Спе­ци­а­ли­сты служб ИБ ис­поль­зу­ют раз­лич­ные ана­ли­ти­че­ские ме­то­ды и сред­ства, чтобы за­щи­тить не толь­ко ин­фор­ма­цию, но и сам бизнес

Служ­бы ИБ круп­ных ор­га­ни­за­ций вни­ма­тель­но ана­ли­зи­ру­ют ин­фор­ма­цию из раз­лич­ных ис­точ­ни­ков. Их по­треб­ность в тех или иных ме­то­дах и сред­ствах ана­ли­за силь­но за­ви­сит от осо­бен­но­стей и при­о­ри­те­тов биз­не­са. Ана­ли­ти­че­ские воз­мож­но­сти неред­ко ис­поль­зу­ют­ся как для обес­пе­че­ния соб­ствен­но ин­фор­ма­ци­он­ной без­опас­но­сти, так и без­опас­но­сти биз­не­са в целом. Со­от­вет­ствен­но, изу­ча­ют­ся дан­ные не толь­ко из средств си­стем­но­го ад­ми­ни­стри­ро­ва­ния и ИБ, но и ин­фор­ма­ция из клю­че­вых бизнес-приложений.

В фи­нан­со­вой кор­по­ра­ции «Урал­сиб», по сло­вам Ан­дрея Ча­хе­е­ва, ру­ко­во­ди­те­ля ее де­пар­та­мен­та ИБ, наи­бо­лее важно ана­ли­зи­ро­вать ин­фор­ма­цию, спо­соб­ную по­мочь вы­яв­лять и предот­вра­щать фи­нан­со­вые мо­шен­ни­че­ства. Кроме того, со­труд­ни­ки де­пар­та­мен­та ИБ счи­та­ют необ­хо­ди­мым ана­ли­зи­ро­вать ин­фор­ма­цию, сви­де­тель­ству­ю­щую о про­бле­мах с обес­пе­че­ни­ем непре­рыв­но­сти биз­не­са. «Урал­сиб» — одна из круп­ней­ших рос­сий­ских фи­нан­со­вых групп, ра­бо­та­ю­щая на роз­нич­ном и кор­по­ра­тив­ном рын­ках и предо­став­ля­ю­щая ши­ро­кий спектр фи­нан­со­вых услуг, по­это­му борь­ба с мо­шен­ни­че­ски­ми сдел­ка­ми и обес­пе­че­ние непре­рыв­но­сти биз­не­са имеют жиз­нен­но важ­ное значение.

В ком­па­нии «Ев­ро­хим», по сло­вам Вла­ди­ми­ра Чи­би­со­ва, ее CIO (он лично ку­ри­ру­ет об­ласть ИБ), пер­во­оче­ред­ное вни­ма­ние уде­ля­ет­ся борь­бе с на­ру­ши­те­ля­ми внут­рен­них про­це­дур и ре­гла­мен­тов — таким об­ра­зом круп­ней­ший в Рос­сии про­из­во­ди­тель ми­не­раль­ных удоб­ре­ний стре­мит­ся ми­ни­ми­зи­ро­вать риски, свя­зан­ные с вли­я­ни­ем че­ло­ве­че­ско­го фак­то­ра. «Некор­рект­ные опе­ра­ции, в первую оче­редь при за­клю­че­нии сде­лок с контр­аген­та­ми, могут при­не­сти ком­па­нии за­мет­ный ущерб, по­это­му необ­хо­ди­мо их предот­вра­щать. Ана­ли­зи­руя раз­лич­ную ин­фор­ма­цию, мы можем от­сле­жи­вать по­доб­ные дей­ствия и при необ­хо­ди­мо­сти ис­сле­до­вать их при­чи­ны, — по­яс­ня­ет Чи­би­сов. — Таким об­ра­зом, обес­пе­чи­ва­ет­ся и эко­но­ми­че­ская без­опас­ность ком­па­нии, и информационная».

