Как перестать «продавать страх» и получить средства на ИБ

По большому счету, требования по соблюдению мер информационной безопасности тормозят бизнес и приводят к дополнительным расходам. Однако потери от действий киберпреступников могут быть настолько серьезными, что компании вынуждены выделять на ИБ все больше и больше средств. Но все ли ИБ-расходы оправданы? Как найти оптимальный баланс между безопасностью и интересами бизнеса? Об этом говорили участники организованной CNews Conferences конференции «Информационная безопасность 2022».

Как обосновать ИБ-расходы

«Многие считают Московскую биржу финансовой организацией, однако по сути мы являемся ИТ-компанией. Мы продаем ИТ-услуги, и наша основная компетенция — это ИТ-инфраструктура, телекоммуникации и разработка программного обеспечения, — начал своей выступление Сергей Измайлов, руководитель направления Anti-fraud Московской биржи. — Практически все ПО, с помощью которого проводятся торги, написано нашими сотрудниками». Он отметил, что по большому счету, требования по соблюдению мер информационной безопасности тормозят бизнес и приводят к дополнительным расходам. Однако все понимают, что игнорировать их нельзя.

Сергей Измайлов предложил 5 шагов, которые позволят службе ИБ установить взаимопонимание с бизнесом. Бизнес должен увидеть в ИБ-подразделении партнера и начать воспринимать его как свою неотъемлемую часть. Это должно выражаться в росте значимости функции ИБ с точки зрения корпоративной структуры, ее участии в процессах принятия решений. Чтобы добиться этого, надо отказаться от практики «продажи страха» — построить прозрачную отчетность функции ИБ, разбирать вместе с бизнесом наиболее показательные кейсы.

Второй шаг — внедрить методики количественной оценки кибер-рисков и стоимости компенсирующих мер и показывать бизнесу понятные ему цифры. Третий шаг — внимательно изучать нормативные акты, работать с регуляторами с тем, чтобы найти нетипичные, но эффективные способы реализации потребностей бизнеса. Очень важно научиться мыслить в терминах ТСО и оптимизировать расходы на ИБ. И последнее —объяснять сложные вещи, логику принятия решений на простом, понятном бизнесу языке.

Инструменты контроля

Уровень киберугроз постоянно растет. При этом компании сталкиваются с целым рядом ограничений в области построения систем ИБ: это и кадровые проблемы, и ограничения по использования иностранного ПО, и высокая стоимость решений. Как рассказал Дмитрий Хомутов, директор компании «Айдеко», его компания разработала сервис Ideco security, который позволяет проверить, насколько эффективно осуществляется фильтрация локального трафика в компании.

Результаты тестирования локальных сетей

ris_1_izm_01.png

Источник: Айдеко, 2022

Результаты тестирования неутешительные. В 97% случаев потенциально опасные ресурсы не блокируются, для фильтрации трафика используются устаревшие, уязвимые решения. Доля «паразитного» трафика доходит до 40%, в том числе 17% — торренты и P2P сети, 8,3% — реклама, 4,6% — развлекательные новости, 3,6% — мультфильмы, 2,7% — компьютерные игры, 2,3% — сайты знакомств.

Куда заглядывают сотрудники на работе

ris_2_izm_02.png

Источник: Айдеко, 2022

Дмитрий Хомутов предложил использовать межсетевой экран нового поколения Ideco UTM. Он нуждается в минимальной настройке и прямо «из коробки» готов обеспечить самый высокий уровень защиты от киберугроз. В нем есть все необходимые модули: контроль приложений, контентная фильтрация, блокировка анонимайзеров, предотвращение вторжений, публикация ресурсов, антивирусная проверка. Осуществляется DPI фильтрация на 7 уровне модели OSI. В BlockList содержится 15 млн доменов и IP-адресов, в обновляемой базе данных — более 500 млн URL. Решение имеет все необходимые сертификаты ФСТЭК. Осуществляется многоканальная техподдержка пользователей.

