«Мы быстро подключили SIEM и сразу увидели скрытые риски»
Сергей Матвеев
руководитель службы безопасности компании «ИнфоТеКС Интернет Траст»
Как создать систему контроля привилегированных пользователей – программистов, тестировщиков, системных администраторов? Рассказывает Сергей Матвеев, руководитель службы безопасности компании «ИнфоТеКС Интернет Траст».
Предыстория
«ИнфоТеКС Интернет Траст» создает сертифицированные решения для цифровизации госсектора и бизнеса, предоставляет оборудование, документацию для систем обработки персональных данных и аттестует такие системы, а также предлагает инструменты для защищенного электронного документооборота. В 2015 году компания уже имела 6 филиалов и широкую партнерскую сеть, и продолжала расширять сферу деятельности.
Стояла задача контролировать распределенную структуру, к тому же появились новые проекты, в которых потребовалось взаимодействие с правоохранительными, надзирающими органами. Так появилась наша служба безопасности и мы начали выстраивать защиту.
Первым шагом стала закупка DLP-системы, поставщиком выбрали компанию «СёрчИнформ», одного из крупнейших разработчиков средств защиты от внутренних угроз на российском рынке. Вендор предоставил систему для бесплатного тестирования — уже на этом этапе в компании обнаружили факты корпоративного мошенничества: «боковые» схемы, использование служебного положения в личных целях, попытку продать коммерческую тайну конкурентам. По итогам систему внедрили для контроля более 350 рабочих станций: все корпоративные каналы связи, хранилища, облака, принтеры и подключаемые устройства, а также работа сотрудников в программах и на сайтах.
При всех плюcах DLP-системы, некоторые задачи только этим ПО не закроешь. Мы поняли, что для полноценного контроля привилегированных пользователей нам необходима SIEM-система. В структуре «ИнфоТеКС Интернет Траст» это все ИТ-специалисты — у них самые широкие технические возможности. Контролировать их требовалось на уровень выше: уже при назначении ролей в корпоративной инфраструктуре, выдаче привилегий.
Контроль на порядок выше
SIEM-системы собирают информацию о событиях безопасности со всего оборудования и ПО, а также о пользовательской активности в компании, анализируют связи событий и в реальном времени оповещают об инцидентах. Смотрят как бы «над» ситуацией, а поэтому видят больше — например, сами процессы распределения пользовательских прав.
В 2017 году мы закупили SIEM от «СёрчИнформ» с расчетом, что система бесшовно интегрирована с их DLP. Во-первых, это было важно, чтоб не «терять» инциденты при обмене между решениями. Во-вторых, вендор заявил, что создал «коробочную SIEM», которая разворачивается за несколько дней, проста в эксплуатации и не требует спецзнаний для написания правил корреляции. Так как у меня и моей команды не было глубоких навыков в ИТ, выбор был очевиден.
Простое «сложное» решение
SIEM обычно считают решением только для крупных компаний, так как система собирает огромные массивы информации и часто требует отдельных специалистов для обслуживания. Есть стереотип, что для ее внедрения нужно разбираться в устройстве ИТ-инфраструктуры на уровне инженера, уметь программировать, чтобы написать алгоритмы выявления и сопоставления событий ИБ, а на настройку уйдут месяцы. Лишним временем мы не располагали, да и раздувать штат, нанимая отдельного специалиста только «под SIEM» не хотели (забегая вперед, специалиста мы все-таки наняли — но почти шесть лет спустя, и точно не для настройки системы).
С «СёрчИнформ SIEM» все вышло иначе. Настройка производится в несколько кликов в интерфейсе. Легко подключить источники — объекты инфраструктуры, которые будут передавать уведомления о событиях ИБ. Легко создавать правила корреляции для выявления опасных инцидентов.
Администратору «СёрчИнформ SIEM» не нужно уметь программировать: в системе более 400 предустановленных правил корреляции. Если требуется сопоставить несколько внешне не связанных событий из разных источников, можно создать алгоритм в простом графическом конструкторе. Поэтому нам не пришлось привлекать штатных технических специалистов, чтобы установить или настроить решение.
Особенности внедрения
Весь путь от старта внедрения до начала эксплуатации занял три дня. Инженер разработчика помог сконфигурировать основной сервер, установить необходимые компоненты решения. Затем подключилась удаленная поддержка: для СБ провели обучение работе с системой, скоординировали, как настроить нужные правила контроля.
Благодаря SIEM мы получаем полную картину опасных событий в одном окне. В «ИнфоТеКС Интернет Траст» мы собираем данные с оборудования и ПО во всей филиальной сети. В сумме это около сотни «узлов» (ключевые точки, которые собирают и передают данные), каждый из них генерирует до нескольких миллионов событий в день.
Был риск, что передача большого объема данных в головной офис чрезмерно нагрузит сеть, так что начнут тормозить бизнес-процессы. Вендор предложил адаптированное архитектурное решение. Выделенные компьютеры в филиалах — «буферные» SIEM — собирают и нормализуют данные от источников на местах, а в центральный офис передается уже облегченный трафик: обработанные события в соответствии с правилами корреляции.
Кроме того, нужно было наладить взаимодействие службы безопасности «ИнфоТеКС Интернет Траст» и специалистов по ИТ и ИБ в материнской структуре — холдинге «ИнфоТеКС». Вопрос решился с помощью ролевой модели доступа в «СёрчИнформ SIEM». Полномочия работать в системе отвели мне как главе СБ и моему заместителю, ИТ-отделу оставили возможность настраивать серверную часть решения и получать уведомления об инфраструктурных проблемах.
