Как перестать «продавать страх» и получить средства на ИБ
По большому счету, требования по соблюдению мер информационной безопасности тормозят бизнес и приводят к дополнительным расходам. Однако потери от действий киберпреступников могут быть настолько серьезными, что компании вынуждены выделять на ИБ все больше и больше средств. Но все ли ИБ-расходы оправданы? Как найти оптимальный баланс между безопасностью и интересами бизнеса? Об этом говорили участники организованной CNews Conferences конференции «Информационная безопасность 2022».
Софья Худякова: Мы имели дело с большими данными до того, как это стало мейнстримом
Руководитель отдела аналитики центра продуктов Dozor компании «Ростелеком-Солар» Софья Худякова рассказала о проблемах роста нагрузки на ИБ-системы и о том, как DLP-система Solar Dozor работает с большими данными.
CNews: С чем связан рост нагрузки на ИБ-системы?
Софья Худякова: Прежде всего, это общий рост объема пользовательского трафика. По данным Минцифры РФ, за первые девять месяцев 2021 года интернет-трафик в России вырос почти на 30% в сравнении с аналогичным периодом предыдущего года. И тут несколько основных трендов. Во-первых, это укрупнение бизнеса, в том числе слияние и поглощение компаний, и как следствие, рост числа коммуникаций между пользователями. Во-вторых, повсеместный переход на облачные сервисы, в которых хранится огромное количество данных. Третий момент — массовый переход на удаленку, сокращение личных коммуникаций спровоцировали рост трафика в Zoom и различных мессенджерах. И последнее — бурное развитие технологий беспроводной связи: выросли скорости, а соответственно, и объем трафика.
CNews: Как это сказывается на требованиях к ИБ-системам, которые сегодня предъявляет заказчик?
Софья Худякова: Как продуктовый аналитик могу сказать, что цифры в технических заданиях постоянно растут. Если говорить о DLP-системе, то сегодня заказчики хотят от нас минимальную пропускную способность на уровне 10 Гбит/с. Минимальный объем интернет-трафика – 4,6 Тб в сутки, а почтового – 2,5 Тб. Система должна уметь работать с файловым хранилищем размером 800 Пб — это как несколько тысяч Библиотек имени Ленина. Если перевести в книги, можно покрыть ими территорию небольшого европейского государства.
CNews: Какие технологии помогают Solar Dozor соответствовать возросшим требованиям к производительности?
Софья Худякова: Solar Dozor был создан в 2000 году, и все начиналось с работы с почтовым архивом. То есть мы имели дело с большими данными до того, как это стало мейнстримом. Быстрый поиск у нас реализован на движке Elasticsearch, который сегодня применяют в большинстве компаний, работающих с big data. Модуль UBA, который использует искусственный интеллект для анализа поведения пользователей, работает на основе с СУБД Clickhouse. В отличие от многих коммерческих баз данных она позволяет ежедневно очень быстро обрабатывать десятки тысяч записей, чтобы строить поведенческие паттерны сотрудников. Кроме того, несколько лет назад мы реализовали модуль MultiDozor для работы в территориально распределенных организациях. Он позволяет централизованно управлять политиками DLP-системы и оперативно получать информацию об инцидентах, при этом храня и обрабатывая терабайты данных в филиалах, не создавая нагрузку на корпоративные каналы связи.
Еще важно снизить нагрузку на рабочие станции, чтобы недостаток ресурсов на них не сказывался на скорости обработки данных и отказоустойчивости. Для этого мы оптимизируем работу Endpoint Agent – регулярно рефакторим код. А еще, чтобы не нагружать рабочую станцию, научили Endpoint Agent использовать ресурсы оперативной памяти, зарезервированные приложением, с которого идет перехват.
CNews: Каких результатов это позволило достичь?
Софья Худякова: С крупными заказчиками у нас впечатляющие показатели: есть инсталляция более чем на 250 тысяч пользователей, где в сутки система обрабатывает 3Тб трафика, а архив прирастает ежедневно на 1 Тб. Есть заказчик, у которого глубина архива составляет 15 лет. У одного крупного заказчика Solar Dozor интегрирует и обрабатывает информацию из 6 внешних источников, один из них — корпоративный мессенджер, в котором наша система обрабатывает 95% сообщений в секунду. Что касается MultiDozor, у нас есть заказчик, у которого подключено к DLP-системе больше 10 дочерних предприятий. Интерфейс поддерживает одновременную работу более 20 офицеров безопасности из разных филиалов организации.