«Интеграция информационной безопасности в бизнес-системы»

APC

Тема сегодняшнего мероприятия: «Интеграция информационной безопасности в бизнес-системы. Как успевать за динамическими данными из ERP», спикером сегодня выступает Александр Коробко, менеджер по развитию продуктов компании INFOWATCH, он в компании занимается развитием продуктов в направлении мониторинга действий сотрудников и интеграцией DLP-системы InfoWatch Traffiс Monitor.

Защита информационных ресурсов компании сегодня является обязательным требованием бизнеса. На пути к цифровизации и применению новых технологий бизнес все чаще задумывается об информационной безопасности. Не редки случаи, когда первых лиц компаний-заказчиков живо интересуют вопросы защиты информационных активов, защиты от утечки, защиты персональных данных и защиты конфиденциальности и целостности информации. Во многом это связано с недавними нашумевшими атаками, случаями хищения, шифрования или искажения важной и значимой для компании информации. «Немалую роль здесь могут играть и регуляторы, многие из вас знакомы или слышали о таких автоматизированных системах, когда реакция на киберинцидент уже связана с регуляторами, поскольку информация об инциденте сразу уходит к ним и к аналитику безопасности, поэтому нет необходимости в полуручном режиме готовить отчет в нужном формате» - сказал Александр Коробко. Поскольку атаки становятся более сложными, возникает все большая необходимость в комплексной реакции на них и не всегда вендоры могут это сделать в одиночку. Одно дело, если это вендоры, работающие на поле информационной безопасности, они понимают специфику решений, могут друг с другом договориться, могут реализовывать сквозные сценарии по защите информации для своих заказчиков, и совсем другое дело, если это вендоры, разрабатывающие системы других классов.

Зачастую такие системы администрируются разными людьми, представляющие их вендоры имеют разные компетенции и им необходимо более плотно взаимодействовать, чтобы решать сквозные задачи бизнеса и своих клиентов. В условиях постоянных изменений и с ростом организаций и компаний, с масштабированием бизнеса, с каждым годом растет общая ИБ-зрелость. Бизнес теперь все чаще консультируется с ИБ-службой компании, он все больше заинтересован в интеграции, чтобы совместно увеличивать экспертизу своих специалистов при внедрении новых технологий или новых процессов. И такой рост зачастую происходит достаточно быстро и иногда возникает такая ультимативная ситуация: либо вы интегрируетесь, либо это происходит без вашего ведома и не нормировано. При этом не смотря на очевидные достоинства, которые часто несут интеграционные решения, есть ряд вопросов и препятствий. InfoWatch - вендор решений по ИБ имеет в виду не только интеграцию как совместимость каких-то продуктов и не только когда заказчику надо поставить рядом несколько информационных систем, но и интеграцию как метод взаимодействия этих информационных систем. Когда речь идет не одностороннем обмене данными, а именно о двухстороннем взаимодействии.

Очень часто интеграция – это кастомизированное решение. Здесь многое зависит от инфраструктуры, от версий, от программных продуктов, которые используются у клиентов, зачастую даже от специфики бизнеса, все это надо учитывать. Достаточно часто необходимо специальное выделение проектной команды, для того чтобы интеграционные инициативы дошли до своего финального этапа. Многие из таких инициатив либо не дошли до финального этапа, либо были сильно затянуты по срокам или бюджетам, просто потому, что было не понятно, кто за что должен отвечать. Не было выделено людей, которые бы занимались интервьюированием внутри компании, которые бы искали заинтересованных стейхолдеров, которые эту интеграцию продвигали бы таким образом, чтобы вовлекать всех участников процесса и делать ее действительно полезной. Достаточно часто возникает конфликт интересов: одно дело, если мы говорим об интеграции решений по ИБ, это зачастую вотчина одного подразделения или двух, в этом случае больших вопросов не возникает, особенно когда это службы ИБ и ИТ. Когда же мы говорим о какой-то нагруженной бизнес-системе, например, DLP-системе, то зачастую возникает недопонимание, конфликт интересов и это часто воспринимается как желание показать значимость одного подразделения и перетянуть одеяло на себя. Последний немаловажный момент заключается в том, что интеграция ради интеграции никому не интересна. Поэтому нужно уметь аргументировать значимость той или иной интеграции, той или иной инициативы бизнесу. Иногда это ограничивается лишь декларацией и отображением рисков утечки информации или потерей той или иной значимой информации. Очень хорошо, когда специалисты ИБ-службы и аналитики безопасности могут это доносить в цифрах, могут аргументировать использование классических ИБ-решений и помогать бизнесу расти в рамках реализации новых проектов. Например, проекты по диджитализации сегодня часто требуют экспертизы в области ИБ и прежде чем начать что-то внедрять, нужно проконсультироваться со своими ИБ-специалистами, которые могут помочь подсветить проблемные моменты и указать на них.

