Сбор, хранение и анализ больших массивов данных в DLP-системе SecureTower
План статьи
Сегодня мы можем наблюдать среди компаний значительное увеличение спроса на сбор, анализ и длительное хранение больших объемов данных, которые генерируют пользователи и устройства.
Рост заинтересованности легко объяснить: информация — это «новая нефть». Крупные корпорации, вроде Coca-Cola, Netflix и Procter & Gamble, собирают и обрабатывают огромные массивы данных, чтобы предсказывать потребительский спрос и создавать прогностические модели для новых продуктов или услуг — и делают это достаточно эффективно.
В контексте обеспечения информационной безопасности сбор и анализ больших объемов данных являются неотъемлемыми составляющими процесса. Анализ позволяет выявлять закономерности, которые могут указывать на подозрительную активность и неочевидные на первый взгляд взаимосвязи, прогнозировать и предотвращать угрозы, выявлять уязвимости внутри информационной системы организации и так далее.
Очевидно, что данные, необходимые для такого анализа, будут чрезвычайно объемны, разнообразны и поступают слишком быстро, чтобы получилось обрабатывать их вручную. Для автоматизации процесса необходимо использовать специальные инструменты, такие как DLP-системы.
Далее мы рассмотрим сбор, анализ и хранение больших объемов данных на примере DLP-системы Falcongaze SecureTower.
DLP SecureTower и сбор больших данных в организациях
Сразу после установки SecureTower выполняется дистанционная установка агентов на рабочие станции интересующих сотрудников — и система начинает перехватывать данные практически по всем каналам, в том числе:
- веб-активность, посещенные сайты, время, проведенное на них;
- email-переписки по всем протоколам и их зашифрованным аналогам;
- переписки в мессенджерах, социальных сетях;
- время запуска и выключения компьютера, время простоя и активности;
- используемые в течение рабочего дня приложения;
- файлы, отправляемые на печать на локальных и сетевых принтерах и проч.
Вся перехваченная с компьютеров информация передается на Прокси-сервер агентов, а затем — на Центральный сервер. Помимо перехвата данных, получаемых с агентов, система может работать централизованно: перехватывать сетевой трафик, данные почтового и прокси-сервера.
Центральный сервер отвечает за хранение и обработку данных, а также за настройку поисковых словарей, банков контрольных сумм и цифровых отпечатков. Для хранения данных сервер позволяет подключать следующие популярные СУБД: Microsoft SQL Server, Oracle, PostgreSQL, MySQL, SQLite.
Какой объем данных собирает DLP-система и как долго хранит?
SecureTower — это решение, оптимизированное для обработки больших объемов информации. Это особенно важно для крупных организаций.
В системе SecureTower предусмотрены гибкие правила распределения данных, которые позволяют Центральному серверу осуществлять изолированное хранение и параллельную обработку перехваченных данных.
Все данные сохраняются на серверах клиента. Это значит, что никто не имеет к ним доступа, кроме правообладателя.
Как рассчитать объем хранилища для перехваченных данных?
В среднем, организация с двумястами сотрудников за один месяц генерирует около 300 ГБ данных, куда входят «сырые» данные и индексы для поиска. Это среднее значение, которое зависит от сферы деятельности организации и от требований безопасности.
Рассчитать приблизительный объем необходимого дискового пространства можно по формуле 1,5 ГБ данных на 1 пользователя в месяц.
Например: 1,5 ГБ × 200 сотрудников × 6 месяцев = 1800 ГБ. Ориентировочно такой объем хранилища потребуется для данных, полученных от двухсот пользователей за полгода работы.
| Параметр | Значение | Комментарий |
|---|---|---|
| Норма на 1 пользователя | ≈ 1,5 ГБ/мес | Включает «сырые» данные и индексы |
| Пример расчёта | 1,5 × 200 × 6 = 1800 ГБ | 200 сотрудников, глубина хранения 6 месяцев |
| Факторы роста | +30–100% | Медиа-контент, высокая интенсивность переписки, расширенные политики |
Как долго система хранит данные?
Срок хранения данных определяется не только объемом хранилища, но и вычислительной мощностью, необходимой для поиска по всему архиву.
В системе предусмотрен инструмент для автоматизированного управления объемом перехваченных данных и глубиной хранения. При достижении лимита система автоматически удалит старые данные и освободит место для новых.
- Где управлять глубиной хранения?
В настройках Центрального сервера задаются лимиты и политика автоочистки; поддерживается раздельная глубина для типов данных.
- Можно ли хранить раздельно «сырые» данные и индексы?
Да, для оптимизации стоимости и быстродействия возможна раздельная конфигурация хранилищ и разные SLA хранения.
Чем могут быть полезны большие данные?
Сегодня наши клиенты все чаще обращаются с запросом на длительное хранение больших объемов данных с возможностью поиска за интересующий период. Это открывает следующие возможности.
