Новое решение на российском рынке ИБ

Олег Кузьмин,
директор департамента ИБ ЗАО "Ай-Теко"

Мне часто задают вопросы, тематика и основная суть которых сводится к формулировке: "Что бы вы приобрели сейчас из продуктов ИБ и установили в первую очередь для полноценной и качественной работы службы безопасности своей компании?"

Вопрос этот отнюдь не случайный, особенно когда уже разработаны концептуальные и организационные документы, построены основные подсистемы ИБ.

Что же дальше? Как эффективно потратить деньги, выделенные руководством на службу безопасности, в условиях сильно ограниченного бюджета и дефицита грамотных сотрудников ИБ?

Реалии сегодняшнего дня

Вероятно, именно сейчас стоит подумать о вопросах управления ИБ и построения эффективной системы контроля для предотвращения утечек конфиденциальной информации.

Реалии сегодняшнего дня заставляют озаботиться решением следующих проблем:

• как привязать ИБ к бизнесу компании;
• как показать и доказать полезность деятельности подразделения ИБ руководству компании и укрепить статус этого подразделения;
• как предотвращать инциденты И Б на начальной их стадии или даже на этапе подготовки к ним;
• как распорядиться бюджетом, спланированным в докризисное время, которого сегодня не хватает даже на самое необходимое.

Первоочередные шаги нынешнего руководителя СБ или ИБ компании

1. Необходимо произвести переоценку имеющихся рисков, прежде всего пересмотрев вопросы их приоритетности и важности для полноценного функционирования бизнеса компании. Вполне возможно, то, что было еще вчера на втором или даже ниже по значимости месте, сегодня выходит на первый план.
2. Целесообразно понять, что в большей степени нужно сейчас для работы сотрудников, а что, напротив, стало менее важным. Где находятся, кем и с какой целью запрашиваются сведения конфиденциального характера. Чем занимаются в течение рабочего дня сотрудники компании на своих рабочих местах и, главное, чем заняты так называемые привилегированные пользователи. Например, что делают администраторы.
3. Разумнее всего сейчас подбирать решения по ИБ, обладающие двойственной функциональностью, имеющие реальную практическую направленность и ценность в повседневном использовании.

Одним из таких продуктов является решение по мониторингу пользовательской активности в корпоративной сети PacketSentry, разработанное американской компанией Packet Motion. Решение уже несколько лет эффективно применяется на европейском ИБ-рынке.

Его примечательность и кардинальное отличие от других известных на сегодня решений состоит в двойственной функциональности. Это система проактивного контроля над действиями пользователей, сравнимая по своему назначению с продуктами компании Net Forensics и некоторой функциональностью DLP-систем, позволяющей выполнять превентивные меры по контролю за инсайдерами в корпоративной сети. Примечательно, что практическая его установка занимает не более 3-4 часов, еще примерно столько же времени займут необходимые настройки, после чего решение полностью работоспособно.

Решение представлено в виде аппаратно-программного комплекса, состоящего из сенсора и менеджера.

Сенсоры (probes)

Обрабатывают трафик в дата-центре или любых других уровнях сети: ядро, уровень доступа, филиалы.

Подключение через SPAN-порт коммутатора (port-mirroring).

• Поддержка всех основных протоколов от дата-центра до филиала (2 Gbps - 100 mbps).
• Корреляция с учетной записью пользователя (Active Directory or LDAP).
• Результат: отчет об активности пользователя.

Manager (система отчетности и реагирования)

Сохраняет записи в базе данных с возможностью полноценной индексации для быстрого и эффективного поиска и отчетов.

• Возможность настройки правил реагирования - от уведомлений до активных действий (сброс соединения, syslog-уведомление, предупреждение по e-mail).
• Все события сохраняются перманентно.
• Интеграция с AD, LDAP-СОВ-местимыми системами.
• Установка в режиме off-line.
• Без влияния на трафик и приложения.

Наш практический опыт по внедрению и эксплуатации решения PacketSentry показал, что уже первые два дня его работы могут выявить серьезные проблемы с безопасностью в сети, ранее тщательно скрытые от глаз сотрудников ИБ компании.