Одной из последних на данный момент в компании InfoWatch стала интеграция с решением компании SAP – бизнес-системой SAP ERP, которая позволяет строить комплексные процессы, позволяет реализовать бизнес-логику, строить свои приложения для того, чтобы обеспечить цикл управления организацией и автоматизировать имеющиеся процессы. Данные, которые хранятся в этой бизнес-системе, крайне критичны, это может быть конфиденциальная информация, персональные данные или коммерческая информация. Естественно возникает вопрос, что будет, если эта информация попадет в руки злоумышленников или просто будет потеряна, и как ее защитить.

«Для того чтобы адресовать такой вопрос, мы предлагает нашим клиентам DLP-систему InfoWatch Traffiс Monitor, мы имеет в этой области серьезную экспертизу, более 15 лет занимается предотвращением утечек и достаточно хорошо научились выявлять случаи выгрузки баз данных по различным каналам информационного обмена», - информировал собравшихся Александр Коробко. По его словам, это не только непосредственный слив баз, это не только банальные примеры, когда утекает данные по различным каналам, это в том числе и случаи, когда наблюдается нецелевое использование баз данных, случаи превышения прав доступа. Некоторые сотрудники постепенно начинают накапливать информационную базу у себя, есть люди, которые постепенно вытаскивают данные по ключевым клиентам и агрегируют эту информацию у себя, не понятно для какого дальнейшего использования, в корыстных целях или просто по ошибке.

Теперь представьте скорость с которой обновляются данные в производительных высоконагруженных ERP-системах… За один день здесь могут появиться тысячи новых строчек в базах данных, данные могут изменяться и логично, что за этим должны успевать средства защиты информации. По сути DLP-система должна знать о том, что какие-то определенные изменения произошли, обновить свои политики безопасности и начать реагировать на это достаточно быстро. И второй смежный вопрос: кто этим должен заниматься? Это задача ИБ-специалиста или же он не доверенный получатель и не должен иметь доступ к таким данным, а должен этим заниматься администратор бизнес-систем? Эти вопросы поднимались в ходе проработки интеграционного решения, ответить на него не просто, как с точки зрения проработки схемы взаимодействия так и с точки зрения техники. SAP ERP – это достаточно уникальная система, там есть своя логика разработки и среда разработки, и просто так добавлять какие-то компоненты стороннему вендору никто не даст, поэтому при проработке интеграционного решения разработчики InfoWatch пытались для себя отвечать на следующие вопросы. Во-первых, как снизить риск злоупотребления первичными данными, здесь речь идет о том, что нельзя просто так взять и выгрузить слепок базы и дать его ИБ-специалисту или передать в какую-то промежуточную сетевую папку и потом скриптом или вручную загрузить в DLP-систему. Есть вероятность, что сторонний получатель станет этими знаниями злоупотреблять. Второй момент, как поддерживать политики DLP-системы в актуальном состоянии, а если что-то изменилось в базе данных, скажем, поменялся защищаемый актив, за ним должны успевать политики DLP-системы. Для этой цели нужно освободить ИБ-аналитика от рутинных операций. И третий важный момент – как защищать именованные данные, т.е. точно понимать, что система защищает именно номер телефона человека из базы SAP. Как убедиться в том, что защищаются уникальные ячейки именно из этой бизнес-системы?

Ответом на такие вопросы стал разработанный компаний InfoWatch интеграционный адаптер, который был разработан в среде SAP ERP и согласно стандартам SAP, который позволяет автоматически синхронизировать защищаемые активы. Здесь использовался стандартизированный инструментарий и в дальнейшем разработчики смогли свое решение сертифицировать.

