09.10.2014 Аналитика и управление ИБ с экосистемой Jet inView
advertisement
09.10.2014 Аналитика и управление ИБ с экосистемой Jet inView Обеспечение информационной безопасности (ИБ) в компании – сложный процесс, требующий использования множества инструментов разных производителей. Плюс разнородность и разновендорность инструментария – все это зачастую негативно сказывается на управляемости системы, возможности оперативно и объективно оценивать состояние ИБ в организации. А уж об использовании одинаково понятных бизнесу и техническим специалистам показателей эффективности и количественных метрик и вовсе говорить не приходится. Игорь Ляпунов, директор Центра информационной безопасности «Инфосистемы Джет», и его заместитель Валентин Крохин рассказали в интервью CNews о созданной компанией экосистеме продуктов по управлению безопасностью, нюансах и выгодах такого подхода, как с точки зрения бизнеса, так и ИБменеджмента. CNews: Изменился ли за последнее время спектр задач, традиционно решаемых руководителями ИБ-подразделений? Какие тенденции в области управления информационной безопасностью вы можете отметить? Игорь Ляпунов: Парадигма управления информационной безопасностью за несколько последних лет серьезно изменилась. Во-первых, значимость обеспечения безопасности ИТинфраструктуры для бизнеса заметно повысилась. У руководителя информационной безопасности появилась задача выстраивать коммуникацию с бизнесом, демонстрировать свою результативность и эффективность. Во-вторых, начав решать бизнес-задачи безопасности, нужно хорошо понимать суть бизнеса, уметь самостоятельно оценивать бизнесриски, управлять рисками ИБ. В-третьих, многократно усложнились информационные технологии, расширились методы и виды угроз. Инструментарий профессиональных хакеров стал легкодоступен рядовым пользователям, и, как следствие, усложнились технологии безопасности. Все это приводит к новым требованиям в первую очередь к менеджменту, к руководителю ИБ, к его эффективности и бизнес-ориентированности, к умению перевести логику информационной безопасности в логику бизнеса. CNews: Какие же специализированные инструменты управления сегодня могут быть доступны руководителю службы ИБ? Валентин Крохин: Сейчас его арсенал весьма скромен: красноречие и умение найти общий язык с бизнесом, который он защищает. На практике наиболее используемыми руководителем службы ИБ инструментами попрежнему являются Excel (для сведения всех инцидентов и отрисовки красивых графиков), Word и PowerPoint (для написания регулярных отчетов для топменеджмента и создания презентаций для акционеров). А самое главное за рутиной ежедневных Валентин Крохин: задач руководитель ИБ может упустить из виду На практике наиболее используемыми задачи развития. руководителем службы Слишком уж часто в ИБ инструментами пороссийских компаниях прежнему являются Excel, утро ИБ-руководителя Word и PowerPoint начинается с того, что он вручную отрабатывает заявки на предоставление доступа к корпоративным информационным ресурсам. А их может быть свыше ста ежедневно. Стоит только представить эту стопку бумаги, прикинуть необходимое для принятия взвешенного решения по каждой заявке время, и можно вообще забыть о словосочетании «эффективный менеджер». Игорь Ляпунов: Ровно поэтому несколько лет назад мы задались целью разработать решение, которое сможет автоматизировать ежедневную деятельность руководителя службы ИБ. Для этого и предназначена разработанная нами линейка продуктов Jet inView, все элементы которой фактически образуют экосистему управления информационной безопасностью. Валентин Крохин: Мы опирались на практический опыт обеспечения безопасности, а это 18 лет построения комплексных корпоративных систем защиты. Безусловно, мы учитывали и лучшие практики: и западную, действительно зрелую нормативную базу, и отечественные стандарты, а также опыт использования различных средств ИБ в нашей стране. CNews: Из каких элементов состоит экосистема управления Jet inView сегодня? Игорь Ляпунов: Она фактически отражает систему процессов и задач, которые решает современных руководитель ИБ. Ее можно представить в виде пирамиды. В основании – средства и системы обеспечения ИБ. Это межсетевые экраны, VPN-шлюзы, антивирусы и т.