ИБ-аналитика: прозрачнее, ещё прозрачнее!!!

Аватар пользователя A.B.Kostina
Автор: Костина Анна, "Инфосистемы Джет"

Любая достаточно ушедшая вперед технология неотличима от чуда.

Артур Кларк.

Сегодняшние службы ИБ ежедневно сталкиваются с необходимостью быстрого получения полной информации об общем состоянии ИБ и отдельных проблемных местах для принятия оперативных решений по ИБ, демонстрации бизнес-руководству динамики изменения состояния ИБ и эффективности подразделения ИБ для обеспечения конструктивного диалога. При этом, несмотря на все предпринимаемые усилия (в том числе и связанные с попытками распространения рискориентированного подхода на область ИБ, имевшие место в несколько последних лет) до сих пор диалог между бизнесом и подразделениями ИБ требует значительных усилий с обеих сторон.

В целом ситуация в сфере ИБ такова, что практически любая организация использует множество разнородных систем безопасности с самым различным функционалом. В данном случае мы имеем дело и с комплексами защиты от утечек информации, и с системами мониторинга событий ИБ, контроля действий пользователей, анализа уязвимостей и многими другими. Все эти средства  предоставляют информацию в совершенно разных форматах (тут и всевозможные базы данных, и отчеты, и журналы событий и пр.), что делает практически невозможным проведение сквозного анализа через все эти средства, а, как следствие, получение действительно целостной картины происходящего в части ИБ.

От бизнес-аналитики к ИБ – туда и обратно

По большому счету, описанное очень напоминает то, что происходит в сфере бизнес-аналитики: то же огромное количество всевозможных источников данных, то же разнообразие форматов предоставляемых данных и та же насущная потребность в разноуровневой аналитике и вовлечении в работу не только технических подразделений, но и бизнеса. Это позволят заключить, что теоретически решения класса Business Intelligent могут использоваться в сфере ИБ. И на сегодняшний день данная теория уже подтверждена практикой: только за прошедший год нами был реализован целый ряд проектов, нацеленных на внедрение BI-решений для удовлетворения потребностей служб информационной безопасности. Накопленный при этом опыт позволяет выделять и некие общие моменты. Например, задачи, которые стремятся решать ИБ-подразделения отечественных компаний, во многом схожи – это и централизованный контроль ИБ, включая состояние ИБ на территориально распределенных площадках, контроль действий пользователей, контроль выполнения требований, демонстрация эффективности мероприятий по ИБ бизнес-руководству и т.д.

Логичным ответом на существующие потребности отечественных компаний стало появление в апреле 2013 года нового продукта Jet inView Security, который объединил все наработки компании в области управления ИБ, разработки коннекторов к системам ИБ, мониторинга эффективности и аналитики по ИБ. На сегодняшний день, эффективная технология, позволяющая руководителям ИБ-подразделений выйти на новый уровень аналитики данных по ИБ, вывести значимость ИБ-подразделений на должный уровень и обеспечить качественный диалог с бизнесом, вполне возможно, окажется родоначальницей нового класса решений, который по аналогии с BI может получить название Security Intelligence.

Jet InView Security – How It's Made?

Jet InView Security сочетает в себе классический функционал Business Intelligence и Data Mining и решает проблему непрозрачности ИБ для бизнеса и сложности ИБ-аналитики. Продукт позволяет с минимальными трудозатратами оперативно аккумулировать и анализировать информацию из разных подсистем безопасности и бизнес-систем с последующими преобразованием и подачей в виде аналитических панелей различного уровня детализации.

Архитектура Jet inView Security основана на трех функциональных уровнях:

  • сбор и концентрация данных о безопасности. Для эффективного сбора информации из самых разных источников разработаны специальные коннекторы, обеспечивающие связь с системами обеспечения ИБ, бизнес-системами, вспомогательными системами (например, кадровыми). В каждом конкретном проекте их состав может варьироваться в зависимости от инфраструктуры заказчика и его потребностей;
  • анализ и преобразование данных. Аналитический движок, основанный на  BI-технологиях, позволяет связывать между собой различные данные, проводить необходимые расчеты и корреляцию;
  • представление информации с помощью модулей визуализации – аналитических панелей. В их число входят Dashboard`ы, содержащие высокоуровневую информацию, и модуль Analytics, связывающий базы данных всех средств защиты и проводящий по ним сквозную аналитику.

Такая архитектура Jet inView Security позволяет спускаться от высокоуровневой аналитики к данным более низкого уровня в рамках интерфейса одной системы (вплоть до перехода в консоли систем-источников). В итоге руководители ИБ-подразделения получают возможность в максимально наглядной форме, в рамках «единого окна», видеть актуальное состояние дел в области ИБ с желаемым уровнем детализации.

Вместо анализа регулярных отчетов о работе систем безопасности, «ручного» поиска дополнительной информации из других источников, Jet inView Security позволяет быстро получать из них данные и приводить их к виду, дающему руководителю подразделения безопасности возможность видеть полное текущее состояние дел с возможностью детализации по клику мыши.