Алексей Киселев, руководитель отдела продаж клиентам малого и среднего бизнеса, «Лаборатория Касперского», разделил угрозы ИБ на три основные группы. Обычные угрозы — это классические вирусы и вредоносное ПО. На них приходится 70-90% всего вредоносного ПО, их довольно легко обнаружить и предотвратить. Решения по борьбе с ними должны быть в каждой организации. Скрытые угрозы — это вредоносное ПО, программы-вымогатели, шпионское ПО. Оно обладает высокой «заразностью», для доступа к системам и закрепления используются легитимные инструменты. У скрытого ПО больше времени для того, чтобы нанести максимальный ущерб. Сложные атаки — это, как правило, масштабные действия, направленные на то, чтобы причинить ущерб конкретной компании, для борьбы с которыми необходимо привлекать SOC.

Kaspersky Optimum Security

ris_3_izm_03.png

Источник: Лаборатория Касперского, 2022

Скрытые угрозы представляют серьезную опасность для бизнеса, а средства для их осуществления в Darknet стоят недорого: около $75. Для того, чтобы их обнаружить, необходимо специальное ПО. Алексей Киселев предложил использовать решения из пакета Kaspersky Optimum Security: они помогут обнаружить, расследовать, противостоять кибератаке. Кроме того, пользователи получают возможность ознакомиться с опытом противодействия подобным атакам на специальном портале, а также проконсультироваться у специалистов «Лаборатории Касперского» по возникающим вопросам. Решение доступно как единым пакетом, так и покомпонентно.

Алексей Дрозд, начальник отдела информационной безопасности «СерчИнформ», напомнил, какой должна быть современная SIEM: логировать практически любые системы, проводить опросы по WMI, подключаться к СУБД, работать через скрипты. Тем не менее, SIEM несовершенны: если нет логирования, то контроль невозможен, уровень логирования всегда хуже уровня контроля приложений, служб или драйверов, работоспособность системы зависит от многих факторов, проактивная реакция возможна только посредством скриптов, взаимодействия на AD либо API, существует слабая связка с уровнем Endpoint`ов.

Алексей Дрозд рассказал, что в его компании попробовали решить часть задач, добавив агента из DCAP. Однако оказалось, что не все DCAP одинаковы, и многие из них имеют критические проблемы. Некоторые отслеживают действия с файлами на базе системного логирования, а не файловых потоков. Другие мониторят действия пользователей на основании логов AD либо локальных логов. Ряд систем регулирует права доступа через атрибуты NFS\DFS. Многие системы вообще не имеют прямой связки с Endpoint`ами, поэтому не видят активности процессов.

Симбиоз SIEM и DCAP

ris_5_izm_04.png

Источник: СерчИнформ, 2022

Эксперт рассказал, какой, на его взгляд, должна быть идеальная DCAP. Совместное использование SIEM и DCAP позволит определять скрытые подключения, обход сетевых средств защиты, нетиповую файловую активность пользователей и процессов, выполнение скриптов и прочие не отражающиеся в классическом логировании инциденты.

Андрей Терехов, инженер-консультант Fortinet, считает, что самыми опасными на сегодняшний день являются критичные уязвимости приложений — через них осуществляется доставка вредоносного кода и проникновение в инфраструктуру. За последний год в 10 раз увеличилась активность программ-вымогателей. Стоимость простоя бизнеса по их вине в 5-10 раз превышает стоимость выкупа, поэтому компании, как правило, его платят. Таким образом, киберпреступность становится прибыльным бизнесом. В прошлом году в интернете появились обучающие программы для тех, кто хочет научиться зарабатывать таким образом.

Технологии снижения рисков конечных точек

ris_6_izm_05.png

Источник: Fortinet, 2022

Андрей Терехов рассказал о том, как организовать комплексную защиту при помощи инструментов Fortinet. Компания предлагает использовать для этого искусственный интеллект. FortiAI автоматизирует аналитику SOC и способствует повышению его эффективности, дает возможность практически мгновенно блокировать новый вредоносный код, ускоряет работу песочницы.