В среде SAP ERP бизнес-приложения работают как правило с общими именованными сущностями, они обозначены на слайде слева, это справочник по сотрудникам, по клиентам, данные о поставщиках, все это отдельные ячейки и разработанный адаптер по сути считывает данные оттуда, он не имеет каких-то особых разрешений на какие-либо изменения, он готовит данные для выгрузки в DLP-систему, чтобы они поддерживались в этой системе в актуальном состоянии и могли быть защищены. Взаимодействие происходит по защищенному каналу, осуществляется автоматизированная синхронизация и сам корректор связывается с системой InfoWatch Traffiс Monitor по специализированному интерфейсу REST API с авторизацией. Здесь поддерживаются токены, нельзя эти данные изменить, нельзя врезаться в этот канал, синхронизировать данные с какой-то сторонней системой. Управлять этой интеграцией может даже не сотрудник ИБ-подразделения, а администратор системы SAP ERP. Выгрузки через коннектор можно настраивать либо вручную, либо создавать свои автоматические правила, предусмотрен мониторинг и диагностика выполняемых функций. Предусмотрено уведомление по почте о ходе выполнения таких выгрузок. У компании, как у разработчика, есть зарегистрированное пространство имен и на эту разработку есть сертификат компании SAP. Разработка плагина и его предоставление в продакшн-среду выполняется всеми теми же стандартизированными методами, с которыми работает администратор SAP-системы. У многих клиентов есть две-три предпродакш-системы, может быть собственный полигон разработки, полигон консолидации и уже затем продакшн-среда. Плагин можно установить прямо на начальном этапе, можно инсталлировать сначала в development-среду средствами переноса с мониторингом изменений и возможностью отката, а затем перенести уже в консолидацию предпродакш и в дальнейшем в продакш-среду. Как это выглядит, представлено на следующем рисунке.

Это пример интерфейса: на заднем плане у нас web-интерфейс, консоль и InfoWatch Traffiс Monitor, а на переднем плане - лаконичный интерфейс из системы SAP. Здесь поддерживается мандатный доступ, есть возможность задавать короткие транзакционные команды, есть быстрый поиск, плагин подчинятся той логике, которая есть в SAP. Есть возможность диагностики для траблшутинга, можно заниматься ею самостоятельно, а в плагине можно задать правила синхронизации выгрузок из баз данных и какую часть из этих баз нужно отправлять в Traffiс Monitor, либо только базовые параметры, либо расширенные.

Клиентам дана возможность защищать именованные данные, это подразумевает использование запатентованной InfoWatch технологии детектирования баз данных, когда есть возможность четко детектировать именно выгрузки из баз. Можно сказать, что вы будете отслеживать не выгрузку из баз целиком базы или какого-нибудь ее куска, а будете отслеживать только случаи, когда передается имя, фамилия, табельный номер сотрудника, его зарплата, регион пребывания, адрес и система будет реагировать только на такую совокупность защищаемых данных. Как только происходят какие-то изменения в бизнес-системе, об этом сразу узнает DLP-система InfoWatch Traffiс Monitor. Это позволяет снижать трудозатраты ИБ-специалистов, теперь не нужно заниматься синхронизацией вручную. Но это не все, в случае SAP ERP сотрудники InfoWatch занимались разработкой в сторонней среде разработки, но у нас есть и собственный SDK с помощью которого мы можем интегрироваться с другими системами.

Средой разработки InfoWatch предусмотрено несколько вариантов взаимодействия с DLP-системой: выгрузка событий из самой DLP-системы в какую-то внешнюю систему, это может быть SIEM-решение или даже не традиционная система.

Второй вариант взаимодействия – это загрузка событий из сторонних систем в Traffiс Monitor, это интеграция с фаерволами и прокси-серверами по открытому протоколу, здесь происходит интеграция с такими вендорами как Cisco, Check Point, RVision, MFlash и другими, интеграция с системами электронного документооборота, когда поступают какие-то события на обработку и принятие решений, например, решения от компании Micro Lab. Эта компания занимается сетевым перехватом и позволяет получать события даже без установки агентов, они умеют это делать достаточно хорошо и дают трафик на обработку по правилам SDK и делать это можно без влияния конкретной операционной системы на скоростях в десятки гигабит в секунду.

Третий вариант взаимодействия – это автообновление элементов технологии анализа в Traffiс Monitor, это интеграция с SAP и другой вариант реализации – это пополнение базы эталонных документов, эта технология позволяет обновлять цифровые отпечатки защищаемых документов, это могут быть шаблоны договоров или других документов, которые находятся в сетевой папке.

И последний вариант взаимодействия – это схема изменения решения по инцидентам из каких-либо внешних систем. Апробировано такое решение в Сбербанке с решением Security Vision, схема взаимодействия там достаточно проста, если в системе обработки инцидентов у вас был вердикт - «не было нарушений», однако в ходе расследования вы понимаете, что этот вердикт надо сменить, то он автоматически меняется и в DLP-системе.

У компании InfoWatch осуществлено уже достаточно много различных интеграций, что стало возможным за счет расширения SDK. Эти интеграции могут осуществлять сторонние разработчики, партнеры, интеграторы и заказчики самостоятельно, если у них есть такая компетенция. Сам инструментарий компания InfoWatch постоянно дорабатывается и в новой версии InfoWatch Traffiс Monitor 6.11 можно использовать кастомные атрибуты и закладывать логику своих бизнес-приложений в Traffiс Monitor.