BI та інформаційна безпека – для керівника, спеціаліста та зовнішнього користувача

Dell SecureWorks dashboards BI for IT Security
Dell SecureWorks BI dashboards for IT Security

Для покращання ділової-аналітики (Business Analytic) за допомогою систем підтримки прийняття рішень (Decision Support System) на передових підприємствах активно використовують засоби Business Intelligence (BI). При цьому, BI-засоби використовують також для підтримки інформаційної безпеки у різних застосуваннях, у тому числі для розмежування доступу різних категорій користувачів до первинних даних та до визначених форм агрегатованої інформації, ін.

Це підтверджують запити в Інтернеті, для прикладу dashboard designe BI for IT Security – цей запит повертає значну кількість спеціальних графіків (dashboards), які є кінцевою візуалізацією засобів Business Intelligence. На рисунку показаний приклад Dell SecureWorks BI dashboards.






 

У світі є значна кількість постачальників BI-платформ. Провідні постачальники BI-платформ визначаються консалтинговими компаніями IDC, Forrester, Gartner у платних звітах і відображаються в узагальненій формі за допомогою спеціальних діаграм, для прикладу: Forrester Wave™: Enterprise Business Intelligence Platforms та Gartner Magic Quadrant for Bl & Analytics Platforms.

Компанії IDC, Forrester, Gartner оновлюють свої звіти, як правило, щороку. На зображеннях у статті показані доступні в Інтернеті діаграми Forrester та Gartner – за 2015 рік.

Далі розглянуті деякі питання інформаційної безпеки в контексті збору, зберігання, аналізу та публікації даних.

Gartner Magic Quadrant for Bl & Analytics Platforms 2015

Gartner Magic Quadrant for Bl & Analytics Platforms 2015

BI може застосовуватися для надання розмежованого доступу до інформації користувачам різних категорій, для прикладу – керівникам, спеціалістам, зовнішнім користувачам.  Такий варіант реалізації web-системи розглянутий у російській публікації Business Intelligence и информационная безопасность (автор – Некрасов) і далі викладається точка зору автора на функції цієї системи.

РОБОЧЕ МІСЦЕ КЕРІВНИКА

Керівник повинен отримувати інформацію у стислому, агрегованому вигляді, в гранично ілюстративній формі – так, щоб з мінімальними часовими витратами помітити важливі обставини, що вимагають реагування і не витрачати час на несуттєву інформацію.

Сучасний спосіб подачі моніторингової інформації керівнику – це інтерактивна панель управління. Вона інтегрує на одному екрані дані на теми, що входять до сфери відповідальності керівника – у вигляді графіків, карт, яскраво ілюстрованих таблиць, спеціальних індикаторів у стилі панелі з індикаторами в автомобілі, ін. Дані гранично узагальнені, але є можливість заглибитися в деталі, скажімо, якщо цифри горять червоним.

Часткові діаграми (dashboards) у панелі управління керівника налаштовуються у візуальному інтерфейсі і дозволяють без програмування створювати набір інтегрованих екранів, що складаються з елементів загальної корпоративної бібліотеки звітів.

Особливість сучасного керівника – мобільність. Тому він повинен мати доступ до даних через Інтернет і використовувати для роботи будь-який з мобільних пристроїв – телефон, планшетний комп’ютер, ноутбук, а також мати можливість працювати і в офлайн, наприклад у літаках. Для управління доступом використовується спеціальний web-сервіс, який дає можливість користувачеві отримувати проект, пакет звітів і працювати з ним онлайн. При необхідності користувач може отримати локальну копію у вигляді набору «мікрокубів» – сильно стиснутих звітів для автономної роботи.

У BI-системі розмежовуються права доступу, шифрується трафік. Додатково може застосовуватися захищене з’єднання, яке реалізується спеціальним програмно-апаратним комплексом, що включає апаратний модуль довіреного завантаження і програмним забезпеченням, що реалізує захищене VPN-з’єднання, шифрування даних при передачі, а також електронний підпис, що гарантує, що дані не були підмінені в процесі передачі.

ІНСТРУМЕНТИ ФАХІВЦІВ

Можна розрізнити кілька категорій фахівців, що працюють з BI:

  • адміністратор;
  • автор;
  • експерт;
  • звичайний користувач.

Адміністратор – це ІТ-спеціаліст, що налаштовує доступ до джерел даних, словник даних, запити. Практично неможливо забезпечити технічну захист даних від нього. Організаційно можна реалізувати такий сценарій, коли розділяються функції налаштування системи та розмежування прав. Налаштування виконується на тестових даних, а розмежуванням прав займається інший адміністратор, без доступу до даних.