Еще одна технология снижения рисков конечных точек — автоматизация реагирования FortiEDR. Она может выявлять зловредов не только на этапе проникновения, но и после того, как он обосновался в системе. Результаты независимых тестов показали, что только FortiEDR продемонстрировала возможность блокировки всех атак, выполненных в тесте защиты, без какого-либо предварительного тюнинга.

В большинстве компаний уровень информационной безопасности далек от идеала, отметила Екатерина Сюртукова, руководитель отдела развития бизнеса «Solar Интеграция», «Ростелеком-Солар». По ее словам, процесс построения ИБ состоит из нескольких этапов: аудит и разработка стратегии, внедрение стека технологий, эксплуатация и своевременная адаптация, контроль эффективности и развитие.

Она рассказал о том, как должен быть организован каждый из этих этапов. Так, при внедрении технологий надо ориентироваться на решения, способные обеспечить комплексную защиту от всех типов атак, и тщательно оценивать техническую и экономическую целесообразность реализации мер. При этом надо стараться оценивать не отдельные технологии, а перспективы комплексного решения.

Стек технологий информационной безопасности

ris_7_izm_06.png

Источник: Ростелеком Солар, 2022

После того, как решение внедрено, очень важно постоянно отслеживать новые угрозы и новые уязвимости, учитывать изменения в инфраструктуре, информационных системах, бизнес-процессах и ролевых моделях, своевременно устанавливать обновления, непрерывно повышать эффективность ИБ-системы, контролировать целостность и безопасность конфигураций. В качестве примера Екатерина Сюртукова рассказала о том, как организована информационная безопасность ГосОблака.

Объем трафика в сегменте РФ за последний год вырос примерно на 30%, начала свое выступление Софья Худякова, руководитель отдела продуктовой аналитики «Solar Dozor», «Ростелеком-Солар». «90% этого трафика — Tic-tok, соцсети и котики, — говорит она. — И службам ИБ надо сделать так, чтобы защитить оставшиеся 10% полезной информации, которая критично необходима бизнесу, утечки которой вызывают скандалы». При этом все более значительная часть информационных систем уходит в облако, сотрудники переходят на удаленку, то есть контур ИБ размывается.

По ее словам, в последнее время спрос на DLP-системы постоянно растет. Вместе с этим растут и требования заказчиков к таким решениям. Она рассказала о системе Solar Dozor. Быстрый поиск обеспечивается движком ElasticSearch, в основе лежит отказоустойчивая СУБД Clickhouse, анализ данных происходит с помощью искусственного интеллекта, а технологии в модуле MultiDozor способствуют снижению нагрузки на каналы передачи данных.

Требования заказчиков к DLP-системам

ris_8_izm_07.png

Источник: Ростелеком Солар, 2022

За последнее время почти в три раза выросло число кибератак, совершаемых с помощью вредоносных Botnet. Основные угрозы: захват учетных данных, веб-скрапинг, захват ресурсов, компроментация платежных данных и т.д., рассказал Владимир Вакациенко, технический консультант, Radware. Такие атаки очень интенсивны, но непродолжительны, однако этого достаточно, чтобы нанести существенный вред. Обнаружить их без специальных средств защиты невозможно.

Владимир Вакациенко предложил использовать комбинацию передовых технологий машинного обучения и экспертных сервисов, чтобы проактивно реагировать на такие угрозы. Это защита на основе поведенческого анализа в реальном времени, автоматическая защита приложений и API как в традиционных и облачных, так и в микросервисных средах, технологии глубокого машинного обучения для выявления «плохих» ботов.

Передовая Botnet защита

ris_9_izm_08.png

Источник: Radware, 2022

Компания Radware использует собственные технологии поведенческого анализа для противодействия всем видам угроз. При этом это не приводит к появлению дополнительных сетевых задержек.