д. Над ними, вторым уровнем, идут процессы Экосистема Jet inView обеспечения информационной безопасности. Наконец, на третьем уровне – на вершине пирамиды – процессы управления информационной безопасностью, аналитические задачи и задачи анализа эффективности. Продукты линейки Jet inView закрывают два верхних уровня пирамиды ИБ. Верхней точке пирамиды соответствует решение Jet inView Security – аналитическая платформа, система поддержки принятия решений. Она собирает информацию из разных источников, в том числе и со второго и третьего уровней, строит аналитику, выявляет скрытые закономерности, рассчитывает показатели эффективности, закладывает основу для анализа рисков. Второй уровень – это средства автоматизации процессов управления и обеспечения информационной безопасности. Мы их реализовали в двух технологиях: on-site – в виде традиционных программных решений, и в виде SECaaS (Security As A Service, безопасность как услуга) – сервисов, поставляемых из нашего центра мониторинга и управления JSOC. Второй уровень включает в себя несколько элементов. Во-первых, это средство автоматизации управления доступом или IdM-решение − Jet inView Identity Manager. Оно представляет собой единую централизованную систему предоставления доступа к корпоративным ресурсам. Наш семилетний опыт построения IdM-систем (а это десятки проектов) позволяет утверждать, что большинство западных продуктов достаточно сложно адаптируется к российской специфике и не может дать необходимой гибкости. Внедряя решения зарубежных производителей, мы как правило кастомизировали их процентов на 50–70. В результате мы пришли к созданию собственного решения, учитывающего потребности российских компаний уровня Enterprise. Второй элемент – управление инцидентами ИБ. Это решение, предоставляемое в сервисе JSOC, которое позволяет без участия специалистов заказчика в режиме 24х7 мониторить события ИБ на критических ресурсах и онлайн-сервисах, оперативно выявлять инциденты ИБ, сетевые атаки, фрод-активности, DDoS-атаки и обеспечивать своевременное реагирование на них, блокирование атак, проведение расследований. В рамках JSOC также предоставляются и сервисы по контролю защищенности, включающие в себя инструментальный анализ внешнего периметра и внутренних систем, тесты на проникновение, а также аудит настроек ключевых систем на соответствие российским и международным стандартам и регуляторным требованиям. Кроме того, мы активно работаем над тем, чтобы включить в экосистему «Дозор-Джет» наше флагманское решение, суть которого заключается в мониторинге коммуникаций сотрудников. Тут речь идет уже о конвергентной безопасности: задачи, которые решаются с помощью «Дозор-Джет», выходят за рамки обеспечения ИБ, мы говорим об экономической безопасности. Зафиксированный факт утечки информации как лакмусовая бумажка, показывающая, что в компании что-то не так. Это отправная точка проведения расследования. И сейчас для «Дозор-Джет» мы разрабатываем большой пласт технологий по управлению расследованиями. В ближайших планах – дополнение линейки Jet inView решениями по автоматизации выявления мошеннических схем и fraud-мониторингу. Antifraudрешение в новой линейке появится в течение 2015 года. CNews: Почему часть решений вы реализуете в виде ПО, а часть – в виде сервисов? Игорь Ляпунов: Из нашего опыта, некоторые решения по управлению безопасностью являются технически сложными системами. Как, например, SIEM-системы, обеспечивающие мониторинг событий ИБ. Они требуют высокой и очень узкой квалификации специалистов для их настройки и эксплуатации. Плюс для полноценного мониторинга инцидентов необходимо выделение нескольких специалистов на full-time на мониторинг. Все это является практически нерешаемой задачей для большинства заказчиков, имеющих ограничения на численность службы ИБ. Ровно поэтому подобные задачи по управлению безопасностью мы предлагаем в виде фактически аутсорсинговых моделей, когда помимо программно-технического решения мы даем заказчику еще и «руки» для выполнения этих задач. Что касается продуктов линейки Jet inView, то технически мы можем предоставить их как услугу, но с точки зрения здравого смысла, я считаю, этого делать не стоит. Ключевые