13.04.2022 | Как защититься от утечек информации при масштабировании бизнеса |
Почему контролировать территориально распределенную компанию сложноDLP-система предназначена для блокирования утечек информации, контроля коммуникаций сотрудников и выявления признаков корпоративного мошенничества. Даже когда мы говорим об организации, у которой нет филиальной сети или дочерних компаний, внедрение подобной высокопроизводительной системы – масштабный трудоемкий процесс. В случае же с территориально распределенной компанией все еще сложнее. Ведь важно обеспечить не только контроль внутри каждого филиала, но и иметь возможность следить за ситуацией из головного офиса, ведь руководитель ИБ-службы несет ответственность за всю компанию с сетью ее филиалов или «дочек». До появления у вендоров DLP-систем модулей для территориально распределенных организаций решить проблему контроля сотрудников можно было двумя способами. Первый вариант – отдельные инсталляции DLP в головном офисе и в каждом филиале или дочерней компании. Очевидно, что оперативный централизованный мониторинг в таком случае практически невозможен. Реальное положение дел в каждом филиале известно только работающим там офицерам безопасности. Руководителю ИБ-службы остается полагаться на отчеты, которые он периодически получает от них. При этом проверить их достоверность очень сложно. Второй вариант – единая инсталляция DLP. Несмотря на то, что звучит многообещающе, получаем много проблем. Среди них необходимость централизовать весь трафик, создать единое хранилище, куда будут стекаться данные из всех филиалов или дочерних компаний. В отсутствие готового решения «из коробки» понадобятся высококвалифицированные инженеры, которые смогут развернуть единую инсталляцию во всех филиалах или «дочках» компании и заставят ее правильно работать. Добавим сюда проблему ширины каналов связи в регионах, и станет ясно, что решение может оказаться слишком дорогим и не совсем рабочим. Как решает проблему специализированный модульМодуль для территориально распределенных организаций объединяет отдельные инсталляции DLP в головной компании и филиалах или «дочках» в единую систему. Получается, что контроль есть не только на местах, но и в центре: безопасники в головном офисе видят, что происходит в филиалах, и могут этим управлять. В случае с модулем MultiDozor нашей DLP-системы это реализовано через возможность представить филиалы как подкластеры, которые сами по себе являются отдельными инсталляциями Solar Dozor. А инсталляция системы с модулем MultiDozor разворачивается в головной компании. Используется единая точка входа в интерфейс, а все территориально распределенные пользователи MultiDozor обращаются к системе через веб-сервис по внутрикорпоративной сети. Для ИБ-службы это означает возможность централизованно настраивать и применять единые для всей компании политики. Кроме того, можно кастомизировать их под конкретные филиалы. Офицеры безопасности могут в реальном времени получать полную картину по всем филиалам и дочерним компаниям, проводить сквозные расследования, автоматически, а не вручную формировать единые отчеты по всей большой организации. При этом права доступа для безопасников на местах настроены так, что они могут работать с данными только по своему филиалу. Как это работает в Solar DozorВ Solar Dozor благодаря модулю MultiDozor можно реализовать целых три архитектурные схемы работы DLP-системы в территориально распределенной организации. Выбор конкретной схемы зависит от особенностей ИТ-инфраструктуры заказчика. Первая схема подразумевает, что данные хранятся и обрабатываются в филиалах без необходимости передачи в центральный архив. При этом офицер безопасности в филиале видит и работает только с данными своего филиала, а офицер безопасности в центральном офисе работает со своими данными и с данными филиала как с единым целым. Такой вариант хорошо применим, когда происходит поглощение компаний. В этом случае вся ИТ-инфраструктура присоединяемой компании (домен, почта, рабочие станции сотрудников) остаются как есть, без объединения с головной компанией.
