Спецпроекты

На страницу обзора
Информационная безопасность должна «говорить» на языке бизнеса
Анна Костина, руководитель направления систем управления безопасностью Центра информационной безопасности компании «Инфосистемы Джет», рассказала CNews, каким образом руководители бизнеса смогут разобраться в огромных массивах данных, генерируемых различными сервисами защиты. Для этого необходима аналитическая «надстройка» над всеми системами ИБ, которая будет «переводить» техническую информацию в доступный вид. Существует несколько взглядов на то, как это реализовать на практике. «Новорожденному» классу решений Security Intelligence потребуется время, чтобы определиться со стандартами.

Анна Костина

CNews: Какие тенденции оказали наибольшее влияние на рынок средств аналитики в области ИБ в 2011–2014 годах?

Анна Костина: Прежде всего надо назвать серьезное развитие информационной безопасности вообще. Это и появление новых систем обеспечения ИБ, и их усложнение. Мы имеем дело уже не с простыми межсетевыми экранами или антивирусами, а со сложными интеллектуальными системами. Помимо этого злоумышленники и их атаки становятся все более изощренными. В арсенале подразделения безопасности крупной организации, как правило, находится около десятка систем обеспечения ИБ. Эффективно анализировать и сопоставлять данные от них без дополнительного инструментария уже просто невозможно.

Помимо этого, появилось осознание сообществом по ИБ актуальности задачи аналитики в области информационной безопасности. В ответ на это и возникающие потребности формируется пока еще довольно молодой, но при этом самостоятельный класс решений Security Intelligence (SI).

CNews: На рынке уже есть решения, которые предназначены для анализа событий безопасности – это SIEM. В чем принципиальное отличие продуктов SI? Или такое название только маркетинговый ход, чтобы выделиться на рынке?

Анна Костина: Основное отличие – это агрегация данных и детализация. Мы позиционируем наше решение класса Security Intelligence как систему принятия решений для руководителей по информационной безопасности. SIEM-системы оперируют техническими событиями, например, сколько сканирований или атак было совершено на данный момент. Понятно, что такая информация не будет актуальной для представителей топ-менеджмента. Им интересно, что происходит на уровне конкретных бизнес-процессов, то, как тот или иной инцидент может повлиять на них и бизнес компании в целом.

CNews: Не могли бы вы рассказать на примере, как происходит переход от анализа технических данных к процессам?

Анна Костина: Допустим, у банка есть 2 сервера, на них расположены бухгалтерия , с помощью которой начисляется зарплата сотрудникам, и система скоринга, определяющая кредитоспособность клиентов. Начисление зарплат – это поддерживающий процесс и его простой (даже в течение одного-двух дней) не будет критичным. В то же время оценка кредитоспособности – это ключевой бизнес-процесс, где задержки даже на несколько минут могут вести к убыткам. Средства Security Intelligence позволяют объединить технические данные с организационными сведениями и данными о бизнес-процессах. Служба ИБ понимает, что, например, сервер с одним IP-адресом относится к ERP-системе, сервер с другим IP-адресом – к системе CRM. А эти системы, в свою очередь, поддерживают конкретные бизнес-процессы. Если мы видим какой-то инцидент, «отлавливающийся» на техническом уровне, то сразу понятно, на какие бизнес-процессы может быть оказано воздействие и насколько это будет критично для компании.

CNews: Как называется ваш продукт SI, когда он появился и что он «умеет» делать?

Анна Костина: Наш продукт под названием Jet inView Security был официально выведен на рынок в апреле 2013 года. Главная функция этой системы – возможность увидеть целостную картинку состояния ИБ и «путешествовать» по разным уровням детализации.

dsc3424.jpg

Анна Костина: Появилось осознание сообществом по ИБ актуальности задачи аналитики в области информационной безопасности

Если говорить о средствах обеспечения ИБ, то они часто умеют строить ретроспективную картину безопасности или активности пользователя/системы, но каждая из них «видит» ситуацию в очень узком разрезе согласно собственному основному функционалу, поэтому они не «осознают» всей «картинки» безопасности и не понимают, все ли хорошо в компании.

