Если вам есть, что сказать сообществу профессионалов ИБ и ИТ – заведите здесь свой блог

Тема недели на «DLP-Эксперт»: новый уровень ИБ-аналитики: для бизнеса и безопасности. Подводим итоги.

Аватар пользователя A.B.Kostina
Автор: Костина Анна, "Инфосистемы Джет"

В течение прошедшей недели в рамках нового проекта «Тема недели» на «DLP-Эксперт» обсуждались возможности для вывода  ИБ-аналитики на  новый уровень: для бизнеса и безопасности.

Мы давно заметили, что процессы ИБ у наших заказчиков в большинстве  своем хорошо автоматизированы и внедрено множество систем безопасности, но наряду с этим, зачастую, они не имеют целостной картины состояния ИБ. И это состояние  столь характерно для большинства компаний, что на сегодняшний день вполне имеет право называться рыночной тенденцией.

В нашу недельную «беседу» вошли и небольшие посты в блог, и полноценная статья, и проведенный вебинар. При этом  в первую очередь мы обсуждали принципиально новый взгляд на ИБ с позиции самих безопасников: новые аналитические возможности, которые  позволяют быстро (практически мгновенно) увидеть текущий статус по процессам ИБ, и, в случае если есть какое-то отклонение, детализировать его до вызвавших их конкретных событий, транзакций, уязвимостей и т.п.

Те, кто не смог принять участие в online-вебинаре, могут ознакомиться с подробной записью, а дополнительные вопросы вы можете задавать, используя сервис «оставить комментарий».

Возвращаясь к теме вебинара, хочу отметить, что во время него были представлены не только теоретические выкладки, но и проведена технологическая демонстрация продукта Jet inView Security, который призван решить проблему непрозрачности ИБ для бизнеса и сложности ИБ-аналитики как таковой. При этом большинство вопросов, заданных участниками вебинара, касались именно технической реализации продукта. Что особенно приятно, так как подтверждает практическую применимость продукта для решения конкретных задач с одной стороны и актуальность темы обеспечения качественно нового уровня ИБ-аналитики.  В ближайших планах – дальнейшее развитие продукта: как с точки зрения подключаемых к нему подсистем безопасности, так и с точки зрения кейсов по его применению.

Ответы на наиболее интересные, на мой взгляд, вопросы приведены ниже.

Риски в рамках настоящей системы – это только наличие уязвимости? 

На самом деле нет, приведенный  пример позволяет продемонстрировать, что некие  технические показатели могут лечь в основу более высокоуровневых. При создании главного дашборда с показателями, мы отталкиваемся исключительно от специфики конкретного заказчика: что для него важно, какие высокоуровневые показатели могут быть интересны для бизнес-руководителей, из каких технических показателей можно их сложить? Например,  может не оказаться данных из каких-то систем, а может вовсе и не риск является интересным для заказчика показателем. В частности мы встречали компании, руководство которых на вопрос «А что вам интересно с точки зрения ИБ знать?» отвечало «Хочу спокойно спать». После уточнения, оказывалось, что  это понятие включает в себя целый ряд показателей: лояльность сотрудников с точки зрения ИБ, обеспечение достаточного уровня ИБ, выполнение требований регуляторов. И это всего лишь один из примеров.

Каковы сложность и сроки кастомизации под конкретного заказчика?

Каждый проект включает в себя ряд этапов. Прежде всего, необходимо понять, какие системы безопасности есть в наличии, как они настроены и какие данные предоставляют. После этого мы даем рекомендации по донастройке средств защиты информации, чтобы получать данные в большем объеме, либо используем те настройки, что уже есть. Весь проект от начала до конца – от проведения предварительного обследования источников данных до конкретного внедрения – длится максиму до полугода (этот расчет актуален при подключении большого количества источников данных). Но обычно такие проекты оказываются значительно короче.

Можно ли получать данные из сертифицированных СЗИ, таких как Страж NT, SecretNet? Из продуктов Инфотекс (ViPNet)? Где можно посмотреть весь перечень?

Да, такие данные получать можно. В частности у нас есть опыт интеграции с Vipnet, «Крипто-КОМ» и SecretNet. Если коннекторы для интеграции с  ViPNet и «КриптоКом» мы уже перевели в промышленную эксплуатацию, то коннектор для SecretNet на данный момент находится в разработке и тестировании. Весь перечень коннекторов мы готовы предоставить по запросу.

Каким образом осуществляется выгрузка данных из систем? Online-коннектор? Offline-выгрузка средствами самой системы?

Выгрузку данных можно производить и первым и вторым способами. Например, в случае «Дозор-Джет» мы подключались напрямую к базе данных. А если говорить про MaxPatrol, то мы использовали .xml-выгрузки отчетов.  Для каждого источника данных существуют разные способы подключения. В общем случае мы стараемся использовать подключение напрямую к базе данных.  Если это невозможно – используем выгрузки или потоки данных, которые в дальнейшем анализируем.

Производится ли аналитика сообщений в формате syslog или syslog-ng. Анализируется файл или работает как syslog сервер?

У нас есть и такой опыт. В частности, таким способом подключали ArcSight – у нас есть соответствующий коннектор. И в данном случае мы использовали syslog сервер и забирали с него данные в нашу систему.

Продукт самостоятельный или требует закупки дополнительного ПО (например, СУБД Oracle)?

Продукт самостоятельный, баз данных под себя не требует и обладает своим собственным хранилищем, куда поступают данные из систем безопасности. Поэтому разворачивать хранилище или строить БД специально под Jet inView Security не обязательно. При этом есть вероятность возникновения ситуаций, при которых потребуется построение хранилищ, но это единичные случаи, обусловленные  специфическими бизнес-потребностями заказчиков.

Можно ли саму систему использовать как источник данных для других систем (например GRC)?

Это вопрос открытый. Мы такую задачу себе пока не ставили, так как мы берем данные из источников, предоставляем их внутри нашей системы и обеспечиваем аналитику. Но при необходимости подачи каких-то агрегированных данных (например, выгрузки из нашей системы по определенным параметрам) в случае, когда, предположим, есть необходимость внести  в GRC систему данные об уязвимостях определенных активов или любую другую информацию – в этом случае да, мы можем выгрузки и отчеты из нашей системы подавать в GRC.

Каков порядок цены продукта?

Конечная цена может определиться только после того, как мы поймем какие задачи ставит заказчик перед нашей системой, какое количество систем будет подключено и каков формат этих подключений. Подключение простых выгрузок проще и быстрее, нежели подключение к базам данных, зачастую требующее индивидуальных доработок коннекторов. Если говорить о цене более обобщенно, то подключение в формате под ключ до 10 источников обойдется компании примерно в  200 тыс долл с учетом работ  – в данном случае разговор идет о полноценном проекте от момента определения потребности подключения источников до момента передачи системы в промышленную эксплуатацию.

Total votes: 0
 
Комментарии в Facebook
 

Вы сообщаете об ошибке в следующем тексте:
Нажмите кнопку «Сообщить об ошибке», чтобы отправить сообщение. Вы также можете добавить комментарий.