Контроль из облака: антикризисная мера на удаленке

Контроль из облака: антикризисная мера на удаленке
Леонид Чуриков, ведущий аналитик «СёрчИнформ» разбирается, как работают и кому подходят DLP «по подписке».

2020 год ускорил переход к облачным технологиям. Причины объяснимы: корпоративный периметр расширился за счет сотрудников на удаленке, свое «железо» уже не выдерживало возросшей нагрузки, а закупать новое в кризис – затея неблагодарная. Поэтому бизнес-процессы активно «переезжали» в облако.

Но пока шло это переформатирование, забывали о безопасности – требовалось в кратчайшие сроки обеспечить хоть какую-то работоспособность. Сейчас первый стресс прошел и бизнес увидел, что сотрудники на «домашней вольнице» халатней относятся к правилам, теряют бдительность в потенциально опасных ситуациях, показывают более скромные результаты, а порой и вовсе идут на мошенничество – ведь начальство и коллеги не видят. Пришлось вспомнить о необходимости контроля. Но как обеспечить его в изменившихся условиях?

Возникло сразу несколько проблем:

  1. Свое «железо» все еще занято – справляется с нагрузкой от удаленных подключений. Ставить защитные решения некуда.
  2. Удаленные подразделения и тем более сотрудники в «хоум-офисах» не всегда равномерно обеспечены технически. Часть и вовсе работает с личного оборудования, а корпоративные ресурсы использует только в режиме удаленного подключения (например, к терминальному серверу/VDI). Устанавливать контролирующее ПО на личные ПК сотрудников – задача сложно осуществимая и технически, и по закону (как это сделать, чтобы не нарушить право сотрудника на частную жизнь?). То есть традиционный контроль не подходит.
  3. Условия слишком быстро меняются – периметр масштабируется, и даже если рискнуть и выделить средства на закупку защитного ПО и оборудования под него, через какое-то время оно может оказаться невостребованным.
  4. Бюджеты все еще в жестких рамках. Бизнес не может позволить себе единовременно выделить деньги на ПО и «железо» и ищет более экономичный вариант.
Как их решать?

Ответ буквально на поверхности – тоже из «облака». Защита работает в формате облачного сервиса так же, как все остальное: свое оборудование не требуется, за пользование лицензиями ПО можно платить «по подписке».

Эту модель успешно освоили вендоры разных ИБ-решений: доступна защита от внешних атак, контроль событий в IT-инфраструктуре, а теперь и внутренних угроз.

В основе сервиса – DLP-система. Она анализирует трафик во всех каналах на предмет передачи вовне конфиденциальной информации и отслеживает потенциально опасную активность сотрудников. То есть борется не только с утечками, но и против мошенничества, разбазаривания рабочего времени, диверсий и просто халатного отношения к работе и к данным. Под контролем – все рабочие процессы и коммуникации. Даже если сотрудники используют рабочие ресурсы только в режиме терминального доступа, облачная DLP зафиксирует их активность в точке подключения – компания получит прозрачную картину работы на удаленке.

Внедрение «облачной» DLP кратно снижает единовременную нагрузку на бюджет: как минимум на стоимость выделенного сервера «под DLP» и минимального набора ПО (например, MS SQL Server, MS Windows Server). Заказчик сразу получает и DLP, и заточенную «под него» облачную инфраструктуру, о которой не нужно беспокоиться.

В общем виде это выглядит так:
Общая схема работы облачной DLP на примере «СёрчИнформ КИБ»

Как это работает?

Если коротко: «в жизни» то, что видит заказчик – обычная работа DLP-системы: предотвращенные утечки, контроль дисциплины, полная картина происходящего в компании.