Однако очень хочется иметь возможность взглянуть на то, как исторически изменяется уровень безопасности, поведение пользователя/системы. Нормален ли текущий объем инцидентов/аномалий в поведении пользователя для этого дня календарного месяца? Являются ли выявленные при сканировании сети новые уязвимости адекватным приростом за месяц или компания стала менее защищенной? Возникают ли все новые инциденты/аномалии на одной конкретной системе, является ли она взломанной или инциденты равномерно распределены между разными узлами сети?

Например, профиль работы пользователя – это десятки разных параметров: почтовые коммуникации, работа в интернете, с бизнес-системами и т.д. При этом нормальные значения разнятся для разных календарных дней, месяцев. Построить этот профиль имеющимися средствами еще можно, а вот оперативно отслеживать без специального инструментария уже нельзя. И наши заказчики с этим сталкиваются регулярно.

Возможность «длинного» профилирования и контроля отклонений в поведении пользователя или защищенности системы позволяет увидеть аномалии и угрозы, которые невозможно заметить при помощи какого-то одного современного средства защиты, даже таких, казалось бы, «всемогущих» систем, как SIEM.

Именно эти задачи и должна решить система класса Security Intelligence. Она позволит руководителю подразделения ИБ и его сотрудникам получать данные от всех имеющихся средств защиты и в любой момент времени понимать ситуацию в части ИБ. Благодаря этому руководитель службы ИБ может постоянно держать руку на пульсе и принимать решения на основе исчерпывающей информации о том, что происходит в компании.

CNews: Название Security Intelligence ассоциируется с Business Intelligence – средствами аналитики данных. Какие аналитические задачи умеет решать ваш продукт?

Анна Костина: В части аналитики данных ИБ у нас сложился ряд кейсов, которые востребованы нашими заказчиками и являются базовыми для функционала Jet inView Security: централизованная аналитика в области ИБ, определение реального уровня защищенности бизнес-систем с учетом актуальных угроз и уязвимостей, поведенческий анализ работы систем и пользователей, а также оценка результативности и эффективности подразделения и процессов ИБ. В чем заключается суть каждого бизнес-кейса?

Итак, централизованная аналитика в области ИБ. Контроль информационной безопасности на удаленных площадках – частая проблема в крупных территориально распределенных компаниях. Как правило, ее решают регулярным предоставлением отчетных документов из филиалов в головной офис. Понятно, что иногда полнота и достоверность этих данных может вызывать вопросы. Объективную информацию о состоянии ИБ в филиалах можно получить, подключив их подсистемы безопасности к Jet inView Security. При этом доступ к данным обо всех филиалах будут иметь только сотрудники головного офиса, а специалисты на местах будут видеть данные только по своему филиалу.

dsc3436.jpg

Анна Костина: У нас есть пример телекоммуникационной компании, где ИБ-специалист тратил 6–8 часов в неделю на составление еженедельных отчетов

Задача определения реального уровня защищенности бизнес-систем с учетом актуальных угроз и уязвимостей также решается использованием Jet inView Security. Современные системы анализа защищенности и мониторинга событий ИБ выявляют уязвимости и инциденты, которые связаны с объектами инфраструктуры, поддерживающими работу ключевых бизнес-систем заказчиков. Однако разница между некритичными и действительно критичными объектами не учитывается. За счет ранжирования бизнес-систем по критичности, инвентаризации объектов инфраструктуры, из которых они состоят, появляется возможность определять реальный уровень защищенности. Это позволяет более четко выделять приоритеты при обеспечении ИБ.

Возможность поведенческого анализа работы систем и пользователей, проводимого в Jet inView Security, реализуется посредством выделения критериев «нормального» их поведения. Подразделение ИБ получает инструмент, который в случае существенного отклонения позволяет понять, с чем именно это отклонение связано, является ли оно критичным для ИБ и существует ли необходимость предпринимать какие-нибудь корректирующие действия. Так, в случае утечки информации можно быстро посмотреть, кто из сотрудников, когда и куда отсылал по почте (или сохранил на флешку) файлы, содержащие критичные для компании данные. Кроме этого, в Jet inView Security можно увидеть и то, с кем эти пользователи общались в последнее время по почте, на какие сайты ходили в день утечки (за день до этого, за неделю) и пр.

