Tuesday, October 16, 2018
НОВОСТИ > НОВОСТИ МЕДИА > ТЕХНОЛОГИИ > Безопасность обеспечат интеллектуальный анализ и слежка

Безопасность обеспечат интеллектуальный анализ и слежка

201Стремительное развитие технологий сопровождается ростом числа случаев утечки информации из инсайдерских источников. В мире высоких технологий заговорили о том, что пароль, как средство защиты данных и предотвращения вредоносных действий, изжил себя. Будущее информационной безопасности все больше связывают с системами интеллектуального анализа и контекстного слежения.

Высокая степень риска утраты данных вынуждает компании автоматизировать процесс управления возможностями привилегированных пользователей. При этом речь зачастую идет не только о способах управления учетными записями. Системы, их контролирующие, обычно ограничиваются лишь определением того, кто, где и когда работал под тем или иным логином. Сейчас этих сведений бизнесу уже не хватает: важнее предотвратить вредоносное действие, оценив его алгоритм, а также собрать доказательства для возможных судебных разбирательств. И здесь речь идет уже о мониторинге действий сотрудников.

Компании, работающие на рынке контекстной интеллектуальной информационной безопасности, все чаще заявляют, что пароль, как традиционный способ защиты доступа, уже малоэффективен. Его легко взломать, а статистика говорит о росте преступлений, связанных с утечкой информации именно из инсайдерских источников. Речь, в том числе, об администраторах систем, у которых самые широкие полномочия, а пароли не являются тайной. В кредитно-финансовом секторе России, по данным компании «Инфосистемы Джет», годовой объем совершенных хищений в 2015 г. вырос на 26,5%. Одной из причин этого стало как раз внутреннее мошенничество.

В сфере информационной безопасности большую роль начинают играть особые системы, которые работают с данными. Они используют операционную аналитику и способны к машинному обучению.

Как противостоять угрозам

Из истории Balabit и их опыте в России

alabit имеет 16-летний стаж в сфере обеспечения информационной безопасности. Стартапом руководили венгерские студенты, которым удалось привлечь на свою сторону нескольких инвесторов. Свой годовой оборот компания не раскрывает, но за последние 5 лет выручка увеличилась на 30%. Штаб-квартира ее расположена в Люксембурге, центр исследований и разработки в Будапеште, а представительства — во многих странах, в том числе, в России. Среди крупных клиентов в нашей стране значатся Альфа-банк, Фонд Сколково, Тинькофф банк, МТС. Популярно решение и в странах СНГ. Например, решениями Balabit пользуется Центральный банк Азербайджана. Решение Balabit Shell Control Box сертифицировано ФСТЭК России как средство защиты информации.

Специалисты одного из мировых лидеров в обеспечении информационной безопасности — венгерской компании Balabit — выделяют несколько узких мест традиционных решений. Это файрволл, который можно легко обойти, обладая правами администратора. Ничего не гарантируют логины и система управления безопасностью (SIEM), где можно настроить списки регистрируемых событий или вовсе удалить логи. Бесполезны и менеджеры паролей — эти системы сложные, дороги, а в случае возникновения проблем могут скрыть их инициатора.

Отличительной чертой ИТ-продуктов, обеспечивающих информационную безопасность, принято считать их способность работать с большими данными, сочетать многоуровневые средства анализа и помогать выделять потенциально опасные зоны. Balabit предлагает комплексный контроль привилегированного доступа к ИТ-системам. При этом, не происходит ограничения бизнес-процессов. Мониторинг ведется за счет интегрированных решений, которые собирают и обрабатывают информацию о действиях администраторов. Этим целям служат три ключевых продукта компании: Shell Control Box, syslog-ng и Blindspotter. Все вместе они объединяются в пакет Contextual Security Intelligence.

Syslog-ng — это система управления логами, которая собирает, обрабатывает и предоставляет критические данные о системных событиях. Shell Control Box — устройство мониторинга активности. Оно контролирует привилегированный доступ к удаленным ИТ-системам и записывает совершаемые операции. Blindspotter — решение, создающее профили действий пользователей с целью выявления аномального поведения.

Анализ поведения пользователей

Решение Blindspotter идет по следам цифровых отпечатков, оставляемых пользователями и администраторами в ИТ-инфраструктуре. На панели мониторинга система классифицирует события и выделяет среди них наиболее подозрительные. В число объектов оценки действий также входят анализ движений мышки и динамика работы на клавиатуре.

Таким образом, можно составить профиль поведения сотрудника. После получения данных запускаются специальные алгоритмы их изучения. Они определяют значимость сведений и позволяют преобразовать большие объемы данных в конкретную информацию. Уже на ее основе можно принимать решения. Для этого, в свою очередь, используется сразу несколько алгоритмов, что позволяет изучить ситуацию с разных ракурсов.

