КІБ «SearchInform» як робочий інструмент аналітика або «Бійтеся данайців, що дари приносять»

Як зрозуміло з заголовка, сьогодні мова піде про КІБ SearchInform. До цієї статті у мене народилося кілька варіантів назв і навіть епіграфів. Одним з перших був «Всі щасливі сім’ї щасливі однаково, кожна нещаслива сім’я нещаслива по-своєму» з «Анни Кареніної». Потім був «Не всі йогурти однаково корисні» зі старої реклами та лекції одного зі співробітників компанії SearchInform.

Чесно зізнаюся, що не читала і не читаю огляди та статті-порівняння DLP-систем в інтернеті від слова «зовсім». А навіщо? Коли впровадили систему і мені довелося з нею працювати, відразу стало не до оглядів. А зараз, вже маючи сформоване уявлення про DLP-системи і подивившись на багато з них власними очима, сенс в читанні таких матеріалів остаточно відпав. Я хочу поділитися з вами враженнями від використання кожного DLP-продукту, який потрапляв мені в руки, тому що заяви вендорів про наявність в їх рішеннях того чи іншого функціоналу — це одне, а те, як він фактично реалізований — зовсім інше.

Отже, приблизно на початку 2013 року я стала користувачем КІБ SearchInform і досі ним є. Останнім часом багато і часто мене просять розповісти про свій досвід використання цього рішення. Мав би вже сформуватися якийсь шаблон розповіді, але ні, не формується. Все виключно на емоційному рівні. Напевно тому, що погляд на DLP не може бути сухим і однобоким, а думка не може бути в усіх однаковою. І не повинна бути такою.

DLP від компанії SearchInform відрізняється від інших рішень тим, що його прийнято, або сильно хвалити, або сильно лаяти. Але байдужим вона мало кого залишає.

Що стосується «сильно хвалити», то тут можна тільки вигукнути «браво» маркетинговому відділу компанії і сейлам. Вміють люди працювати, нічого не скажеш.

Про «сильно лаяти»: тут скажемо спасибі людям, що формує в компанії роад-мапи і глобальну стратегію розвитку продукту.

Оскільки я не маркетолог і не сейл, хвалити я буду тільки за те, що дорого і цінно саме для мене як користувача продукту.

Простий і зрозумілий інтерфейс. Так, він простий. Мені, наприклад, не знадобилися півроку і команда коучів, щоб навчитися роботі з продуктом. Це плюс. Але тут все індивідуально і на любителя. Зрештою, можна звикнути працювати з будь-якою системою.

Консоль під назвою «Загальний клієнт». Не знаю чи вже не пам’ятаю, які завдання вона повинна вирішувати за задумом розробників. Для мене ця консоль — майже ідеальний інструмент для перегляду активності користувача: вибрав — завантажив — переглянув. Пошук за ключовими словами та інше через неї робити не рекомендую. Ну, хіба що вам треба знайти подію, що всі параметри якої відомі, і при цьому досить пошуку на дуже невелику глибину.

Читайте також  Коли NASA відмовиться від польотів на «Союзах»?

Консоль Alert Center. Робота з політиками: словники, регулярні вирази. Дуже непогано працює, і навіть є інтеграція з загальним клієнтом для переходу до події (особливо якщо їх багато знайшлося).

Відео робочого дня користувача. На сайті компанії написано так: «Записує відео того, що відбувається на екрані, і сконцентрована ця опція в модулі MonitorController. Це, що називається, річ! Ви запитаєте, а чому скріншоти гірше? Слайд-шоу, зліплене з таких скріншотів і запис всіх дій користувача, що відображаються на екрані свого комп’ютера, — дві великі різниці. У безлічі кейсів мають значення секунди, які відокремлюють один активний процес від іншого, а скріншоти – це уривки, якими частими їх не зроби. А якщо ви неточно виставите інтервал запису скріншотів, можете взагалі пропустити найцікавіше. Добре тому, хто працює з активністю 100 користувачів, і сумно тому, хто працює з 10 000 користувачів… Спробуйте-но персоніфікувати налаштування зняття скріншотів на всіх так, щоб нічого не втратити. Та й потреби можуть постійно змінюватися.