«Ис­точ­ни­ки по­лу­че­ния ин­фор­ма­ции для ана­ли­за со­труд­ни­ка­ми де­пар­та­мен­та ИБ самые раз­ные: это и ана­лиз «сла­бых сиг­на­лов» от пер­со­на­ла, и дан­ные из бан­ков­ских си­стем (си­стем­ные жур­на­лы, за­яв­ки Service Desk и т. д.), и ин­фор­ма­ция от наших парт­не­ров-контр­аген­тов, — рас­ска­зы­ва­ет Ча­хе­ев. — Сте­пень до­ве­рия, ко­неч­но, за­ви­сит от ис­точ­ни­ка дан­ных. Если ин­фор­ма­ция по­лу­че­на из ав­то­ма­ти­зи­ро­ван­ных си­стем, в ко­то­рых ис­клю­че­на воз­мож­ность вне­се­ния из­ме­не­ний в жур­на­лы пер­со­на­лом (речь идет о таких жур­на­лах, как Microsoft Active Directory), то можно счи­тать, что дан­ная ин­фор­ма­ция об­ла­да­ет ис­клю­чи­тель­ной до­сто­вер­но­стью. В про­тив­ном слу­чае про­во­дит­ся до­пол­ни­тель­ное рас­сле­до­ва­ние и со­би­ра­ет­ся до­пол­ни­тель­ная ин­фор­ма­ция, пусть даже кос­вен­ная, сви­де­тель­ству­ю­щая о достоверности».

Осо­бое вни­ма­ние де­пар­та­мент ИБ ФК «Урал­сиб» уде­ля­ет ана­ли­зу ин­фор­ма­ции с целью вы­яв­ле­ния фак­тов внеш­не­го мо­шен­ни­че­ства в си­сте­мах ди­стан­ци­он­но­го бан­ков­ско­го об­слу­жи­ва­ния. «По­жа­луй, в на­сто­я­щее время это при­о­ри­тет­ная за­да­ча для де­пар­та­мен­та ин­фор­ма­ци­он­ной без­опас­но­сти, — от­ме­ча­ет Ча­хе­ев. — Ана­ли­зи­ру­ют­ся огром­ные мас­си­вы дан­ных, об­ра­ба­ты­ва­ет­ся ин­фор­ма­ция о сот­нях тысяч тран­зак­ций, по каж­дой тран­зак­ции про­во­дит­ся ана­лиз свыше сотни па­ра­мет­ров: дан­ные о гео­гра­фи­че­ском рас­по­ло­же­нии кли­ен­та, время пла­те­жей, фи­нан­со­вая сущ­ность опе­ра­ции и пр. Все это необ­хо­ди­мо осу­ществ­лять в он­лайн-ре­жи­ме, по­сколь­ку банк не дол­жен до­пус­кать су­ще­ствен­ных за­дер­жек при об­ра­бот­ке кли­ент­ских транзакций».

Спе­ци­а­ли­сты служ­бы ИБ ком­па­нии «Ев­ро­хим» также очень боль­шое вни­ма­ние уде­ля­ют ана­ли­зу ин­фор­ма­ции из биз­нес-си­стем. «Очень много ин­фор­ма­ции, от­но­ся­щей­ся к сфере ИБ, мы берем из ERP-си­сте­мы, — рас­ска­зы­ва­ет Чи­би­сов. — Ана­ли­зи­ру­ем дан­ные из трех си­стем ИБ: пер­вая по­мо­га­ет осу­ществ­лять кон­троль за дей­стви­я­ми со­труд­ни­ков, вто­рая си­сте­ма ори­ен­ти­ро­ва­на на кон­троль хо­зяй­ствен­ных опе­ра­ций, тре­тья — фи­нан­со­вых. В ос­но­ве каж­дой из си­стем — на­коп­ле­ние раз­но­об­раз­ной ста­ти­сти­ки, вы­яв­ле­ние за­ко­но­мер­но­стей и поиск от­кло­не­ний от сред­не­ста­ти­сти­че­ско­го по­ве­де­ния от­сле­жи­ва­е­мых объектов».

Ра­зу­ме­ет­ся, от­сле­жи­ва­ют­ся и ана­ли­зи­ру­ют­ся дан­ные уров­ня си­стем­но­го ад­ми­ни­стри­ро­ва­ния. Си­стем­ные ад­ми­ни­стра­то­ры «Ев­ро­хи­ма» ре­гу­ляр­но го­то­вят от­че­ты обо всех за­мет­ных со­бы­ти­ях, ко­то­рые нашли свое от­ра­же­ние в си­стем­ных жур­на­лах, и пы­та­ют­ся по­нять, что имен­но и по­че­му про­изо­шло. «Они стали ин­тер­пре­ти­ро­вать си­ту­а­ции, тогда как рань­ше огра­ни­чи­ва­лись мо­ни­то­рин­гом со­бы­тий, не при­да­вая зна­че­ния тому, что за ними может скры­вать­ся», — по­яс­ня­ет Чибисов.

