Службы ИБ крупных организаций внимательно анализируют информацию из различных источников. Их потребность в тех или иных методах и средствах анализа сильно зависит от особенностей и приоритетов бизнеса. Аналитические возможности нередко используются как для обеспечения собственно информационной безопасности, так и безопасности бизнеса в целом. Соответственно, изучаются данные не только из средств системного администрирования и ИБ, но и информация из ключевых бизнес-приложений.

В финансовой корпорации «Уралсиб», по словам Андрея Чахеева, руководителя ее департамента ИБ, наиболее важно анализировать информацию, способную помочь выявлять и предотвращать финансовые мошенничества. Кроме того, сотрудники департамента ИБ считают необходимым анализировать информацию, свидетельствующую о проблемах с обеспечением непрерывности бизнеса. «Уралсиб» — одна из крупнейших российских финансовых групп, работающая на розничном и корпоративном рынках и предоставляющая широкий спектр финансовых услуг, поэтому борьба с мошенническими сделками и обеспечение непрерывности бизнеса имеют жизненно важное значение.

В компании «Еврохим», по словам Владимира Чибисова, ее CIO (он лично курирует область ИБ), первоочередное внимание уделяется борьбе с нарушителями внутренних процедур и регламентов — таким образом крупнейший в России производитель минеральных удобрений стремится минимизировать риски, связанные с влиянием человеческого фактора. «Некорректные операции, в первую очередь при заключении сделок с контрагентами, могут принести компании заметный ущерб, поэтому необходимо их предотвращать. Анализируя различную информацию, мы можем отслеживать подобные действия и при необходимости исследовать их причины, — поясняет Чибисов. — Таким образом, обеспечивается и экономическая безопасность компании, и информационная».

«Источники получения информации для анализа сотрудниками департамента ИБ самые разные: это и анализ «слабых сигналов» от персонала, и данные из банковских систем (системные журналы, заявки Service Desk и т. д.), и информация от наших партнеров-контрагентов, — рассказывает Чахеев. — Степень доверия, конечно, зависит от источника данных. Если информация получена из автоматизированных систем, в которых исключена возможность внесения изменений в журналы персоналом (речь идет о таких журналах, как Microsoft Active Directory), то можно считать, что данная информация обладает исключительной достоверностью. В противном случае проводится дополнительное расследование и собирается дополнительная информация, пусть даже косвенная, свидетельствующая о достоверности».

Особое внимание департамент ИБ ФК «Уралсиб» уделяет анализу информации с целью выявления фактов внешнего мошенничества в системах дистанционного банковского обслуживания. «Пожалуй, в настоящее время это приоритетная задача для департамента информационной безопасности, — отмечает Чахеев. — Анализируются огромные массивы данных, обрабатывается информация о сотнях тысяч транзакций, по каждой транзакции проводится анализ свыше сотни параметров: данные о географическом расположении клиента, время платежей, финансовая сущность операции и пр. Все это необходимо осуществлять в онлайн-режиме, поскольку банк не должен допускать существенных задержек при обработке клиентских транзакций».

Специалисты службы ИБ компании «Еврохим» также очень большое внимание уделяют анализу информации из бизнес-систем. «Очень много информации, относящейся к сфере ИБ, мы берем из ERP-системы, — рассказывает Чибисов. — Анализируем данные из трех систем ИБ: первая помогает осуществлять контроль за действиями сотрудников, вторая система ориентирована на контроль хозяйственных операций, третья — финансовых. В основе каждой из систем — накопление разнообразной статистики, выявление закономерностей и поиск отклонений от среднестатистического поведения отслеживаемых объектов».

Разумеется, отслеживаются и анализируются данные уровня системного администрирования. Системные администраторы «Еврохима» регулярно готовят отчеты обо всех заметных событиях, которые нашли свое отражение в системных журналах, и пытаются понять, что именно и почему произошло. «Они стали интерпретировать ситуации, тогда как раньше ограничивались мониторингом событий, не придавая значения тому, что за ними может скрываться», — поясняет Чибисов.

