КИБ «SearchInform» как рабочий инструмент аналитика или «Бойтесь данайцев, дары приносящих»

Как понятно из заголовка, сегодня речь пойдет о КИБ SearchInform. К этой статье у меня родилось несколько вариантов названий и даже эпиграфов. Одним из первых был «Все счастливые семьи счастливы одинаково, каждая несчастливая семья несчастлива по-своему» из «Анны Карениной». Потом был «Не все йогурты одинаково полезны» из старой рекламы и лекции одного из сотрудников компании SearchInform.

Честно признаюсь, что не читала и не читаю обзоры и статьи-сравнения DLP-систем в интернете от слова «совсем». А зачем? Когда систему внедрили и мне пришлось с ней работать, сразу стало не до обзоров. А сейчас, уже имея сформированное представление о DLP-системах и посмотрев на многие из них собственными глазами, смысл в чтении таких материалов отпал окончательно. Я хочу поделиться с вами впечатлениями от использования каждого DLP-продукта, который попадал мне в руки, потому что заявления вендоров о наличии в их решениях того или иного функционала — это одно, а то, как он фактически реализован — совсем другое.

Итак, примерно в начале 2013 года я стала пользователем КИБ SearchInform и до сих пор им являюсь. В последнее время много и часто меня просят рассказать о своем опыте использования этого решения. Должен бы уже сформироваться какой-то шаблон рассказа, но нет, не формируется. Все исключительно на эмоциональном уровне. Наверно потому, что взгляд на DLP не может быть сухим и однобоким, а мнение не может быть у всех одинаковым. И не должно быть таким.

DLP от компании SearchInform отличается от других решений тем, что его принято либо сильно хвалить, либо сильно ругать. Но равнодушным оно мало кого оставляет.

Что касается «сильно хвалить», то здесь можно только крикнуть «браво» маркетинговому отделу компании и сейлам. Умеют люди работать, ничего не скажешь.

Про «сильно ругать»: тут скажем спасибо людям, формирующим в компании роад-мапы и глобальную стратегию развития продукта.

Поскольку я не маркетолог и не сейл, хвалить я буду только за то, что дорого и ценно именно для меня как пользователя продукта.

Простой и понятный интерфейс. Да, он простой. Мне, например, не понадобились полгода и команда коучей, чтобы обучиться работе с продуктом. Это плюс. Но здесь все индивидуально и на любителя. В конце концов, можно привыкнуть работать с любой системой.

Консоль под названием «Общий клиент». Не знаю или уже не помню, какие задачи она должна решать по замыслу разработчиков. Для меня эта консоль — почти идеальный инструмент для просмотра активности пользователя: выбрал — загрузил — просмотрел. Поиск по ключевым словам и прочее через нее делать не рекомендую. Ну, разве что вам надо найти событие, все параметры которого известны, и при этом достаточно поиска на очень небольшую глубину.

Консоль Alert Center. Работа с политиками: словари, регулярные выражения. Очень неплохо работает, и даже есть интеграция с общим клиентом для перехода в события (особенно если их много нашлось).

Видео рабочего дня пользователя. На сайте компании написано так: «Записывает видео происходящего на экране», и сконцентрирована эта опция в модуле MonitorController. Это, что называется, вещь! Вы спросите, а чем скриншоты хуже? Слайд-шоу, слепленное из таких скриншотов, и запись всех действий пользователя, отображаемых на экране его компьютера, — две большие разницы. Во множестве кейсов имеют значение секунды, которые отделяют один активный процесс от другого, а скриншоты – это отрывки, какими частыми их ни сделай. А если вы неточно выставите интервал записи скриншотов, можете вообще пропустить самое интересное. Хорошо тому, кто работает с активностью 100 пользователей, и грустно тому, кто работает с 10 000 пользователей… Попробуйте-ка персонифицировать настройки снятия скриншотов на всех так, чтобы ничего не потерять. Да и потребности могут постоянно меняться.

А вы знали, что видео меньше места в хранилище занимали, чем скриншоты? Вот, знайте.

Минус только в том, что записью видео разработчики, видимо, пытаются компенсировать отсутствие онлайн-анализа поступающих в систему событий и очень бедную аналитику. В компании с большим количеством пользователей важно, чтобы система сама подсветила, где интересно и где может быть аномалия. Вместо этого вы должны самостоятельно просмотреть тонну видео. В материи нового модуля (или даже отдельного продукта компании SearchInform) Profile Center я здесь не буду вникать — «книгу не читал, ничего плохого сказать не могу». Если он дает онлайн-анализ данных — отлично. Если нет — минус остается минусом.

Кейлоггер. «Перехватывает нажатия клавиш (логины, пароли и т.д.), а также информацию, скопированную в буфер обмена». Идеален для расследования кейсов, не типичных для DLP. Например, если действия пользователей в автоматизированных системах не логируются самими этими системами, а вам надо проверить, какие данные вводились в автоматизированную систему с клавиатуры или копировались как в систему, так и из нее.

Уже не говорю про перехват паролей. Только не надо на этом моменте делать круглые глаза и бежать искать в правовой базе Конституцию РФ. Все, что происходит на информационных ресурсах, принадлежащих компании-работодателю, принадлежит работодателю, как бы странно это ни звучало. Не хотите, чтобы детали вашей личной жизни попали в руки работодателя или скомпрометировать пароль от личного почтового ящика — не делайте этого на ресурсах работодателя. Все очень просто.

