Как «разогнать» ИБ-инфраструктуру с помощью DLP
Как «разогнать» ИБ-инфраструктуру с помощью DLP
DLP защищают от утечек: это база. Но этим польза систем не ограничивается.
Автор – Алексей Дрозд, начальник отдела безопасности «СёрчИнформ»
DLP внедряются в инфраструктуру, контролируют все происходящее на ПК пользователей и в каналах связи. Обладают мощной аналитикой, чтобы в разношерстном трафике выявить инциденты. Умение систем агрегировать данные, с одной стороны, и структурировать их, с другой, открывают большой потенциал для решения разнообразных ИБ-задач – выходя за пределы только борьбы с утечками.
Усилить и преумножить возможности DLP можно, интегрируя систему с другими элементами защитной инфраструктуры. Разберем, с чем «подружить» систему и как добиться максимальной эффективности интеграций.
Залог успешной интеграции или что DLP должна уметь на старте
Одна из задач DLP-системы в комплексной системе ИБ – предоставлять подробные данные об активности пользователей внутри периметра. Чтобы DLP могла выступать «хабом» для сбора и дальнейшего применения данных в других СЗИ, она должна соответствовать следующим параметрам:
- Встраиваться в инфраструктуру – на уровне совместимости с ОС, СУБД, ПО и других систем, используемых в компании.
- Обеспечивать широкий контроль: поддерживать максимум каналов, по которым могут отправиться корпоративные данные.
«СёрчИнформ КИБ» уже из коробки – одна из самых охватных DLP на рынке по числу контролируемых корпоративных сервисов. Кроме того, система может мониторить сервисы за периметром, которые работают на стороне провайдера и не «привязаны» к ПК сотрудника напрямую. А если сервис не поддерживается сразу, то легко подключается вручную простыми встроенными инструментами. - Качественно анализировать и структурировать полученные данные для надежного обнаружения инцидентов.
Аналитика в DLP работает на основе видов поиска, которые поддерживает движок. В «СёрчИнформ КИБ» он собственной разработки: поисковых алгоритмов в нем много, плюс анализируются аудио, текст, архивы, спрятанные объекты и скрытые слои. В результате весь получаемый системой трафик индексируется, т.е. раскладывается «по полочкам» в едином удобном для обработки виде. - Поддерживать универсальные технологии обмена данными, то есть быть открытой для «подключения» внешних систем.
Как правило, хватает такого набора: REST API, SYSLOG/CEF, SMTPs, ICAP, ODBC. Но могут потребоваться специфические механизмы. В КИБ более десятка доступных технологий интеграции, все работают из коробки прямо в интерфейсе: подключение к внешней системе можно «накликать», не потребуется ничего программировать.
DLP «СёрчИнформ КИБ» работает с Windows, Linux и Mac, дата-центр системы работает с произвольными СУБД: от MS SQL до Jatoba, Pangolin, PostgreSQL и российской PostgreSQL Pro. Система может работать как локально, так и в облаке, в том числе контролировать виртуальные рабочие станции. То есть «встанет» куда угодно.
То есть DLP должна обеспечить глубину внедрения агента на рабочие станции и охватность каналов контроля в любой инфраструктуре, чтобы наиболее полно собирать данные. А также «уметь» делиться данными с другими элементами ИБ-арсенала, чтобы обеспечивать комплексный контроль.
Теперь посмотрим, как это использовать, чтобы с помощью интеграции с DLP усилить весь контур защиты.
С чем и как интегрировать DLP
DLP может выступать в двух ролях: как источник информации и как аналитический центр, который обрабатывает данные из других СЗИ.
DLP полезно собирать данные из:
- Систем физической безопасности
Это могут быть СКУД, системы видеонаблюдения и сигнализации. Сведения из них полезны в DLP, в первую очередь, для сопоставления с данными об активности сотрудников за ПК. Например, это помогает выявлять случаи подлогов, когда под учетными данными и ключами доступа сотрудников действуют посторонние или недобросовестные коллеги. В КИБ есть готовые шаблоны для интеграции с популярными системами этой категории для подключений по API и напрямую к БД. - DCAP/DAG-систем
- Систем шифрования и защиты файлов
- Произвольных БД, в том числе служебного и бизнес-ПО
Сведения нужны, чтобы ускорить поиск и блокировки передачи чувствительного контента. Если DLP распознает присвоенные файлу в DCAP метки, то не будет тратить время на его повторную вычитку, чтобы применить политики ИБ. Таким образом КИБ распознает метки MS Information Protection и работает с модификаторами EveryTag. А с DCAP «СёрчИнформ FileAuditor» интегрирован бесшовно и работает на базе общего агента.
