Для проекта внедрили DLP-систему «СёрчИнформ» в специальной архитектуре.
В сентябре 2024 года к нам обратился заказчик. Финансовая организация с несколькими удаленными филиалами хотела наладить централизованную защиту данных.
В 10 подразделениях в четырех городах работают более полутора тысяч сотрудников, а в службе ИБ – всего пять человек, и все базируются в головном офисе. Хотя система защиты информации в компании существовала, часто возникали проблемы: ИБ-специалисты не вовремя получали сведения о нарушениях в филиалах и не могли оперативно скорректировать меры безопасности. Полной картины работы с данными не было.
Поэтому перед нами задачу поставили так: организовать контроль хранилищ данных и ПК сотрудников в распределенной инфраструктуре. Оперативно получать сведения об инцидентах, которые произошли в филиалах, расследовать и устранять их из головного офиса. Кроме того, система должна была оставаться удобной в обслуживании: не увеличивать нагрузку на существующий отдел ИБ и не требовать привлечения новых кадров.
Расскажу, как мы ее решали.
На старт…
Для начала – определились с инструментами.
Предстояло контролировать, как в компании хранятся и передаются конфиденциальные данные, как с ними работают сотрудники, и защищать от несанкционированных попыток передать данные за пределы организации. Такими задачами занимаются DLP-системы. Они контролируют все цифровые каналы (почта, мессенджеры, флешки и т.д.), по которым передается корпоративная информация, а также устанавливают компоненты мониторинга – агенты – на ПК сотрудников, чтобы отслеживать их активность. Эти сведения затем отправляются в дата-центр, где настраиваются политики безопасности и осуществляется поиск инцидентов.
У компании был опыт использования DLP, но только в «узловых» подразделениях: головном офисе и еще паре, где работали больше всего сотрудников. Но масштабировать прошлую систему оказалось невозможно. С ней контролировать филиалы можно было только двумя способами: разворачивать отдельный дата-центр в каждом филиале или создавать систему контроля с единым дата-центром в головном офисе.
Первый вариант обходился дорого: пришлось бы покупать больше дополнительного оборудования для развертывания системы. К тому же несколько дата-центров сложно администрировать: в каждом филиале нужен отдельный специалист по ИБ для работы с системой и анализа информации в ней. Таких ресурсов у заказчика не было.
У второго варианта обнаружились технические ограничения: большая нагрузка на канал передачи данных из филиала в головной офис. Из-за этого трафик мог поступать туда не вовремя. А если центральный офис и филиал связаны каналом с низкой пропускной способностью, передача трафика от агентов грозила так затормозить интернет в филиале, что пострадали бы бизнес-процессы.
Итого ни первый, ни второй вариант компании-заказчику не подходили:
1. Служба ИБ работает только в головном подразделении, в филиалах нет специалистов для работы с DLP.
2. Между филиалами и центральным офисом связь происходит по узкому каналу передачи со скоростью от 1 до 3 Мб/с. В рабочее время канал передачи загружен на 80-85%.
Поэтому мы предложили внедрить нашу DLP «СёрчИнформ КИБ» в архитектуре, специально созданной для контроля разветвленной инфраструктуры.
Внимание!
В КИБ для контроля распределенных подразделений существуют компоненты EC-Hub (EndpointController Hub). Это дополнительные элементы системы, которые отвечают за сбор и предварительную обработку данных с филиала перед отправкой ее в головной офис.
Вот, как это работает:
1. В филиалах выделяют серверы (необязательно физические – все будет работать и с виртуальных) с компонентом EC-Hub, в который компьютеры сотрудников передают данные по локальной сети. Канал связи с головным офисом не задействуется, т.к. занят в бизнес-процессах.
2. EC-Hub собирает, нормализует данные и в экономичном виде отправляет в головной офис. Перед отправкой данные шифруются.
При этом компонент передает данные по заданному расписанию: с 9 до 18 часов можно делать это со скоростью не выше 1 мегабита, с 18 до 20 часов – не выше 5 мегабит, с 20 до 9 часов – без ограничения. Таким образом, в рабочее время EC-Hub не создает нагрузки на соединение с головным офисом, следовательно, «интернет не тормозит».
3. Каждый EC-Hub передает данные в головной офис из своего филиала. Информация об инцидентах в подразделениях консолидируется в одном месте, обрабатывается и хранится. Компании не нужно нанимать и обучать работе с DLP ИБ-специалистов «на местах», системой управляет центральная служба ИБ. Причем хватит одного специалиста из всей службы, чтобы контролировать сразу все 1,5 тыс. ПК: благодаря автоматизации мониторинга и продвинутой аналитике в КИБ.
Рис. 1. Схема работы «СёрчИнформ КИБ» в распределенной инфраструктуре с компонентами EC-Hub
Марш!
Благодаря EC-Hub компания смогла построить единую систему безопасности во всех офисах. Правила безопасной работы с данными внедрили равномерно, контроль их соблюдения ведется централизованно: на виду все подразделения. Заказчик управляет всей системой из головного офиса. К тому же теперь мониторинг доступен для всех сотрудников, включая тех, кто находится в командировках.
Компания отметила такие результаты внедрения:
1. Отдел ИБ в головном офисе получает данные из филиалов напрямую, может одновременно задавать политики безопасности для всех офисов и оперативно выявлять в них инциденты. Это качественно повысило уровень защиты.
2. Использование компонента EC-Hub увеличило пропускную способность DLP втрое, так как он может передавать данные 24 часа в сутки, а не 8 (рабочий день, пока ПК включен). ИБ-специалисты оперативно получают полную информацию об угрозах и успевают разобраться с инцидентами в филиалах, несмотря на разницу в часовых поясах.
3. «Распределенное» внедрение DLP помогло сэкономить ИБ-бюджеты: не было нужды закупать мощное оборудование под систему в каждый филиал. Так как EC-Hub работает с единым дата-центром, заодно не пришлось тратиться на дополнительные лицензии серверных ОС и СУБД для хранения данных перехвата. При этом сам компонент EC-Hub предоставляется в КИБ бесплатно.
Выводы
Каждое внедрение любой системы ИБ – кастомный проект, который требует учета особенностей инфраструктуры и потребностей заказчика. Поэтому решения должны быть адаптивными и гибкими, и предлагать компаниям готовые сценарии интеграции, масштабирования, кастомизации «из коробки».
Мы в продуктах «СёрчИнформ» последовательно развиваем такие инструменты. Например, специальная архитектура для многофилиальных компаний доступна как для DLP, так и для SIEM, а средств интеграции с другим ИБ- и бизнес-ПО в системах больше 10. Все серверные, клиентские и агентские компоненты программ можно развернуть на облачной платформе («СёрчИнформ» или облачного провайдера). Такой подход в том числе помогает заказчику сэкономить: не закупать дополнительные лицензии, не тратить трудочасы инженеров и программистов на настройку и доработку систем, не перегружать оборудование. При этом даже в нетипичных проектах внедрения решения не теряют своей функциональности. В итоге DLP-система «СёрчИнформ КИБ» впишется в любую компанию и обеспечит защиту без слепых зон.
Протестируйте систему бесплатно в течение 30 дней. Можно сразу опробовать нужный вариант внедрения, проверить удобство работы и эффективность контроля. Советуем сразу испытывать DLP в «боевом» режиме – с предельной нагрузкой по максимальному числу каналов. Только так можно понять, подойдет ли решение под ваши задачи.
Реклама. ООО "СерчИнформ", ИНН7704306397, erid:2Vtzqucdc7n