Главное происходит за кадром. Это ощутимая «разгрузка» IT-инфраструктуры и гибкое распределение ресурсов. Компания подбирает вариант внедрения, который подходит ей больше всего – вплоть до выбора ЦОД, откуда будет предоставляться услуга. Например, в случае «СёрчИнформ КИБ» доступны как минимум три варианта установки:
  • В облаке «СёрчИнформ». Вендор DLP выступает заодно и облачным провайдером, в этом случае заказчик получает выделенный виртуальный сервер DLP с доступом через интернет. Плюс такого подхода – все вопросы можно решить «в одно окно», к тому же комплексная услуга обходится дешевле.
  • В стороннем облаке, которое указывает сам заказчик. На выбранном сервере стороннего ЦОД специалисты «СёрчИнформ» разворачивают КИБ, дальше компания отправляется в «свободное плавание». Выгода в том, что компания может свободнее контролировать расходы на аренду облака.
  • По гибридной модели. Здесь схема взаимодействия составляется индивидуально, с учетом готовности заказчика полностью или частично выделить для работы системы реальное «железо». Возможен даже вариант, когда облака как такового не будет – если компания выделит нужное оборудование, но не захочет сразу закупать лицензии DLP и возьмет их в аренду.
Если в компании не хватает еще и «рук» для работы с системой, к подписке можно добавить услуги аналитика, который будет разбирать перехват и отчитываться об инцидентах. В этом случае можно говорить о полноценном аутсорсинге DLP (это отдельный феномен, который стоит подробного разбора – в другой статье).

Подробнее про то, как устроен сервис, мы рассказываем в белой книге « DLP в облаке: Новый формат защиты данных ». Там больше технички, аналитики и разбора функционала. Её (а заодно и массу другого полезного чтива по ИБ) можно бесплатно скачать на нашем сайте в разделе « Практика и аналитика ».

Кому это подходит?

Формат DLP как услуги подходит компаниям из малого, среднего и крупного бизнеса – ограничений нет. Зато есть особенности, при которых «подписная» DLP может оказаться даже удобнее обычной. Например:
  1. Это самый логичный выбор для предприятий без собственной IT-инфраструктуры. Многие организации сегодня намеренно отказываются от парка «железа», используя облачные сервисы для корпоративной почты, обмена файлами и т.п. При этом отсутствие собственных серверов не позволяет им установить DLP по классической модели.
  2. Облачная DLP отлично вписывается в бизнес-процессы структур с разветвленной сетью филиалов в разных городах. По другим схемам включить филиалы и удаленные офисы в единый защитный периметр сложно без дополнительных расходов на оборудование.
  3. DLP из облака эффективна для контроля большого штата удаленных сотрудников, особенно если они работают с домашних ПК. При этом стандартные средства контроля внедрить почти невозможно, и облачная защита – оптимальный вариант.
  4. Сервисная модель – простой способ решения проблем с масштабированием. В любой момент можно скорректировать объем защиты с DLP, не рискуя остаться с ненужным оборудованием и ПО в период спада, и наоборот – не терять в эффективности контроля из-за нехватки ресурсов при быстром росте.
  5. Наконец, подписка на DLP – хороший способ ускорить внедрение защиты, когда требуются срочные меры, а согласования бюджетов ждать и ждать. Защиту компания получит сразу и выиграет время на проработку организационных вопросов. А когда все будет готово, чтобы взять лицензии в бессрочное пользование, облачная DLP легко «переедет» в реальную инфраструктуру: сохранятся все настройки и архивы перехвата.
Выводы

Итак, облачная DLP – это быстрое решение проблем с ИБ и защитой от внутренних угроз. Но главный плюс такого подхода – его адаптивность.

Любая компания меняется, 2020-й показал, что перемены могут наступать внезапно и переворачивать все бизнес-процессы. ИБ должна не отставать. DLP из облака позволяет оставаться «над» инфраструктурными пертурбациями и стабильно контролировать наиболее критичные для бизнеса процессы: действия сотрудников, потоки информации и жизненный цикл конфиденциальных данных.
DLP SAAS ИБ информационная безопасность облако удаленка
Alt text

Один хакер может причинить столько же вреда, сколько 10 000 солдат! Подпишись на наш Телеграм канал, чтобы узнать первым, как выжить в цифровом кошмаре!

СёрчИнформ

Взгляд на информационную безопасность от компании SearchInform и сторонних экспертов.