Контроль из облака: антикризисная мера на удаленке

Контроль из облака: антикризисная мера на удаленке
Леонид Чуриков, ведущий аналитик «СёрчИнформ» разбирается, как работают и кому подходят DLP «по подписке».

2020 год ускорил переход к облачным технологиям. Причины объяснимы: корпоративный периметр расширился за счет сотрудников на удаленке, свое «железо» уже не выдерживало возросшей нагрузки, а закупать новое в кризис – затея неблагодарная. Поэтому бизнес-процессы активно «переезжали» в облако.

Но пока шло это переформатирование, забывали о безопасности – требовалось в кратчайшие сроки обеспечить хоть какую-то работоспособность. Сейчас первый стресс прошел и бизнес увидел, что сотрудники на «домашней вольнице» халатней относятся к правилам, теряют бдительность в потенциально опасных ситуациях, показывают более скромные результаты, а порой и вовсе идут на мошенничество – ведь начальство и коллеги не видят. Пришлось вспомнить о необходимости контроля. Но как обеспечить его в изменившихся условиях?

Возникло сразу несколько проблем:

  1. Свое «железо» все еще занято – справляется с нагрузкой от удаленных подключений. Ставить защитные решения некуда.
  2. Удаленные подразделения и тем более сотрудники в «хоум-офисах» не всегда равномерно обеспечены технически. Часть и вовсе работает с личного оборудования, а корпоративные ресурсы использует только в режиме удаленного подключения (например, к терминальному серверу/VDI). Устанавливать контролирующее ПО на личные ПК сотрудников – задача сложно осуществимая и технически, и по закону (как это сделать, чтобы не нарушить право сотрудника на частную жизнь?). То есть традиционный контроль не подходит.
  3. Условия слишком быстро меняются – периметр масштабируется, и даже если рискнуть и выделить средства на закупку защитного ПО и оборудования под него, через какое-то время оно может оказаться невостребованным.
  4. Бюджеты все еще в жестких рамках. Бизнес не может позволить себе единовременно выделить деньги на ПО и «железо» и ищет более экономичный вариант.
Как их решать?

Ответ буквально на поверхности – тоже из «облака». Защита работает в формате облачного сервиса так же, как все остальное: свое оборудование не требуется, за пользование лицензиями ПО можно платить «по подписке».

Эту модель успешно освоили вендоры разных ИБ-решений: доступна защита от внешних атак, контроль событий в IT-инфраструктуре, а теперь и внутренних угроз.

В основе сервиса – DLP-система. Она анализирует трафик во всех каналах на предмет передачи вовне конфиденциальной информации и отслеживает потенциально опасную активность сотрудников. То есть борется не только с утечками, но и против мошенничества, разбазаривания рабочего времени, диверсий и просто халатного отношения к работе и к данным. Под контролем – все рабочие процессы и коммуникации. Даже если сотрудники используют рабочие ресурсы только в режиме терминального доступа, облачная DLP зафиксирует их активность в точке подключения – компания получит прозрачную картину работы на удаленке.

Внедрение «облачной» DLP кратно снижает единовременную нагрузку на бюджет: как минимум на стоимость выделенного сервера «под DLP» и минимального набора ПО (например, MS SQL Server, MS Windows Server). Заказчик сразу получает и DLP, и заточенную «под него» облачную инфраструктуру, о которой не нужно беспокоиться.

В общем виде это выглядит так:
Общая схема работы облачной DLP на примере «СёрчИнформ КИБ»

Как это работает?

Если коротко: «в жизни» то, что видит заказчик – обычная работа DLP-системы: предотвращенные утечки, контроль дисциплины, полная картина происходящего в компании.

