DLP приносит результат, когда с ней грамотно работают и система правильно взаимодействует с инфраструктурой компании. Во-первых, потому что бизнес использует множество сервисов и ПО, данные из которых нужны DLP для точной настройки защиты. Во-вторых, потому что инфраструктура меняется, периметр размывается, и простая схема с контролем рабочих станций уже не учитывает всех факторов. В-третьих, потому что в самих системах много информации, которая может быть полезна другому ПО. Объясняет Алексей Парфентьев, заместитель генерального директора по инновационной деятельности «СёрчИнформ».
Задачи интеграции
Главная цель интеграции DLP — обеспечить сквозной обмен данными внутри инфраструктуры, чтобы учесть все тонкости бизнес-процессов. Тогда у ИБ-отдела появляется детальная картина происходящего в компании без «слепых зон». Чтобы этого добиться, определитесь:
Где DLP предстоит работать?
Это этап, где решаются вопросы совместимости DLP с инфраструктурой на базовом уровне: на каких ОС и СУБД развернется дата-центр системы, какие рабочие станции предстоит контролировать, будет внедрение локальным или виртуальным. Здесь же стоит прикинуть на будущее, планируется ли в компании «переезд» на другие платформы (это актуально при импортозамещении) или, например, в облака. Тогда DLP должна поддерживать легкую миграцию с сохранением функционала.
Что предстоит контролировать?
Здесь нужно охватить все сервисы внутри и вне периметра компании, которые обеспечивают бизнес-процессы. Также нужно учесть, что какие-то каналы сотрудники используют в нерабочих целях. Поэтому DLP должна поддерживать максимум бизнес-сервисов по умолчанию и быть открытой к интеграциям «под задачу». Например, если сотрудники решат обмениваться документами через новое облако или уведут рабочие переписки в неизвестный ранее мессенджер.
С чем DLP может объединить усилия?
DLP должна встроиться в арсенал защитных решений, при этом работу всех систем нужно скоординировать. Также разумно делиться накопленными в DLP данными с системами бизнес-аналитики, HR, бухгалтерии, планирования и т.д., чтобы находить и оптимизировать неэффективные бизнес-процессы.
Каждый пункт — задачка для DLP, и успех зависит от возможностей, которые заложил в нее разработчик. На примере «СёрчИнформ КИБ» расскажу, чего требовать от DLP, чтобы интеграция на всех уровнях прошла успешно.
Задача 1. Вписать DLP в ландшафт
Раньше подавляющее большинство компаний строили инфраструктуры на Windows, с этим учетом создавалось и прикладное ПО, включая DLP. Теперь актуальна поддержка Linux, причем вариаций ОС на этой базе — множество. В идеале DLP должна быть совместима со всеми.
Наш КИБ работает c РЕД ОС, Astra Linux, ROSA Linux, SberOS и т.д. Совместимость проверяется вместе с вендорами ОС и сертифицируется. Для опенсорсных ОС и других вариантов unix-систем мы сделали адаптивный агент: при установке он сам считывает параметры ядра ОС и автоматически «пересобирается» в нужную конфигурацию. Это позволяет одновременно контролировать рабочие станции с разными оболочками, причем без лишних трудозатрат.
Еще теперьDLP должна разворачиваться на Linux-серверах и работать с произвольными СУБД. В числе поддерживаемых СУБД у КИБ — Jatoba, Pangolin, PostgreSQL и ее защищенная российская версия PostgreSQL Pro. Переезд дата-центра на Linux при этом не означает, что прежняя версия перестанет работать. Это компромиссный вариант для компаний, которые импортозаместились еще не полностью: в конфигурации DLP можно комбинировать управление на Windows и агенты под Linux, и наоборот.
Для компаний в процессе «переезда» предусмотрены легкие политики миграции, когда базы и архивы DLP можно перенести с Windows на Linux в один клик. К тому же мы подключаем технологических партнеров вроде «Колибри-АРМ», которые помогают автоматизировать перенос сразу всей инфраструктуры.
Наконец, DLP может быть развернута локально или в облаке, и контролировать в том числе виртуальные рабочие места. КИБ совместим с облачной инфраструктурой и может как внедряться в облачные ПК, так и сам работать с виртуального сервера. Для удобства мы реализуем возможность установки КИБ в один клик при развертывании виртуальной рабочей среды. Опция доступна у наших партнеров — PaaS-провайдеров (МТС, Яндекс, Selectel, VK Cloud и др.).
Задача 2. Взять все под контроль
Интеграции с каналами передачи данных особенно важны, когда бизнес использует сервисы за периметром: например, корпоративный мессенджер, доступный сотрудникам и с рабочего ПК, и с личного смартфона. Такие каналы недостаточно контролировать на стороне ПК, нужно внедряться внутрь сервиса. Хорошо, когда в DLP много возможностей это сделать.
