Журнал "Information Security/ Информационная безопасность" #3, 2024

Проблема защиты данных Результаты опросов офицеров без- опасности компаний-клиентов и экспер- тов рынка показывают, что несмотря на интерес к новым возможностям средств защиты информации и DLP-систем в частности, у большинства организаций недостаточно ресурсов, чтобы исполь- зовать их с максимальной эффектив- ностью. Это связано с тем, что каждый инструмент безопасности генерирует огромное количество разнообразных данных, чем кратно повышает нагрузку на офицера безопасности по их поиску, сопоставлению, интерпретации и даль- нейшей подготовке отчетности. ИБ-специалисту приходится вникать в множество деталей: l являются ли выявленные DLP-систе- мой события реальными нарушениями правил информационной безопасности; l действительно ли указанная персона совершила эти действия – то есть, тот ли сотрудник реально работал за рабо- чей станцией; l какие события предшествовали инци- денту и что произошло после него; l был ли у нарушителя злой умысел и т.д. Кроме того, ему необходимо заранее продумать, как обеспечить достаточное количество доказательств для предъ- явления обвинения нарушителю, и какие политики необходимо разработать для предотвращения нарушений в будущем. Огромное количество вопросов превра- щает расследование в сложный пазл, решение которого требует от специали- стов ИБ не только технической экспер- тизы, но и аналитических способностей и проницательности. В таких условиях новый подход к ежедневной работе ИБ- специалиста, основанный на удобстве, интеграции и автоматизации, становится жизненно необходимым. Что предлагает рынок защиты данных? Инструментарий для защиты данных с течением времени стал многообраз- ным: DLP-системы, мониторинг действий сотрудников, решения класса DCAP, PAM, контроль использования внешних устройств, средства категоризации информационных активов и защиты БД. Почему на практике этот арсенал средств защиты данных не оправдывает ожиданий? Вот ключевые причины. 1. Нет интеграции между различными инструментами и сервисами ИБ. Это усложняет процесс анализа и реагиро- вания на инциденты, так как специали- сты вынуждены самостоятельно разби- раться в разрозненных решениях, искать способы сопоставления и интерпретации данных вручную, чтобы составить пол- ную картину инцидента. 2. Не соблюдены принципы юзабилити, то есть у решений зачастую отсутствует интуитивно понятный интерфейс. Это негативно влияет на скорость и резуль- тативность работы с инцидентами – мониторинг, служебную проверку и рас- следования. 3. Сложность самих решений стано- вится такой, что требует все больше людей и ресурсов, чтобы использовать все возможности. Порог входа в мир технологий становится все выше, а долж- но быть наоборот. Стандартные средства защиты, доступные на рынке 1. Узкоспециализированные решения, в которых отсутствует набор необходи- мых возможностей. 2. Универсальные решения, где каждая функция требует отдельной консоли, что усложняет поиск, сопоставление данных и сохранение контекста расследования; 3. Решения с единой консолью, но без фильтров, когда контекст теряется из- за способа получения данных через ста- тичные отчеты. Например, после полу- чения отчета из DLP требуется запоми- нать время инцидента и задействован- ных сотрудников, чтобы дальше отсле- живать их действия в других системах. 4. Решения с ограниченным числом рабочих панелей. Специалист по ИБ тратит дополнительное время на еже- дневный мониторинг оперативной обста- новки и контроль сотрудников, если панели не адаптированы под его кон- кретные задачи в организации. 5. DLP-решения, где выявленные собы- тия приходится аккумулировать в сто- роннем ПО, например, в Word, Excel или облачных блокнотах. Центр расследований InfoWatch: защита данных на новом уровне В Центре расследований реализован принципиально новый подход к ежеднев- ной работе ИБ-специалиста, который поз- воляет офицеру безопасности анализи- ровать данные из разных источников в едином контексте и работать с комплекс- ной картиной событий при расследовании инцидентов ИБ. Такой подход особенно актуален для компаний с большим штатом и объемными массивами данных по ним, так как максимально упрощает для ИБ- 30 • Спецпроект ГК InfoWatch: как в 3 раза ускорить расследование инцидентов ИБ без дополнительной нагрузки на офицера безопасности егодня защита данных – это не только контроль всех каналов коммуникаций сотрудников и разбор трафика для поиска инцидентов информационной безопасности. С учетом того, как стремительно масштабируются DLP-системы и какой огромный массив данных генерирует каждый инструмент безопасности, защита информации требует к себе принципиально нового подхода. Рассмотрим, как снизить нагрузку на офицера безопасности, улучшить качество его работы и при этом в несколько раз увеличить скорость проведения расследований. С Сергей Кузьмин, руководитель направления Центр расследований ГК InfoWatch Фото: InfoWatch