Привет, Хабр!
Я @zlatomesto, работаю ведущим аналитиком в Angara Security. Еще в свою бытность работы аналитиком внедрения DLP-системы в одном из вендоров, неоднократно сталкивалась с тем, что внедрение DLP-системы служило хорошим обоснованием для открытия ставки в отделе информационной безопасности, так как с появлением нового программного комплекса значительно увеличивается нагрузка на сотрудников. И да, прежде всего нужен инженер, который будет заниматься поддержкой работоспособности такого сложного решения, установкой агентов. Но обеспечит ли инженер эффективность от внедрения продукта?
Все любят кейсы
Нет ничего лучше красочного примера, поэтому давайте я сразу перейду к сути и расскажу ситуацию в одном из моих бывших заказчиков.
Приехала я как-то на площадку для обучения нового инженера, нанятого заказчиком для работы с новой DLP-системой. Обучить требовалась азам аналитики с дальнейшим погружением в новомодное UBA. В трафике обнаружили копирование коммерческой тайны на USB. Далее стандартная процедура: докладная — приказ — заключение. Читаю заключение, а там просто описание, что сотрудница скопировала, признала ошибку, обязуется больше так не делать, ибо воспитательная беседа с ней проведена. И всё. Нет, не так. И ВСЁ! Но на мою удачу произошел великий воспитательный процесс молодого бойца. Так как инцидент касался коммерческой тайны, оценку заключения поручили Директору по экономической безопасности, человеку недюжинных аналитических способностей и кладезю огромного разнообразного опыта по безопасности. Ждала подопечного с этой встречи с нетерпением. В итоге — перечеркнутое заключение и вопросы, которые необходимо дорасследовать. Для меня вопросы были более, чем очевидные — собственно, этого я и ожидала от расследования. Для молодого бойца – вызывающие недоумение, ведь факт инцидента есть, признание получено, мероприятия проведены.
И вот на примере этих вопросов оказалась очень ярко видна разница между инженером и аналитиком. Аналитик задался вопросами:
А данный сотрудник должен иметь доступ к этой коммерческой тайне или нет? Если нет, то из какого источника получена информация?
А хранится ли она в данном источнике легитимно?
А все ли в порядке с правами доступа к источнику и с разграничениями этих прав?
Конечно, вопросов было намного больше, но суть была ясна. Так мы и провели весь день в DLP-системе. Пока разбирали инцидент повторно, насобирали материала еще на 2 сопутствующих инцидента, выявленных во время этого расследования. Это была лучшая аналитическая практика для молодого инженера, совершенно неожиданная для него, но очень поучительная.
Так к чему это я. Я всегда придерживалась мнения, что при установке столь серьезных программных комплексов, как DLP-системы, нужны два сотрудника для работы с таким емким программным обеспечением. Инженер должен обеспечивать техническую работоспособность продукта. Но пользователь должен быть прежде всего аналитиком, чтобы максимально эффективно применять все те аналитические «плюшки», которые сейчас развивают многие вендоры, так как в нашей стране сейчас это актуально и трендово. И технический бэкграунд здесь совершенно не имеет значения.
Все любят таблицы
Если резюмировать все вышесказанное, то разницу между обязанностями аналитика и инженера я бы отразила следующим образом.
Аналитик | Инженер |
- | Инсталляция и обновление продукта |
- | Решение технических проблем |
- | Мониторинг работоспособности системы |
Выявление признаков нарушения для последующей настройки политик | - |
Проведение расследования с формированием и проверкой версий причин и следствий инцидента | - |
Профилирование сотрудников организации для профилактики инцидентов | - |
Зоны ответственности инженера и аналитика могут пересекаться, например, часть DLP-продуктов позволяют устанавливать агентов из интерфейса. Но фактически это два разных человека, два разных склада ума и два разных опыта.
Все любят выводы
Так что, достаточно ли инженера для работы с DLP-системой? Скорее, это то, что минимально необходимо. Однако максимальной эффективности с такими ресурсами не достигнуть. Подобных ситуаций, когда инженер и DLP-система оставались один на один, я встречала много. Но ни разу не смогла ответить «Да!» на вопрос об эффективности от внедрения. И я даже не шовинист от мира аналитики, хотя и весьма субъективна.
