Поиск по публикациям и новостям

Бизнес теперь все чаще консультируется с ИБ-службой компании, он все больше заинтересован в интеграции, чтобы совместно увеличивать экспертизу своих специалистов при внедрении новых технологий или новых процессов.

Тема сегодняшнего мероприятия: «Интеграция информационной безопасности в бизнес-системы. Как успевать за динамическими данными из ERP», спикером сегодня выступает Александр Коробко, менеджер по развитию продуктов компании INFOWATCH, он в компании занимается развитием продуктов в направлении мониторинга действий сотрудников и интеграцией DLP-системы InfoWatch Traffiс Monitor.

Защита информационных ресурсов компании сегодня является обязательным требованием бизнеса. На пути к цифровизации и применению новых технологий бизнес все чаще задумывается об информационной безопасности. Не редки случаи, когда первых лиц компаний-заказчиков живо интересуют вопросы защиты информационных активов, защиты от утечки, защиты персональных данных и защиты конфиденциальности и целостности информации. Во многом это связано с недавними нашумевшими атаками, случаями хищения, шифрования или искажения важной и значимой для компании информации. «Немалую роль здесь могут играть и регуляторы, многие из вас знакомы или слышали о таких автоматизированных системах, когда реакция на киберинцидент уже связана с регуляторами, поскольку информация об инциденте сразу уходит к ним и к аналитику безопасности, поэтому нет необходимости в полуручном режиме готовить отчет в нужном формате» - сказал Александр Коробко. Поскольку атаки становятся более сложными, возникает все большая необходимость в комплексной реакции на них и не всегда вендоры могут это сделать в одиночку. Одно дело, если это вендоры, работающие на поле информационной безопасности, они понимают специфику решений, могут друг с другом договориться, могут реализовывать сквозные сценарии по защите информации для своих заказчиков, и совсем другое дело, если это вендоры, разрабатывающие системы других классов.

Зачастую такие системы администрируются разными людьми, представляющие их вендоры имеют разные компетенции и им необходимо более плотно взаимодействовать, чтобы решать сквозные задачи бизнеса и своих клиентов. В условиях постоянных изменений и с ростом организаций и компаний, с масштабированием бизнеса, с каждым годом растет общая ИБ-зрелость. Бизнес теперь все чаще консультируется с ИБ-службой компании, он все больше заинтересован в интеграции, чтобы совместно увеличивать экспертизу своих специалистов при внедрении новых технологий или новых процессов. И такой рост зачастую происходит достаточно быстро и иногда возникает такая ультимативная ситуация: либо вы интегрируетесь, либо это происходит без вашего ведома и не нормировано. При этом не смотря на очевидные достоинства, которые часто несут интеграционные решения, есть ряд вопросов и препятствий. InfoWatch - вендор решений по ИБ имеет в виду не только интеграцию как совместимость каких-то продуктов и не только когда заказчику надо поставить рядом несколько информационных систем, но и интеграцию как метод взаимодействия этих информационных систем. Когда речь идет не одностороннем обмене данными, а именно о двухстороннем взаимодействии.

Очень часто интеграция – это кастомизированное решение. Здесь многое зависит от инфраструктуры, от версий, от программных продуктов, которые используются у клиентов, зачастую даже от специфики бизнеса, все это надо учитывать. Достаточно часто необходимо специальное выделение проектной команды, для того чтобы интеграционные инициативы дошли до своего финального этапа. Многие из таких инициатив либо не дошли до финального этапа, либо были сильно затянуты по срокам или бюджетам, просто потому, что было не понятно, кто за что должен отвечать. Не было выделено людей, которые бы занимались интервьюированием внутри компании, которые бы искали заинтересованных стейхолдеров, которые эту интеграцию продвигали бы таким образом, чтобы вовлекать всех участников процесса и делать ее действительно полезной. Достаточно часто возникает конфликт интересов: одно дело, если мы говорим об интеграции решений по ИБ, это зачастую вотчина одного подразделения или двух, в этом случае больших вопросов не возникает, особенно когда это службы ИБ и ИТ. Когда же мы говорим о какой-то нагруженной бизнес-системе, например, DLP-системе, то зачастую возникает недопонимание, конфликт интересов и это часто воспринимается как желание показать значимость одного подразделения и перетянуть одеяло на себя. Последний немаловажный момент заключается в том, что интеграция ради интеграции никому не интересна. Поэтому нужно уметь аргументировать значимость той или иной интеграции, той или иной инициативы бизнесу. Иногда это ограничивается лишь декларацией и отображением рисков утечки информации или потерей той или иной значимой информации. Очень хорошо, когда специалисты ИБ-службы и аналитики безопасности могут это доносить в цифрах, могут аргументировать использование классических ИБ-решений и помогать бизнесу расти в рамках реализации новых проектов. Например, проекты по диджитализации сегодня часто требуют экспертизы в области ИБ и прежде чем начать что-то внедрять, нужно проконсультироваться со своими ИБ-специалистами, которые могут помочь подсветить проблемные моменты и указать на них.

