Александр Клевцов, руководитель направления InfoWatch Traffic Monitor группы компаний InfoWatch
Anti-Malware.ru обсудил с Александром Клевцовым, экспертом по ИТ-продуктам для обеспечения информационной безопасности и главой направления Traffic Monitor ГК InfoWatch, реакцию профессионального сообщества на массовый переход коммерческих и государственных организаций в режим удалённой работы, а также перспективы, которые обозначит перед специалистами и вендорами новый опыт.
— Александр, переход на «домашний офис» внёс свои коррективы в работу специалистов по безопасности и поставил перед ними новые задачи. Очевидно, что это качественно отразилось на запросах клиентов к ИБ-вендорам. Можете прокомментировать, как именно?
Для компаний, которые до этого практиковали работу с удалёнными офисами, мобильность сотрудников, BYOD, аутсорсинг специалистов и прочие современные форматы, перейти на удалённую работу с сохранением высокого уровня безопасности оказалось достаточно лёгкой задачей. И тем не менее почти всем потребовались новые каналы коммуникации, средства обмена файлами, совместного планирования задач, просмотра презентаций и так далее. Все подключили себе Zoom, Webinar.ru, Slack и прочее. Что мы наблюдаем? Хорошо, что люди обеспечили непрерывность бизнеса, организовали слаженную работу в новых условиях. Но мы также видим, что у многих уровень ИБ и ЭБ (экономической безопасности. — прим. ред.) просел, потому что на «удалёнку» переходили «бегом».
Разумеется, ИБ-вендоры, и мы — не исключение, активизировались: перестроили активности с «пилотами», предложили бесплатно свои программные решения на тестовый период. С одной стороны, идти навстречу потребностям клиентов всегда правильно. С другой, надо понимать, чем ты как разработчик технологий можешь в кризисной ситуации помочь реально, а не номинально. Например, предложить бесплатно поставить DLP? Но любому внедрению DLP предшествует большая консалтинговая работа: надо инвентаризировать информационные активы, составить модель угроз, понять, кто с какой информацией работает, вводить режим коммерческой тайны и так далее. DLP будет эффективна только если проведена такая подготовительная работа. Дальше — больше. Если сотрудник работает из дома, к примеру, на личном ноутбуке и использует тот же Zoom, то вы уже не контролируете этот трафик. Ноутбук — личный, а сервис — облачный; следовательно, взаимодействие через этот канал происходит вне корпоративной инфраструктуры, где установлена DLP-система. Чем больше таких средств используется, тем больше корпоративных коммуникаций выпадает из-под контроля.
Всем специалистам, работающим с информационной и экономической безопасностью, эта кризисная ситуация наглядно продемонстрировала: когда часть корпоративных коммуникаций покидает корпоративный периметр и больше в нём не находится, бесполезно пытаться что-либо контролировать. И здесь хочется процитировать известный мем, что «нельзя просто так взять и накатить DLP»: без серьёзной подготовки инфраструктуры внедрение DLP поверх всего этого IT-зоопарка систем не будет означать, что теперь вы спасены.
— Да, мы все могли наблюдать, как буквально за неделю сервисы для удалённых видеоконференций типа Zoom стали чуть ли не самым востребованным корпоративным инструментом и у них кратно выросли и трафик, и акции.
Да, а ещё количество уязвимостей — они даже объявили о приостановлении разработки новых функций примерно на 3 месяца, чтобы заняться аудитом безопасности. Хочется надеяться, что все подобные сервисы в ближайшее время уделят максимум внимания своей безопасности. Должны быть инициированы диалог и взаимоотношения с вендорами ИБ с целью обеспечить интеграцию. В сложившихся условиях можно сказать, что в более выгодном положении находятся те вендоры, у которых есть интеграционная платформа и открытые API.
В конце концов, натренировать «удалёнку» с точки зрения IT и ИБ теперь придётся вообще всем — даже режимным предприятиям, в силу их возможностей, конечно. Перед подразделениями безопасности встанет вопрос о проведении регулярных киберучений по диверсифицированным сценариям.
— Действительно, ситуация затронула почти все организации — из государственного сектора, из коммерческого, из разнообразных отраслей. Понятно, что здесь трудно дать универсальный совет. И всё же: что в первую очередь необходимо сделать, чтобы обеспечить безопасную и эффективную «удалёнку»?
Я бы посоветовал для работы удалённых сотрудников реализовать концепцию «защищённой витрины». Тогда потребление корпоративных ресурсов будет происходить подконтрольно и на личных ПК, и на мобильных устройствах — планшетах, смартфонах.
У «защищённой витрины» есть два главных аспекта. Во-первых, — так называемый «принцип монополии», когда доступ к корпоративным ресурсам возможен только через неё. Например, когда доступ к корпоративной почте осуществляется исключительно посредством MDM-решения, и никакой веб-версии Outlook. А во-вторых, «принцип мотивации» — он про то, что сотруднику удобнее и комфортнее пользоваться организованными для него же сервисами, которые при этом согласованы компанией, а не ломать голову над поиском инструментов, которые ему нужны для беспрепятственного выполнения рабочих задач.
— Поясните подробнее, как вы это реализуете? Что делать ИБ-отделу, если всем нужно разное: одним — мессенджеры, другим — облако, третьим — мультиязычные таск-трекеры, и так далее?
Во-первых, мы умеем работать с удалёнными рабочими столами, например Citrix или Microsoft RDP. В частности, важно, что мы контролируем буфер обмена, перемещение данных из удалённого рабочего стола на домашний компьютер, операции перемещения файлов. Даже можем автоматически заблокировать данную операцию в зависимости от содержимого файла, по результатам анализа — просто не дать ей случиться.