Ме­то­ды и инструменты

Ана­ли­ти­ки де­пар­та­мен­та ИБ из ФК «Урал­сиб» ис­поль­зу­ют в ос­нов­ном соб­ствен­ные ме­то­ди­ки и ал­го­рит­мы. «Мо­шен­ни­ки по­сто­ян­но со­вер­шен­ству­ют­ся — об­нов­ля­ют схемы, ме­то­ды, про­це­ду­ры, по­это­му раз­ра­бо­тан­ные ал­го­рит­мы еже­ме­сяч­но кор­рек­ти­ру­ют­ся, ме­ня­ют­ся, — рас­ска­зы­ва­ет Ча­хе­ев. — Ти­по­вые ал­го­рит­мы, встро­ен­ные в си­сте­мы мо­ни­то­рин­га и кор­ре­ля­ции со­бы­тий, не поз­во­ля­ют вы­явить зна­чи­мых ин­ци­ден­тов, но они необ­хо­ди­мы для ком­плекс­ных ауди­тов, когда нужно про­ве­рить ра­бо­ту ти­по­вых про­цес­сов или вы­пол­нить ба­зо­вые тре­бо­ва­ния внут­рен­ней по­ли­ти­ки ИБ».

В ка­че­стве ин­стру­мен­тов для ана­ли­за в ФК «Урал­сиб» ис­поль­зу­ют­ся спе­ци­а­ли­зи­ро­ван­ные си­сте­мы мо­ни­то­рин­га и кор­ре­ля­ции со­бы­тий, при­чем для каж­дой из ис­сле­ду­е­мых об­ла­стей при­ме­ня­ет­ся соб­ствен­ное сред­ство (на­при­мер, для ана­ли­за се­те­вых со­бы­тий при­ме­ня­ет­ся одно ре­ше­ние, а для ана­ли­за со­бы­тий из при­клад­ных си­стем — дру­гое). «Мы много ду­ма­ли, воз­мож­но ли свя­зать две си­сте­мы мо­ни­то­рин­га. Прак­ти­ка по­ка­за­ла, что внут­ри ор­га­ни­за­ции мы пока не встре­ча­лись с ком­плекс­ны­ми ин­ци­ден­та­ми, когда тре­бу­ет­ся скор­ре­ли­ро­вать се­те­вые со­бы­тия с со­бы­ти­я­ми в при­клад­ных или тран­зак­ци­он­ных си­сте­мах», — до­бав­ля­ет Ча­хе­ев. По его мне­нию, ана­ли­ти­че­ских ин­стру­мен­тов, ко­то­рые сей­час ис­поль­зу­ют­ся, вполне хва­та­ет для ре­ше­ния се­го­дняш­них задач.

Ме­то­ди­ки ана­ли­за, при­ме­ня­е­мые спе­ци­а­ли­ста­ми ИБ в «Ев­ро­хи­ме», на­це­ле­ны в первую оче­редь на вы­яв­ле­ние в ERP-си­сте­ме дей­ствий, ко­то­рые можно было бы рас­це­ни­вать как некор­рект­ные с точки зре­ния биз­нес-мо­де­ли ком­па­нии. «Мы про­ана­ли­зи­ро­ва­ли ре­гла­мен­ты биз­нес-про­це­дур и опе­ра­ций со­труд­ни­ков ком­па­нии, опре­де­ли­ли пути воз­мож­но­го от­кло­не­ния от уста­нов­лен­ных пра­вил, после чего на­учи­лись от­сле­жи­вать по­то­ки со­бы­тий и до­ку­мен­тов, ана­ли­зи­ро­вать их, чтобы вы­явить симп­то­мы воз­мож­но­го ис­поль­зо­ва­ния некор­рект­ных схем ра­бо­ты, — рас­ска­зы­ва­ет Чи­би­сов. — На­кап­ли­вая симп­то­мы, мы можем сфор­му­ли­ро­вать свои ги­по­те­зы от­но­си­тель­но их при­чин и затем це­ле­на­прав­лен­но вести их проверку».