Одной из последних на данный момент в компании InfoWatch стала интеграция с решением компании SAP – бизнес-системой SAP ERP, которая позволяет строить комплексные процессы, позволяет реализовать бизнес-логику, строить свои приложения для того, чтобы обеспечить цикл управления организацией и автоматизировать имеющиеся процессы. Данные, которые хранятся в этой бизнес-системе, крайне критичны, это может быть конфиденциальная информация, персональные данные или коммерческая информация. Естественно возникает вопрос, что будет, если эта информация попадет в руки злоумышленников или просто будет потеряна, и как ее защитить.

«Для того чтобы адресовать такой вопрос, мы предлагает нашим клиентам DLP-систему InfoWatch Traffiс Monitor, мы имеет в этой области серьезную экспертизу, более 15 лет занимается предотвращением утечек и достаточно хорошо научились выявлять случаи выгрузки баз данных по различным каналам информационного обмена», - информировал собравшихся Александр Коробко. По его словам, это не только непосредственный слив баз, это не только банальные примеры, когда утекает данные по различным каналам, это в том числе и случаи, когда наблюдается нецелевое использование баз данных, случаи превышения прав доступа. Некоторые сотрудники постепенно начинают накапливать информационную базу у себя, есть люди, которые постепенно вытаскивают данные по ключевым клиентам и агрегируют эту информацию у себя, не понятно для какого дальнейшего использования, в корыстных целях или просто по ошибке.

Теперь представьте скорость с которой обновляются данные в производительных высоконагруженных ERP-системах… За один день здесь могут появиться тысячи новых строчек в базах данных, данные могут изменяться и логично, что за этим должны успевать средства защиты информации. По сути DLP-система должна знать о том, что какие-то определенные изменения произошли, обновить свои политики безопасности и начать реагировать на это достаточно быстро. И второй смежный вопрос: кто этим должен заниматься? Это задача ИБ-специалиста или же он не доверенный получатель и не должен иметь доступ к таким данным, а должен этим заниматься администратор бизнес-систем? Эти вопросы поднимались в ходе проработки интеграционного решения, ответить на него не просто, как с точки зрения проработки схемы взаимодействия так и с точки зрения техники. SAP ERP – это достаточно уникальная система, там есть своя логика разработки и среда разработки, и просто так добавлять какие-то компоненты стороннему вендору никто не даст, поэтому при проработке интеграционного решения разработчики InfoWatch пытались для себя отвечать на следующие вопросы. Во-первых, как снизить риск злоупотребления первичными данными, здесь речь идет о том, что нельзя просто так взять и выгрузить слепок базы и дать его ИБ-специалисту или передать в какую-то промежуточную сетевую папку и потом скриптом или вручную загрузить в DLP-систему. Есть вероятность, что сторонний получатель станет этими знаниями злоупотреблять. Второй момент, как поддерживать политики DLP-системы в актуальном состоянии, а если что-то изменилось в базе данных, скажем, поменялся защищаемый актив, за ним должны успевать политики DLP-системы. Для этой цели нужно освободить ИБ-аналитика от рутинных операций. И третий важный момент – как защищать именованные данные, т.е. точно понимать, что система защищает именно номер телефона человека из базы SAP. Как убедиться в том, что защищаются уникальные ячейки именно из этой бизнес-системы?

Ответом на такие вопросы стал разработанный компаний InfoWatch интеграционный адаптер, который был разработан в среде SAP ERP и согласно стандартам SAP, который позволяет автоматически синхронизировать защищаемые активы. Здесь использовался стандартизированный инструментарий и в дальнейшем разработчики смогли свое решение сертифицировать.