Автор – це експерт, який створює аналітичні звіти для себе і (або) для інших користувачів. Доступ учасника може бути обмежений до певної області даних, а також до певних функцій системи. Автор звітів працює в онлайн з вихідним сховищем даних або корпоративними БД.

Експерт – кваліфікований користувач, що виконує незаплановані запити, заздалегідь не визначені маршрути серфінгу по даним.

Звичайний користувач – співробітник, що переглядає кінцевий набір звітів на регулярній основі з цілком певною метою. Для нього готуються звіти, що містять вузький набір даних, а його інтерфейс спрощений.

Одним з організаційних заходів захисту даних є ізоляція звітів від вихідної бази даних. Експерти і звичайні користувачі працюють із звітами, дані яких зберігаються в періодично оновлюваних «мікрокубах» і не мають доступу до вихідної БД.

Індикаторна панель Contour Business Intelligence

Індикаторна панель Contour Business Intelligence (РФ)

 ПУБЛІКАЦІЇ У ВІДКРИТОМУ ДОСТУПІ

BI може використовуватися для публікації на сайті організації річних звітів, статистики, курсів валют, вартості цінних паперів і так далі –  для широкого кола користувачів .

Завдання поєднання потужних аналітичних можливостей BI з одночасним виключенням доступу користувачів до інформаційної системи організації та до її баз даних – вирішується публікацією даних у вигляді заздалегідь розрахованих і збережених «мікрокубів».

Російська  Contour BI, чия Індикаторна панель Business Intelligence показана на зображенні у статті, є мультиплатформеною системою ім   може бути встановлена безпосередньо на сервері інтернет-провайдера.

ЗБІР ДАНИХ

Розглянемо дві ситуації – автоматизований збір даних з інформаційних систем у центральне сховище даних і ручне введення звітних даних.

Автоматизований збір даних

Постачальник даних передає інформацію в web-сервіс одержувача даних. На його комп’ютер встановлюється програмно-апаратний комплекс, що забезпечує захищене VPN-з’єднання, електронний підпис, шифрування даних.

На сервері одержувача кожне повідомлення перевіряється на наявність вірусів, неприпустимих вкладень, коректності формату даних і електронного підпису.

Ручний збір даних

У ряді випадків потрібно використовувати ручне введення даних для передачі їх в центральне сховище даних. Для захищеного збору даних може бути запропоновано спеціальний програмно-апаратний пристрій, який виглядає, як USB-накопичувач. У цьому пристрої в області «тільки для читання» містяться операційна система і програмне забезпечення для введення даних – інтерпретатор форм, програми шифрування і електронного підпису, програма захищеного з’єднання, сертифікат підпису.

Комп’ютер завантажується з пристрою, тому воно фізично не може бути заражений вірусом або шпигунською програмою. В область читання-запису поміщаються XML-опис форм і необхідні класифікатори та довідники. Описи нових форм надходять в пристрій з центрального сховища і записуються в його пам’ять. Вводяться дані підписуються електронним підписом, шифруються і передаються через захищене з’єднання в web-сервер сховища даних.

Така технологія гарантує надійну аутентифікацію і захист даних від спотворень і крадіжки.

 

Висновки.

1. Реалізація систем підтримки прийняття рішень на основі Business Intelligence є обов`язкови елементом для всіх сфер діяльності сучасних підприємств, у тому числі для сфери інформаційної безпеки.

2. При реалізації проекту Business Intelligence особливо ретельно необхідно підходити до вибору постачальника платформи Business Intelligence. Адже для прикладу, у разі порушення безпеки встановленого програмного забезпечення для Business Intelligence на web-сервері , може стати доступною для несанкціонуваного аналізу чи пошкодження вся інформація підприємства на сервері. Особливо велика інформаційна небезпека виникає, коли керівники та фахівці підприємства, у тому числі з ІТ-безпеки не знають про аналітичні hi-tech можливості засобів Business Intelligence (OLAP, Data Mining, Text Mining, Web-Mining, Social Media Web Mining). 

 

Джерела:

  1. Запит в Інтернеті: dashboard designe for IT Security.
  2. Сайт: Dell SecureWorks BI dashboards for IT Security.
  3. Стаття: Forrester Wave™: Enterprise Business Intelligence Platforms, 2015.
  4. Стаття: Gartner Magic Quadrant for Bl & Analytics Platforms.
  5. Стаття: IDC MarketScape: Worldwide Business Analytics Services 2015 Vendor Assessment.
  6. Конференція: IDC IT Security Roadshow 2016 in Kyiv.
  7. Стаття: Business Intelligence и информационная безопасность.
  8. Оголощення: IDC IT Security Roadshow 2016 in Kyiv.
  9. Сайт: Business Intelligence + KMS: концепція, технологія і засоби підтримки рішень не тривіальними знаннями з первинних даних(2011 р).
  10. Сторінка сайту: Business Intelligence + KMS: для керівників.
  11. Сторінка сайту: Business Intelligence + KMS: для аналітиків.
  12. Сторінка сайту:  Business Intelligence + KMS:  для ІТ-працівників.