Минус технологии в том, что для компаний, чьи сотрудники работают с большими базами данных и регулярно копируют их между разными программами, поиск через кейлоггер будет очень проблематичным. Дело в том, что буфер обмена фактически не отделен от клавиатурного ввода, хотя производитель презентует обратное. Как говорится, кнопка есть, но не нажимается.

На этом похвалы я заканчиваю. К моему большому сожалению, потому что на протяжении многих лет искреннее хотела, чтобы продукт развивался не только по одному пути, а производитель смотрел по сторонам.

Поиски информации на большом объеме. Практически нереально. Ситуации, когда поиск длится часами и даже днями (!), были регулярными. Давайте, если хотите, будем долго дискутировать, почему так. Но с этой проблемой мы постоянно приходили к вендору, а раз не нашлось за годы решения, значит, его пока нет. Не хочу здесь рассуждать о технологиях поиска, но о Elastic Search не знает только слепой и глухой. И SearchInform.

Мониторинг действий пользователей. Здесь я имею в виду то, что в терминологии служб безопасности называется «люди на особом контроле». Формирование групп риска, анализ контактов и связей сотрудников, подсвечивание аномалий в режиме онлайн опять же. Все такие штуки мы делали вручную, просто выгружая информацию и описывая ее в отчете, а не пользуясь аналитическими выкладками, которые система уже сама сгенерировала. Давайте опять же подискутируем и вспомним, что есть консоль Report Center, и там, судя по названию, можно найти много отчетов. Отчеты есть. Но не про нашу честь, как говорится. Вопрос в технологии обработки информации: события могут не проиндексироваться к моменту формирования отчета, а значит, о полноте и корректности данных речи быть не может. И снова замечу – это не онлайн-обработка. А базы у Report Center свои, и синхронизировать данные он может ооочень долго, и все это время вы просто ничего не будете видеть в консоли.

Работа с системой большого количества аналитиков. Или даже не большого, а любого количества аналитиков. Нашел ты событие-инцидент, а как его передать и кому? Выгрузить и направить почтой, видимо. Или словами сказать коллеге: посмотри, мол, вот у того-то. Есть оповещения на почту о сработках Алерт центра. Конечно! Но гиперссылки в таких уведомлениях вам будут доступны только в том случае, если вы подключаетесь напрямую к серверу обработки данных. А чем больше аналитиков таким образом напрямую подключаются, тем медленнее система работает. Это мы проходили и пришли к тому, что подрубались в систему по rdp. Но в таком случае гиперссылок у вас не будет.

А если бы и были — может быть, это false positive? И только проанализировав событие в системе, можно сделать вывод, является ли оно инцидентом или нет, назначить его на кого-либо или просто классифицировать как инцидент. Проще говоря, кейс-менеджмент. Слышала, что есть что-то типа Инцидент центра. Отлично, давайте сравним. Или SIEM их же производства. Отлично, давайте сравним. Все ли события там можно обрабатывать и на каком этапе? Интегрированы ли данные сущности с треми основными или они отдельно и со своими базами – тогда снова грусть. И даже этот Инцидент центр вендор почему перестал развивать и хоть как-то технически сопровождать.

Стабильность агентов. Не стабильны. Хорошо ставятся, но плохо держатся. Исчезают с компьютеров по каким-то космическим причинам и приходится тратить до 40% рабочего времени, чтобы вернуть их на место. Или определенные протоколы «отваливаются». Почему? Кто же знает! Вендор не знает. И такие проблемы были не то что не редкими, а регулярными.

Ну и про множество консолей. Здесь в защиту SearchInform следует сказать, что страдает этим далеко не только он. И вопрос, скорее всего, даже не в количестве консолей, а в дублировании их функций и отсутствии полноценной интеграции между ними.

Но, тем не менее, это важный недостаток, конечно. Тем более, что вендор давно обещал, в том числе мне лично, выпуск единой консоли КИБа.

Слышала, что она все-таки вышла, но объединила только Общий клиент и Репорт центр, почему-то.

Подводя итог, могу сказать, что для устранения всех минусов системы, о которых здесь шла речь, производителю надо глобально и кардинально переработать архитектуру своего решения. Процесс, конечно, проблематичный, и вендору не сильно хочется этим заниматься, понимаю. А зачем, если решение и так хорошо продается. Верно! Снова браво маркетологам и сейлам.

Вендор всегда акцентировал внимание на том, что был впереди всей планеты и первым выпускал в релиз тот функционал, о котором другие и не мечтали еще. «В Вилларибе уже празднуют, а в Виллабаджо еще моют посуду….», как в известной рекламе. Это отлично! Новые фишки, технологии, профайлинг, machine learning — это все круто, правда. Я, как истинный фанат систем DLP и зависимый во всех смыслах от них человек, только ЗА! Но архитектура, ребята… поиск длиною в жизнь… контентный анализ уже постфактум, когда система забила наши базы событиями…

Система-то, по-хорошему, и должна выполнять ровно 2 основных функции (а их уже можно поделить как угодно и на сколько угодно):

1. проанализировать активность нужного вам пользователя;
2. быстро и хорошо найти то, что вы ищете или помочь найти вам то, о чем вы еще не знаете.

От того, как будет реализован функционал, помогающих нам, простым смертным пользователям, очень часто зависит и эффективность, и качество нашей с вами работы. И чем меньше надо будет делать руками и посредством другого софта, тем лучше.

Данная статья отражает только мое мнение, при написании никаких животных не пострадало, для лиц старше 18 лет и т.п.

В следующей серии расскажу о линейке продуктов компании Infowatch.

До скорых встреч, мои дорогие DLP-зависимые! :-)

Автор: Анна Попова

Источник ^[1]