Интегрировать нельзя игнорировать
Информационная безопасность Информационная безопасность

Разумеется, мы хотим интеграцию с максимально возможным количеством систем, хотим выжать всю возможную информацию из всех мыслимых источников…

Главная>Информационная безопасность>Интегрировать нельзя игнорировать
Информационная безопасность Тема номера

Интегрировать нельзя игнорировать

Дата публикации:
16.04.2013
Посетителей:
104
Просмотров:
84
Время просмотра:
2.3

Авторы

Автор
Михаил Аношин Менеджер по работе с заказчиками компании "Инфосистемы Джет"
«Разумеется, мы хотим интеграцию с максимально возможным количеством систем, хотим выжать всю возможную информацию из всех мыслимых источников… Только “трогать” их ни в коем случае нельзя – мы в прошлом месяце Exchange “уронили”, поссорились со службой ИТ» – популярная фраза среди ИБ-специалистов компаний при внедрении DLP-систем.

 

 

 

Две стороны одной медали

 

Такую постановку задачи любят многие руководители департаментов информационной безопасности – бесшумный мониторинг всего и вся. Одной стороной медали в этом случае является полноценная картина информационного обмена: контроль всех возможных каналов утечки информации, поведенческий анализ активности пользователей, корреляция всех информационных событий компании. Обратная сторона – техническая сложность интеграции, риски остановки важных бизнес-процессов, нарушение нормальной жизнедеятельности инфраструктурной экосистемы.

 

Принимая во внимание описанные нюансы, компании, выбирая DLP-систему, становятся перед выбором. Одно решение предоставляет настолько мощные возможности интеграции, что из-за этого очень велики риски отрицательного воздействия – от «безобидного» снижения производительности до полного нарушения работоспособности бизнес-приложения. Другое гарантирует отсутствие вмешательства ввиду минимальных функциональных выгод от интеграции.

Золотая середина

 

Десятилетний опыт выполнения комплексных проектов по защите от утечек информации позволил нашим экспертам-разработчикам достичь золотой середины в интеграции. В комплексе «Дозор-Джет» есть возможность взаимодействия с наиболее интересными с точки зрения мониторинга утечек системами на уровне, оптимальном для их нормального функционирования.

 

Одними из самых востребованных интеграционных возможностей комплекса являются мониторинг максимального количества каналов информационного обмена, идентификация пользователей и выявление аномалий поведения сотрудников компании в интернете.

 

«Дозор-Джет» в версии 5.0 имеет в своем распоряжении подсистему интеграции данных с внешними системами, включая CRM, ERP, Active Directory и др. То есть специалист службы безопасности может вести расследование инцидентов на основании данных, полученных из самых разных бизнес-приложений. Благодаря использованию интеллектуального анализа текста осуществлять поиск e-mail-сообщений и документов можно не только по точным совпадениям, но и по словосочетаниям и фразам. Таким образом, на базе комплекса «Дозор-Джет» можно создать универсальный рабочий стол для специалиста информационной безопасности, помогающий использовать в расследовании инцидентов комплекс данных охваченных интеграцией систем.

 

Деликатная интеграция

 

Недостаточно просто написать коннектор к определенной системе – интеграция должна обеспечивать действительно хороший функционал и при этом не мешать нормальной работе приложений. Такой подход можно назвать «деликатным» – мы считаем, что системы, с которыми осуществляется интеграция, являются хрупкими, и нужно очень осторожно получать нужный функционал при взаимодействии с ними.

 

Яркий пример «осторожного обращения с хрупкими предметами» – деликатная интеграция «Дозор-Джет» с почтовой системой Lotus. Наши эксперты разобрались с недокументированными структурами Lotus и получили функционал мониторинга внутренней почтовой переписки без оказания какого-либо влияния на производительность и рисков нарушения работы системы. Если говорить о максимальной функциональности, то разработанный метод оказался настолько фундаментальным, что для некоторых версий Lotus, помимо работы с почтовой корреспонденцией, есть возможность осуществлять мониторинг внутреннего документооборота.

 

Повышение удобства использования

 

Одним из приоритетных направлений развития интеграции комплекса «Дозор-Джет» мы считаем повышение удобства его использования. DLP-система – это ежедневный инструмент, который должен быть удобным решением задач контроля утечек информации.

 

Получая обратную связь от компаний, мы обратили внимание, что офицерам ИБ приходится затрачивать большое количество времени и сил для идентификации реального пользователя. Приведем пример: в компании обнаружена утечка конфиденциальной информации, злоумышленник воспользовался сервисом Skype с подставным логином «dark_boy_666». Без превращения виртуального злоумышленника в реального сотрудника компании расследование инцидента зайдет в тупик. Ввиду разных технологических особенностей это «преобразование» иногда оказывается довольно не простой задачей. «Дозор-Джет» имеет сразу несколько ветвей интеграции, позволяющих ее решить. Первая – это модуль интеграции с Active Directory. Помимо логина Skype, к сообщению прикрепляется логин из Active Directory, под которым пользователь осуществил вход в ОС. Здесь открывается простор для второй ветви интеграции – модуля «Досье», который позволяет, однажды определив принадлежность какого-либо идентификатора к реальному пользователю, в дальнейшем все время ассоциировать его сообщения с ним. Так, запросив информацию по указанному логину Skype «dark_boy_666», офицер ИБ получит полную информацию о реальном пользователе, например, с корпоративного портала, из адресной книги компании или кадрового приложения.