С помощью Jet inView Security осуществляется и оценка результативности и эффективности подразделения безопасности и процессов ИБ. Непрозрачность ИБ для бизнеса влечет за собой проблемы как для руководства компаний (непонимание, куда уходят деньги и каков результат этих затрат), так и для руководителей подразделений ИБ (сложности в демонстрации отдачи от деятельности ИБ, эффекта от вложенных в ИБ средств). В связи с этим весьма актуально создание иерархии показателей результативности и эффективности ИБ (от бизнес-метрик до технических показателей). Использование метрик эффективности позволяет, во-первых, количественно и качественно оценить ожидаемые результаты от внедрения мер по защите информации, в том числе с точки зрения эффективности расходования средств, а во-вторых, определить степень соответствия внедряемых и уже внедренных процессов ожиданиям компании. Регулярное отслеживание метрик дает возможность выявлять реальные и потенциальные недостатки в обеспечении ИБ, принимать своевременные и обоснованные меры по его улучшению и устранению коренных причин возникших отклонений. Кроме того, это позволяет отследить, как вносимые изменения отражаются на деятельности по обеспечению ИБ, и продемонстрировать, какой вклад эта деятельность вносит в достижение целей бизнеса.

CNews: Сколько проектов по внедрению Jet InView Security реализовано к настоящему моменту? Какие отрасли выступают основными заказчиками?

Анна Костина: Так получается, что использование средств Security Intelligence не является прерогативой какой-то конкретной отрасли. Мы внедряем наше решение Jet inView Security и в нефтегазовой отрасли, и в банках, и в телекоммуникационных компаниях, и в производственных. Не могу сказать, что специфика отрасли сильно влияет на аналитические задачи в области ИБ, скорее дело в акцентах, присущих каждой конкретной компании.

Наиболее интересные и масштабные проекты связаны с построением ситуационных центров в области ИБ, ядром для которых выступает Jet inView Security. В таких проектах максимально используются базовые функции анализа данных, поступающих с разных территориальных площадок (в том числе, находящихся в разных часовых поясах), мониторинг эффективности и показателей процессов обеспечения ИБ, выявление аномального поведения критичных бизнес-систем. Но помимо базовых функций для таких проектов активно разрабатывается дополнительный специфический функционал, что дает существенное развитие продукту. На настоящий момент реализовано пять проектов, и несколько находятся на стадии реализации.

CNews: Какова стоимость вашего решения?

Анна Костина: Ценообразование гибкое, конечная стоимость зависит от размера инфраструктуры заказчика: от количества территориально-распределенных площадок и от числа информационных систем, которые подключаются к Jet inView Security и служат источниками данных. В настоящий момент мы разработали более 30 коннекторов, которые позволяют подключаться к наиболее популярным решениям ИБ – DLP, SIEM, антивирусным системам ведущих вендоров. Сейчас мы покрываем самые распространенные продукты, но время от времени мы встречаем у заказчиков системы, к которым приходится дописывать коннекторы.

CNews: Как посчитать выгоду от внедрения Jet inView Security?

Анна Костина: Главная выгода – это существенное сокращение трудозатрат на рутинную деятельность по анализу данных и составлению отчетов. У нас есть пример телекоммуникационной компании, где ИБ-специалист тратил 6–8 часов в неделю на составление еженедельных отчетов о состоянии информационной безопасности центрального офиса и филиалов. При использовании нашей системы это время сокращается до нескольких минут. Данные поступают автоматически и в автономном режиме раскладываются по шаблону отчета.

CNews: Насколько крупным должен быть заказчик, чтобы ему было интересно внедрение такой системы?

