Я и утверждаю, что на каждом рабочем месте рядом с антивирусом должен стоять агент Спектра, либо подобный ему. Без этого корпоративная безопасность немыслима. Специалист по информационной безопасности, не представляющий что происходит за рабочими местами пользователей корпоративной сети (и не имеющий возможности это узнать), подобен слепому телохранителю.
Вокруг раскручиваемой некоторыми разработчиками и СМИ, обычно в связи с предложением определенных продуктов, темы защиты от инсайдеров очень много пустой болтовни и заблуждений, особенно относительно того, какие средства следует применять.
Мы же сначала писали о том как организовать эффективную систему предотвращения утечки конфиденциальной информации из коммерческой организации, затем конкретно о том как защищаться от инсайдера, но видимо нас не читают, либо читают невнимательно и продолжают искать ответы на те вопросы, на которые уже давно отвечено. Затем я комментировал для CNews о том, какие решения позволяют наиболее эффективно противостоять угрозе инсайда и почему для обнаружения инсайдеров мы предлагаем, прежде всего, продукты SpectorSoft, и, наконец, на конференции группы Лукойл уж совсем подробно говорил о том в чем основной смысл работы безопасника, причем, не только рассказывал, но и показывал.
Позиция моя была настолько убедительна, что никто даже и не пытался спорить. Правда в комментариях к моей статье в CNews кто-то отметил, что я недостаточное внимание уделил криптографическим механизмам защиты. Но как можно от инсайдеров защититься при помощи криптографии? Если только они сами от себя будут шифровать информацию и сразу забывать ключи (шутка).
Конечно, помимо вопросов, заданных невпопад, существует и очень много неотвеченных вопросов, однако эти вопросы встают на повестку дня когда с теоретическими основами уже разобрались и стали целенаправленно реализовывать комплексную систему защитных мер, а до этого, видимо, не доходит.
Пока же нам предлагают сравнивать продукты SpectorSoft со средствами управления конфигурациями и контроля целостности, со средствами анализа контента и регистрации событий, с Инфовотчами и Панцирями. В то время как продукты SpectorSoft корректно было бы сравнивать только с аналогичными средствами, т.е. теми, которые позволяют вести подробную запись и производить анализ всех действий пользователя за компьютером, включая скриншоты и тексты, набираемые на клавиатуре, печать и перемещение документов на внешние носители, любые виды трафика, активность программ и сетевая активность и т.п.
Основная ценность Спектра в том, что он позволяет всегда точно знать и даже воспроизводить, что происходит (происходило), а затем делать выводы и реализовывать защиту, исходя из этой достоверной информации. Да, инсайдер, располающий конфиденциальной информацией, всегда найдет способ ее слить. Однако любые преступления в информационной сфере в наши дни не обходятся без использования компьютера. Инсайдер все равно будет либо печатать, либо копировать, либо пересылать, либо просто открывать и просматривать документ на экране компьютера, делать запросы к базам данных, открывать программы и т.д., и все эти действия будут зафиксированы, а если потребуется то и подтверждены документально.
Поэтому я и утверждаю, что на каждом рабочем месте рядом с антивирусом должен стоять агент Спектра, либо подобный ему. Без этого корпоративная безопасность немыслима. Специалист по информационной безопасности, не представляющий что происходит за рабочими местами пользователей корпоративной сети (и не имеющий возможности это узнать), подобен слепому телохранителю.