Высокая степень риска утраты данных вынуждает компании автоматизировать процесс управления возможностями привилегированных пользователей. При этом речь зачастую идет не только о способах управления учетными записями. Системы, их контролирующие, обычно ограничиваются лишь определением того, кто, где и когда работал под тем или иным логином. Сейчас этих сведений бизнесу уже не хватает: важнее предотвратить вредоносное действие, оценив его алгоритм, а также собрать доказательства для возможных судебных разбирательств. И здесь речь идет уже о мониторинге действий сотрудников.
Компании, работающие на рынке контекстной интеллектуальной информационной безопасности, все чаще заявляют, что пароль, как традиционный способ защиты доступа, уже малоэффективен. Его легко взломать, а статистика говорит о росте преступлений, связанных с утечкой информации именно из инсайдерских источников. Речь, в том числе, об администраторах систем, у которых самые широкие полномочия, а пароли не являются тайной. В кредитно-финансовом секторе России, по данным компании «Инфосистемы Джет», годовой объем совершенных хищений в 2015 г. вырос на 26,5%. Одной из причин этого стало как раз внутреннее мошенничество.
В сфере информационной безопасности большую роль начинают играть особые системы, которые работают с данными. Они используют операционную аналитику и способны к машинному обучению.
Как противостоять угрозам
Из истории Balabit и их опыте в России
Balabit имеет 16-летний стаж в сфере обеспечения информационной безопасности. Стартапом руководили венгерские студенты, которым удалось привлечь на свою сторону нескольких инвесторов. Свой годовой оборот компания не раскрывает, но за последние 5 лет выручка увеличилась на 30%. Штаб-квартира ее расположена в Люксембурге, центр исследований и разработки в Будапеште, а представительства — во многих странах, в том числе, в России. Среди крупных клиентов в нашей стране значатся Альфа-банк, Фонд Сколково, Тинькофф банк, МТС. Популярно решение и в странах СНГ. Например, решениями Balabit пользуется Центральный банк Азербайджана. Решение Balabit Shell Control Box сертифицировано ФСТЭК России как средство защиты информации.
Специалисты одного из мировых лидеров в обеспечении информационной безопасности — венгерской компании Balabit — выделяют несколько узких мест традиционных решений. Это файрволл, который можно легко обойти, обладая правами администратора. Ничего не гарантируют логины и система управления безопасностью (SIEM), где можно настроить списки регистрируемых событий или вовсе удалить логи. Бесполезны и менеджеры паролей — эти системы сложные, дороги, а в случае возникновения проблем могут скрыть их инициатора.
Отличительной чертой ИТ-продуктов, обеспечивающих информационную безопасность, принято считать их способность работать с большими данными, сочетать многоуровневые средства анализа и помогать выделять потенциально опасные зоны. Balabit предлагает комплексный контроль привилегированного доступа к ИТ-системам. При этом, не происходит ограничения бизнес-процессов. Мониторинг ведется за счет интегрированных решений, которые собирают и обрабатывают информацию о действиях администраторов. Этим целям служат три ключевых продукта компании: Shell Control Box, syslog-ng и Blindspotter. Все вместе они объединяются в пакет Contextual Security Intelligence.
Syslog-ng — это система управления логами, которая собирает, обрабатывает и предоставляет критические данные о системных событиях. Shell Control Box — устройство мониторинга активности. Оно контролирует привилегированный доступ к удаленным ИТ-системам и записывает совершаемые операции. Blindspotter — решение, создающее профили действий пользователей с целью выявления аномального поведения.
Анализ поведения пользователей
Решение Blindspotter идет по следам цифровых отпечатков, оставляемых пользователями и администраторами в ИТ-инфраструктуре. На панели мониторинга система классифицирует события и выделяет среди них наиболее подозрительные. В число объектов оценки действий также входят анализ движений мышки и динамика работы на клавиатуре.
Таким образом, можно составить профиль поведения сотрудника. После получения данных запускаются специальные алгоритмы их изучения. Они определяют значимость сведений и позволяют преобразовать большие объемы данных в конкретную информацию. Уже на ее основе можно принимать решения. Для этого, в свою очередь, используется сразу несколько алгоритмов, что позволяет изучить ситуацию с разных ракурсов.
Blindspotter работает без шаблонов «заведомо плохого» поведения. Продукт не требует развертывания каких-либо зондов или агентов. Используются данные, которые уже доступны и продолжают поступать. Программа обнаруживает отклонения от нормы с помощью разнообразных алгоритмов машинного обучения. Дальше, само собой, в дело вступают живые люди из службы безопасности. Не исключены и случаи ложной тревоги. Однако для бизнеса гораздо важнее получить информацию с небольшой погрешностью, чем не получить ее вовсе. Тем более, со временем, процент неверно трактованных действий снижается — помогает все то же машинное обучение. На программном уровне возможно и расставление приоритетов.
Системные и персонифицированные учетные записи, которые используются людьми и скриптами соответственно — это типичные случаи нарушения правил информационной безопасности. И то, и другое — потенциальные угрозы для бизнеса, потому что дают взломщику доступ ко многим службам и «учеткам», используемым в скрипте. Blindspotter видит отличия поведения человека от автоматизированных действий. Отдел информационной безопасности получает все необходимые сведения о проблеме до того, как небольшая брешь превращается в крупные неприятности.
Как засечь и прервать нарушение
Shell Control Box (SCB) — это специальное устройство, работающее на каналах взаимодействия серверов и пользователей, которые к ним обращаются. Оно изолирует конфиденциальные системы от злоумышленников или тех, у кого нет права доступа к данным. Кроме того, SCB записывает все операции санкционированного доступа к закрытой информации. Это делает возможным предоставление сведений об ошибках, вызванных человеческим фактором, либо при нетипичном поведении. Вся эта работа происходит в реальном времени.
При обнаружении потенциально опасной команды или запуска нежелательного приложения, SCB может отправить письмо на электронную почту с оповещением о событии, записать его в системные логи, сохранить в базе данных, а также немедленно прервать подключение. Устройство может быть как физическим, так и виртуальным и поддерживает разные режимы работы, в том числе, маршрутизатора. Для упрощения интеграции в среды, защищенные брандмауэром, SCB поддерживает трансляцию сетевых адресов и источника, и назначения (SNAT и DNAT).
Один из мировых лидеров в разработке решений в сфере информационной безопасности активно зашел на российский рынок пять лет назад. С тех пор продуктами венгерской компании Balabit начали пользоваться крупнейшие банки, компании и даже правительственные организации. О перспективах развития этого сегмента рынка в России и мире, отношении клиентов к расходам на безопасность и использовании программного обеспечения с открытым кодом CNews рассказал соучредитель и технический директор компании Болаж Шейдлер (Bal?zs Scheidler).
CNews: Когда-то эта компания была лишь университетским стартапом, сейчас она — один из лидеров в своем сегменте. Как тогда, в 1996, удалось убедить инвесторов в привлекательности проекта?
Болаж Шейдлер: В компании тогда было всего четыре инженера, и у одного из них нашлись состоятельные друзья. Они-то и вложили свои личные средства. Получилось, что у истоков Balabit стояли шесть человек, двое из которых были бизнесменами.
Читать далее
Источник: CNEWS