А ви знали, що відео менше місця в сховищі займали, ніж скріншоти? Ось, знайте.

Мінус тільки в тому, що записом відео розробники, мабуть, намагаються компенсувати відсутність онлайн-аналізу надходять у систему подій і дуже бідну аналітику. В компанії з великою кількістю користувачів важливо, щоб система сама підсвітила, де цікаво і де може бути аномалія. Замість цього ви повинні самостійно переглянути тонну відео. В матерії нового модуля (або навіть окремого продукту компанії SearchInform) Profile Center я тут не буду вникати — «книгу не читавши, нічого поганого сказати не можу». Якщо він дає онлайн-аналіз даних — відмінно. Якщо ні — мінус залишається мінусом.

Кейлоггер. «Перехоплює натиснення клавіш (логіни, паролі тощо), а також інформацію, скопійовану в буфер обміну». Ідеальний для розслідування кейсів, не типових для DLP. Наприклад, якщо дії користувачів в автоматизованих системах не логуються самими цими системами, а вам треба перевірити дані, які вводилися в автоматизовану систему з клавіатури або копіювалися як систему, так і з неї.

Вже не кажу про перехоплення паролів. Тільки не треба на цьому моменті робити круглі очі і бігти шукати в правовій базі Конституції. Все, що відбувається на інформаційних ресурсах, що належать компанії-роботодавця, належить роботодавцю, як би дивно це не звучало. Не хочете, щоб деталі вашого особистоїго життя потрапили в руки роботодавця або скомпрометувати пароль від особистої поштової скриньки — не робіть цього на ресурсах роботодавця. Все дуже просто.

Мінус технології в тому, що для компаній, чиї співробітники працюють з великими базами даних і регулярно копіюють їх між різними програмами, пошук через кейлоггер буде дуже проблематичним. Справа в тому, що буфер обміну фактично не відділений від клавіатурного введення, хоча виробник презентує зворотне. Як говориться, кнопка є, але не натискається.

Читайте також  Як не втратити відвідуваність при переїзді на новий домен: кейс «Все10»

На цьому похвали я закінчую. На мій превеликий жаль, тому що протягом багатьох років щиро хотіла, щоб продукт розвивався не тільки по одному шляху, а виробник дивився по сторонам.

Пошуки інформації на великому обсязі. Практично нереально. Ситуації, коли пошук триває годинами і навіть днями (!), були регулярними. Давайте, якщо хочете, будемо довго дискутувати, чому так. Але з цією проблемою ми постійно приходили до вендора, а раз не знайшлося за роки рішення, значить, його поки немає. Не хочу тут міркувати про технології пошуку, але про Elastic Search не знає тільки сліпий і глухий. І SearchInform.

Моніторинг дій користувачів. Тут я маю на увазі те, що в термінології служб безпеки називається «люди на особливому контролі». Формування груп ризику, аналіз контактів і зв’язків співробітників, підсвічування аномалій у режимі онлайн знову ж таки. Всі такі штуки ми робили вручну, просто вивантажуючи інформацію та подаючи її у звіті, а не користуючись аналітичними викладками, які система вже сама згенерувала. Давайте знову ж подискутуємо і згадаємо, що є консоль Report Center, і там, судячи з назви, можна знайти багато звітів. Звіти є. Але не про нашу честь, як говориться. Питання в технології обробки інформації: події можуть не проіндексуватися до моменту формування звіту, а значить, про повноту і коректність даних мови бути не може. І знову наголошую – це не онлайн-обробка. А бази у Report Center свої, і синхронізувати дані він може дуууже довго, і весь цей час ви просто не будете бачити в консолі.