Безопасность как сервис

Руслан Косарим, заместитель генерального директора, Angara Security, предложил обсудить тему развития сервисной модели предоставления ИБ-услуг, в особенности предоставления ИБ-услуг по подписке Managed Security Services (MSS). По его словам, в ближайшие годы этот рынок будет активно расти по причине нехватки кадров, развития гибридных форматов работы и цифровизации бизнеса. Потребность в новой экспертизе также формируется под воздействием нового технологического ландшафта: миграции в облака, появления DevOps инструментов, внедрения аналитики данных и инструментов data science, применения собственных и корпоративных мобильных устройств и доступа к данным через интернет.

On-premise и сервисная модель информационной безопасности

ris_4_izm_09.png

Источник: Angara Security, 2022

Мировой рынок MSS растет в среднем на 14% в год. По мнению Руслана Косарима, одна из важнейших тенденций развития рынка — управляемое детектирование и реагирование. Потребность в сервисах MDR или SOC, в связи с развитием зловредов и увеличением масштабов атак, растет и будет продолжать расти. Еще одна тенденция — коллаборация вендоров и экспертов. Сочетание функционального вендорского продукта и высокого профессионализма инженеров — залог успеха качественного и эффективного сервиса. И третья тенденция — аутсорсинг кибербезопасности для новых технологий: безопасность микросервисов, облачной инфраструктуры, озера данных отдать на аутсорсинг проще и дешевле, чем выращивать собственную компетенцию.

Не запрещать, а контролировать

«Ориентация на предотвращение инцидентов часто выходит боком. Можно прописать правила и тщательно следить за их выполнением, но на практике вы все равно столкнетесь с ложными срабатываниями и ростом нагрузки на ИБ», — говорит Андрей Арбатский, представитель Staffcop в Москве и Московской области. По его мнению, гораздо эффективнее расследовать инциденты — руководство должно знать, что делает сотрудник в рабочее время, и это позволяет понять, к чему готовиться». Компания Staffcop предлагает инструменты, с помощью которых можно понять, какие данные обрабатывает сотрудник, куда он их отправляет, какие ресурсы посещает, с кем взаимодействует в процессе работы, в том числе с личного почтового ящика.

Чем занимаются сотрудники на удаленке

ris_10_10.png

Источник: Staffcop, 2022

Технологии Staffcop также позволяют контролировать удаленных сотрудников: сколько времени они тратят на выполнение работы, а сколько — на личные нужды? Можно вычислить людей, которые находятся в активном поиске работы. На основании анализа поисковых запросов есть возможность узнать об их проблемах и предложить помощь. Решение создано на базе Open Source, входит в реестр отечественного ПО и имеет сертификат ФСТЭК, требования к ресурсам для сервера невысокие. Как пояснил Андрей Арбатский, для внедрения решения надо подготовить необходимую нормативную базу.

Безопасны ли мобильные приложения

Антон Куканов, заместитель руководителя Роскачества, рассказал об исследованиях, которые проводит организация. Например, исследование приложений для родительского контроля показало, что 70% из них недостаточно эффективно блокирую взрослый контент. Исследование мобильных браузеров продемонстрировало, что 60% из них передают собранные данные третьей стороне. 90% всех приложений недостаточно адаптированы для людей с ограниченными возможностями.

В 2021 г. Роскачество исследовало уровень ИБ 226 популярных приложений. Как выяснилось, 221 из них запрашивают неактивное согласие на обработку данных, 46 запрашивают данные о статусе телефона, 22 не позволяют удалить учетную запись, 6 передают персональные данные в незашифрованном виде. Среди 370 мало популярных приложений 365 имеют рекламные баннеры, 9 — имеют признаки шпионских программ и только 34 запрашивают абсолютный минимум доступов.

Как защитить облака

Все больше корпоративных ресурсов перемещается в облака. При этом 58% организаций считают облака небезопасными, напомнил Андрей Нуйкин, начальник отдела обеспечения безопасности информационных систем, «Евраз». В списке основных рисков несанкционированный доступ к данным со стороны третьих лиц или при управлении сервисом, риск потери доступа к данным по разным причинам, недостаточные меры защиты со стороны провайдера, неправильная настройка облачных сервисов, нарушение изолирования между клиентами облачного провайдера и несоответствие требованиям законодательства.

