Бизнес активно переходит в «цифру»: внедрение IT-решений ускоряет работу и сокращает издержки. В результате неизбежно растет объем данных, которые превращаются в ценный актив — их нужно сохранять, защищать и контролировать.
Для этих задач существуют разные классы продуктов. Внешним угрозам противостоят антивирусы, фаерволы, прокси и т.д. Внутренним (инсайдерской активности, шпионажу, корпоративному мошенничеству) — DLP-системы. Наконец, есть базовые меры безопасности: разграничение прав доступа, файловый, системный, программный и аппаратный аудит. В компаниях, которые серьезно относятся к защите информации, появляется целый парк соответствующего программного обеспечения. Его обслуживание требует ресурсов, часто — специальных компетенций.
Российская компания SearchInform придерживается правила, что задачи безопасности в бизнесе должны решаться комплексно, но без перегрузки инфраструктуры. Вендор создал линейку интегрируемых продуктов, которые обеспечивают специалистов по информационной безопасности всеми необходимыми инструментами.
Вначале SearchInform специализировалась на технологиях поиска, хранения и обработки неструктурируемых данных. В 2004 году компания начала разрабатывать решения для защиты информации, а с 2006 года укрепилась на рынке DLP-систем и вошла в тройку ведущих разработчиков DLP в России. Сегодня вендор работает в 6 странах мира, а его заказчиками стали более 2500 компаний из 17 стран.
Флагманский продукт компании — SearchInform DLP, система, которая защищает бизнес от угроз, исходящих от человека (собственного сотрудника):
- утечек информации (слива в личных целях, в пользу конкурентов, по глупости и ошибке, из мести);
- корпоративного мошенничества (создания боковых схем, взяточничества, кумовства);
- непродуктивного использования рабочего времени и ресурсов компании.
Программа отслеживает активность человека за компьютером и по алгоритмам выявляет эти факты. Систему можно дополнить нетипичными для классической DLP инструментами. Интеграция с SearchInform FileAuditor позволит автоматизировать распознавание документов, наиболее критичных к утечкам, и следить за их сохранностью: где, у кого хранятся, как редактируются, кто имеет к ним доступ. В SearchInform Database Monitor можно будет проводить продвинутый аудит и мониторинг операций с базами данных и бизнес-приложениями. В результате одна система объединяет функционал нескольких классов продуктов.
В 2016 году состоялся релиз SearchInform SIEM — решения для мониторинга IT-инфраструктуры. Эта система считывает и анализирует события из всех корпоративных систем и оборудования, уведомляет об угрозах. В режиме реального времени SearchInform SIEM выявляет аномалии в данных и вычисляет инцидент по сумме событий, каждое из которых в отдельности может выглядеть безобидным.
Главное преимущество SearchInform SIEM — возможность полноценного использования системы «из коробки». После установки служба информационной безопасности получает доступ к более чем 300 готовым политикам безопасности — правилам корреляции, по которым SIEM определяет взаимосвязь между событиями в IT-инфраструктуре и выделяет инциденты. Пользователи могут редактировать и настраивать уже существующие правила, создавать собственные политики в два клика. Для этого не нужны специальные навыки программирования. При этом программное обеспечение легко внедряется (ввод в эксплуатацию возможен за один день) и отличается невысокими системными требованиями.
Для работы система формирует базу данных, в которой аккумулирует события из всех элементов IT-инфраструктуры. Сервер SIEM собирает данные из неограниченного числа источников с помощью коннекторов, которые мониторят:
- системные и сетевые логи (Windows Event Log, Linux);
- почтовые, FTP- и web-серверы (Exchange, IBM Domino, Postfix, Very Secure FTP Daemon, Apache);
- базы данных (Oracle, 1C, MS SQL, PostgreSQL);
- виртуальные среды (VMware);
- межсетевые экраны и системы комплексной сетевой безопасности (Palo Alto, CISCO, Check Point, FortiGate);
- журналы антивирусного программного обеспечения (Kaspersky, Symantec, McAfee, ESET);
- события SearchInform DLP (подключение устройств, запуск программ, копирование, передача, изменение, удаление файлов);
- Syslog-источники.
Количество коннекторов постоянно растет, при этом вендор ориентируется на потребности заказчиков: функционал расширяется в соответствии с актуальными практическими задачами. Интеграция с SearchInform DLP — отдельный плюс. Сопоставление данных из DLP с событиями других систем позволяет с точностью выявлять детали подозрительных событий:
- Кто первым открыл письмо со вложенным вирусом и как он распространялся?
- Как сотрудник вразрез с регламентом получил доступ к критически важной информации?
- Почему и с какого момента не работает база данных бухгалтерии, склада или отдела кадров? И т.д.
Кроме того, SearchInform SIEM позволяет предупреждать о выходе из строя элементов IT-парка, показывает реальную картину их функционирования и указывает на слабые места, которые следует оптимизировать. Интерфейс простой: отслеживать состояние сотен программ и устройств можно с минимальным штатом IT- и ИБ-специалистов. При обнаружении инцидентов SearchInform SIEM оповещает службу безопасности по электронной почте или в консоли. Сами же отчеты можно экспортировать в удобный формат.
Хотя у DLP и SIEM разный принцип работы (первые анализируют контент, вторые контекст), в связке они многократно повышают уровень информационной безопасности. Инструменты дополняют друг друга, так что работа службы безопасности становится проще и эффективнее. Продукты SearchInform становятся «замком» на инфраструктуре компании, главной ценностью которой является информация.
Компания Fominov Consulting — официальный бизнес-партнер SearchInform в Азербайджане. [email protected] | www.fcc.az. Tel: +99412 565 57 86/88