Напомним, что InfoWatch была учреждена в 2003 году и с самого начала фокусировалась на разработке систем защиты корпоративной конфиденциальной информации от хищения, уничтожения и других неправомерных действий. Таким образом, компания стояла у истоков российского рынка DLP, а система InfoWatch Traffic Monitor до сих пор неизменно входит в число лучших продуктов в своей категории. За двадцать лет специалисты ИБ научились грамотно применять ставшие теперь классическими инструменты DLP в рамках расследования инцидентов, в частности утечек. Однако сегодня требования пользователей к таким решениям заметно расширились. Они хотят воспроизвести всю картину инцидента: понимать, что происходило до и после расследуемого события, вычислить всех соучастников, выяснить, из какой бизнес-системы или хранилища сотрудник выгрузил определенный документ, и вообще – он ли это был, или кто-то воспользовался его рабочим компьютером для совершения противоправных действий.
Рынок ответил на этот спрос множеством предложений. Например, достаточно рано на нем стали появляться такие инструменты визуальной аналитики BI, как граф связей, помогающий выяснить направления коммуникаций сотрудника – лиц, с кем он общался внутри компании и за ее пределами и кто потенциально мог быть интересантом или заказчиком утечки. Далее получила популярность предиктивная аналитика, когда специалист не просто работает по факту инцидента, но и может прогнозировать определенные риски – утечек, увольнения сотрудника, дискредитации компании. Постепенно DLP-системы пополнялись инструментами мониторинга сотрудников, учета распорядка, оценки поведения (UBA), интегрировались с системами физической безопасности (контроля доступа СКУД).
Однако с появлением большого количества разнообразных инструментов для помощи специалистам ИБ в расследовании инцидентов возникла и проблема интеграции этих решений между собой.
Александр Клевцов, руководитель по развитию продукта InfoWatch Traffic Monitor ГК InfoWatch.
Фото предоставлено компанией InfoWatch
«Сотрудники отделов ИБ столкнулись с большим грузом из разных продуктов, разных консолей управления, разных парадигм взаимодействия с этими продуктами. Более того – часто это были продукты разных вендоров, каждый со своей концепцией интерфейса, данные в них были разрозненными. Все эти инструменты нужно внедрить, администрировать, поддерживать, конфигурировать, обучать этим инструментам новых сотрудников, то есть тиражировать экспертизу. Также нужно выработать для каждого инструмента методологию, которая будет оптимально применима именно к конкретной компании. Получается, что рынок дал специалистам ИБ необходимые инструменты, но при этом потребовал большей отдачи и больших трудозатрат. Значительная часть их работы осталась неавтоматизированной: нужно извлечь данные из этих систем, как-то их у себя консолидировать и только после этого делать какие-то выводы. Важно еще понимать, что, помимо расследований инцидентов, у ИБ-подразделения много другой работы. Переключение между разными инструментами, попытки их освоить – всё это требует дополнительных ресурсов», – рассказывает руководитель по развитию продукта InfoWatch Traffic Monitor ГК InfoWatch Александр Клевцов.
Центр расследований InfoWatch позволит заказчикам перейти от большого количества разрозненных продуктов к единому комплексному решению и вывести расследования инцидентов на принципиально новый уровень.
Центр расследований InfoWatch – это собственная разработка ГК InfoWatch, которая объединяет в рамках DLP-системы InfoWatch Traffic Monitor инструменты контроля действий сотрудников InfoWatch Activity Monitor, информирования о хранении и доступе к файлам InfoWatch Data Discovery, визуальной аналитики InfoWatch Vision и оповещений о вероятных рисках InfoWatch Prediction. Информация, полученная пользователями из этих четырех модулей, а также данные о прошлых инцидентах и угрозах, аккумулируется в досье в разделе «Персоны» и «Расследования».
Компоненты Центра расследований InfoWatch. Слайд из презентации InfoWatch
Интерактивный граф связей позволяет найти всех соучастников инцидента, выявить неявные связи и пути перемещения документов. Он отображает одновременно до 50000 узлов и динамически перестраивается при применении фильтров. Интерактивный таймлайн действий дает возможность восстановить полную картину инцидента: что делал сотрудник до, во время и после расследуемого события. Он охватывает проходы по СКУД, входы и выходы из учетной записи, введенный с клавиатуры текст, поисковые запросы и открытые сайты, работу с файлами и приложениями, снимки экрана, аудиозаписи и т. д. Интеллектуальный архив DCAP осуществляет мгновенный поиск всех документов, аналогичных исходному по смыслу, но не по структуре, а также всех черновиков.