Андрей Нуйкин рассказал о трудностях, которые возникают при защите облаков. Во-первых, в облаке легко создать новые виртуальные машины, и ИБ не всегда успевает за этим. Во-вторых, серверы облачных вычислений и локальные серверы используют одни и те же операционные системы и приложения. Система обнаружения и предотвращения вторжений должна быть способна обнаруживать вредоносную активность на уровне виртуальных машин, вне зависимости от их расположения в облачной среде. В-третьих, при использовании облачных вычислений периметр сети размывается или исчезает. Это приводит к тому, что защита менее защищенной части сети определяет общий уровень защищенности.

По словам Андрея Нуйкина, доступ через интернет к управлению вычислительной мощностью — одна из ключевых характеристик облачных вычислений. В большинстве традиционных ЦОД доступ инженеров к серверам контролируется на физическом уровне, в облачных средах они работают через интернет. Разграничение контроля доступа и обеспечение прозрачности изменений на системном уровне является одним из главных критериев защиты. Еще одна сложность: настройки должны быть приближены к корпоративным, но из-за динамичности среды это не всегда соблюдается.

Безопасность и финтех

Александр Товстолип, директор по ИБ, «Ассоциация ФинТех», рассказал о проблемах безопасности в среде открытых банковских интерфейсов. Открытые API способствуют развитию здоровой конкуренции на финансовом рынке, расширению возможностей для потребителей по выбору, приобретению и использованию финансовых продуктов и услуг, а также появлению инновационных решений и развитию принципиально новых бизнес-моделей.

Открытые API активно развиваются во всем мире. Одним из наиболее успешных считается опыт развития Open API в Великобритании, в которой функции оператора открытого банкинга выполняет организация OBIE (Open Banking Implementation Entity), учрежденная крупными участниками рынка. В нашей стране созданием среды открытого банкинга занимаются Банк России и «Ассоциация ФинТех».

В настоящее время Банк России выпустил ряд стандартов открытых API, в том числе в области ИБ. Александр Товстолип подробно рассказал об этих стандартах. По его словам, необходима проработка и уточнение подходов к построению общерыночной инфраструктуры открытых API для обеспечения формирование единой безопасной среды взаимодействия, снижения издержек и сложности интеграции для участников рынка.

Руслан Ложкин, руководитель службы информационной безопасности, Абсолют Банк, уверен, что развитие индустрии 4.0 привело к изменению подхода к обеспечению информационной безопасности. Сейчас наиболее востребована реактивная модель, обеспечивающая мгновенную реакцию на проникновение. При этом речь идет, как правило, о комплексных решениях, а не отдельных модулях, ориентированных на ограниченное число задач.

Руслан Ложкин рассказал, как в новых условиях должна быть организована ИБ. Сегодня надо защищать не периметр, а контент, уверен эксперт. Он призвал бороться со злоумышленниками, используя их же техники и тактики.

Как защитить инфраструктуру

Александр Севостьянов, начальник управления информационной безопасности, «Трубная металлургическая компания», уверен, что основные риски и угрозы безопасности информации сегодня лежат в сфере проникновения через удаленные открытые сессии. Также следует опасаться утечек персональных данных из СУБД множественных ведомственных ГИС, интегрированных с ЕСИА, утечек биометрических персональных данных из кредитных и коммерческих организаций. Он подчеркнул опасность роста популярности модели угроз, ориентирующейся преимущественно на внутреннего нарушителя.

Основные и наиболее вероятные векторы атак: эксплуатация уязвимости нулевого дня Log4j корпоративного сегмента организаций как отправной точки целевой атаки на ИТ-инфраструктуру; кибератаки на ГИС министерств и ведомств, интегрированных с ЕСИА;

• кибератаки на ИТ-инфраструктуру кредитных организаций, участвующих в пилотном проекте «цифрового рубля».

