ГК InfoWatch: как в 3 раза ускорить расследование инцидентов ИБ без дополнительной нагрузки на офицера безопасности

Сегодня защита данных – это не только контроль всех каналов коммуникаций сотрудников и разбор трафика для поиска инцидентов информационной безопасности. С учетом того, как стремительно масштабируются DLP-системы и какой огромный массив данных генерирует каждый инструмент безопасности, защита информации требует к себе принципиально нового подхода. Рассмотрим, как снизить нагрузку на офицера безопасности, улучшить качество его работы и при этом в несколько раз увеличить скорость проведения расследований.

Автор: Сергей Кузьмин, руководитель направления Центр расследований ГК InfoWatch

Проблема защиты данных

Результаты опросов офицеров безопасности компаний-клиентов и экспертов рынка показывают, что несмотря на интерес к новым возможностям средств защиты информации и DLP-систем в частности, у большинства организаций недостаточно ресурсов, чтобы использовать их с максимальной эффективностью. Это связано с тем, что каждый инструмент безопасности генерирует огромное количество разнообразных данных, чем кратно повышает нагрузку на офицера безопасности по их поиску, сопоставлению, интерпретации и дальнейшей подготовке отчетности.

ИБ-специалисту приходится вникать в множество деталей:

• являются ли выявленные DLP-системой события реальными нарушениями правил информационной безопасности;
• действительно ли указанная персона совершила эти действия – то есть, тот ли сотрудник реально работал за рабочей станцией;
• какие события предшествовали инциденту и что произошло после него;
• был ли у нарушителя злой умысел и т.д.

Кроме того, ему необходимо заранее продумать, как обеспечить достаточное количество доказательств для предъявления обвинения нарушителю, и какие политики необходимо разработать для предотвращения нарушений в будущем. Огромное количество вопросов превращает расследование в сложный пазл, решение которого требует от специалистов ИБ не только технической экспертизы, но и аналитических способностей и проницательности. В таких условиях новый подход к ежедневной работе ИБспециалиста, основанный на удобстве, интеграции и автоматизации, становится жизненно необходимым.

Что предлагает рынок защиты данных?

Инструментарий для защиты данных с течением времени стал многообразным: DLP-системы, мониторинг действий сотрудников, решения класса DCAP, PAM, контроль использования внешних устройств, средства категоризации информационных активов и защиты БД. Почему на практике этот арсенал средств защиты данных не оправдывает ожиданий? Вот ключевые причины.

1. Нет интеграции между различными инструментами и сервисами ИБ. Это усложняет процесс анализа и реагирования на инциденты, так как специалисты вынуждены самостоятельно разбираться в разрозненных решениях, искать способы сопоставления и интерпретации данных вручную, чтобы составить полную картину инцидента.
2. Не соблюдены принципы юзабилити, то есть у решений зачастую отсутствует интуитивно понятный интерфейс. Это негативно влияет на скорость и результативность работы с инцидентами – мониторинг, служебную проверку и расследования.
3. Сложность самих решений становится такой, что требует все больше людей и ресурсов, чтобы использовать все возможности. Порог входа в мир технологий становится все выше, а должно быть наоборот.

Стандартные средства защиты, доступные на рынке

1. Узкоспециализированные решения, в которых отсутствует набор необходимых возможностей.
2. Универсальные решения, где каждая функция требует отдельной консоли, что усложняет поиск, сопоставление данных и сохранение контекста расследования;
3. Решения с единой консолью, но без фильтров, когда контекст теряется изза способа получения данных через статичные отчеты. Например, после получения отчета из DLP требуется запоминать время инцидента и задействованных сотрудников, чтобы дальше отслеживать их действия в других системах.
4. Решения с ограниченным числом рабочих панелей. Специалист по ИБ тратит дополнительное время на ежедневный мониторинг оперативной обстановки и контроль сотрудников, если панели не адаптированы под его конкретные задачи в организации.
5. DLP-решения, где выявленные события приходится аккумулировать в стороннем ПО, например, в Word, Excel или облачных блокнотах.

