СофтХабрахабр

КИБ «SearchInform» как рабочий инструмент аналитика или «Бойтесь данайцев, дары приносящих»

Как понятно из заголовка, сегодня речь пойдет о КИБ SearchInform. К этой статье у меня родилось несколько вариантов названий и даже эпиграфов. Одним из первых был «Все счастливые семьи счастливы одинаково, каждая несчастливая семья несчастлива по-своему» из «Анны Карениной». Потом был «Не все йогурты одинаково полезны» из старой рекламы и лекции одного из сотрудников компании SearchInform.

А зачем? Честно признаюсь, что не читала и не читаю обзоры и статьи-сравнения DLP-систем в интернете от слова «совсем». А сейчас, уже имея сформированное представление о DLP-системах и посмотрев на многие из них собственными глазами, смысл в чтении таких материалов отпал окончательно. Когда систему внедрили и мне пришлось с ней работать, сразу стало не до обзоров. В последнее время много и часто меня просят рассказать о своем опыте использования этого решения. Я хочу поделиться с вами впечатлениями от использования каждого DLP-продукта, который попадал мне в руки, потому что заявления вендоров о наличии в их решениях того или иного функционала — это одно, а то, как он фактически реализован — совсем другое.
Итак, примерно в начале 2013 года я стала пользователем КИБ SearchInform и до сих пор им являюсь. Все исключительно на эмоциональном уровне. Должен бы уже сформироваться какой-то шаблон рассказа, но нет, не формируется. И не должно быть таким. Наверно потому, что взгляд на DLP не может быть сухим и однобоким, а мнение не может быть у всех одинаковым.

Но равнодушным оно мало кого оставляет. DLP от компании SearchInform отличается от других решений тем, что его принято либо сильно хвалить, либо сильно ругать.

Умеют люди работать, ничего не скажешь. Что касается «сильно хвалить», то здесь можно только крикнуть «браво» маркетинговому отделу компании и сейлам.

Про «сильно ругать»: тут скажем спасибо людям, формирующим в компании роад-мапы и глобальную стратегию развития продукта.

Поскольку я не маркетолог и не сейл, хвалить я буду только за то, что дорого и ценно именно для меня как пользователя продукта.

Да, он простой. Простой и понятный интерфейс. Это плюс. Мне, например, не понадобились полгода и команда коучей, чтобы обучиться работе с продуктом. В конце концов, можно привыкнуть работать с любой системой. Но здесь все индивидуально и на любителя.

Не знаю или уже не помню, какие задачи она должна решать по замыслу разработчиков. Консоль под названием «Общий клиент». Поиск по ключевым словам и прочее через нее делать не рекомендую. Для меня эта консоль — почти идеальный инструмент для просмотра активности пользователя: выбрал — загрузил — просмотрел. Ну, разве что вам надо найти событие, все параметры которого известны, и при этом достаточно поиска на очень небольшую глубину.

Работа с политиками: словари, регулярные выражения. Консоль Alert Center. Очень неплохо работает, и даже есть интеграция с общим клиентом для перехода в события (особенно если их много нашлось).

На сайте компании написано так: «Записывает видео происходящего на экране», и сконцентрирована эта опция в модуле MonitorController. Видео рабочего дня пользователя. Вы спросите, а чем скриншоты хуже? Это, что называется, вещь! Во множестве кейсов имеют значение секунды, которые отделяют один активный процесс от другого, а скриншоты – это отрывки, какими частыми их ни сделай. Слайд-шоу, слепленное из таких скриншотов, и запись всех действий пользователя, отображаемых на экране его компьютера, — две большие разницы. Хорошо тому, кто работает с активностью 100 пользователей, и грустно тому, кто работает с 10 000 пользователей… Попробуйте-ка персонифицировать настройки снятия скриншотов на всех так, чтобы ничего не потерять. А если вы неточно выставите интервал записи скриншотов, можете вообще пропустить самое интересное. Да и потребности могут постоянно меняться.

Вот, знайте. А вы знали, что видео меньше места в хранилище занимали, чем скриншоты?

В компании с большим количеством пользователей важно, чтобы система сама подсветила, где интересно и где может быть аномалия. Минус только в том, что записью видео разработчики, видимо, пытаются компенсировать отсутствие онлайн-анализа поступающих в систему событий и очень бедную аналитику. В материи нового модуля (или даже отдельного продукта компании SearchInform) Profile Center я здесь не буду вникать — «книгу не читал, ничего плохого сказать не могу». Вместо этого вы должны самостоятельно просмотреть тонну видео. Если нет — минус остается минусом. Если он дает онлайн-анализ данных — отлично.

«Перехватывает нажатия клавиш (логины, пароли и т.д.), а также информацию, скопированную в буфер обмена». Кейлоггер. Например, если действия пользователей в автоматизированных системах не логируются самими этими системами, а вам надо проверить, какие данные вводились в автоматизированную систему с клавиатуры или копировались как в систему, так и из нее. Идеален для расследования кейсов, не типичных для DLP.

Только не надо на этом моменте делать круглые глаза и бежать искать в правовой базе Конституцию РФ. Уже не говорю про перехват паролей. Не хотите, чтобы детали вашей личной жизни попали в руки работодателя или скомпрометировать пароль от личного почтового ящика — не делайте этого на ресурсах работодателя. Все, что происходит на информационных ресурсах, принадлежащих компании-работодателю, принадлежит работодателю, как бы странно это ни звучало. Все очень просто.