Для ана­ли­за ин­фор­ма­ции в «Ев­ро­хи­ме» при­ме­ня­ет­ся соб­ствен­ная раз­ра­бот­ка — так на­зы­ва­е­мый пор­тал без­опас­но­сти. По сло­вам Чи­би­со­ва, он со­зда­вал­ся на про­тя­же­нии несколь­ких лет. «Это ре­ше­ние ори­ен­ти­ро­ва­но имен­но на про­бле­мы ИБ ком­мер­че­ской струк­ту­ры, — уточ­ня­ет он. — Мы по­ня­ли, что имен­но хотят кон­тро­ли­ро­вать наши ру­ко­во­ди­те­ли, и обес­пе­чи­ли по­лу­че­ние ин­фор­ма­ции об этих объ­ек­тах и опе­ра­ци­ях из раз­лич­ных ин­фор­ма­ци­он­ных си­стем с целью даль­ней­ше­го ана­ли­за, при­чем не столь­ко для рас­сле­до­ва­ния некор­рект­ных биз­нес-опе­ра­ций, сколь­ко для их предот­вра­ще­ния на ран­них стадиях».

От­но­си­тель­но до­пол­ни­тель­ных воз­­можностей Чи­би­сов вы­ска­зы­ва­ет­ся сдер­жан­но: «Можно стро­ить очень слож­ную ана­ли­ти­ку, в том числе с при­ме­не­ни­ем се­ман­ти­че­ско­го ана­ли­за, но есть риск, что она не будет вос­тре­бо­ва­на. В ре­аль­но­сти при­ме­ня­ют­ся не на­столь­ко за­мыс­ло­ва­тые под­хо­ды». Как по­ка­зы­ва­ют его на­блю­де­ния, поль­зо­ва­те­ли ана­ли­ти­че­ских си­стем, при­ме­ня­ю­щих­ся в сфере без­опас­но­сти, в зна­чи­тель­ной сте­пе­ни опи­ра­ют­ся на свою ин­ту­и­цию, что неред­ко вы­зы­ва­ет со­жа­ле­ние, по­сколь­ку они могли бы до­бить­ся го­раз­до боль­ших успе­хов, если бы при­ме­ня­ли дру­гие средства.

Впро­чем, уве­рен Чи­би­сов, хо­ро­шей ин­фор­ма­ци­он­ной ана­ли­ти­ки для обес­пе­че­ния без­опас­но­сти биз­не­са на рынке про­сто нет: «Есть весь­ма сла­бые по­пыт­ки адап­ти­ро­вать си­сте­мы, ко­то­рые стоят на во­ору­же­нии пра­во­охра­ни­тель­ных ор­га­нов». Од­на­ко они не на­хо­дят ши­ро­ко­го при­ме­не­ния в биз­нес-сре­де, по­сколь­ку ана­ли­ти­ки, ра­бо­та­ю­щие в от­де­лах без­опас­но­сти и ИБ ком­мер­че­ских ор­га­ни­за­ций, на­це­ле­ны на вы­яв­ле­ние су­ще­ствен­но иных яв­ле­ний, неже­ли тех, что ищут ана­ли­ти­ки пра­во­охра­ни­тель­ных органов.

Есть еще одна про­бле­ма. Как от­ме­ча­ет Ча­хе­ев, ко­ли­че­ство биз­нес-си­стем и объ­е­мы дан­ных в них с каж­дым годом рас­тут. И спе­ци­а­ли­сты ИБ осо­зна­ют, что вско­ре столк­нут­ся с про­бле­мой Боль­ших Дан­ных. «Фак­ти­че­ски мы ищем игол­ки в по­сто­ян­но уве­ли­чи­ва­ю­щем­ся стоге сена», — до­бав­ля­ет Чахеев.

Для ре­ше­ния новых задач ИБ на­вер­ня­ка по­тре­бу­ют­ся прин­ци­пи­аль­но иные ин­стру­мен­ты. Ве­ро­ят­нее всего, новые идеи сна­ча­ла по­явят­ся в нед­рах круп­ных ла­бо­ра­то­рий и биз­нес-стар­та­пов. Как спра­вед­ли­во от­ме­ча­ет Ча­хе­ев, уже се­год­ня нужно вни­ма­тель­но сле­дить за тех­но­ло­ги­че­ски­ми но­вин­ка­ми, чтобы вы­брать из них ин­стру­мен­ты, ко­то­рые по­тре­бу­ют­ся для ре­ше­ния задач зав­траш­не­го дня.