Так выглядит анализ движений мышки и динамики работы на клавиатуре

Blindspotter работает без шаблонов «заведомо плохого» поведения. Продукт не требует развертывания каких-либо зондов или агентов. Используются данные, которые уже доступны и продолжают поступать. Программа обнаруживает отклонения от нормы с помощью разнообразных алгоритмов машинного обучения. Дальше, само собой, в дело вступают живые люди из службы безопасности. Не исключены и случаи ложной тревоги. Однако для бизнеса гораздо важнее получить информацию с небольшой погрешностью, чем не получить ее вовсе. Тем более, со временем, процент неверно трактованных действий снижается — помогает все то же машинное обучение. На программном уровне возможно и расставление приоритетов.

Системные и персонифицированные учетные записи, которые используются людьми и скриптами соответственно — это типичные случаи нарушения правил информационной безопасности. И то, и другое — потенциальные угрозы для бизнеса, потому что дают взломщику доступ ко многим службам и «учеткам», используемым в скрипте. Blindspotter видит отличия поведения человека от автоматизированных действий. Отдел информационной безопасности получает все необходимые сведения о проблеме до того, как небольшая брешь превращается в крупные неприятности.

Как засечь и прервать нарушение

Shell Control Box (SCB) — это специальное устройство, работающее на каналах взаимодействия серверов и пользователей, которые к ним обращаются. Оно изолирует конфиденциальные системы от злоумышленников или тех, у кого нет права доступа к данным. Кроме того, SCB записывает все операции санкционированного доступа к закрытой информации. Это делает возможным предоставление сведений об ошибках, вызванных человеческим фактором, либо при нетипичном поведении. Вся эта работа происходит в реальном времени.

Схема работы Shell Control Box

При обнаружении потенциально опасной команды или запуска нежелательного приложения, SCB может отправить письмо на электронную почту с оповещением о событии, записать его в системные логи, сохранить в базе данных, а также немедленно прервать подключение. Устройство может быть как физическим, так и виртуальным и поддерживает разные режимы работы, в том числе, маршрутизатора. Для упрощения интеграции в среды, защищенные брандмауэром, SCB поддерживает трансляцию сетевых адресов и источника, и назначения (SNAT и DNAT).

Болаж Шейдлер: Открытое ПО в сфере безопасности приносит большую пользу

Один из мировых лидеров в разработке решений в сфере информационной безопасности активно зашел на российский рынок пять лет назад. С тех пор продуктами венгерской компании Balabit начали пользоваться крупнейшие банки, компании и даже правительственные организации. О перспективах развития этого сегмента рынка в России и мире, отношении клиентов к расходам на безопасность и использовании программного обеспечения с открытым кодом CNews рассказал соучредитель и технический директор компании Болаж Шейдлер (Balázs Scheidler).

CNews: Когда-то эта компания была лишь университетским стартапом, сейчас она — один из лидеров в своем сегменте. Как тогда, в 1996, удалось убедить инвесторов в привлекательности проекта?

Болаж Шейдлер: В компании тогда было всего четыре инженера, и у одного из них нашлись состоятельные друзья. Они-то и вложили свои личные средства. Получилось, что у истоков Balabit стояли шесть человек, двое из которых были бизнесменами.

А теперь вы представлены во многих странах мира собственными офисами…

Да, это Великобритания, Франция, Германия, Австрия, Швейцария, Польша, Россия, Белоруссия, Нидерланды и США.

И каковы ваши ожидания от российского рынка?

У нас несколько больших проектов в России. Что нас привлекает – Россия централизована и в ней немало больших организаций и серьезных клиентов. Поэтому если мы начинаем что-то здесь, то это крупный проект. Я вижу у страны серьезный потенциал, и немаловажное значение имеет геополитический фактор.

Во многих странах сейчас существует политика уменьшения присутствия на рынке иностранного ПО. Есть ли в Венгрии такая тенденция?

Нет, у нас открытый рынок. Конечно, бывают случаи, когда службы безопасности рекомендуют местного поставщика. Но обычно дело не столько в продукте, сколько в людях, которые его производят. Или когда есть необходимость общаться с разработчиками напрямую. В целом же я могу понять, когда государство, например, Россия или Венгрия, пытаются помочь местным компаниям. Это важная часть экономической деятельности, потому что софт продается очень хорошо. Тем более произведенное однажды программное обеспечение может пользоваться спросом долгие годы. С этой точки зрения поддержка отечественных разработчиков имеет смысл.

К слову, в России вы ведь используете местное оборудование для своих решений?

Да, оборудование Super Micro. В России у нас есть проверенный партнер, что облегчает поставки.

В последние годы очень много говорят о так называемой проблеме Сноудена. Как вы думаете, если бы спецслужбы пользовались продуктами BalaBit, столкнулись бы они с этими сложностями?

Наши продукты позволяют проводить мониторинг с очень разных позиций, но в итоге его результатами пользуются люди. Вопрос человеческого фактора снижается, но не исключается полностью. В принципе как и всегда в вопросах безопасности. Возможно, спецслужбы просто не мониторили документы, которые загружал Сноуден, или никак не контролировали его действия? Кто-то должен был это отслеживать.

Как вы считаете, насколько актуальна проблема безопасности в облачных технологиях? Решена ли она на 100%?

