Современная DLP-система – это не монолит. Под запрос клиента ее можно интегрировать со сторонними сервисами для полезного обмена информацией. Это существенно увеличивает как функционал DLP, так и сторонних приложений. Начальник отдела информационной безопасности «СёрчИнформ» Алексей Дрозд рассказывает, какие возможности пользователи систем упускают из виду.
– Совмещая свой функционал с возможностями другого ПО, DLP может выступать в двух ролях: как источник информации и как процессор, который перерабатывает данные из других систем. Последнее очень важно, т.к. DLP по сути становится единым мозговым центром, без которого приложения работают автономно и данными не обмениваются.
Некоторые интеграции DLP со сторонними программами стали настолько привычными, что «шов» уже и незаметен. Мало кто вспоминает: а разве было когда-то иначе? Это можно сказать об интеграции с OCR-модулем (никто не усомнится, что DLP-система обязана уметь распознавать текст с картинки) или с SIEM-системой.
Но есть и менее очевидные способы сдружить системы. Ниже перечень программ и систем, из которых собирает данные «СёрчИнформ КИБ». Но он неполный, так как через API систему можно интегрировать практически с любой другой программой.
С каким ПО интегрируется «СёрчИнформ КИБ»: |
|
Проще всего показать, как работает эффект синергии на примере интеграции DLP + СКУД.
Активность за ПК при том, что сотрудник не прошел через проходную, тоже должна быть алертом, настроенным в политиках безопасности DLP. Эта сработка может указать на то, что сотрудник получил удаленный доступ к компьютеру в обход правил. Или что кто-то использует его учетку.
Еще один полезный вариант интеграции – это обмен информацией DLP с бухгалтерскими системами начисления зарплат (т.н. payroll). Заказчики давно интересовались такой возможностью. Особенно активно интеграцию стали применять во время массовой удаленки – это оказалось хорошим способом сделать расчет быстрее и объективнее.
Мы обычно предостерегаем клиентов от чрезмерного увлечения таким методом (чтобы не «кошмарить» сотрудников поминутным контролем – все это приносит больше вреда). Но для расчета зарплаты некоторых сотрудников, где критерии начисления однозначны, подход оказывается оправданным. Например, это возможно для сотрудников техподдержки или колл-центра.
Интеграция с DCAP- и DAM-системами – это пока еще редкая комбинация, но востребованная. DCAP позволяет наводить и поддерживать порядок в файловой системе: выявлять, какие документы содержат критичную для бизнеса информацию, где они находятся, кто к ним обращается. DAM-системы позволяют полноценно и удобно защищать базы данных: выявлять внесение критичных изменений, удаление, слив и копирование информации.
Эти возможности ПО ценны сами по себе. Но в связке DLP+DCAP+DAM дают полноценную защиту на всех уровнях IT-инфраструктуры, позволяют сократить время выявления инцидента, найти первопричины и показать полную картину инцидента.
Как правило, DLP-системы (в частности наша «СёрчИнформ КИБ») обладают механизмом eDiscovery для работы с данными в покое. Но задача eDiscovery – просто найти конфиденциальное содержимое, тогда как ИБ-специалистам нужно еще и выявить всех сотрудников, которые имеют доступ к файлам, определить, какие были внесены последние изменения, какие редакции критичных файлов сохранены и т.п. И здесь в дело должна вступать DCAP.
Также, DLP-система видит, если сотрудник начал пересылать информацию, выгруженную из БД, но сам момент обращения не фиксирует. Так теряется ценное время на предотвращение инцидента.
Разберем схему расследования инцидентов с использованием комбинации инструментов. Вот реальный пример:
В судебной практике немало подобных мошенничеств, хотя это по масштабу, пожалуй, самое заметное. Расследование такого нарушения провести сложно, т.к. сотрудник формально действует в рамках своих полномочий. Кроме того, нет потерпевшего клиента, который бы заявил об ущербе, и банк обнаруживает подобные проблемы только в результате регулярного мониторинга. Или если повезет, и кто-то из сотрудников заподозрит неладное, поделится этим со службой безопасности.
Но если единственные зацепки – это цифровые следы, нужны системы мониторинга.
Вариант 1 – в компании стоит DLP-система. Она зафиксирует цифровые следы преступления – это очень важно для того, чтобы ретроспективно расследовать инцидент, собрать доказательства вины, которые примет суд. Ими станет отчет об активности в конкретной программе + запись с монитора о конкретных действиях. Но так как перемещения документов нет, ИБ-специалист не сможет остановить инцидент в режиме реального времени.
Вариант 2 – когда DLP работает в связке с системой мониторинга баз данных.
В DAM-системе сработает сложная политика безопасности, что:
DLP же позволит собрать доказательства инцидента: кто был за компьютером (данные авторизации + фото человека перед монитором), его активность в программах, а также конкретные действия в ней.
***
Все описанные возможности интеграции реализованы в DLP «СёрчИнформ КИБ», в том числе с собственными DCAP-системой FileAuditor и недавно вышедшей в релиз DAM-системой Database Monitor. Все их можно поставить на тест одновременно, чтобы оценить эффективность каждой и работу в связке. Пилотные версии доступны бесплатно и в полном функционале. Запросите их на сайте searchinform.ru.
Подпишитесь на нашу рассылку и получите
свод правил информационной безопасности
для сотрудников в шуточных