Центр расследований InfoWatch: защита данных на новом уровне

В Центре расследований реализован принципиально новый подход к ежедневной работе ИБ-специалиста, который позволяет офицеру безопасности анализировать данные из разных источников в едином контексте и работать с комплексной картиной событий при расследовании инцидентов ИБ. Такой подход особенно актуален для компаний с большим штатом и объемными массивами данных по ним, так как максимально упрощает для ИБ-специалиста сбор информации и помогает ему сконцентрироваться на проведении расследований и принятии решений.

Центр расследований работает по принципу одного окна. Данные собираются разными специализированными инструментами (InfoWatch Vision, InfoWatch Activity Monitor, InfoWatch Data Discovery, InfoWatch Prediction) в единую консоль. Специалист ИБ в несколько кликов может формировать интересующий его срез данных и сразу получать результат. Все это – без необходимости переключаться между инструментами и сопоставлять данные вручную. Этот принцип работы позволяет сократить время на каждом этапе расследования, так что ИБ-специалисты могут сосредоточиться на анализе информации и принятии решений, а не тратить время на поиск и сбор данных из разных источников.

Интерфейс Центра расследований интуитивно понятен и легко адаптируется под конкретные задачи пользователей. Независимо от сложности и масштаба инцидента, специалисты могут быстро оценить ситуацию, построить цепочку событий и выработать стратегию реагирования, а также отслеживать цифровой след сотрудника, анализировать его и при необходимости действовать на опережение. При этом каждый шаг в процессе расследования проанализирован и задокументирован, что минимизирует риски и повышает точность выводов. Интеграция с различными системами и отслеживание аномалий в режиме реального времени обеспечивают непрерывный контроль и возможность мгновенно приступить к решению проблемы.

Концепция Центра расследования InfoWatch

1. DLP-система InfoWatch Traffic Monitor контролирует все необходимые каналы коммуникаций и точно детектирует конфиденциальную информацию.
2. InfoWatch Activity Monitor помогает отслеживать действия сотрудников за ПК.
3. DCAP-возможности позволяют проводить аудит файлов, прав доступа и исправлять проблемы.
4. Модуль BI-аналитики InfoWatch Vision позволяет кратно ускорить анализ коммуникаций.
5. Поведенческая аналитика InfoWatch Prediction автоматически оповещает специалиста ИБ о потенциально опасном поведении сотрудников.

Как Центр расследований InfoWatch сокращает время от обнаружения нарушения до принятия решения?

1. Объединяет события DLP, данные о действиях сотрудников, хранении и доступе к файлам, визуальную аналитику и оповещение о грядущих рисках в едином информационном пространстве.
2. Единая консоль обеспечивает работу с необходимыми данными в режиме одного окна.
3. Единый фильтр и интерактивный интерфейс позволяют бесшовно скользить между разными срезами данных и при этом сохранять контекст расследования и фокус на важных деталях. Можно сопоставлять информацию из нескольких подсистем и быстро интерпретировать данные для принятия решений.
4. Возможна настройка нужного количества рабочих панелей под каждую утилитарную задачу. Так, обнаружение инцидентов и контроль сотрудников можно проводить без лишних настроек фильтра и без формирований отчетов.
5. Отчет о расследовании можно формировать по ходу сбора обстоятельств во встроенном блокноте. Например, события DLP попадают в отчет о расследовании по клику.

Пример расследования в едином информационном пространстве

Специалист ИБ обратил внимание на инцидент на дашборде для ежедневного мониторинга и добавил связанные события в расследование. Затем переключился в раздел "Мониторинг" и без перенастройки фильтра оценил действия сотрудника до, во время и после инцидента. Находясь в том же контексте, он перешел в раздел "Аналитика" и на графе связей посмотрел круг общения сотрудника, чтобы найти всех задействованных в инциденте, а в разделе "Риски" увидел, в какие группы риска входят эти сотрудники. Все файлы, которые хранятся на ПК сотрудника, находятся в разделе "Хранение файлов". Вся собранная информация аккумулирована в форме досье в разделе "Персоны". Оформление расследования происходит без перехода в сторонние текстовые редакторы в разделе "Расследования". Осталось одним кликом выгрузить отчет.

Гибкие настройки рабочих панелей и прав доступа позволяют эффективно интегрировать результаты работы ИБ с другими подразделениями компании, не снижая уровень безопасности. Важно, что дашборды можно настроить в зависимости от конкретной роли в организации и выполняемых задач, при этом каждый специалист видит только свою зону ответственности и доступные ему данные.