ИБ-аналитика: когда возможностей больше, чем задач
Сегодня часто говорится о том, что в банках внедрено множество разнородных средств защиты, «выдающих» большие объемы информации, а их своевременные обработка и анализ практически невозможны (особенно при повсеместном дефиците специалистов в ИБ-подразделениях). И в данном случае само собой напрашивается использование системы, которая сможет объединить данные от имеющихся средств защиты.
Часто в качестве такого инструмента рассматривают SIEM-системы. И действительно, они позволяют собирать информацию о событиях ИБ с разных источников, агрегировать и коррелировать их. Но достаточно ли этого? В точности ли этот инструмент необходим? И только ли с его помощью можно обработать большой объем разнородных данных от средств защиты?
И ЦЕЛОГО SIEM`а МАЛО...
Подробное рассмотрение задач, с которыми сталкиваются подразделения ИБ, показывает, что некоторые из них действительно требуют анализа данных, поступающих от имеющихся средств защиты, но носят более глобальный характер, чем анализ технических событий ИБ, обеспечиваемый SIEM-системами.
В крупных территориально распределенных структурах часто отсутствует централизованный контроль ИБ в удаленных офисах. Иногда в головных и филиальных офисах различаются и системы обеспечения ИБ (например, используются разные антивирусы), что усложняет задачу централизации контроля ИБ. Обычно ее решают посредством отчетов, регулярно направляемых филиалами в головной офис. При этом их полнота и достоверность иногда может вызывать вопросы, а сам подход связан с весомыми трудозатратами. Например, в крупном банке на подготовку еженедельных отчетов о состоянии ИБ в центральном офисе и 10 филиалах, только у одного специалиста ИБ центрального офиса, собирающего воедино все отчеты от филиалов, может уходить 6–7 часов (и это без учета трудозатрат в филиалах).
Еще один вариант столь же трудоемкой и сложной задачи – подготовка для службы внутреннего контроля различных отчетов по специфическим формам о выполнении требований по ИБ. Кроме того, никто не отменяет идею демонстрации руководству эффективности процессов обеспечения ИБ (и подразделения ИБ в целом). К сожалению, зачастую значения технических показателей и динамика их изменения не прозрачны для бизнес-руководства и требуют повторного «перелопачивания» данных и «изобретения» критериев анализа и отчетов, «понятных» топ-менеджменту.
Очевидно, что для решения перечисленных задач SIEM-решения, оперирующего глубоко технической информацией о событиях ИБ, недостаточно. А «перевод» данных, полученных от SIEM, в общечеловеческие категории связан с дополнительными ресурсозатратами на их анализ.
НОВАЯ АНАЛИТИКА – НОВЫЙ ВЗГЛЯД НА ИБ
Полноценно решать задачи подразделения ИБ может высокоуровневая аналитическая система, не являющаяся в полном смысле «технической» и оперирующей конкретными событиями ИБ или уязвимостями на серверах. Эта система – некий ситуационный центр, позволяющий быстро оценить состояние ИБ, его динамику, эффективность тех или иных мероприятий, выявить узкие места в части ИБ, скорректировать оперативные задачи подразделения ИБ и вектор развития ИБ в целом. Не углубляясь при этом в технические детали.
Она поистине формирует новое видение ИБ: ее пользователями могут быть и специалисты ИБ, и представители бизнеса (не столь глубоко понимающие специфику ИБ), а функционал позволяет в максимально наглядной форме, в рамках «единого окна» видеть актуальное состояние дел в сфере ИБ с желаемым уровнем детализации. И это не требует постоянного анализа многочисленных событий ИБ, формирования регулярных отчетов о работе систем безопасности или «ручного» поиска дополнительной информации из других источников.
В качестве такой системы мы используем в своих проектах продукт собственной разработки – Jet inView Security – систему, позволяющую в рамках одного интерфейса почти мгновенно «спускаться» от высокоуровневых данных на более низкий уровень (вплоть до перехода в консоли систем-источников). Этот продукт сочетает в себе функционал Business Intelligence и Data Mining и позволяет оперативно и с минимальными трудозатратами аккумулировать и анализировать информацию из разных подсистем ИБ и бизнес-систем с последующими ее преобразованием и подачей в виде аналитических панелей различного уровня детализации.
ИЛЛЮСТРАЦИЯ 1. Аналитика в интерфейсе Jet inView Security
ПОВОРОТ ЛИЦОМ К БИЗНЕСУ
Как уже говорилось, сфера ИБ далеко не всегда прозрачна для топ-менеджмента и это сопряжено с рядом проблем. Например, бизнес не всегда досконально понимает куда уходят затраченные на ИБ деньги и какой эффект они дают. Руководители подразделений ИБ, в свою очередь, сталкиваются со сложностями при демонстрации отдачи от деятельности ИБ, эффекта от вложенных в нее средств.
Это обуславливает актуальность создания иерархии показателей результативности и эффективности ИБ (от бизнес-метрик, до технических показателей), позволяющих количественно и качественно оценить ожидаемые результаты от применения мер по защите информации и определить степень соответствия внедряемых и уже внедренных процессов ожиданиям компании. Jet inView Security автоматически рассчитывает значения метрик по поступающим от подсистем ИБ данным, позволяет выявить реальные и потенциальные недостатки в обеспечении ИБ, своевременно принять меры по устранению их причин.
При возникновении инцидентов ИБ система позволяет оперативно собрать и сопоставить информацию из не связанных между собой источников, провести поведенческий анализ работы не только систем, но и пользователей. Например, – произошла утечка информации? Нужно быстро посмотреть, кто, когда и куда отсылал по почте или сохранял на флешку файлы с критичной информацией, с кем эти люди общались в последнее время по почте, на какие сайты ходили в день утечки (за день до этого, за неделю и т.д.). Jet inView Security позволяет делать это за считанные секунды.
И подобных примеров применения системы может быть масса. Например, можно оценить эффективность работы сотрудников, получив ответы на такие вопросы, как «сколько времени они проводят в интернете?», «на сколько опаздывают на работу?» и т.п. При этом единственное ограничение по получению данных – наличие источников, из которых можно взять интересующую информацию.