Кроме того, мы обеспечиваем безопасность, если сотрудники работают на корпоративных или личных планшетах и смартфонах — как раз здесь и реализуется «защищённая витрина» на базе трех продуктов: WorksPad, VipNet и InfoWatch Traffic Monitor.
Без облачных решений сейчас ни одна команда не обходится. А облачные риски можно обработать только интеграцией.
Traffic Monitor может в любой момент интегрироваться с любым облаком. Мы вместе со специалистами Microsoft потратили несколько месяцев на сопряжение с Microsoft Office 365 — делали, правили, дорабатывали. Также есть опыт интеграции с корпоративными облачными решениями.
Это — далеко не все варианты, перечислять весь список сейчас нет большого смысла. Я хочу донести мысль о том, что наша DLP имеет открытый API, и это позволило интегрироваться как с продуктами, распространёнными на рынке, так и с решениями, получившими жизнь внутри компаний за счёт внутренней разработки. Это позволило закрыть задачи ИБ, свойственные конкретному заказчику, учитывая все особенности его инфраструктуры, в том числе и облачной
Что точно нужно сделать ИБ-отделу с точки зрения менеджмента — проактивно исследовать потребности команд на «удалёнке» и предложить сервисы, которые вы сможете с помощью вашей DLP контролировать.
— Чем вендоры сейчас могут быстро и ощутимо помочь отделам ИБ и ЭБ, учитывая, что не все работают с DLP? Многие вендоры, кстати, предложили пробные версии своих DLP бесплатно, но не вы.
Сейчас оперативно поможет то, что легко внедрить без большой предварительной работы и что точно будет небесполезно. Тут надо понимать, что если вы являетесь начинающим специалистом или работаете в небольшой организации, то триала достаточно, чтобы познакомиться с DLP-системой как классом продуктов. Но будьте готовы ко стопроцентно ручному разбору инцидентов. Для тех, кто работает с десятью тысячами сотрудников и с соответствующим объёмом инфопотоков, которые способна создавать такая численность людей, суперполезного итога от триала без полноценного внедрения ожидать не стоит.
Поэтому мы пошли другим путём и в качестве скорой помощи всем желающим предложили InfoWatch Vision и InfoWatch Employee Monitoring. Vision — это визуальная аналитика событий, Employee Monitoring — мониторинг действий сотрудников. Оба инструмента помогут исследовать то, в каком состоянии находятся инфопотоки, и качественно оценить безопасность. Сделали достаточный срок пользования временными лицензиями, чтобы хватило на карантинный период. Организовали полноценную техподдержку на это время. В первую очередь клиентам нужно, чтобы их бизнес поддержали в непростой момент, а не упражнялись на них в маркетинге.
— Что-то изменилось в вашей работе как вендора в связи с эпидемиологической обстановкой?
За пределами нестандартной ситуации, которую для всех создала COVID-19, наша механика работы как вендора не изменилась. Например, сейчас мы анонсировали, что даём бесплатно три инструмента (третий — промышленный межсетевой экран InfoWatch ARMA), но в целом, с вирусом или без него, пилотные проекты внедрения DLP проводятся в штатном режиме и по стандартной схеме. Можно обратиться и сделать с нами бесплатный «пилот» — так вы получите грамотное внедрение и быстро увидите результаты. DLP — это супермощь, которая даже на этапе «пилота» может отловить такие инциденты, после которых сомнений не остаётся. У нас, например, в 87% случаев на «пилотах» уже выявляются инциденты, которые требуют безотлагательного принятия мер.
— Давайте подведём итог и дадим несколько рекомендаций, как безопасникам пережить этот кризис. О чём надо помнить и тем, кто сейчас собирается пробовать DLP, и тем, кто с ней давно работает?
В первую очередь помните, что DLP эффективнее защищает чувствительные данные, когда она интегрирована с бизнес-системами, с местами, где у вас «живут» бизнес-данные. Сейчас хорошее время для безопасников, чтобы рассмотреть всерьёз вопрос с интеграциями.
Кроме того, у нормальных вендоров всегда есть бесплатные пилотные проекты, которые полноценно поддерживаются специалистами внедрения. Поэтому не стоит поддаваться информационному шуму. Если очень хочется воспользоваться триалом, а предварительная работа, о которой я говорил, не проведена, то, быстро «накатив» бесплатный триал, вы получите поток ложноположительных срабатываний. Всё это просто завалит ручной работой, но что ещё хуже — из-за ненастроенных политик DLP будет слепа к настоящим инцидентам и пропустит их. Если же предварительная работа проведена, действуйте.
Также убедитесь, что у вас выделены и проходят обучение специальные люди, которые будут работать с DLP на постоянной основе. При этом крайне важный момент — тщательно проработанная правовая база для использования DLP в компании. Она должна быть, в противном случае могут нарушаться права и законы. Здесь есть множество нюансов, поэтому ознакомьтесь с ними заранее. У вендоров есть обучающие материалы на эту тему, InfoWatch регулярно проводит бесплатные вебинары.
Ну и, наконец, не поддавайтесь информационному шуму про вирус. Если действительно есть новые потребности в ИБ, оцените их критично. Скорее всего, вам реально нужно: контролировать перемещение файлов (между удалённым рабочим столом и домашней станцией) и буфер обмена, использовать автоматическую блокировку перемещения файлов (у наших заказчиков это сейчас — крайне востребованная функция), иметь возможность контролировать мобильные устройства и облака.
Источник: Anti-malware.ru