Привет, Хабр!

Я @zlatomesto, работаю ведущим аналитиком в Angara Security. Еще в свою бытность работы аналитиком внедрения DLP-системы в одном из вендоров, неоднократно сталкивалась с тем, что внедрение DLP-системы служило хорошим обоснованием для открытия ставки в отделе информационной безопасности, так как с появлением нового программного комплекса значительно увеличивается нагрузка на сотрудников. И да, прежде всего нужен инженер, который будет заниматься поддержкой работоспособности такого сложного решения, установкой агентов. Но обеспечит ли инженер эффективность от внедрения продукта?

Все любят кейсы

Нет ничего лучше красочного примера, поэтому давайте я сразу перейду к сути и расскажу ситуацию в одном из моих бывших заказчиков.

Приехала я как-то на площадку для обучения нового инженера, нанятого заказчиком для работы с новой DLP-системой. Обучить требовалась азам аналитики с дальнейшим погружением в новомодное UBA. В трафике обнаружили копирование коммерческой тайны на USB. Далее стандартная процедура: докладная — приказ — заключение. Читаю заключение, а там просто описание, что сотрудница скопировала, признала ошибку, обязуется больше так не делать, ибо воспитательная беседа с ней проведена. И всё. Нет, не так. И ВСЁ! Но на мою удачу произошел великий воспитательный процесс молодого бойца. Так как инцидент касался коммерческой тайны, оценку заключения поручили Директору по экономической безопасности, человеку недюжинных аналитических способностей и кладезю огромного разнообразного опыта по безопасности. Ждала подопечного с этой встречи с нетерпением. В итоге — перечеркнутое заключение и вопросы, которые необходимо дорасследовать. Для меня вопросы были более, чем очевидные — собственно, этого я и ожидала от расследования. Для молодого бойца – вызывающие недоумение, ведь факт инцидента есть, признание получено, мероприятия проведены.

И вот на примере этих вопросов оказалась очень ярко видна разница между инженером и аналитиком. Аналитик задался вопросами:

  • А данный сотрудник должен иметь доступ к этой коммерческой тайне или нет? Если нет, то из какого источника получена информация?

  • А хранится ли она в данном источнике легитимно?

  • А все ли в порядке с правами доступа к источнику и с разграничениями этих прав?

Конечно, вопросов было намного больше, но суть была ясна. Так мы и провели весь день в DLP-системе. Пока разбирали инцидент повторно, насобирали материала еще на 2 сопутствующих инцидента, выявленных во время этого расследования. Это была лучшая аналитическая практика для молодого инженера, совершенно неожиданная для него, но очень поучительная.

Так к чему это я. Я всегда придерживалась мнения, что при установке столь серьезных программных комплексов, как DLP-системы, нужны два сотрудника для работы с таким емким программным обеспечением. Инженер должен обеспечивать техническую работоспособность продукта. Но пользователь должен быть прежде всего аналитиком, чтобы максимально эффективно применять все те аналитические «плюшки», которые сейчас развивают многие вендоры, так как в нашей стране сейчас это актуально и трендово. И технический бэкграунд здесь совершенно не имеет значения.

Все любят таблицы

Если резюмировать все вышесказанное, то разницу между обязанностями аналитика и инженера я бы отразила следующим образом.

Аналитик

Инженер

-

Инсталляция и обновление продукта

-

Решение технических проблем

-

Мониторинг работоспособности системы

Выявление признаков нарушения для последующей настройки политик

-

Проведение расследования с формированием и проверкой версий причин и следствий инцидента

-

Профилирование сотрудников организации для профилактики инцидентов

-

 

Зоны ответственности инженера и аналитика могут пересекаться, например, часть DLP-продуктов позволяют устанавливать агентов из интерфейса. Но фактически это два разных человека, два разных склада ума и два разных опыта.

Все любят выводы

Так что, достаточно ли инженера для работы с DLP-системой? Скорее, это то, что минимально необходимо. Однако максимальной эффективности с такими ресурсами не достигнуть. Подобных ситуаций, когда инженер и DLP-система оставались один на один, я встречала много. Но ни разу не смогла ответить «Да!» на вопрос об эффективности от внедрения. И я даже не шовинист от мира аналитики, хотя и весьма субъективна.

Комментарии (3)


  1. labyrinth
    16.08.2022 15:42

    Зоны ответственности инженера и аналитика могут пересекаться

    Скажу больше, люди должны хотя бы в общих чертах знать, что делает их коллега. Например, создание снимков экранов по событию (запуск программы, посещение сайта и т.п.). В первую очередь знать о таком функционале должен аналитик (как он что-либо найдёт, если снимки экрана бубут делаться "тупо" по расписанию раз в 5 минут). Но так как это функционал для агента на конечной точке, то он прилетит в конфиге. А конфиги настраивают инженеры.


  1. AlexeyK77
    16.08.2022 22:00

    Полностью согласен. Даже лучше, когда аналитик не связан с ИТ, а скорее человек из бизнеса, с полей. Из инженера кстати будет тяжело сделать хорошего аналитика, т.к. это просто разные интересы и род деятельности.

    Добавлю, что инженер в системе еще может выполнять сложные настройки, требующей ИТ-навыков, например написание регулярок, тюнинг логики сложных правил.


  1. Protos
    17.08.2022 08:15

    Попробую с вами не согласиться: что если бы вы давали инженеру сразу готовый чеклист с 30ю вопросами, на которые нужно ответить при выявлении сомнительной передачи конфы. Вот и все и даже BPNM диаграмму можно дать. Тогда простой инженер будет тупо по ним идти и сам себе задавать вопросы, что написаны в чек листах. А в конце еще и шаблон заключения, в котором нужно вписать ответы.

    К чему я, лично я так и переходил в аналитики с техническим бэкграундом. Только я эти вопросы себе задавал сам, плюс всегда предварительно с кем-то согласовывал документы и у каждого возникали вопросы, которые в последствии вырастали в чек-листы.

    Вы клиенту чек листы, базовые методики расследования каждого потенциального способа утечки и шаблоны документов, они вам плюс в карму и рекомендации другим клиентам. Так же лучше?

    Ну вот нет у компании денег на еще одного спеце, а если и есть, то не выбить их. Проще обучить, да и в маленьких компаниях куда там бесконечно внедрять агенты и поддерживать их работоспособность.