Анна Костина: Безусловно, наиболее актуальным использование SI является для крупного бизнеса. Можно выделить несколько категорий заказчиков, для которых данное решение является интересным. Во-первых, это территориально распределенные компании с устоявшейся политикой в области информационной безопасности. Такие предприятия используют большое количество систем обеспечения ИБ, при этом имеют разные филиалы, процессы ИБ формализованы и имеют закрепленные параметры функционирования.

dsc3438.jpg

Анна Костина: Безусловно, наиболее актуальным использование SI является для крупного бизнеса

Во-вторых, компании с развивающейся функцией информационной безопасности (даже независимо от их масштаба) также могут достаточно эффективно использовать системы класса Security Intelligence. В этом случае использование подобных решений может позволить не только проводить сложную аналитику данных по процессам обеспечения ИБ и облегчить диалог с бизнесом, но и гораздо быстрее выявить проблемы в процессах обеспечения ИБ, некорректное использование и настройки систем обеспечения ИБ и помочь выстроить зрелые и эффективные процессы.

В-третьих, аналитика безопасности важна для компаний со сложной ИТ-инфраструктурой. Прежде всего, это фирмы, ведущие бизнес в интернете. В этом случае уровень угроз безопасности увеличивается многократно, и требуется внедрять соответствующие средства защиты, мониторинга и анализа данных.

CNews: Кого вы видите своими конкурентами на рынке SI?

Анна Костина: На настоящий момент этот класс решений еще не до конца оформился, но очень быстро развивается. Пока разные производители ПО наделяют свои аналитические решения немного разными функциями – кто-то пытается анализировать данные об ИБ более глубоко на техническом уровне (например, HP), кто-то проводит более высокоуровневый анализ, стараясь объединить данные об организационной структуре, бизнес-процессах с техническими данными от систем обеспечения ИБ.

Есть разные решения. Например, кто-то из вендоров строит аналитику на основе данных, поступающих от своих систем обеспечения ИБ (Symantec, McAfee). Также на рынке представлены компании, которые разрабатывают ИБ-аналитику на основе данных от какого-то одного интеллектуального глобального источника, роль которого чаще всего исполняет SIEM. Наша идеология заключается в интеграции с максимальным количеством разных систем различных вендоров.

Ранее такая же неопределенность была с понятиями SIEM и DLP. Когда появлялись первые системы, различные вендоры вкладывали в эти термины немного разный смысл. Со временем эти понятия зафиксировались, и продукты обрели перечень функций, которые требуются к реализации по умолчанию.

CNews: Каковы ваши планы по дальнейшему развитию решений в области аналитики информационной безопасности?

Анна Костина: Планов много и они достаточно амбициозны. В компании есть roadmap по развитию продукта, который включает стратегические, тактические и операционные задачи.

Если говорить «снизу-вверх», то в операционные задачи входят, прежде всего, разработка новых коннекторов к решениям в области информационной безопасности, а также к смежным системам: мониторинга ИТ, кадровым системам и т.д. Помимо этого, большое внимание уделяется базовым аналитическим моделям для каждого подключаемого источника данных и поддерживаемого им процесса обеспечения ИБ. Например, сейчас для источников одного класса, но разных производителей, мы обеспечиваем одинаковую визуализацию. Для чего мы это делаем? Часто случается, что в центральном офисе и филиалах могут использоваться средства разных производителей, например, антивирусы. Для разных антивирусов мы делаем одинаковую визуализацию, чтобы аналитик в центральном офисе анализировал процесс антивирусной защиты, не вдаваясь в подробности, какой антивирус используется в удаленном филиале, какова специфика работы с ним.

В части тактических задач – мы расширяем количество аналитических кейсов, которые могут быть решены с помощью Jet inView Security. Сейчас, когда продукт уже используется заказчиками, они часто являются идеологами каких-то новых кейсов. Каждую такую идею мы анализируем, обсуждаем ее с другими заказчиками, и если она находит отклик, то реализуем в нашем решении.

Ну, а если говорить о стратегии, Jet inView Security является неотъемлемой частью экосистемы безопасности Jet inView, в которую входит ряд наших продуктов и сервисов по ИБ, в том числе, средство автоматизации управления доступом или IdM-решение − Jet inView Identity Manager, сервисы, поставляемые из нашего центра мониторинга и управления JSOC. Jet inView Security находится на самом верху пирамиды экосистемы Jet inView, и поэтому развивается вместе со всей экосистемой, обеспечивая интеграцию всех продуктов на базе одной платформы управления, единую систему визуализации аналитической информации и возможность в любой момент подключить новое решение.