Робота з системою великої кількості аналітиків. Або навіть не великої, а будь-якої кількості аналітиків. Знайшов ти подію-інцидент, а як її передати і кому? Вивантажити і направити поштою, мабуть. Або словами сказати колезі: подивись, мовляв, ось у того-то. Є сповіщення на пошту про спрацювання Алерт центру. Звичайно! Але гіперпосилання в таких повідомленнях вам будуть доступні тільки в тому випадку, якщо ви підключаєтеся до сервера обробки даних. А чим більше аналітиків таким чином безпосередньо підключаються, тим повільніше система працює. Це ми проходили і прийшли до того, що подрубались в систему по rdp. Але в такому разі гіперпосилань у вас не буде.

А якби й були — може бути, це false positive? І тільки проаналізувавши подію в системі, можна зробити висновок, чи є воно інцидентом чи ні, призначити його на кого-небудь або просто класифікувати як інцидент. Простіше кажучи, кейс-менеджмент. Чула, що є щось типу Інцидент центру. Відмінно, давайте порівняємо. Всі події там можна обробляти і на якому етапі? Інтегровані дані сутності з треми основними або вони окремо і зі своїми базами – тоді знову смуток. І навіть цей Інцидент центр вендор чомусь перестав розвивати і хоч якось технічно супроводжувати.

Читайте також  CloudFlare реалізувала підтримку Encrypted SNI

Стабільність агентів. Не стабільні. Добре ставляться, але погано тримаються. Зникають з комп’ютерів за якихось космічних причин і доводиться витрачати до 40% робочого часу, щоб повернути їх на місце. Або певні протоколи «відвалюються». Чому? Хто ж знає! Вендор не знає. І такі проблеми були не те що не рідкісними, а регулярними.

Ну і про безліч консолей. Тут в захист SearchInform слід сказати, що страждає цим далеко не тільки він. І питання, швидше за все, навіть не в кількості консолей, а дублювання їх функцій та відсутності повноцінної інтеграції між ними.

Але, тим не менш, це важливий недолік, звичайно. Тим більше, що вендор давно обіцяв, в тому числі мені особисто, випуск єдиної консолі.

Чула, що вона все-таки вийшла, але об’єднала тільки Загальний клієнт і Репорт центр, чомусь.

Підводячи підсумок, можу сказати, що для усунення всіх недоліків системи, про які тут йшла мова, виробникові треба глобально і кардинально переробити архітектуру свого рішення. Процес, звичайно, проблематичний, і вендору не сильно хочеться цим займатися, розумію. А навіщо, якщо і так добре продається. Вірно! Знову браво маркетологам і сейлам.

Вендор завжди акцентував увагу на тому, що був попереду всієї планети і першим випускав в реліз той функціонал, про який і не мріяли ще. «У Вілларібі вже святкують, а в Віллабаджо ще миють посуд….», як у відомій рекламі. Це чудово! Нові фішки, технології, профайлинг, machine learning — це все круто, правда. Я, як справжній фанат систем DLP і залежниа у всіх сенсах від них людина, тільки ЗА! Але архітектура, хлопці… пошук довжиною в життя… контентний аналіз вже постфактум, коли система забила наші бази подіями…

Система-то, по-хорошому, і повинна виконувати рівно 2 основні функції (а їх вже можна поділити як завгодно і скільки завгодно):

  1. проаналізувати активність потрібного вам користувача;
  2. швидко і добре знайти те, що ви шукаєте або допомогти вам знайти те, про що ви ще не знаєте.

Від того, як буде реалізований функціонал, що допомагає нам, простим смертним користувачам, від якої дуже часто залежить і ефективність, і якість нашої з вами роботи. І чим менше треба буде робити руками і за допомогою іншого софта, тим краще.

Дана стаття відображає тільки мою думку, при написанні ніяких тварин не постраждало, для осіб старше 18 років і т. п.

You may also like...

Залишити відповідь

Ваша e-mail адреса не оприлюднюватиметься. Обов’язкові поля позначені *