Заказчик как правило понимает, с чем и как работают в его компании — нужно составить список используемых сервисов и искать DLP, которая их поддерживает. Даже если нужного сервиса нет среди контролируемых «из коробки», с огромной вероятностью DLP все равно сможет его перехватить: например, на уровне протокола. ИБ-специалисту не придется делать это вручную.
Если чего-то все же не хватает, нужно обратиться к сервису и запросить перечень способов, которыми он может обмениваться данными с внешними системами. Как правило, это универсальные технологии. Если DLP их поддерживает, то может взять под контроль любое решение.
КИБ работает с REST API, ICAP, вычитывает произвольные базы данных — например, импортирует информацию напрямую из БД CRM-системы. Какие данные и в каком объеме выгружать, можно настроить. В некоторых случаях DLP может и управлять ими: например, блокировать трафик в мессенджере, подключенном по ICAP. Также в КИБ можно отдельно импортировать наборы данных для анализа: записи аудио и видео, архивы почты и чатов, логи запуска ПО или подключения флешек и т.п.
В КИБ более десятка доступных технологий интеграции, все настройки можно задать прямо в консоли DLP без написания кода. К тому же мы предоставляем заказчикам подробные мануалы и готовые сценарии интеграции, которые легко персонализировать с небольшими доработками.
Но бывает, что перехватить сервис самостоятельно невозможно. Например, если он не поддерживает универсальные способы интеграции и работает по специфическим внутренним стандартам. Обычно это характерно для закрытых бизнес-экосистем — рабочих пространств «под ключ», куда можно зайти через браузер и получить почту, мессенджер, хранилище, офисные программы и т.д. в одном окне. Важно, чтобы DLP умела с ними работать.
Так, чтобы внедриться в Microsoft 365, мы реализовали в КИБ поддержку формата Graph API. По такой же логике система развивает контроль VK Workspace/ГКС, «Яндекс 360» и других бизнес-платформ.
Однако ими проблема не ограничивается, сервисов со своей спецификой еще много. Чтобы поддержать их в DLP, стоит обратиться к вендору. Мы в «СёрчИнформ» только за последние пару лет сделали больше сотни подобных интеграций.
Задача 3. Усилить взаимодействие систем
DLP может не только обрабатывать данные извне, но и отдавать другим системам свою аналитику. Такое взаимодействие особенно актуально с ИБ-системами, чтобы компания могла выстраивать комплексную защиту.
«СёрчИнформ КИБ» по умолчанию поддерживает работу с большинством ИБ-инструментов: от антивирусов до «узких» спецсредств вроде StarForce или EveryTag для защиты документов. В системе есть специальный интерфейс для взаимодействия с IRP и ГосСОПКА, можно настроить между ними автоматический экспорт и импорт данных. С нашими собственными «СёрчИнформ SIEM» и DCAP-системой «СёрчИнформ FileAuditor» КИБ интегрирован бесшовно, вплоть до общих консолей управления и работы.
Также из КИБ можно передать большинство метрик, отчетов и инцидентов в любые SIEM или SOC. Доступен экспорт данных по SMTPs, SYSLOG/CEF, внешняя система может подключиться к КИБ по API или сразу к БД. Наконец, DLP может передавать «наружу» инструкции, как ПО должно действовать в случае обнаружения инцидента — через RPC/MMC-протоколы или скрипты на (Power)Shell/SSH. В таком случае весь защитный контур сможет действовать слаженно и проактивно. Например, прерывать сеанс и блокировать учетную запись пользователя, если DLP уведомила, что за ПК «чужак».
Кроме того, можно отправлять информацию из DLP в бизнес-системы: СКУД, продукты 1C (от расчета зарплаты до управления складом), BI-продукты и т.д., без ограничений. Все зависит от задач заказчика.
В результате
В идеальном варианте интегрированные решения — это доступ к полной картине жизни компании, все инструменты для принятия решений под рукой. DLP — отличный аналитический центр, который выявляет не только актуальные нарушения, но и потенциальные проблемы. Нужно только дать системе достаточно данных для анализа. Поэтому хорошая DLP должна встраиваться всюду, вычитывать максимум и уметь делиться результатом. Тогда заказчик получит по-настоящему комплексный контроль.
«СёрчИнформ КИБ» — одна из самых охватных систем по числу сервисов под контролем, а если чего-то не хватает, ее просто «подогнать» под свою инфраструктуру благодаря развитым возможностям интеграции. В итоге получаем универсальную DLP для любого бизнеса, которая при этом учитывает индивидуальные потребности каждой компании. Попробуйте, как это работает: на 30 дней «СёрчИнформ КИБ» бесплатно доступна в полном функционале.
■ erid:LjN8KMv5hРекламодатель: Общество с ограниченной ответственностью «СерчИнформ»ИНН/ОГРН: 7704306397/1157746137955Сайт: https://searchinform.ru/