Методы и инструменты

Аналитики департамента ИБ из ФК «Уралсиб» используют в основном собственные методики и алгоритмы. «Мошенники постоянно совершенствуются — обновляют схемы, методы, процедуры, поэтому разработанные алгоритмы ежемесячно корректируются, меняются, — рассказывает Чахеев. — Типовые алгоритмы, встроенные в системы мониторинга и корреляции событий, не позволяют выявить значимых инцидентов, но они необходимы для комплексных аудитов, когда нужно проверить работу типовых процессов или выполнить базовые требования внутренней политики ИБ».

В качестве инструментов для анализа в ФК «Уралсиб» используются специализированные системы мониторинга и корреляции событий, причем для каждой из исследуемых областей применяется собственное средство (например, для анализа сетевых событий применяется одно решение, а для анализа событий из прикладных систем — другое). «Мы много думали, возможно ли связать две системы мониторинга. Практика показала, что внутри организации мы пока не встречались с комплексными инцидентами, когда требуется скоррелировать сетевые события с событиями в прикладных или транзакционных системах», — добавляет Чахеев. По его мнению, аналитических инструментов, которые сейчас используются, вполне хватает для решения сегодняшних задач.

Методики анализа, применяемые специалистами ИБ в «Еврохиме», нацелены в первую очередь на выявление в ERP-системе действий, которые можно было бы расценивать как некорректные с точки зрения бизнес-модели компании. «Мы проанализировали регламенты бизнес-процедур и операций сотрудников компании, определили пути возможного отклонения от установленных правил, после чего научились отслеживать потоки событий и документов, анализировать их, чтобы выявить симптомы возможного использования некорректных схем работы, — рассказывает Чибисов. — Накапливая симптомы, мы можем сформулировать свои гипотезы относительно их причин и затем целенаправленно вести их проверку».

Для анализа информации в «Еврохиме» применяется собственная разработка — так называемый портал безопасности. По словам Чибисова, он создавался на протяжении нескольких лет. «Это решение ориентировано именно на проблемы ИБ коммерческой структуры, — уточняет он. — Мы поняли, что именно хотят контролировать наши руководители, и обеспечили получение информации об этих объектах и операциях из различных информационных систем с целью дальнейшего анализа, причем не столько для расследования некорректных бизнес-операций, сколько для их предотвращения на ранних стадиях».

Относительно дополнительных воз­­можностей Чибисов высказывается сдержанно: «Можно строить очень сложную аналитику, в том числе с применением семантического анализа, но есть риск, что она не будет востребована. В реальности применяются не настолько замысловатые подходы». Как показывают его наблюдения, пользователи аналитических систем, применяющихся в сфере безопасности, в значительной степени опираются на свою интуицию, что нередко вызывает сожаление, поскольку они могли бы добиться гораздо больших успехов, если бы применяли другие средства.

Впрочем, уверен Чибисов, хорошей информационной аналитики для обеспечения безопасности бизнеса на рынке просто нет: «Есть весьма слабые попытки адаптировать системы, которые стоят на вооружении правоохранительных органов». Однако они не находят широкого применения в бизнес-среде, поскольку аналитики, работающие в отделах безопасности и ИБ коммерческих организаций, нацелены на выявление существенно иных явлений, нежели тех, что ищут аналитики правоохранительных органов.

Есть еще одна проблема. Как отмечает Чахеев, количество бизнес-систем и объемы данных в них с каждым годом растут. И специалисты ИБ осознают, что вскоре столкнутся с проблемой Больших Данных. «Фактически мы ищем иголки в постоянно увеличивающемся стоге сена», — добавляет Чахеев.

Для решения новых задач ИБ наверняка потребуются принципиально иные инструменты. Вероятнее всего, новые идеи сначала появятся в недрах крупных лабораторий и бизнес-стартапов. Как справедливо отмечает Чахеев, уже сегодня нужно внимательно следить за технологическими новинками, чтобы выбрать из них инструменты, которые потребуются для решения задач завтрашнего дня.