решению проблемы.

Концепция Центра расследования InfoWatch

  1. DLP-система InfoWatch Traffic Monitor контролирует все необходимые каналы коммуникаций и точно детектирует конфиденциальную информацию.
  2. InfoWatch Activity Monitor помогает отслеживать действия сотрудников за ПК.
  3. DCAP-возможности позволяют проводить аудит файлов, прав доступа и исправлять проблемы.
  4. Модуль BI-аналитики InfoWatch Vision позволяет кратно ускорить анализ коммуникаций.
  5. Поведенческая аналитика InfoWatch Prediction автоматически оповещает специалиста ИБ о потенциально опасном поведении сотрудников.

Как Центр расследований InfoWatch сокращает время от обнаружения нарушения до принятия решения?

  1. Объединяет события DLP, данные о действиях сотрудников, хранении и доступе к файлам, визуальную аналитику и оповещение о грядущих рисках в едином информационном пространстве.
  2. Единая консоль обеспечивает работу с необходимыми данными в режиме одного окна.
  3. Единый фильтр и интерактивный интерфейс позволяют бесшовно скользить между разными срезами данных и при этом сохранять контекст расследования и фокус на важных деталях. Можно сопоставлять информацию из нескольких подсистем и быстро интерпретировать данные для принятия решений.
  4. Возможна настройка нужного количества рабочих панелей под каждую утилитарную задачу. Так, обнаружение инцидентов и контроль сотрудников можно проводить без лишних настроек фильтра и без формирований отчетов.
  5. Отчет о расследовании можно формировать по ходу сбора обстоятельств во встроенном блокноте. Например, события DLP попадают в отчет о расследовании по клику.

Пример расследования в едином информационном пространстве

Специалист ИБ обратил внимание на инцидент на дашборде для ежедневного мониторинга и добавил связанные события в расследование. Затем переключился в раздел "Мониторинг" и без перенастройки фильтра оценил действия сотрудника до, во время и после инцидента. Находясь в том же контексте, он перешел в раздел "Аналитика" и на графе связей посмотрел круг общения сотрудника, чтобы найти всех задействованных в инциденте, а в разделе "Риски" увидел, в какие группы риска входят эти сотрудники. Все файлы, которые хранятся на ПК сотрудника, находятся в разделе "Хранение файлов". Вся собранная информация аккумулирована в форме досье в разделе "Персоны". Оформление расследования происходит без перехода в сторонние текстовые редакторы в разделе "Расследования". Осталось одним кликом выгрузить отчет.

Гибкие настройки рабочих панелей и прав доступа позволяют эффективно интегрировать результаты работы ИБ с другими подразделениями компании, не снижая уровень безопасности. Важно, что дашборды можно настроить в зависимости от конкретной роли в организации и выполняемых задач, при этом каждый специалист видит только свою зону ответственности и доступные ему данные.

Темы:InfowatchDLPЖурнал "Информационная безопасность" №3, 2024Traffic Monitor

Форум ITSEC 2024:
информационная и
кибербезопасность России
Москва | 15-16 октября 2024

Жми для участия
Обзоры. Спец.проекты. Исследования
Участвуйте в обзорах / исследованиях проекта "Информационная безопасность"!
Станьте автором журнала!
Статьи по той же темеСтатьи по той же теме

  • Инновации в DLP и DCAP и новые классы решений
    Эксперты в области систем для защиты от утечек поделились своим мнением о том, как развиваются решения классов DLP и DCAP и какие инновации появились в этом сегменте за последний год.
  • "Открытый контроль" как профилактика утечек информации. Что предлагают DLP?
    Алексей Дрозд, Директор учебного центра "СёрчИнформ"
    Исследование “СёрчИнформ” показало, что только 18% компаний в России оценивают уровень киберграмотности своих сотрудников как хороший.
  • Из DLP в DLP. Обзор развития российского рынка DCAP
    Владимир Ульянов, руководитель аналитического центра Zecurion
    DCAP долгое время находился в поисках своего места в сложной иерархии средств информационной безопасности. Он родился под названием DAG, конкурировал с такими альтернативами, как DSG и UDM, а как только обрел общепринятое название в рамках концепции DCAP, начал испытывать притязания со стороны старого союзника – DLP, вместе с которым защищал корпоративные данные еще до выделения в отдельный класс. Разберемся в истории развития DCAP и его перспективах.
  • Безопасность как движущий фактор трансформации файлового обмена
    Владимир Емышев, директор по развитию ООО “МСОФТ”
    Представьте себе компанию, в которой сотрудники не используют компьютер. Сложно? Пожалуй, да. Вряд ли сегодня такая найдется. А теперь попробуйте представить, что люди, работающие c компьютером, не используют файлы. “Нереально!” – скажете вы и будете абсолютно правы. Файлы – настолько же привычная сущность, как водопровод в городской квартире или лифт в многоэтажке.
  • Только правильно внедренный DCAP дополняет DLP
    Роман Подкопаев, Генеральный директор компании Makves
    Последние несколько лет показали, что на безопасности нельзя экономить и о ней нужно думать заранее. Информационная безопасность начинается с безопасности данных. DCAP поможет навести порядок в файловых хранилищах и проследить за доступом к ним. Мы вновь беседуем с Романом Подкопаевым, генеральным директором компании Makves (входит в группу компаний “Гарда”).

Хотите участвовать?

Выберите вариант!

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
Linux
15 октября | Форум ITSEC Доверенные решения для защиты российских Linux и миграции
Участвуйте!

More...
Обзоры. Исследования. Спец.проекты
Обзоры и исследования проекта "Информационная безопасность"
Жми, чтобы участвовать

More...