В среде SAP ERP бизнес-приложения работают как правило с общими именованными сущностями, они обозначены на слайде слева, это справочник по сотрудникам, по клиентам, данные о поставщиках, все это отдельные ячейки и разработанный адаптер по сути считывает данные оттуда, он не имеет каких-то особых разрешений на какие-либо изменения, он готовит данные для выгрузки в DLP-систему, чтобы они поддерживались в этой системе в актуальном состоянии и могли быть защищены. Взаимодействие происходит по защищенному каналу, осуществляется автоматизированная синхронизация и сам корректор связывается с системой InfoWatch Traffiс Monitor по специализированному интерфейсу REST API с авторизацией. Здесь поддерживаются токены, нельзя эти данные изменить, нельзя врезаться в этот канал, синхронизировать данные с какой-то сторонней системой. Управлять этой интеграцией может даже не сотрудник ИБ-подразделения, а администратор системы SAP ERP. Выгрузки через коннектор можно настраивать либо вручную, либо создавать свои автоматические правила, предусмотрен мониторинг и диагностика выполняемых функций. Предусмотрено уведомление по почте о ходе выполнения таких выгрузок. У компании, как у разработчика, есть зарегистрированное пространство имен и на эту разработку есть сертификат компании SAP. Разработка плагина и его предоставление в продакшн-среду выполняется всеми теми же стандартизированными методами, с которыми работает администратор SAP-системы. У многих клиентов есть две-три предпродакш-системы, может быть собственный полигон разработки, полигон консолидации и уже затем продакшн-среда. Плагин можно установить прямо на начальном этапе, можно инсталлировать сначала в development-среду средствами переноса с мониторингом изменений и возможностью отката, а затем перенести уже в консолидацию предпродакш и в дальнейшем в продакш-среду. Как это выглядит, представлено на следующем рисунке.

Это пример интерфейса: на заднем плане у нас web-интерфейс, консоль и InfoWatch Traffiс Monitor, а на переднем плане - лаконичный интерфейс из системы SAP. Здесь поддерживается мандатный доступ, есть возможность задавать короткие транзакционные команды, есть быстрый поиск, плагин подчинятся той логике, которая есть в SAP. Есть возможность диагностики для траблшутинга, можно заниматься ею самостоятельно, а в плагине можно задать правила синхронизации выгрузок из баз данных и какую часть из этих баз нужно отправлять в Traffiс Monitor, либо только базовые параметры, либо расширенные.

Клиентам дана возможность защищать именованные данные, это подразумевает использование запатентованной InfoWatch технологии детектирования баз данных, когда есть возможность четко детектировать именно выгрузки из баз. Можно сказать, что вы будете отслеживать не выгрузку из баз целиком базы или какого-нибудь ее куска, а будете отслеживать только случаи, когда передается имя, фамилия, табельный номер сотрудника, его зарплата, регион пребывания, адрес и система будет реагировать только на такую совокупность защищаемых данных. Как только происходят какие-то изменения в бизнес-системе, об этом сразу узнает DLP-система InfoWatch Traffiс Monitor. Это позволяет снижать трудозатраты ИБ-специалистов, теперь не нужно заниматься синхронизацией вручную. Но это не все, в случае SAP ERP сотрудники InfoWatch занимались разработкой в сторонней среде разработки, но у нас есть и собственный SDK с помощью которого мы можем интегрироваться с другими системами.

Средой разработки InfoWatch предусмотрено несколько вариантов взаимодействия с DLP-системой: выгрузка событий из самой DLP-системы в какую-то внешнюю систему, это может быть SIEM-решение или даже не традиционная система.

Второй вариант взаимодействия – это загрузка событий из сторонних систем в Traffiс Monitor, это интеграция с фаерволами и прокси-серверами по открытому протоколу, здесь происходит интеграция с такими вендорами как Cisco, Check Point, RVision, MFlash и другими, интеграция с системами электронного документооборота, когда поступают какие-то события на обработку и принятие решений, например, решения от компании Micro Lab. Эта компания занимается сетевым перехватом и позволяет получать события даже без установки агентов, они умеют это делать достаточно хорошо и дают трафик на обработку по правилам SDK и делать это можно без влияния конкретной операционной системы на скоростях в десятки гигабит в секунду.

Третий вариант взаимодействия – это автообновление элементов технологии анализа в Traffiс Monitor, это интеграция с SAP и другой вариант реализации – это пополнение базы эталонных документов, эта технология позволяет обновлять цифровые отпечатки защищаемых документов, это могут быть шаблоны договоров или других документов, которые находятся в сетевой папке.

И последний вариант взаимодействия – это схема изменения решения по инцидентам из каких-либо внешних систем. Апробировано такое решение в Сбербанке с решением Security Vision, схема взаимодействия там достаточно проста, если в системе обработки инцидентов у вас был вердикт - «не было нарушений», однако в ходе расследования вы понимаете, что этот вердикт надо сменить, то он автоматически меняется и в DLP-системе.

У компании InfoWatch осуществлено уже достаточно много различных интеграций, что стало возможным за счет расширения SDK. Эти интеграции могут осуществлять сторонние разработчики, партнеры, интеграторы и заказчики самостоятельно, если у них есть такая компетенция. Сам инструментарий компания InfoWatch постоянно дорабатывается и в новой версии InfoWatch Traffiс Monitor 6.11 можно использовать кастомные атрибуты и закладывать логику своих бизнес-приложений в Traffiс Monitor.

2019-12-18 15:56:00
Геннадий Ветров
Согласен с правилами
Комментировать

Сейчас на главной

10 мар. 2025 г., 20:36:49
Проверьте вашу мотивацию движения к цели

Продолжаем разговор о технологии достижения результата.

