Как «разогнать» ИБ-инфраструктуру с помощью DLP

Как «разогнать» ИБ-инфраструктуру с помощью DLP


Как «разогнать» ИБ-инфраструктуру с помощью DLP

DLP защищают от утечек: это база. Но этим польза систем не ограничивается.


Автор – Алексей Дрозд, начальник отдела безопасности «СёрчИнформ»


DLP внедряются в инфраструктуру, контролируют все происходящее на ПК пользователей и в каналах связи. Обладают мощной аналитикой, чтобы в разношерстном трафике выявить инциденты. Умение систем агрегировать данные, с одной стороны, и структурировать их, с другой, открывают большой потенциал для решения разнообразных ИБ-задач – выходя за пределы только борьбы с утечками.


Усилить и преумножить возможности DLP можно, интегрируя систему с другими элементами защитной инфраструктуры. Разберем, с чем «подружить» систему и как добиться максимальной эффективности интеграций.

Залог успешной интеграции или что DLP должна уметь на старте


Одна из задач DLP-системы в комплексной системе ИБ – предоставлять подробные данные об активности пользователей внутри периметра. Чтобы DLP могла выступать «хабом» для сбора и дальнейшего применения данных в других СЗИ, она должна соответствовать следующим параметрам:

  1. Встраиваться в инфраструктуру – на уровне совместимости с ОС, СУБД, ПО и других систем, используемых в компании.

  2. DLP «СёрчИнформ КИБ» работает с Windows, Linux и Mac, дата-центр системы работает с произвольными СУБД: от MS SQL до Jatoba, Pangolin, PostgreSQL и российской PostgreSQL Pro. Система может работать как локально, так и в облаке, в том числе контролировать виртуальные рабочие станции. То есть «встанет» куда угодно.

  3. Обеспечивать широкий контроль: поддерживать максимум каналов, по которым могут отправиться корпоративные данные.


    «СёрчИнформ КИБ» уже из коробки – одна из самых охватных DLP на рынке по числу контролируемых корпоративных сервисов. Кроме того, система может мониторить сервисы за периметром, которые работают на стороне провайдера и не «привязаны» к ПК сотрудника напрямую. А если сервис не поддерживается сразу, то легко подключается вручную простыми встроенными инструментами.

  4. Качественно анализировать и структурировать полученные данные для надежного обнаружения инцидентов.


    Аналитика в DLP работает на основе видов поиска, которые поддерживает движок. В «СёрчИнформ КИБ» он собственной разработки: поисковых алгоритмов в нем много, плюс анализируются аудио, текст, архивы, спрятанные объекты и скрытые слои. В результате весь получаемый системой трафик индексируется, т.е. раскладывается «по полочкам» в едином удобном для обработки виде.

  5. Поддерживать универсальные технологии обмена данными, то есть быть открытой для «подключения» внешних систем.


    Как правило, хватает такого набора: REST API, SYSLOG/CEF, SMTPs, ICAP, ODBC. Но могут потребоваться специфические механизмы. В КИБ более десятка доступных технологий интеграции, все работают из коробки прямо в интерфейсе: подключение к внешней системе можно «накликать», не потребуется ничего программировать.


То есть DLP должна обеспечить глубину внедрения агента на рабочие станции и охватность каналов контроля в любой инфраструктуре, чтобы наиболее полно собирать данные. А также «уметь» делиться данными с другими элементами ИБ-арсенала, чтобы обеспечивать комплексный контроль.


Теперь посмотрим, как это использовать, чтобы с помощью интеграции с DLP усилить весь контур защиты.

С чем и как интегрировать DLP


DLP может выступать в двух ролях: как источник информации и как аналитический центр, который обрабатывает данные из других СЗИ.


DLP полезно собирать данные из:

  1. Систем физической безопасности


    Это могут быть СКУД, системы видеонаблюдения и сигнализации. Сведения из них полезны в DLP, в первую очередь, для сопоставления с данными об активности сотрудников за ПК. Например, это помогает выявлять случаи подлогов, когда под учетными данными и ключами доступа сотрудников действуют посторонние или недобросовестные коллеги. В КИБ есть готовые шаблоны для интеграции с популярными системами этой категории для подключений по API и напрямую к БД.

  2. DCAP/DAG-систем

  3. Сведения нужны, чтобы ускорить поиск и блокировки передачи чувствительного контента. Если DLP распознает присвоенные файлу в DCAP метки, то не будет тратить время на его повторную вычитку, чтобы применить политики ИБ. Таким образом КИБ распознает метки MS Information Protection и работает с модификаторами EveryTag. А с DCAP «СёрчИнформ FileAuditor» интегрирован бесшовно и работает на базе общего агента.

