Как интеграция со сторонними приложениями повышает возможности DLP – подискутируем?

Как интеграция со сторонними приложениями повышает возможности DLP – подискутируем?
Современные DLP-системы давно уже вышли за рамки базового функционала, каким его обрисовывают требования к классу решений data leak prevention. А благодаря интеграции со сторонними системами возможности защитного решения расширяются еще больше.

DLP-система может быть для сторонних приложений как источником информации, так и процессором.

Некоторые интеграции DLP со сторонними программами стали настолько привычными, что «шов» уже и незаметен. Мало кто вспоминает: а разве было когда-то иначе? Это можно сказать об интеграции с OCR-модулем (никто не усомнится, что DLP-система обязана уметь распознавать текст с картинки) или с SIEM-системой.

Но есть и менее очевидные способы сдружить системы. Вот, например, неполный перечень программ и систем, из которых собирает данные «СёрчИнформ КИБ». Через API можно интегрировать DLP с практически любой программой.

  • системы управления доступом (IMD);
  • системы расчета зарплаты;
  • SIEM-системы;
  • BI-системы;
  • системы мониторинга технического состояния (например, zabbix);
  • DCAP-системы;
  • СКУД;
  • оперативные центры SOC;
  • DAM-системы.

Рассмотрим несколько примеров.

1.    DLP + СКУД – привычный способ интеграции.

На этапе тестирования «СёрчИнформ КИБ» в компании вскрыли схему, по которой сотрудники «прикрывали» отсутствие коллег на рабочем месте. Судя по данным из СКУД, они были на рабочем месте. Однако модуль DLP по контролю рабочего времени ( Program Controller ) не фиксировал никакой или крайне низкую активность за ПК. Тогда подключили камеры и выяснили, что сотрудники даже не появлялись на рабочих местах. В начале и конце рабочего дня в СКУД сотрудник отмечался не только своей карточкой, но и карточками коллег.

Активность за ПК при том, что сотрудник не прошел через проходную, тоже должна быть алертом, настроенным в политиках безопасности DLP. Эта сработка может указать на то, что сотрудник получил удаленный доступ к компьютеру в обход правил. Или что кто-то использует его учётку.

2. Обмен информацией DLP с бухгалтерскими системами начисления зарплат (т.н. payroll). DLP -система отдает информацию о фактически отработанном сотрудником за компьютером времени. Программа начисления зарплат принимает эту информацию как основу для расчета.

Заказчики таким вариантом интеграции интересовались давно, а особенно активно стали применять во время массовой удаленки – это оказалось рабочим способом сделать расчет быстрее и объективнее.

Но! Мы обычно предостерегаем клиентов от чрезмерного увлечения таким методом (чтобы не «кошмарить» сотрудников поминутным контролем – все это приносит больше вреда). Но для расчета зарплаты некоторых сотрудников, где критерии начисления однозначны, подход оказывается оправданным. Например, это возможно для сотрудников техподдержки или колл-центра.


3. Интеграция с DCAP- и DAM-системами.
Это пока еще редкая комбинация, но востребованная.
Напомню, что DCAP и DAM – это решения для защиты, т.н. «данных в покое», DLP – в движении. Связка DLP+DCAP+DAM дают полноценную защиту на всех уровнях IT-инфраструктуры, позволяют сократить время выявления инцидента, найти первопричины и показать полную картину инцидента.

Покопавшись в судебных кейсах, нашли такой пример:

Нарушитель – экономист регионального отделения крупного федерального банка. В программе для работы с платежными картами клиентов он несколько раз увеличивал лимит по собственной карте, а потом по карте своего знакомого – подельника. Сначала суммы были небольшие, потом выросли – до 25,9 млн рублей.

Расследование провести сложно, т.к. сотрудник формально действует в рамках своих полномочий. Кроме того, нет потерпевшего клиента, который бы заявил об ущербе, и банк обнаруживает подобные проблемы только в результате регулярного мониторинга. Или если повезет, и кто-то из сотрудников заподозрит неладное, поделится этим со службой безопасности.
Но если единственные зацепки – это цифровые следы, нужны системы мониторинга.

Вариант 1 – в компании стоит DLP-система. Она зафиксирует цифровые следы преступления – это очень важно для того, чтобы ретроспективно расследовать инцидент, собрать доказательства вины, которые примет суд. Ими станет отчет об активности в конкретной программе + запись с монитора о конкретных действиях. Но так как перемещения документов нет, ИБ-специалист не сможет остановить инцидент в режиме реального времени.

Вариант 2 – когда DLP работает в связке с системой мониторинга баз данных.
В DAM-системе сработает сложная политика безопасности, что:
1)     пользователь обращается к БД, задавая условия («изменить лимит») + 2) значение этого лимита выше заданной сумму (например, больше 50 тысяч рублей).

Оба действия легитимные, но сочетание их – опасное и с большой долей вероятности укажет на мошенничество.

DLP же позволит собрать доказательства инцидента: кто был за компьютером (данные авторизации + фото человека перед монитором), его активность в программах, а также конкретные действия в ней.  

Это только несколько примеров интеграции. 25 февраля мы проводим онлайн-дискуссию на эту тему. Будет сразу два наших эксперта – Алексей Дрозд, начальник отдела информационной безопасности, и Алексей Парфентьев, руководитель отдела аналитики. Расскажут, сколько толку от интеграции DLP с другими ИТ-системами.


Регистрируйтесь!
вебинар информационная безопасность DLP интеграция решений
Alt text

В нашем телеграм канале мы рассказываем о главных новостях из мира IT, актуальных угрозах и событиях, которые оказывают влияние на обороноспособность стран, бизнес глобальных корпораций и безопасность пользователей по всему миру. Узнай первым как выжить в цифровом кошмаре!

СёрчИнформ

Взгляд на информационную безопасность от компании SearchInform и сторонних экспертов.