 

Рис. 1. Данные о пользователе dark_boy_666

 

Мониторинг событий

 

«Работа с инцидентами» – общая фраза, позволяющая описать если не основную, то значительную часть задач департамента информационной безопасности компании. Офицеры ИБ обоснованно хотят видеть в списке функционала DLP-системы работу с инцидентами, связанными с утечками информации. Таковыми в том числе являются аномалии поведения пользователей в сети. Представим себе вполне реальный сценарий утечки – более-менее технически грамотный сотрудник, которых сейчас достаточно в любой компании, пытается организовать утечку конфиденциальных данных. На подсознательном уровне он понимает, что нельзя выкладывать разом на внешний FTP-сервер объемный архив, содержащий большое количество критичной информации. Следующими его шагами являются разбивка архива на тома и поочередное их выкладывание на FTP. Комплекс «Дозор-Джет», интегрируясь с системой мониторинга событий пользователей в сети интернет, позволяет обнаруживать аномальное количество выгрузок на внешнее хранилище и оповещает об этом инциденте офицера ИБ.

Такая интеграция дает возможность выявить утечку информации даже в том случае, если критичные данные были зашифрованы или замаскированы злоумышленником. При этом не оказывается никакого влияния на легитимную работу сотрудников компании в интернете.

 

Кроме того, в версии 5.0 комплекса защиты от утечек информации «Дозор-Джет» присутствует новый модуль интеграции с BI-платформой QlikView. Он предназначен как для контроля исполнения бизнес-процессов, так и для мониторинга уровня лояльности сотрудников за счет составления высокоуровневых отчетов по информационному обмену для руководства компании. Одновременно упрощается работа офицеров ИБ. Обновленный механизм интеллектуального анализа текста позвоР%

Уведомления об обновлении тем – в вашей почте

"Дозор-Джет" демонстрирует новый рекорд производительности

Специалисты компании "Инфосистемы Джет" провели тестирования продуктов линейки "Дозор-Джет" на новой платформе Sun Microsystems — серверах Sun Fire Т1000/Т2000 с технологией CoolThreads.

Сохранить и не преумножить

Сегодня ни для кого не секрет, что объем хранимой информации во всем мире ежегодно увеличивается, причем рост данных происходит экспоненциально. Например, согласно исследованиям аналитического агентства Enterprise Strategy Group, объемы хранимой в мире почтовой переписки ежегодно удваиваются, и в 2012 году суммарный объем превысит 13 ПБ данных.

История одного DLP-расследования

Мы все привыкли к тому, что в каждой уважающей себя компании есть DLP-система, этим уже никого не удивишь. Я расскажу вам историю, как экспресс-расследование инцидента позволило купировать утечку конфиденциальной информации и пресечь работу инсайдера.

Борьба со спамом

В последние годы специалисты в области информационной безопасности начали заниматься, казалось бы, несвойственной им задачей: бороться со спамом – массовыми рассылками, которые в большинстве своем носят рекламный характер. А происходит ...

Контентная фильтрация

В последние годы специалисты в области информационной безопасности (ИБ) большое внимание уделяют контентной фильтрации. Происходит это потому, что современные угрозы ИБ невозможно устранить без применения данной технологии. Обоснование этого ...

О контентной фильтрации (продолжение темы Jetinfo №8 (2006))

В обеспечении компьютерной безопасности контентная фильтрация очень важна, поскольку позволяет вычленять потенциально опасные вещи и корректно их обрабатывать

Контроль над корпоративной электронной почтой: система «Дозор-Джет»

Компания «Инфосистемы Джет» – ведущий российский системный интегратор и поставщик ключевых компонентов информационных систем для крупных организаций и предприятий.  О компании   Компания «Инфосистемы Джет» работает на рос...

Нюансы внедрения DLP: наш опыт

Для начала нужно определиться с основными предпосылками появления DLP-системы в компании. Внедрение DLP-решения, как правило, - реакция на конкретный инцидент утечки конфиденциальной/критичной информации, который выявил уязвимость в существующей системе информационной безопасности.

Прогулка по граблям, или Почему ИБ не обеспечивает ожидаемого эффекта?

«Внедрили SIEM. Обеспокоенность выросла, безопасность – пока нет». Кулуарный разговор на ИБ-конференции

Спасибо!
Вы подписались на обновления наших статей
Предложить
авторский материал





    Спасибо!
    Вы подписались на обновления наших статей
    Подписаться
    на тему







      Спасибо!
      Вы подписались на обновления наших статей
      Оформить
      подписку на журнал







        Спасибо!
        Вы подписались на обновления наших статей
        Оформить
        подписку на новости







          Спасибо!
          Вы подписались на обновления наших статей
          Задать вопрос
          редактору








            Оставить заявку

            Мы всегда рады ответить на любые Ваши вопросы

            * Обязательные поля для заполнения

            Спасибо!

            Благодарим за обращение. Ваша заявка принята

            Наш специалист свяжется с Вами в течение рабочего дня