Андрей Минаев, менеджер по инфраструктуре и информационной безопасности, Volkswagen Group Rus, привел пример противодействия эксплуатации уязвимостей на примере Log4Shell. Log4shell — это уязвимость в библиотеке Log4j, и она не может быть обнаружена с помощью системы инвентаризации ПО.

Как правило, просто установить обновление для библиотеки Log4j невозможно. Необходимо обнаружить и обновить все приложения, использующие уязвимую библиотеку. А для этого выполнить ручной поиск библиотеки log4j, выполнить автоматизированный поиск библиотеки log4j, используя ПО для управления уязвимостями, затем запросить информацию у производителя или разработчика и проверить публично доступные списки уязвимого/не подверженного log4shell CVEs ПО.

Поиск уязвимого ПО и установка исправлений может занять от нескольких дней до нескольких месяцев. Поэтому необходимо принять дополнительные меры защиты.

Владимир Вакациенко: Поведение современных ботов практически не отличается от поведения человека

Половина интернет-трафика генерируется сетями ботов. Среди них есть «хорошие» и «плохие». О том, как отличить первых от вторых и бороться с вредоностными ботами, не блокируя работу легитимных пользователей и легитимных средств автоматизации в интернете, рассказал Владимир Вакациенко, системный инженер, технический консультант Radware.

CNews: Как изменился ландшафт угроз за последние годы?

Владимир Вакациенко: За последние годы произошел существенный рост количества DDoS-атак и кибератак на веб-приложения. Но атаки, реализуемые с помощью вредоносных ботнетов, вышли на принципиально другой уровень. Сейчас уже примерно половина всего интернет-трафика генерируется сетями ботов. И половину этого трафика генерируют так называемые «плохие» ботнеты.

Противодействие им осложняется тем, что необходимо не просто выявить ботнет, но и отличить «хороший» ботнет от «плохого». И делать это необходимо таким образом, чтобы не блокировать работу легитимных пользователей и легитимных средств автоматизации в интернете.

Современные боты последних поколений заражают уже десятки и сотни тысяч устройств по всему миру. Их поведение практически не отличается от поведения человека. По сути, в руках злоумышленников оказывается оружие нового поколения, которое позволяет им организовывать принципиально новые типы атак на веб-приложения, когда с точки зрения средств защиты периметра действия злоумышленников выглядят легитимными, но могут приводить к неправильной работе и недоступности оказываемых онлайн-услуг. Кроме того, огромные масштабы заражений устройств позволяют организовывать новые типы чрезвычайно интенсивных DDoS-атак как на сетевом уровне, так и на уровне приложений.

CNews: Какие технологии автоматического противодействия вы предлагаете?

Владимир Вакациенко: Для противодействия изменяющемуся ландшафту угроз компания Radware использует комбинацию передовых технологий автоматического противодействия атакам на основе машинного обучения и поведенческого анализа, а также экспертных сервисов для проактивного обнаружения угроз.

Средства автоматического противодействия современным угрозам Radware обеспечивают защиту от современных DDoS-атак на основе поведенческого анализа и противодействия атакам в режиме реального времени, защиту приложений и API как в традиционных, так и в облачных и микросервисных средах с использованием технологий машинного обучения, а также защиту от вредоносных ботнетов с использованием технологии глубокого машинного обучения, позволяющей просчитать намерения атакующих.

CNews: Какие функции по-прежнему должны оставаться за специалистами по ИБ?

Владимир Вакациенко: За специалистами по ИБ в любом случае остается формирование политик ИБ, на основе которых производится настройка и корректировка настроек используемых средств автоматизации. За ними также могут оставаться функции администрирования и реагирования на выявляемые атаки. Мы же стремимся к тому, чтобы решения Radware оказывали минимальное влияние на инфраструктуру, качество сервисов и работу конечных пользователей, а также не перегружали эксплуатирующие подразделения.