  4. Систем шифрования и защиты файлов

  5. DLP нужно получать ключи шифрования, использовавшиеся, например, для защиты архивов и файлов, чтобы контролировать их контент. Система автоматически применит их при анализе файлов, чтобы не допустить утечку. Таким образом «СёрчИнформ КИБ», например, работает со StarForce, который открывает доступ ко внутренним документам компании в зашифрованном виде в защищенной внешней среде.

  6. Произвольных БД, в том числе служебного и бизнес-ПО

  7. DLP может обрабатывать данные из произвольных источников внутри своей среды, чтобы проверять их на соответствие политикам безопасности. В этом случае загружаемая извне информация пополняет базу перехвата – как если бы сама DLP получила эти данные в одном из контролируемых каналов, чтобы затем направить на анализ. Также можно импортировать фильтры и настройки автоматизированного поиска инцидентов.


DLP может отдавать данные в:

  • Антивирусы и EDR/XDR


    Во-первых, это нужно, чтобы системы «видели» друг друга и не воспринимали как угрозу. Во-вторых, данные из DLP обогатят данные о нормальной работе инфраструктуры, чтобы системы киберзащиты могли уточнить распознавание атак. КИБ совместим со всеми популярными решениями класса – интеграция с антивирусами по умолчанию «зашита» в систему. Дополнительно DLP может передавать в них логи или избранную информацию из своей БД.

  • SIEM/SOC


    Из КИБ можно передать большинство метрик, отчетов и инцидентов в любые SIEM или SOC. Это делается через обычный SYSLOG/CEF, но в нашу «СёрчИнформ SIEM», например, КИБ отдает данные напрямую. Так как агент DLP внедряется как бы «из-под» операционной системы, его права не ограничены ее рамками. И даже фоново получает углубленные сведения о работе инфраструктуры: об активности процессов, сайтов, подключенных устройствах и т.п. В SOC и SIEM эти данные можно коррелировать с информацией из других источников, чтобы выявлять сложные инциденты ИБ.

  • ОС и стороннее ПО


    DLP может отдавать команды для других процессов и систем через RPC/MMC или скрипты на (Power)Shell/SSH. Например, можно прерывать сеанс и блокировать учетную запись пользователя, если DLP уведомила, что за ПК «чужак». Таким же образом КИБ может предоставлять в произвольные системы сведения о своей работе и выявленных инцидентах.

  • IRP


    Реагирование на инциденты успешнее решается спецсредствами, поэтому в КИБ есть специальный интерфейс для взаимодействия с R-Vision. DLP передает туда сведения об инцидентах и дополнительную информацию, IRP помогает запустить реакцию. Тот же интерфейс позволяет экспортировать данные в ГосСОПКА: отчеты об инцидентах и ходе их расследования.


Кроме того, можно «подружить» КИБ с системами бизнес-аналитики, HR, бухгалтерии, планирования и т.д., чтобы находить и оптимизировать неэффективные бизнес-процессы. Но это тема для другой статьи.

Что получится в итоге


Главная цель интеграции DLP с другими средствами защиты – взаимное обогащение данными, синхронизация политик ИБ и координация реагирования на угрозы. В идеале это единая консоль, где перед глазами вся информация о компании, а под рукой все инструменты для предупреждения инцидентов. Вот ее главные преимущества:

  • Комплексный контроль выявляет больше, чем отдельные нарушения: становятся видны пути развития инцидента, организационные проблемы, бреши в защите. Значит, инциденты легче расследовать и подтверждать доказательствами.
  • Интегрированные системы проще синхронизировать, чтобы автоматизировать управление и упростить работу с ними. Это экономит силы и время ИБ-специалистов.
  • ИБ-решения на общей платформе экономят ресурсы компании при закупке серверного оборудования, СХД и лицензий системного софта, необходимых для их работы.


В задачи DLP не входит управление всеми системами ИБ. Однако это важная и продуктивная часть ИБ-инфраструктуры, поэтому мы максимально открываем КИБ для обмена данными. А заодно строим на его основе свою мини-экосистему: для противодействия внутренним угрозам и работы с человеческим фактором, который часто остается за пределами внимания инструментов киберзащиты.


Попробуйте «СёрчИнформ КИБ» в связке или отдельно: система встроится в вашу ИБ-инфраструктуру и усилит ее, дополнив новыми возможностями. Это бесплатно на 30 дней.


Реклама. Рекламодатель ООО «СерчИнформ», ИНН 7704306397 erid:2SDnjecSC27



Source link


Больше на Сегодня.Today

Subscribe to get the latest posts sent to your email.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *

Больше на Сегодня.Today

Оформите подписку, чтобы продолжить чтение и получить доступ к полному архиву.

Читать дальше