6 мар. 2025 г., 11:46:57
IT-эксперт о потерянных $1,46 млрд Bybit: как технически стало возможным крупнейшее в истории крипто-ограбление

Криптовалютный рынок продолжает привлекать внимание как инвесторов, так и злоумышленников. Недавно произошел громкий инцидент в сфере безопасности, который поставил под угрозу репутацию одной из крупнейших криптобирж в мире — Bybit. По оценкам экспертов, хакеры смогли украсть рекордные $1,46 млрд. Это событие стало самой масштабной цифровой кражей в истории.

27 февр. 2025 г., 15:08:11
Российский рынок корпоративного ПО: перспективы роста и ключевые тренды

Российский рынок корпоративного программного обеспечения демонстрирует уверенный рост, который, согласно исследованию консалтинговой компании Strategy Partners, в среднем составит 24% ежегодно до 2030 года. В результате его объем превысит 700 млрд рублей, а общая емкость ИТ-рынка может достигнуть 7 трлн рублей. Ключевыми факторами роста остаются цифровая трансформация бизнеса, импортозамещение и активная государственная поддержка отрасли

20 февр. 2025 г., 21:40:23
Новости линейки IP-телефонов Flat-Phone

Мероприятие «Флат-ПРО», российского разработчика программно-аппаратных решений в области связи. Встреча посвящена итогам первого года продаж IP-телефонов компании, продуктовой линейке устройств «Флат-ПРО», а также планам и перспективам её развития в 2025 году.

17 февр. 2025 г., 17:44:19
PT NAD и PT Sandbox - защита от целевых атак

Мероприятие серии «ПРОдемо:Лаборатория программных решений» — специального проекта команды OCS Soft. В рамках встречи Дмитрий Щербатюк, пресейл-эксперт по информационной безопасности OCS, рассказал о системе поведенческого анализа сетевого трафика для обнаружения скрытых кибератак PT NAD и экспертной песочнице для защиты от сложного вредоносного ПО и угроз нулевого дня PT Sandbox.

13 февр. 2025 г., 12:06:48
Формула изменений: проверьте себя на готовность к изменениям

Продолжаем разговор о технологии достижения результата. В первой статье мы говорили об алгоритме постановки цели, который соответствует данным нейрофизиологии. Надеюсь, вам удалось качественно сформулировать свою актуальную цель.

6 февр. 2025 г., 19:36:17
Максим БРЫКСИН: "Эстетика, технологичность, последние тренды – как все это совместить в крупной бытовой технике»?

Актуальная задача для производителя, предлагающего свои продукты для пользователя и его дома, – предоставить максимально комфортные решения, которые не только упростят жизнь, но и подарят наслаждение от его использования. Какие новые решения могут быть реализованы у вас дома и помогут по-новому организовать ваше время и пространство рассказал Максим Брыксин, менеджер по продукту компании Midea.

30 янв. 2025 г., 14:43:18
Синергия железа и ПО: что появилось в результате партнерства двух крупных игроков российского рынка ИТ

С цифровизацией бизнеса и госуправления каждый год растут объемы обработки данных и потребности в ресурсах для их хранения. Российские вендоры благодаря наработанному опыту и профессиональным командам разрабатывают и производят передовые отечественные решения.

27 янв. 2025 г., 01:12:37
Как правильно сформулировать вашу актуальную цель, чтобы мозг понимал вас

Тема постановки цели и достижения результата очень популярна сейчас. И это не только модное веяние времени. Деятельность человека целенаправленна. Так звучит одна из аксиом науки праксеологии – теории о человеческой деятельности. Существует масса рекомендаций о постановке целей. Как понять, к каким советам нужно прислушаться?

26 янв. 2025 г., 21:11:03
Обзор продуктового портфеля и новинок М3 Mobile

Мероприятие OCS и М3 Mobile, мирового производителя защищенных портативных компьютеров для предприятий. Более 20 лет компания создает промышленные и корпоративные терминалы сбора данных (ТСД), а также устройства для сфер розничной торговли и логистики.

23 янв. 2025 г., 21:53:03
Мировой рынок смартфонов вырос в 2024-м на 6,4%, Apple лидировала

Компания IDC подсчитала, что продажи смартфонов на нашей планете увеличились в ушедшем году на 6,4% до 1,24 млрд устройств.

11 янв. 2025 г., 13:15:52
Однофазные ИБП SMARTWATT

Мероприятие компаний OCS и ENERGON, разработчика и поставщика решений для хранения и генерации энергии. Более 25 лет компания поставляет комплексные решения для объектов коммерческого и частного пользования. В рамках мероприятия участники узнали о SMARTWATT — торговой марке ENERGON.

Все новости