Главное происходит за кадром. Это ощутимая «разгрузка» IT-инфраструктуры и гибкое распределение ресурсов. Компания подбирает вариант внедрения, который подходит ей больше всего – вплоть до выбора ЦОД, откуда будет предоставляться услуга. Например, в случае «СёрчИнформ КИБ» доступны как минимум три варианта установки:
  • В облаке «СёрчИнформ». Вендор DLP выступает заодно и облачным провайдером, в этом случае заказчик получает выделенный виртуальный сервер DLP с доступом через интернет. Плюс такого подхода – все вопросы можно решить «в одно окно», к тому же комплексная услуга обходится дешевле.
  • В стороннем облаке, которое указывает сам заказчик. На выбранном сервере стороннего ЦОД специалисты «СёрчИнформ» разворачивают КИБ, дальше компания отправляется в «свободное плавание». Выгода в том, что компания может свободнее контролировать расходы на аренду облака.
  • По гибридной модели. Здесь схема взаимодействия составляется индивидуально, с учетом готовности заказчика полностью или частично выделить для работы системы реальное «железо». Возможен даже вариант, когда облака как такового не будет – если компания выделит нужное оборудование, но не захочет сразу закупать лицензии DLP и возьмет их в аренду.
Если в компании не хватает еще и «рук» для работы с системой, к подписке можно добавить услуги аналитика, который будет разбирать перехват и отчитываться об инцидентах. В этом случае можно говорить о полноценном аутсорсинге DLP (это отдельный феномен, который стоит подробного разбора – в другой статье).

Подробнее про то, как устроен сервис, мы рассказываем в белой книге « DLP в облаке: Новый формат защиты данных ». Там больше технички, аналитики и разбора функционала. Её (а заодно и массу другого полезного чтива по ИБ) можно бесплатно скачать на нашем сайте в разделе « Практика и аналитика ».

Кому это подходит?

Формат DLP как услуги подходит компаниям из малого, среднего и крупного бизнеса – ограничений нет. Зато есть особенности, при которых «подписная» DLP может оказаться даже удобнее обычной. Например:
  1. Это самый логичный выбор для предприятий без собственной IT-инфраструктуры. Многие организации сегодня намеренно отказываются от парка «железа», используя облачные сервисы для корпоративной почты, обмена файлами и т.п. При этом отсутствие собственных серверов не позволяет им установить DLP по классической модели.
  2. Облачная DLP отлично вписывается в бизнес-процессы структур с разветвленной сетью филиалов в разных городах. По другим схемам включить филиалы и удаленные офисы в единый защитный периметр сложно без дополнительных расходов на оборудование.
  3. DLP из облака эффективна для контроля большого штата удаленных сотрудников, особенно если они работают с домашних ПК. При этом стандартные средства контроля внедрить почти невозможно, и облачная защита – оптимальный вариант.
  4. Сервисная модель – простой способ решения проблем с масштабированием. В любой момент можно скорректировать объем защиты с DLP, не рискуя остаться с ненужным оборудованием и ПО в период спада, и наоборот – не терять в эффективности контроля из-за нехватки ресурсов при быстром росте.
  5. Наконец, подписка на DLP – хороший способ ускорить внедрение защиты, когда требуются срочные меры, а согласования бюджетов ждать и ждать. Защиту компания получит сразу и выиграет время на проработку организационных вопросов. А когда все будет готово, чтобы взять лицензии в бессрочное пользование, облачная DLP легко «переедет» в реальную инфраструктуру: сохранятся все настройки и архивы перехвата.
Выводы

Итак, облачная DLP – это быстрое решение проблем с ИБ и защитой от внутренних угроз. Но главный плюс такого подхода – его адаптивность.

Любая компания меняется, 2020-й показал, что перемены могут наступать внезапно и переворачивать все бизнес-процессы. ИБ должна не отставать. DLP из облака позволяет оставаться «над» инфраструктурными пертурбациями и стабильно контролировать наиболее критичные для бизнеса процессы: действия сотрудников, потоки информации и жизненный цикл конфиденциальных данных.
DLP SAAS ИБ информационная безопасность облако удаленка
Alt text

Мы рассказываем о самых актуальных угрозах и событиях, которые оказывают влияние на обороноспособность стран, бизнес глобальных корпораций и безопасность пользователей по всему миру в нашем Yotube выпуске.

СёрчИнформ

Взгляд на информационную безопасность от компании SearchInform и сторонних экспертов.