DLP нужно получать ключи шифрования, использовавшиеся, например, для защиты архивов и файлов, чтобы контролировать их контент. Система автоматически применит их при анализе файлов, чтобы не допустить утечку. Таким образом «СёрчИнформ КИБ», например, работает со StarForce, который открывает доступ ко внутренним документам компании в зашифрованном виде в защищенной внешней среде.
DLP может обрабатывать данные из произвольных источников внутри своей среды, чтобы проверять их на соответствие политикам безопасности. В этом случае загружаемая извне информация пополняет базу перехвата – как если бы сама DLP получила эти данные в одном из контролируемых каналов, чтобы затем направить на анализ. Также можно импортировать фильтры и настройки автоматизированного поиска инцидентов.
DLP может отдавать данные в:
- Антивирусы и EDR/XDR
Во-первых, это нужно, чтобы системы «видели» друг друга и не воспринимали как угрозу. Во-вторых, данные из DLP обогатят данные о нормальной работе инфраструктуры, чтобы системы киберзащиты могли уточнить распознавание атак. КИБ совместим со всеми популярными решениями класса – интеграция с антивирусами по умолчанию «зашита» в систему. Дополнительно DLP может передавать в них логи или избранную информацию из своей БД. - SIEM/SOC
Из КИБ можно передать большинство метрик, отчетов и инцидентов в любые SIEM или SOC. Это делается через обычный SYSLOG/CEF, но в нашу «СёрчИнформ SIEM», например, КИБ отдает данные напрямую. Так как агент DLP внедряется как бы «из-под» операционной системы, его права не ограничены ее рамками. И даже фоново получает углубленные сведения о работе инфраструктуры: об активности процессов, сайтов, подключенных устройствах и т.п. В SOC и SIEM эти данные можно коррелировать с информацией из других источников, чтобы выявлять сложные инциденты ИБ. - ОС и стороннее ПО
DLP может отдавать команды для других процессов и систем через RPC/MMC или скрипты на (Power)Shell/SSH. Например, можно прерывать сеанс и блокировать учетную запись пользователя, если DLP уведомила, что за ПК «чужак». Таким же образом КИБ может предоставлять в произвольные системы сведения о своей работе и выявленных инцидентах. - IRP
Реагирование на инциденты успешнее решается спецсредствами, поэтому в КИБ есть специальный интерфейс для взаимодействия с R-Vision. DLP передает туда сведения об инцидентах и дополнительную информацию, IRP помогает запустить реакцию. Тот же интерфейс позволяет экспортировать данные в ГосСОПКА: отчеты об инцидентах и ходе их расследования.
Кроме того, можно «подружить» КИБ с системами бизнес-аналитики, HR, бухгалтерии, планирования и т.д., чтобы находить и оптимизировать неэффективные бизнес-процессы. Но это тема для другой статьи.
Что получится в итоге
Главная цель интеграции DLP с другими средствами защиты – взаимное обогащение данными, синхронизация политик ИБ и координация реагирования на угрозы. В идеале это единая консоль, где перед глазами вся информация о компании, а под рукой все инструменты для предупреждения инцидентов. Вот ее главные преимущества:
- Комплексный контроль выявляет больше, чем отдельные нарушения: становятся видны пути развития инцидента, организационные проблемы, бреши в защите. Значит, инциденты легче расследовать и подтверждать доказательствами.
- Интегрированные системы проще синхронизировать, чтобы автоматизировать управление и упростить работу с ними. Это экономит силы и время ИБ-специалистов.
- ИБ-решения на общей платформе экономят ресурсы компании при закупке серверного оборудования, СХД и лицензий системного софта, необходимых для их работы.
В задачи DLP не входит управление всеми системами ИБ. Однако это важная и продуктивная часть ИБ-инфраструктуры, поэтому мы максимально открываем КИБ для обмена данными. А заодно строим на его основе свою мини-экосистему: для противодействия внутренним угрозам и работы с человеческим фактором, который часто остается за пределами внимания инструментов киберзащиты.
Попробуйте «СёрчИнформ КИБ» в связке или отдельно: система встроится в вашу ИБ-инфраструктуру и усилит ее, дополнив новыми возможностями. Это бесплатно на 30 дней.
Реклама. Рекламодатель ООО «СерчИнформ», ИНН 7704306397 erid:2SDnjecSC27
Больше на Сегодня.Today
Subscribe to get the latest posts sent to your email.