Возможность проводить ретроспективный анализ
Благодаря накопленным данным можно не только уточнить и скорректировать существующие политики безопасности, но и разработать новые. ИБ-специалисты набираются опыта и лучше узнают возможности системы — таким образом в компании совершенствуются подходы к обеспечению безопасности.
Обратная ситуация, когда правила настроены один раз и не изменяются с момента установки системы, может указывать на формализованный, неэффективный подход — «для галочки» — и в конечном итоге привести к утечке информации.
В SecureTower можно применить новое или изменить существующее правило безопасности, чтобы осуществить поиск по данным, которые система перехватила с момента установки. Для этого нужно активировать всего один переключатель.
Модули Поиск и Комбинированный поиск позволяют искать конкретную информацию об инцидентах, пользователях, событиях во всем массиве данных. Для ускорения поиска рекомендуется ограничивать условия запроса диапазоном времени, областью и группой пользователей.
Факты нарушений, инцидентов и подозрительной активности сотрудников можно собирать в модуле Расследования и использовать как доказательную базу.
Оптимизация бизнес-процессов
Информацию, которую собирает и обрабатывает система, можно использовать для анализа бизнес-процессов и их оптимизации. SecureTower визуализирует данные в отчётах и диаграммах за любой период, помогает отслеживать соблюдение трудового распорядка, нагрузку, вовлечённость, используемое ПО и т. д.
Данные за 12–24 месяца позволяют выявлять закономерности, перераспределять нагрузку, находить узкие места коммуникаций, определять продуктивных и непродуктивных специалистов.
Соблюдение требований регуляторов
Некоторые законодательные акты обязывают хранить данные заданный срок (в РФ: 374-ФЗ, 375-ФЗ, 152-ФЗ). В ЕС принцип подотчётности GDPR требует доказуемости соблюдения принципов обработки данных.
Управление рисками
Сбор и анализ больших данных выявляет неочевидные взаимосвязи, указывающие на возможные угрозы ИБ. Это позволяет действовать превентивно: проводить беседы, привлекать к ответственности, планировать закупки ПО/оборудования для защиты активов.
Вызовы и перспективы использования больших данных в ИБ
Чем больше объём, тем сложнее защита. Большие данные ценны и для компаний, и для злоумышленников — владельцам информации нужны дополнительные меры сохранности.
В крупных организациях защита от внешних угроз обычно развита лучше, чем от внутренних. Сотрудники с доступом к конфиденциальной информации могут попытаться её продать, подставив компанию под санкции и штрафы.
Из последних случаев: 53-летний житель Калининграда создал нелегальный агрегатор персональных данных и продавал доступ к сведениям о гражданах и юрлицах, похищая данные с 2013 года, используя связи в правоохранительных органах.
Различные примеры продажи данных внутренними сотрудниками организаций мы приводили в этой статье.
Дефицит навыков в сфере ИБ. Наблюдается острый дефицит специалистов: число открытых ИБ-вакансий растёт, а число резюме сокращается. Это повышает зарплатные ожидания и бьёт по бюджету небольших компаний. DLP автоматизирует многие процессы ИБ и помогает работать с меньшим штатом.
Мощность оборудования. Сбор, хранение и обработка больших данных — дорого. После «закона Яровой» крупные игроки оценивали расходы в миллиарды. Требования к оборудованию для SecureTower описаны здесь; для больших объёмов потребуется более мощная конфигурация. Важно соблюдать принцип экономической целесообразности: стоимость защиты не должна превышать стоимость охраняемой информации.
Бесконтрольное накопление чувствительной информации. Сбор данных должен иметь цель и не нарушать законодательство. При перехвате данных учитывайте, что сотрудники могут использовать личные аккаунты. Обычно внедряется допсоглашение к трудовому договору о контроле активности. Система должна позволять удалять персональные данные, не относящиеся к инцидентам.
| Риск | Контрмера |
|---|---|
| Инсайдерские утечки | Политики по каналам, поведенческий анализ, расследования, сегрегация прав |
| Переполнение хранилища | Политики ретенции, раздельные хранилища для «сырых» данных и индексов, компрессия |
| Рост стоимости владения | Тиринг хранения, приоритизация типов данных, оптимизация индексации |
| Несоответствие требованиям | Реестр обработок, отчётность, журналирование, регламент удаления ПДн |
DLP-система Falcongaze SecureTower доступна в бесплатном тестовом режиме на протяжении 30-ти дней. Исследуйте возможности применения программного комплекса для защиты вашего бизнеса.
В заключение
Формирование больших объемов данных — неизбежный результат деятельности крупных и средних организаций. С одной стороны это риск, но с другой — анализ таких данных позволяет эффективнее настраивать бизнес-процессы, совершенствовать работу компании, предсказывать угрозы безопасности и предотвращать их.
При этом чрезвычайно важно обеспечить надежную защиту данных: утечки и компрометация могут привести к серьёзным материальным и репутационным рискам, санкциям со стороны ИБ-регуляторов. Поэтому важно защищать компанию не только от угроз снаружи, но и от угроз изнутри.
.jpg)