Настраиваемые рабочие панели Центра расследований. Слайд из презентации InfoWatch
При этом единая консоль позволяет работать с необходимыми данными в одном окне, а единый фильтр и интерактивный интерфейс помогают быстро переключаться между разными срезами данных, сохранять контекст расследования и фокус на важных деталях. Пользователь может сопоставлять информацию из нескольких модулей и быстро интерпретировать данные для принятия решений.
Единое досье сотрудников. Слайд из презентации InfoWatch
Функциональность Центра расследований для создания отчетности дает возможность оформить результаты расследования без перехода в сторонние текстовые редакторы. Благодаря функции гибких отчетов подразделение ИБ может без особых усилий регулярно или по запросу предоставлять необходимые данные смежным департаментам.
«Мы не просто механически объединили несколько инструментов, которыми постепенно обрастала экосистема InfoWatch. Мы предоставляем специалистам информационной безопасности нечто большее – продукт, который позволяет получить полную картину инцидента без необходимости переключения между различными модулями, которые у нас были, и без необходимости качественно менять фокус расследования.», – комментирует руководитель направления InfoWatch Employee Monitoring ГК InfoWatch Сергей Кузьмин.
Сергей Кузьмин, руководитель направления InfoWatch Employee Monitoring ГК InfoWatch.
Фото предоставлено компанией InfoWatch
Дело в том, что, когда специалист по информационной безопасности каждый день вынужден переключаться между десятками различных панелей, пытаясь собрать воедино всю информацию о подозрительной активности, это очень утомляет, отвлекает и лишает его возможности сфокусироваться на сути расследования. Сейчас специалист сможет видеть всю картину целиком в одном решении. По сути это новый, революционный подход к расследованию инцидентов ИБ: Центр расследований берет на себя существенную часть рутинной работы сотрудника: при этом нужные данные всегда у него под рукой и он знает, к какому инструменту обратиться в тот или иной момент времени. Таким образом высвобождается время специалиста ИБ на интеллектуальную составляющую расследования, а в результате – на более качественную и системную работу по противодействию утечкам. Такой подход особенно актуален для компаний крупного бизнеса с большим штатом персонала и объемными массивами данных по ним.
«Сегодня мы представляем не просто новое интерфейсное решение, а новый подход к расследованиям инцидентов ИБ. В дальнейшем вся наша продуктовая линейка будет развиваться уже на базе этого единого решения, Центра расследования», – добавляет Сергей Кузьмин.
Решение полностью соответствует требованиям импортозамещения, поддерживает работу под управлением не только Windows, но и отечественных операционных систем – Astra Linux, «Альт», РЕД ОС.
Преимущества Центра расследований InfoWatch. Слайд из презентации InfoWatch
По утверждению экспертов InfoWatch, пользовательские возможности и внешний вид Центра расследований спроектированы с учетом требований современного UX-дизайна, протестированы на фокус-группах офицеров безопасности компаний-клиентов и экспертов рынка и созданы с учетом их обратной связи. Так, согласно оценкам участников фокус-групп, новое решение в три раза сокращает время от первого подозрения в нарушении до конечного результата – принятия решения.
Стоит отдельно подчеркнуть, что в рамках Центра расследований не меняется политика лицензирования продуктов InfoWatch: заказчики могут по-прежнему пользоваться уже приобретенными модулями и докупать новые в зависимости от своих потребностей, степени зрелости и других факторов. Новое решение не требует дополнительных лицензий и доступно всем клиентам в рамках регулярного обновления любого из продуктов InfoWatch по защите данных.
Сергей Кузьмин, руководитель направления InfoWatch Employee Monitoring ГК InfoWatch:
«Мы обсуждали с бизнес-сообществом продвинутые опции по защите данных и получили обратную связь: несмотря на интерес к новым возможностям, у организаций часто не хватает ИБ-ресурсов даже на разбор всех инцидентов за день. Каждый инструмент безопасности генерирует множество различных данных и кратно повышает нагрузку на офицера безопасности по их поиску в различных модулях, сопоставлению, интерпретации и подготовке отчетности. Мы поставили перед собой задачу максимально упростить для ИБ-специалиста сбор информации и помочь ему сконцентрироваться на проведении расследований и принятии решений. Так мы пришли к разработке Центра расследований – единого информационного пространства с оперативным доступом к максимально полному набору данных. Теперь офицер безопасности сможет в несколько кликов сформировать интересующий его срез данных, при необходимости донастраивать и дополнять его, без переключения между несколькими консолями отслеживать цифровой след сотрудника, анализировать его и при необходимости действовать на опережение».