DLP-система может быть для сторонних приложений как источником информации, так и процессором.
Некоторые интеграции DLP со сторонними программами стали настолько привычными, что «шов» уже и незаметен. Мало кто вспоминает: а разве было когда-то иначе? Это можно сказать об интеграции с OCR-модулем (никто не усомнится, что DLP-система обязана уметь распознавать текст с картинки) или с SIEM-системой.
Но есть и менее очевидные способы сдружить системы. Вот, например, неполный перечень программ и систем, из которых собирает данные «СёрчИнформ КИБ». Через API можно интегрировать DLP с практически любой программой.
- системы управления доступом (IMD);
- системы расчета зарплаты;
- SIEM-системы;
- BI-системы;
- системы мониторинга технического состояния (например, zabbix);
- DCAP-системы;
- СКУД;
- оперативные центры SOC;
- DAM-системы.
Рассмотрим несколько примеров.
1. DLP + СКУД – привычный способ интеграции.
На этапе тестирования «СёрчИнформ КИБ» в компании вскрыли схему, по которой сотрудники «прикрывали» отсутствие коллег на рабочем месте. Судя по данным из СКУД, они были на рабочем месте. Однако модуль DLP по контролю рабочего времени ( Program Controller ) не фиксировал никакой или крайне низкую активность за ПК. Тогда подключили камеры и выяснили, что сотрудники даже не появлялись на рабочих местах. В начале и конце рабочего дня в СКУД сотрудник отмечался не только своей карточкой, но и карточками коллег.
Активность за ПК при том, что сотрудник не прошел через проходную, тоже должна быть алертом, настроенным в политиках безопасности DLP. Эта сработка может указать на то, что сотрудник получил удаленный доступ к компьютеру в обход правил. Или что кто-то использует его учётку.
2. Обмен информацией DLP с бухгалтерскими системами начисления зарплат (т.н. payroll). DLP -система отдает информацию о фактически отработанном сотрудником за компьютером времени. Программа начисления зарплат принимает эту информацию как основу для расчета.
Заказчики таким вариантом интеграции интересовались давно, а особенно активно стали применять во время массовой удаленки – это оказалось рабочим способом сделать расчет быстрее и объективнее.
Но! Мы обычно предостерегаем клиентов от чрезмерного увлечения таким методом (чтобы не «кошмарить» сотрудников поминутным контролем – все это приносит больше вреда). Но для расчета зарплаты некоторых сотрудников, где критерии начисления однозначны, подход оказывается оправданным. Например, это возможно для сотрудников техподдержки или колл-центра.
3. Интеграция с DCAP- и DAM-системами.
Это пока еще редкая комбинация, но востребованная.
Напомню, что DCAP и DAM – это решения для защиты, т.н. «данных в покое», DLP – в движении. Связка DLP+DCAP+DAM дают полноценную защиту на всех уровнях IT-инфраструктуры, позволяют сократить время выявления инцидента, найти первопричины и показать полную картину инцидента.
Покопавшись в судебных кейсах, нашли такой пример:
Нарушитель – экономист регионального отделения крупного федерального банка. В программе для работы с платежными картами клиентов он несколько раз увеличивал лимит по собственной карте, а потом по карте своего знакомого – подельника. Сначала суммы были небольшие, потом выросли – до 25,9 млн рублей.
Расследование провести сложно, т.к. сотрудник формально действует в рамках своих полномочий. Кроме того, нет потерпевшего клиента, который бы заявил об ущербе, и банк обнаруживает подобные проблемы только в результате регулярного мониторинга. Или если повезет, и кто-то из сотрудников заподозрит неладное, поделится этим со службой безопасности.
Но если единственные зацепки – это цифровые следы, нужны системы мониторинга.
Вариант 1 – в компании стоит DLP-система. Она зафиксирует цифровые следы преступления – это очень важно для того, чтобы ретроспективно расследовать инцидент, собрать доказательства вины, которые примет суд. Ими станет отчет об активности в конкретной программе + запись с монитора о конкретных действиях. Но так как перемещения документов нет, ИБ-специалист не сможет остановить инцидент в режиме реального времени.
Вариант 2 – когда DLP работает в связке с системой мониторинга баз данных.
В DAM-системе сработает сложная политика безопасности, что:
1) пользователь обращается к БД, задавая условия («изменить лимит») + 2) значение этого лимита выше заданной сумму (например, больше 50 тысяч рублей).
Оба действия легитимные, но сочетание их – опасное и с большой долей вероятности укажет на мошенничество.
DLP же позволит собрать доказательства инцидента: кто был за компьютером (данные авторизации + фото человека перед монитором), его активность в программах, а также конкретные действия в ней.
Это только несколько примеров интеграции. 25 февраля мы проводим онлайн-дискуссию на эту тему. Будет сразу два наших эксперта – Алексей Дрозд, начальник отдела информационной безопасности, и Алексей Парфентьев, руководитель отдела аналитики. Расскажут, сколько толку от интеграции DLP с другими ИТ-системами.
