DLP защищают от утечек: это база. Но этим польза систем не ограничивается.
Автор – Алексей Дрозд, начальник отдела безопасности «СёрчИнформ»
DLP внедряются в инфраструктуру, контролируют все происходящее на ПК пользователей и в каналах связи. Обладают мощной аналитикой, чтобы в разношерстном трафике выявить инциденты. Умение систем агрегировать данные, с одной стороны, и структурировать их, с другой, открывают большой потенциал для решения разнообразных ИБ-задач – выходя за пределы только борьбы с утечками.
Усилить и преумножить возможности DLP можно, интегрируя систему с другими элементами защитной инфраструктуры. Разберем, с чем «подружить» систему и как добиться максимальной эффективности интеграций.
Одна из задач DLP-системы в комплексной системе ИБ – предоставлять подробные данные об активности пользователей внутри периметра. Чтобы DLP могла выступать «хабом» для сбора и дальнейшего применения данных в других СЗИ, она должна соответствовать следующим параметрам:
DLP «СёрчИнформ КИБ» работает с Windows, Linux и Mac, дата-центр системы работает с произвольными СУБД: от MS SQL до Jatoba, Pangolin, PostgreSQL и российской PostgreSQL Pro. Система может работать как локально, так и в облаке, в том числе контролировать виртуальные рабочие станции. То есть «встанет» куда угодно.
«СёрчИнформ КИБ» уже из коробки – одна из самых охватных DLP на рынке по числу контролируемых корпоративных сервисов. Кроме того, система может мониторить сервисы за периметром, которые работают на стороне провайдера и не «привязаны» к ПК сотрудника напрямую. А если сервис не поддерживается сразу, то легко подключается вручную простыми встроенными инструментами.
Аналитика в DLP работает на основе видов поиска, которые поддерживает движок. В «СёрчИнформ КИБ» он собственной разработки: поисковых алгоритмов в нем много, плюс анализируются аудио, текст, архивы, спрятанные объекты и скрытые слои. В результате весь получаемый системой трафик индексируется, т.е. раскладывается «по полочкам» в едином удобном для обработки виде.
Как правило, хватает такого набора: REST API, SYSLOG/CEF, SMTPs, ICAP, ODBC. Но могут потребоваться специфические механизмы. В КИБ более десятка доступных технологий интеграции, все работают из коробки прямо в интерфейсе: подключение к внешней системе можно «накликать», не потребуется ничего программировать.
То есть DLP должна обеспечить глубину внедрения агента на рабочие станции и охватность каналов контроля в любой инфраструктуре, чтобы наиболее полно собирать данные. А также «уметь» делиться данными с другими элементами ИБ-арсенала, чтобы обеспечивать комплексный контроль.
Теперь посмотрим, как это использовать, чтобы с помощью интеграции с DLP усилить весь контур защиты.
DLP может выступать в двух ролях: как источник информации и как аналитический центр, который обрабатывает данные из других СЗИ.
DLP полезно собирать данные из:
Это могут быть СКУД, системы видеонаблюдения и сигнализации. Сведения из них полезны в DLP, в первую очередь, для сопоставления с данными об активности сотрудников за ПК. Например, это помогает выявлять случаи подлогов, когда под учетными данными и ключами доступа сотрудников действуют посторонние или недобросовестные коллеги. В КИБ есть готовые шаблоны для интеграции с популярными системами этой категории для подключений по API и напрямую к БД.
Сведения нужны, чтобы ускорить поиск и блокировки передачи чувствительного контента. Если DLP распознает присвоенные файлу в DCAP метки, то не будет тратить время на его повторную вычитку, чтобы применить политики ИБ. Таким образом КИБ распознает метки MS Information Protection и работает с модификаторами EveryTag. А с DCAP «СёрчИнформ FileAuditor» интегрирован бесшовно и работает на базе общего агента.
DLP нужно получать ключи шифрования, использовавшиеся, например, для защиты архивов и файлов, чтобы контролировать их контент. Система автоматически применит их при анализе файлов, чтобы не допустить утечку. Таким образом «СёрчИнформ КИБ», например, работает со StarForce, который открывает доступ ко внутренним документам компании в зашифрованном виде в защищенной внешней среде.
DLP может обрабатывать данные из произвольных источников внутри своей среды, чтобы проверять их на соответствие политикам безопасности. В этом случае загружаемая извне информация пополняет базу перехвата – как если бы сама DLP получила эти данные в одном из контролируемых каналов, чтобы затем направить на анализ. Также можно импортировать фильтры и настройки автоматизированного поиска инцидентов.
DLP может отдавать данные в:
Во-первых, это нужно, чтобы системы «видели» друг друга и не воспринимали как угрозу. Во-вторых, данные из DLP обогатят данные о нормальной работе инфраструктуры, чтобы системы киберзащиты могли уточнить распознавание атак. КИБ совместим со всеми популярными решениями класса – интеграция с антивирусами по умолчанию «зашита» в систему. Дополнительно DLP может передавать в них логи или избранную информацию из своей БД.
Из КИБ можно передать большинство метрик, отчетов и инцидентов в любые SIEM или SOC. Это делается через обычный SYSLOG/CEF, но в нашу «СёрчИнформ SIEM», например, КИБ отдает данные напрямую. Так как агент DLP внедряется как бы «из-под» операционной системы, его права не ограничены ее рамками. И даже фоново получает углубленные сведения о работе инфраструктуры: об активности процессов, сайтов, подключенных устройствах и т.п. В SOC и SIEM эти данные можно коррелировать с информацией из других источников, чтобы выявлять сложные инциденты ИБ.
DLP может отдавать команды для других процессов и систем через RPC/MMC или скрипты на (Power)Shell/SSH. Например, можно прерывать сеанс и блокировать учетную запись пользователя, если DLP уведомила, что за ПК «чужак». Таким же образом КИБ может предоставлять в произвольные системы сведения о своей работе и выявленных инцидентах.
Реагирование на инциденты успешнее решается спецсредствами, поэтому в КИБ есть специальный интерфейс для взаимодействия с R-Vision. DLP передает туда сведения об инцидентах и дополнительную информацию, IRP помогает запустить реакцию. Тот же интерфейс позволяет экспортировать данные в ГосСОПКА: отчеты об инцидентах и ходе их расследования.
Кроме того, можно «подружить» КИБ с системами бизнес-аналитики, HR, бухгалтерии, планирования и т.д., чтобы находить и оптимизировать неэффективные бизнес-процессы. Но это тема для другой статьи.
Главная цель интеграции DLP с другими средствами защиты – взаимное обогащение данными, синхронизация политик ИБ и координация реагирования на угрозы. В идеале это единая консоль, где перед глазами вся информация о компании, а под рукой все инструменты для предупреждения инцидентов. Вот ее главные преимущества:
В задачи DLP не входит управление всеми системами ИБ. Однако это важная и продуктивная часть ИБ-инфраструктуры, поэтому мы максимально открываем КИБ для обмена данными. А заодно строим на его основе свою мини-экосистему: для противодействия внутренним угрозам и работы с человеческим фактором, который часто остается за пределами внимания инструментов киберзащиты.
Попробуйте «СёрчИнформ КИБ» в связке или отдельно: система встроится в вашу ИБ-инфраструктуру и усилит ее, дополнив новыми возможностями. Это бесплатно на 30 дней.
Реклама. Рекламодатель ООО «СерчИнформ», ИНН 7704306397 erid:2SDnjecSC27
Собираем и анализируем опыт профессионалов ИБ