функции службы ИБ – методологическая и контрольная, и все то, что относится к вершине пирамиды экосистемы ИБ – процессы управления рисками, принятия решений, контроля эффективности – должно остаться внутри компании. CNews: Что делает набор продуктов линейки Jet inView экосистемой? Игорь Ляпунов: Есть несколько ключевых признаков, определяющих экосистему. Во-первых, взаимодействие всех составляющих друг с другом и возникновение максимального синергетического эффекта на основе этого взаимодействия. Вовторых, возможность органичного включения новых элементов с сохранением баланса, гармонии. В нашем случае это интеграция всех продуктов на базе одной платформы управления, единая система визуализации аналитической информации и возможность в любой момент подключить новое решение. Если говорить о платформе, то нам действительно удалось создать унифицированное средство общения не только с каждой системой по отдельности, но и систем друг с другом внутри экосистемы. И это при том, что мы используем в качестве элементов Игорь Ляпунов: не только ПО или аппаратные Парадигма управления решения. информационной Повторюсь, в нашу безопасностью за несколько продуктовую последних лет серьезно линейку входит и изменилась облачный сервис обеспечения безопасности – JSOC. CNews: Верно ли я понимаю, что все преимущества от экосистемы Jet inView могут быть получены только при условии использования всех решений одноименной линейки? Игорь Ляпунов: Практически не имеет значения, какие средства установлены на нижнем уровне. Существует целый ворох коннекторов к продуктам самых разных производителей. Любые средства обеспечения ИБ можно включить в нашу экосистему, и они все будут передавать информацию на более высокий уровень. Но если компания-заказчик выберет в качестве IdMрешения или иного элемента второго уровня продукт другого вендора, мы его точно так же включим в экосистему и будем получать от него полноценные данные для аналитики. Но важно понимать, что управляться этот кусочек будет отдельно. Просто потому, что вендорский продукт изначально представляет собой замкнутую среду, и мы физически не имеем возможности вскрыть его и оснастить элементами управления, подходящими нам. CNews: На какой бизнес ориентирован ваш новый подход к обеспечению информационной безопасности? Игорь Ляпунов: Логично, что в первую очередь во внедрении данного подхода заинтересован крупный бизнес, который уже столкнулся с серьезными проблемами в управлении процессами ИБ. Однако и средние компании все чаще смотрят в эту сторону, что, в общем-то, не удивляет, если учитывать сегодняшние тенденции. Так, на протяжении последних семи лет мы вели IdMпроекты почти исключительно в крупных компаниях с количеством пользователей от 10 тысяч человек. Сегодня мы отмечаем немало запросов со стороны компаний в полторы, а то и две тысячи сотрудников. Тема мониторинга ИБ вообще актуальна для компаний любого масштаба. Не всегда определяющим признаком предприятия, остро нуждающегося во внедрении продуктов по информационной безопасности, является его масштаб. Вовсе не обязательно, что, например, строительной компании со штатом 20 тысяч строителей, которой для успешной деятельности достаточно 10 компьютеров, необходим хотя бы один из продуктов нижнего уровня. Все определяется ИТ-зрелостью, уровнем информатизации бизнес-процессов, зависимостью от ИТ. Сейчас, например, мы реализуем проект в небольшой по численности компании, бизнес которой завязан на операциях в онлайне, и ей нужны не просто какие-то отдельные наши ИБрешения, а вся линейка Jet inView. Валентин Крохин: Мы отмечаем, что потребность во внедрении полноценных решений по управлению безопасностью огромна. Так, за период чуть больше года с момента появления на рынке решения JSOC нами уже реализовано 11 масштабных проектов. Очередь на пилоты, кстати сказать, расписана на 2–3 месяца вперед. Если говорить об отраслевой специфике компаний, внедряющих комплексный подход к обеспечению ИБ, то, во-первых, это высокодоходный бизнес (в частности нефтегазовый комплекс). А во-вторых, это предприятия с высокой ИТ-зависимостью (телеком, ритейл, банковский сектор). В этих компаниях мы сейчас и ведем проекты по созданию экосистемы управления ИБ.