Jet inView Security имеет модульную структуру, что позволяет увеличить гибкость продукта, который легко кастомизируется и адаптируется. Каждый модуль предназначен для решения определенного бизнес-кейса. Плотная работа с представителями разных отраслей и обмен идеями пополняют нашу базу кейсов по применению Jet inView Security и расширяют горизонты аналитики ИБ. Какие бизнес-кейсы являются наиболее интересными и популярными?

  • Централизованная аналитика в области ИБ

Частая проблема в крупных территориально распределенных компаниях – это контроль информационной безопасности на удаленных площадках. Чаще всего она решается посредством регулярной отчетности от филиалов, направляемых в головной офис. Понятно, что иногда полнота и достоверность этой информации может вызывать вопросы.

Подключив подсистемы безопасности филиалов к Jet inView Security, можно получать объективную информацию о состоянии ИБ в них. При этом доступ к данным обо всех филиалах будут иметь только сотрудники головного офиса, а специалисты филиалов будут видеть данные только по своему филиалу.

  • Определение реального уровня защищенности бизнес-систем с учетом актуальных угроз и уязвимостей

Современные системы анализа защищенности и мониторинга событий ИБ выявляют уязвимости и инциденты, связанные с объектами инфраструктуры, поддерживающими работу ключевых бизнес-систем заказчиков. Но не учитывают, разницы между действительно критичными объектами и такими же, но некритичными. За счет ранжирования бизнес-систем по критичности, инвентаризации объектов инфраструктуры, из которых они состоят, появляется возможность определения реального уровня защищенности бизнес-систем. Это дает возможность выделить более четкие приоритеты при обеспечении ИБ бизнес-систем и бизнес-процессов.

  • Поведенческий анализ работы систем и пользователей

В отношении пользователей и систем можно выделить критерии их «нормального» поведения. Это позволит проводить в Jet inView Security поведенческий анализ их работы. И в случае существенных отклонений у подразделения ИБ будет возможность понять, с чем именно связано такое отклонение, является ли оно критичны для ИБ, есть ли необходимость предпринимать какие-то корректирующие действия.

Произошла утечка информации? – Можно быстро посмотреть, кто, когда и куда отсылал файлы по почте, которые содержали критичную для компании информацию, а, может, сохранил на флешку, с кем эти люди общались в последнее время по почте,  на какие сайты ходили в день утечки (а за день до этого, а за неделю).  Все это можно увидеть в Jet inView Security.

  • Оценка результативности  и эффективности подразделения ИБ и процессов ИБ

В сообществе информационной безопасности давно обсуждается тема непрозрачности ИБ для бизнеса. Это влечет за собой проблемы как для руководства (непрозрачность, непонимание, куда уходят деньги и, какой эффект дают эти траты), так и для руководителей подразделений ИБ (сложности в демонстрации отдачи от деятельности ИБ, эффекта от вложенных в ИБ средств).

В связи с этим актуальным является создание иерархии показателей результативности и эффективности ИБ (от бизнес-метрик до технических показателей).

Использование метрик эффективности позволяет: количественно и качественно оценить ожидаемые результаты от внедрения мер по защите информации, в том числе, с точки зрения эффективности расходования средств; определить степень соответствия внедряемых и уже внедренных процессов ожиданиям компании.

Регулярное отслеживание метрик позволяет выявлять реальные и потенциальные недостатки в обеспечении ИБ, принимать своевременные и обоснованные меры по его улучшению и устранению коренных причин возникших отклонений. Кроме того, появляется возможность отследить, как вносимые изменения отражаются на деятельности по обеспечению ИБ, и продемонстрировать, каким образом она вносит вклад в достижение целей бизнеса.

А пользователь кто?

Использование Jet inView Security позволит не только проводить глубокую аналитику, но и наглядно представлять её результаты с учетом потребностей различных групп пользователей. В качестве основных пользователей Jet inView Security можно выделить: представителей бизнес-руководства, руководителя и сотрудников подразделений ИБ.

Сотрудники подразделения информационной безопасности смогут оперативно получать актуальную информацию о том, что именно происходит в процессах ИБ, какие данные предоставляют системы обеспечения ИБ, какие между ними существуют взаимосвязи. Руководитель подразделения ИБ, используя систему, получит представление об общем уровне безопасности даже в условиях территориально распределенной структуры организации. А представители бизнес-руководства, в свою очередь, смогут отслеживать высокоуровневую динамику защищенности компании и бизнес-процессов в целом, эффективность ИБ. Таким образом за счет нового взгляда на ИБ становятся возможными наглядная демонстрация руководству результатов работы, оценка соответствия ИБ ожиданиям бизнеса, контроль состояния ИБ в «одном окне» и эффективности внедряемых мер обеспечения ИБ, существенное сокращение трудозатрат на рутинную деятельность, определение направлений развития ИБ.

Total votes: 0
 
Комментарии в Facebook
 

Вы сообщаете об ошибке в следующем тексте:
Нажмите кнопку «Сообщить об ошибке», чтобы отправить сообщение. Вы также можете добавить комментарий.