Дело в том, что буфер обмена фактически не отделен от клавиатурного ввода, хотя производитель презентует обратное. Минус технологии в том, что для компаний, чьи сотрудники работают с большими базами данных и регулярно копируют их между разными программами, поиск через кейлоггер будет очень проблематичным. Как говорится, кнопка есть, но не нажимается.

К моему большому сожалению, потому что на протяжении многих лет искреннее хотела, чтобы продукт развивался не только по одному пути, а производитель смотрел по сторонам. На этом похвалы я заканчиваю.

Практически нереально. Поиски информации на большом объеме. Давайте, если хотите, будем долго дискутировать, почему так. Ситуации, когда поиск длится часами и даже днями (!), были регулярными. Не хочу здесь рассуждать о технологиях поиска, но о Elastic Search не знает только слепой и глухой. Но с этой проблемой мы постоянно приходили к вендору, а раз не нашлось за годы решения, значит, его пока нет. И SearchInform.

Здесь я имею в виду то, что в терминологии служб безопасности называется «люди на особом контроле». Мониторинг действий пользователей. Все такие штуки мы делали вручную, просто выгружая информацию и описывая ее в отчете, а не пользуясь аналитическими выкладками, которые система уже сама сгенерировала. Формирование групп риска, анализ контактов и связей сотрудников, подсвечивание аномалий в режиме онлайн опять же. Отчеты есть. Давайте опять же подискутируем и вспомним, что есть консоль Report Center, и там, судя по названию, можно найти много отчетов. Вопрос в технологии обработки информации: события могут не проиндексироваться к моменту формирования отчета, а значит, о полноте и корректности данных речи быть не может. Но не про нашу честь, как говорится. А базы у Report Center свои, и синхронизировать данные он может ооочень долго, и все это время вы просто ничего не будете видеть в консоли. И снова замечу – это не онлайн-обработка.

Или даже не большого, а любого количества аналитиков. Работа с системой большого количества аналитиков. Выгрузить и направить почтой, видимо. Нашел ты событие-инцидент, а как его передать и кому? Есть оповещения на почту о сработках Алерт центра. Или словами сказать коллеге: посмотри, мол, вот у того-то. Но гиперссылки в таких уведомлениях вам будут доступны только в том случае, если вы подключаетесь напрямую к серверу обработки данных. Конечно! Это мы проходили и пришли к тому, что подрубались в систему по rdp. А чем больше аналитиков таким образом напрямую подключаются, тем медленнее система работает. Но в таком случае гиперссылок у вас не будет.

И только проанализировав событие в системе, можно сделать вывод, является ли оно инцидентом или нет, назначить его на кого-либо или просто классифицировать как инцидент. А если бы и были — может быть, это false positive? Слышала, что есть что-то типа Инцидент центра. Проще говоря, кейс-менеджмент. Или SIEM их же производства. Отлично, давайте сравним. Все ли события там можно обрабатывать и на каком этапе? Отлично, давайте сравним. И даже этот Инцидент центр вендор почему перестал развивать и хоть как-то технически сопровождать. Интегрированы ли данные сущности с треми основными или они отдельно и со своими базами – тогда снова грусть.

Не стабильны. Стабильность агентов. Исчезают с компьютеров по каким-то космическим причинам и приходится тратить до 40% рабочего времени, чтобы вернуть их на место. Хорошо ставятся, но плохо держатся. Почему? Или определенные протоколы «отваливаются». Вендор не знает. Кто же знает! И такие проблемы были не то что не редкими, а регулярными.

Здесь в защиту SearchInform следует сказать, что страдает этим далеко не только он. Ну и про множество консолей. И вопрос, скорее всего, даже не в количестве консолей, а в дублировании их функций и отсутствии полноценной интеграции между ними.

Тем более, что вендор давно обещал, в том числе мне лично, выпуск единой консоли КИБа.
Но, тем не менее, это важный недостаток, конечно.

Слышала, что она все-таки вышла, но объединила только Общий клиент и Репорт центр, почему-то.

Процесс, конечно, проблематичный, и вендору не сильно хочется этим заниматься, понимаю. Подводя итог, могу сказать, что для устранения всех минусов системы, о которых здесь шла речь, производителю надо глобально и кардинально переработать архитектуру своего решения. Верно! А зачем, если решение и так хорошо продается. Снова браво маркетологам и сейлам.

«В Вилларибе уже празднуют, а в Виллабаджо еще моют посуду….», как в известной рекламе. Вендор всегда акцентировал внимание на том, что был впереди всей планеты и первым выпускал в релиз тот функционал, о котором другие и не мечтали еще. Новые фишки, технологии, профайлинг, machine learning — это все круто, правда. Это отлично! Но архитектура, ребята… поиск длиною в жизнь… контентный анализ уже постфактум, когда система забила наши базы событиями… Я, как истинный фанат систем DLP и зависимый во всех смыслах от них человек, только ЗА!

Система-то, по-хорошему, и должна выполнять ровно 2 основных функции (а их уже можно поделить как угодно и на сколько угодно):

  1. проанализировать активность нужного вам пользователя;
  2. быстро и хорошо найти то, что вы ищете или помочь найти вам то, о чем вы еще не знаете.

От того, как будет реализован функционал, помогающих нам, простым смертным пользователям, очень часто зависит и эффективность, и качество нашей с вами работы. И чем меньше надо будет делать руками и посредством другого софта, тем лучше.

Данная статья отражает только мое мнение, при написании никаких животных не пострадало, для лиц старше 18 лет и т.п.

В следующей серии расскажу о линейке продуктов компании Infowatch.

🙂 До скорых встреч, мои дорогие DLP-зависимые!

Теги
Показать больше

Похожие статьи

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

Кнопка «Наверх»
Закрыть