При второй схеме все данные хранятся и обрабатываются в центре. Например, в том случае, когда произошло слияние компаний и все сотрудники пользуются общей почтой, корпоративными ресурсами и т. д. Модуль MultiDozor позволяет разделить пользователей по подкластерам, чтобы офицеры безопасности в филиалах могли работать только с теми данными, которые касаются их подразделения. При этом остается необходимость постоянно пересылать все данные из филиалов в центральный офис, что требует надежных каналов связи. Третья схема представляет собой гибридный вариант, когда часть данных хранится и обрабатывается в центральном офисе, часть – в филиалах. Из всех представленных на российском рынке DLP-систем такая схема может быть реализована только в Solar Dozor. Например, модуль MultiDozor поддерживает работу при архитектуре с общей почтой и распределенными endpoint-агентами, которые ставятся на рабочие станции и контролируют действия пользователей на них. Некоторые данные могут быть общими для компании (почта), другая же их часть может обрабатываться в филиалах или «дочках», а затем передаваться в единый центральный архив или же храниться на местах. Схемы территориального распределения в других системах и их недостаткиРяд вендоров предлагают в своих продуктах аналогичную функциональность, которая позволяет обеспечить централизованное управление DLP-системой в территориально распределенной организации. Однако в имеющихся на рынке решениях реализована только та схема, при которой все данные филиалов отправляются для обработки в центральный офис. И одной из главных проблем здесь может стать упомянутая выше пропускная способность канала связи. Не секрет, что у территориально распределенных организаций филиалы часто находятся в местах, где широкие интернет-каналы попросту недоступны. В таком случае передача больших объемов трафика, которым оперирует DLP-система, становится практически невозможной и неизбежно будет мешать бизнес-процессам. При этом, если из какого-то филиала данные доставляются нестабильно, это может повлиять на работу всей системы. Некоторые вендоры предлагают решить эту проблему, установив расписание, когда данные перекачиваются в центр, например вечером или ночью, когда канал не перегружен. Но такой вариант обязательно скажется на оперативности реагирования на инциденты и их расследования. Кроме того, некоторые рыночные решения, помимо развертывания отдельных инсталляций DLP в филиалах и в головном офисе, также требуют установки в центре дополнительного сервера, который будет агрегировать и обрабатывать полученные данные. То есть заказчику придется нести дополнительные расходы на оборудование. Модуль MultiDozor не требует дополнительных аппаратных мощностей кроме тех, которые в принципе необходимы для развертывания DLP-системы в инфраструктуре заказчика. А три архитектурные схемы, которые можно реализовать при использовании MultiDozor, позволяют внедрить DLP-систему в любой ИТ-инфраструктуре территориально распределенной организации. Кейсы использования MultiDozor из практикиМы принимали решение о создании модуля, анализируя запросы заказчиков. Многие корпорации в России и некоторых странах СНГ имеют в своей структуре множество филиалов или дочерних компаний. И часто их разделяют сотни километров. Поэтому проблема сквозного мониторинга для них очень актуальна. Один из наших заказчиков – нефтяная компания из ближнего зарубежья. У нее достаточно много дочерних организаций, которые расположены в труднодоступных местах. Собственных ИБ-служб в них вообще нет, а каналы связи в регионах, как известно, порой оставляют желать лучшего.
С помощью гибридного варианта использования MultiDozor компания наладила централизованный контроль таких отдаленных филиалов из головного офиса. Лайфхак, который использовали в компании: чтобы находчивые сотрудники не искали способы обхода DLP-системы, ее можно устанавливать под видом каких-либо технических работ. MultiDozor также востребован, когда возникает необходимость контролировать новую дочернюю организацию. Так, к нам обращался один российский банк, который приобрел страховую компанию, чтобы самостоятельно оказывать соответствующие услуги своим клиентам. В уже сложившейся не очень большой компании важную роль часто играют личные связи и связанные с этим злоупотребления. Поэтому даже при наличии в «дочке» внедренной ранее DLP-системы и собственной службы безопасности уровень доверия к последней со стороны головного офиса был невысок. Поступающие отчеты были неполными или недостоверными. При этом доказать факт каких-либо нарушений без централизованного мониторинга дочерней организации невозможно. MultiDozor позволил среди прочего контролировать действия ее офицера безопасности, например если он удалял какие-то сообщения в системе. ВыводыПервый вывод, который напрашивается из всего сказанного выше, очевидный: полноценная работа службы информационной безопасности в корпорации, в которой появляются новые филиалы или дочерние компании, без DLP-системы крайне затруднительна. Появление новых сотрудников, которые сидят где-то вдалеке от головного офиса, подключение ИТ-инфраструктуры присоединяемых компаний – все это повышает риск утечек информации, усложняет мониторинг непрерывности бизнес-процессов, а также контроль рабочих коммуникаций. DLP-система, которая имеет широкие возможности реализации мониторинга территориально распределенных предприятий, все эти риски значительно уменьшает. И второй вывод: DLP-система должна работать так, чтобы не мешать бизнес-процессам, учитывать особенности ИТ-инфраструктуры, ширину интернет-канала, нюансы организационно-штатной структуры, а также легко и удобно масштабироваться в случае изменений, например при появлении новых филиалов или дочерних компаний. Модуль MultiDozor решает все эти задачи наименее трудозатратным для заказчика способом. Андрей Воробьев, руководитель группы экспертного пресейла компании «Ростелеком-Солар» |
Проверить безопасность сайта