Софья Худякова: Мы имели дело с большими данными до того, как это стало мейнстримом

Руководитель отдела аналитики центра продуктов Dozor компании «Ростелеком-Солар» Софья Худякова рассказала о проблемах роста нагрузки на ИБ-системы и о том, как DLP-система Solar Dozor работает с большими данными.

CNews: С чем связан рост нагрузки на ИБ-системы?

Софья Худякова: Прежде всего, это общий рост объема пользовательского трафика. По данным Минцифры РФ, за первые девять месяцев 2021 года интернет-трафик в России вырос почти на 30% в сравнении с аналогичным периодом предыдущего года. И тут несколько основных трендов. Во-первых, это укрупнение бизнеса, в том числе слияние и поглощение компаний, и как следствие, рост числа коммуникаций между пользователями. Во-вторых, повсеместный переход на облачные сервисы, в которых хранится огромное количество данных. Третий момент — массовый переход на удаленку, сокращение личных коммуникаций спровоцировали рост трафика в Zoom и различных мессенджерах. И последнее — бурное развитие технологий беспроводной связи: выросли скорости, а соответственно, и объем трафика.

CNews: Как это сказывается на требованиях к ИБ-системам, которые сегодня предъявляет заказчик?

Софья Худякова: Как продуктовый аналитик могу сказать, что цифры в технических заданиях постоянно растут. Если говорить о DLP-системе, то сегодня заказчики хотят от нас минимальную пропускную способность на уровне 10 Гбит/с. Минимальный объем интернет-трафика – 4,6 Тб в сутки, а почтового – 2,5 Тб. Система должна уметь работать с файловым хранилищем размером 800 Пб — это как несколько тысяч Библиотек имени Ленина. Если перевести в книги, можно покрыть ими территорию небольшого европейского государства.

CNews: Какие технологии помогают Solar Dozor соответствовать возросшим требованиям к производительности?

Софья Худякова: Solar Dozor был создан в 2000 году, и все начиналось с работы с почтовым архивом. То есть мы имели дело с большими данными до того, как это стало мейнстримом. Быстрый поиск у нас реализован на движке Elasticsearch, который сегодня применяют в большинстве компаний, работающих с big data. Модуль UBA, который использует искусственный интеллект для анализа поведения пользователей, работает на основе с СУБД Clickhouse. В отличие от многих коммерческих баз данных она позволяет ежедневно очень быстро обрабатывать десятки тысяч записей, чтобы строить поведенческие паттерны сотрудников. Кроме того, несколько лет назад мы реализовали модуль MultiDozor для работы в территориально распределенных организациях. Он позволяет централизованно управлять политиками DLP-системы и оперативно получать информацию об инцидентах, при этом храня и обрабатывая терабайты данных в филиалах, не создавая нагрузку на корпоративные каналы связи.

Еще важно снизить нагрузку на рабочие станции, чтобы недостаток ресурсов на них не сказывался на скорости обработки данных и отказоустойчивости. Для этого мы оптимизируем работу Endpoint Agent – регулярно рефакторим код. А еще, чтобы не нагружать рабочую станцию, научили Endpoint Agent использовать ресурсы оперативной памяти, зарезервированные приложением, с которого идет перехват.

CNews: Каких результатов это позволило достичь?

Софья Худякова: С крупными заказчиками у нас впечатляющие показатели: есть инсталляция более чем на 250 тысяч пользователей, где в сутки система обрабатывает 3Тб трафика, а архив прирастает ежедневно на 1 Тб. Есть заказчик, у которого глубина архива составляет 15 лет. У одного крупного заказчика Solar Dozor интегрирует и обрабатывает информацию из 6 внешних источников, один из них корпоративный мессенджер, в котором наша система обрабатывает 95% сообщений в секунду в ту же секунду. Что касается MultiDozor, у нас есть заказчик, у которого подключено к DLP-системе больше 10 дочерних предприятий. Интерфейс поддерживает одновременную работу более 20 офицеров безопасности из разных филиалов организации. При этом с интерфейсом одновременно работают 20 офицеров безопасности.

Источник: CNews Conferences

Поделиться

Поиск по сайту