Чтобы координировать совместную работу, нам потребовался инструмент управления расследованиями. В ответ на такой запрос в «СёрчИнформ SIEM» добавили Task Management, который позволяет отслеживать статус задач и передавать данные исполнителям.
«Лодка» в потоке событий
Главной задачей оставался контроль привилегий. Поэтому с помощью SIEM нужно было отслеживать изменение прав доступа, использование неактивных учетных записей, попытки входа под одним паролем, отмены различных настроек антивирусных программ и т.п. В системе в первую очередь наладили вычитку событий Active Directory (управление доменом на Windows — прим.): мониторинг подключения новых устройств, работу политики аудита и очистки журнала пользователей. Большой акцент сделали на контроле авторизаций: подборе логинов, паролей, компрометации доступов к корпоративным сервисам.
Дополнительная сложность была в том, что управление ИТ-ресурсами «ИнфоТеКС Интернет Траст» первоначально находилось в ведении материнской компании — «ИнфоТеКС». А «на местах» возникали проблемы с конфигурированием систем защиты. Поэтому также уделили внимание контролю журнала Kaspersky. Нам было важно знать, кто и зачем отключает антивирус на своих ПК. Контролируем и события Cisco, так как большинство узловых частей инфраструктуры реализованы на этом оборудовании.
Система показала результат практически сразу. Например, с помощью контроля авторизаций в нерабочее время СБ выявила «боковики» в филиалах. Одна девушка-программист на оборудовании работодателя выполняла проекты для своего бизнеса, причем набрала команду и пыталась «расшарить» доступы к рабочей инфраструктуре. В другой раз мы в SIEM увидели, что несколько сотрудников в разных подразделениях используют одну и ту же учетную запись. В DLP стали видны детали: два менеджера и специалист техподдержки сговорились с партнером и стали замыкать на себе обслуживание договоров с клиентами в обход всех регламентов. Партнер пользовался своим правом в исключительных случаях ставить задачи напрямую менеджерам, накручивая ценник за счет срочности и техподдержки. Маржу делили между собой. Схему раскрыли за день, виновников наказали, доброе имя компании сохранили.
Таких случаев немало, система помогала обнаружить даже противоправную деятельность отдельных пользователей, не связанную с работой компании. Информацию передали в компетентные органы, чтобы предотвратить преступление и избежать репутационных рисков.
Быстрота расследований и реагирования на угрозы сыграла дисциплинирующую роль. По сравнению с 2017 годом, к 2023-му количество инцидентов сократилось в 20 раз. По моим подсчетам, мы уже в первый год окупили стоимость системы — за счет предотвращенных нарушений, а также компенсаций, которые получили через суд от виновников инцидентов, расследованных с помощью ИБ-решений.
Перспективы роста
Аппетит приходит во время еды: взяв на вооружение DLP и SIEM, мы также внедрили DCAP-систему «СёрчИнформ FileAuditor». Она решает задачи аудита хранения данных и избыточных прав доступа, контроля за работой с чувствительной информацией. Вместе с «СёрчИнформ КИБ», FileAuditor и SIEM превращаются в единый защитный комплекс: все события между решениями передаются напрямую, дополняя картину расследований. Это усиливает наши возможности.
Например, в компании ограничены права доступа к конфиденциальным документам. В SIEM увидели, что пользователь изменил эти права, копирует себе на флешку и удаляет из хранилищ компании некоторые критичные файлы. За всем стоял увольняющийся сотрудник, который решил отомстить, уничтожив свои «наработки». Благодаря тому, что SIEM выявила проблему в реальном времени, с помощью DLP удалось оперативно заблокировать копирование, а в DCAP тут же восстановили удаленные файлы.
В «ИнфоТеКС Интернет Траст» идет реструктуризация, к нам в СБ переходит больше функций по управлению безопасностью ИТ-активов. Повысились требования к защите информации: например, ужесточились нормы ФЗ-152 «О защите ПДн», появилась ответственность для юридических лиц за сохранение персданных. В этой связи сегодня требуется использовать SIEM активнее, так что мы все-таки взяли в штат выделенного аналитика для работы с ней. В самой системе под рост нагрузки, благо, уже есть все необходимое — даже если меняется спектр задач.
К тому же вендор постоянно развивает систему, мы следим за обновлениями. Например, очень пригодился автоматический сканер уязвимостей, который на интерактивной карте показывает проблемные элементы инфраструктуры. И проактивный функционал: недавно в «СёрчИнформ SIEM» появилась возможность реагировать на инциденты, запуская нужные процессы из одной консоли. Для нас важно вовремя отчитываться о выявленных инцидентах регулятору — в SIEM есть опция, чтобы сразу из интерфейса направлять отчеты в систему реагирования (IRP) или ГосСОПКА. Плюс у нас всегда есть возможность самим запросить недостающую доработку — знаю, что вендор прислушивается к заказчикам, строя планы развития продукта. Пока хватает того, что есть: некоторые коннекторы в SIEM планируем использовать в перспективе, когда в компании завершатся структурные преобразования. Таким образом, оплатив всего 100 лицензий (по числу контролируемых узлов), «ИнфоТеКС Интернет Траст» получил готовую защиту «на вырост», и нам не придется доплачивать за новые модули в будущем.
■ erid:LjN8Kc2g2Рекламодатель: ООО «СерчИнформ»ИНН/ОГРН: 7704306397/1157746137955Сайт: https://searchinform.ru/