Провайдеры облака в первую очередь концентрируются на физической безопасности центра обработки данных (ЦОД). И когда вы говорите с ними об их стратегии в этой области, они всегда отвечают, что разделяют ответственность между тем, кто предоставляет облако, и самим пользователем. То есть они заботятся о платформе, а вы — о приложении. И как раз по второму поводу возникает много вопросов, потому что нанести урон информации проще именно через приложения. Можно согласиться, что безопасность ЦОДа важна, это основа. Но позиция провайдеров не решает проблему защиты данных в целом.

Какие типичные ошибки совершает клиент при выборе и внедрении систем безопасности?

Иногда клиенты исходят из принципа «раз кто-то уже использует этот продукт, то и я последую его примеру». И нередко оказывается, что выбранное решение не соответствует реальным потребностям. Я считаю, что необходимо оценивать свои собственные риски. Понимать, какие реальные угрозы существуют для каждой конкретной компании. И искать решение именно для этих рисков и угроз, а не просто следовать за всеми. Я думаю, это главная ошибка, которую совершают клиенты.

Как клиенты оценивают эффективность расходов в инструменты безопасности?

Это сложный вопрос. Сегодня эффективность инструментов безопасности трудно измерить. Думаю, определяющее значение должны играть отзывы тех, кто уже внедрил это решение. То есть потенциальный покупатель узнает мнение других игроков, оценивает свои собственные риски и пытается найти способ уменьшить их. Но организации по-разному относятся к информационной безопасности. Некоторые делают только базовые вещи, а некоторые выходят на очень продвинутый уровень. Это в каком-то смысле искусство, а потому нет точной шкалы, по которой можно оценить эффективность расходов.

А как формируется стоимость ваших решений?

Основная составляющая — это работа инженеров.

В каких случаях и какие продукты Balabit выбирают ваши клиенты? Когда стоит внедрить Blindspotter, когда Shell Control Box или syslog-ng, а когда — всё вместе?

Это зависит от их мотивации. Я могу сказать, что Shell Control Box и syslog-ng стоят своих денег, если вы действительно хотите соответствовать требованиям по безопасности. Blindspotter — это дополнение к ним. Решение будет интересно тем, кто хочет не только собирать информацию, но и оперативно ее использовать. Например, это продукт поможет своевременно узнать о попытке несанкционированного доступа и предотвратить его. Но если ваша задача заключается лишь в соблюдении внутренних правил, функционала Shell Control Box будет достаточно. Но при этом Blindspotter не сможет самостоятельно работать — ему необходимы данные. А данные собираются с помощью первых двух продуктов.

Это правда, что Syslog-ng создан на основе открытого программного обеспечения? Почему было принято такое решение?

Потому что это способствует его узнаваемости и уровню доверия у клиентов. Каждый раз, когда я приезжаю на конференцию в Лондон или в США, все узнают марку Balabit, потому что они используют syslog-ng. Но мы также интегрируем открытое ПО в другие наши продукты, ведь оно приносит большую пользу и может сделать решение более эффективным. Я верю в открытые ресурсы. Но не в каждом сегменте они есть.

А какие платформы на открытом ПО вы используете?

Все продукты, построенные на Linux. Мы используем версию Linux Ubuntu. При этом, мы ведем разработку решения своими силами и не берем их напрямую. Что-то кодируем сами из соображений безопасности, потому что мы несем ответственность за все открытые ресурсы, которые предоставляем нашим клиентам. Например, если есть какой-то баг, то мы не спрашиваем, чей это код — наш или Linux, мы просто исправляем его.

Какие лицензионные условия для использования продуктов Balabit?

Наши продукты требуют лицензии, и разные элементы портфолио имеют разные лицензии. Например, лицензия на Shell Control Box основана на количестве обслуживаемых серверов и неважно, сколько у вас системных администраторов. А syslog-ng Technology и syslog-ng Product line зависит уже от числа серверов, с которых собирается информация.

Может ли клиент сам администрировать решение?

В большинстве случаев мы поставляем наши продукты через партнеров. Например, для использования коммерческой версии syslog-ng нужно наличие корректного файла конфигурации — ADVI или EMAX. Настроить его не так-то легко, но возможно. Случается, что клиенты устанавливают наши технологии самостоятельно, без помощи инженеров.

Какое основное отличие Contextual Security Intelligence от аналогов и конкурентов?

Основное достоинство — постоянная доступность данных через определенный профиль. Мы предоставляем возможность генерировать данные с помощью наших UBA-решений (User Behaviour Analytics). И сведения эти всегда актуальны. При этом вам не нужно полагаться на третьих лиц для сбора информации. Если вы установили наши продукты для мониторинга, вам нужно лишь интегрироваться в них.

Какие продукты и услуги будут развиваться в области Contextual Information Security в будущем?

Думаю, эволюция нашего портфолио будет заключаться в вовлечении большего числа пользователей. Сейчас мы специализируемся на привилегированных клиентах. В основном это системные администраторы. Но мы хотим расширить круг и задействовать бизнес-пользователей, например директоров. И, соответственно, найти решение для этой ниши и тех рисков, которые характерны именно для нее. В общем, мы расширяем свой фокус на разных пользователей. Доступность данных представляется мне «узким местом».

Источник