BI: на варті інформаційної безпеки підприємства

Багато керівників підрозділів інформаційної безпеки (ІБ) сьогодні знаходяться у тому положенні, що їх діяльність сприймається як допоміжний процес, який є “чорним ящиком”, що неначебто не приносить прибутку, але в той же час вимагає постійних витрат і ресурсів, виділення яких продовжує відбуватися за залишковим принципом. При цьому у підрозділів ІБ часто відсутні механізми, що дозволяють регулярно демонструвати бізнесу внесок інформаційної безпеки і віддачу від вкладених у неї коштів.

Якщо поглянути на ситуацію з інформаційною безпекою – що ми маємо?






Багато різнорідних систем безпеки різного функціоналу (захист від витоків інформації, контроль дій користувачів, аналіз вразливостей ін.). Наскрізний аналіз всієї різнорідної і розпорошеної інформації у сферах інформаційної безпеки істотно ускладнений, тому що вони надають інформацію у різних форматах: бази даних, звіти, журнали подій. А швидкість збору інформації та реакції про ситуацію з інформаційною безпекою, наприклад, при виникненні інциденту – у багатьох випадках є дуже критичною для діяльності компанії в цілому
Проте, аналіз показує, що завдання аналітики в інформаційній безпеці, по суті, мало чим відрізняється від завдань бізнес-аналітики (Business Analytics) у цілому. Адже тут також багато джерел даних, також потрібні різнорідні звіти, що зв’язують між собою дані з цих джерел, також необхідна можливість формування нових звітів і підключення нових джерел даних.

Виходячи з вказаного, технологією, яка могла б лягти в основу системи забезпечення інформаційної безпеки доцільно обрати Business Intelligence (BI), що використовується для підтримки бізнес-аналітики (Business Analytics) та  системи підтримки прийняття рішень, що побудовані на основі  Business Intelligence – Decision Support System Business Intelligence (DSS BI).

Business Intelligence (часто пишуть BI) — це термін-метафора, що не має однозначного тлумачення і дослівного перекладу серед професіоналів. Дефініція Business Intelligence визначає синергетичний комплекс концепцій, технологій і засобів (OLAP, Data Mining, iн.) автоматизації інформаційної аналітичної обробки даних. Використання Business Intelligence забезпечує швидке добування з даних потенційно корисних знань і їх візуалізацію для прийняття більш вигідних рішень, які недоступні без цього аналітичним робочим групам будь-якого розміру, інтелектуальної потужності і досвіду. У теперішній час визначають вже три покоління Business Intelligence – BI 1.0, BI 2.0, BI 3.0. Відповідно до цього, визначені три покоління  DSS BI: DSS BI 1.0, DSS BI 2.0DSS BI 3.0 (Cloud Computing).
Можливо, найкраще зрозуміти співвідношення засобів Business Intelligence та Business Analytics дозволяє Business Analytics Taxonomy (у останній час позначають Business Analytics Software Market Taxonomy –  таксономія (класифікація) програмного забезпечення для бізнес аналітики), яка щорічно  оновлюється. Цю класифікацію запропонувала одна з найбільш авторитетних і загальновизнаних у світі консалтингових компаній IDC. Повні звіти  IDC платні, тому нижче подано доступний в інтернеті варіант  IDC Business Analytics Software Market Taxonomy 2014 року, а також варіант IDC Business Analytics Taxonomy 2013 року, який перекладений на українську мову, з додатковою нумерацією.

IDC`s Business Analytics Software Market Taxonomy 2014 (forbes,com)
IDC`s Business Analytics Software Market Taxonomy 2014 (forbes.com)

IDC Business Analytics Taxonomy 2013 (український переклад, джерело:
IDC Business Analytics Taxonomy 2013 (український переклад, джерело: “Нотатки про Business Intelligence+”, http://dss-bi.com.ua/WP/ )

З показаних  варіантів IDC Business Analytics Taxonomy видно, що засоби Business Intelligence є аналітичною основою  Business Analytics.

У Business Analytics Taxonomy, її підсистема Performance Management and Analytic Applications (програмні додатки для аналітики й управління ефективністю) зв`язана з: інструментами Business Intelligence на основі OLAP і Data Mining з Dashboards, Scorecard, Visual Mining;  Spatial information analytics tools (аналітичні інструменти для просторової інформації на основі Geographic information system (GIS); Content analytics tools (інструменти контент-аналізу на основі Text Minig). Всі перераховані підсистеми Business Analytics Taxonomy надбудовані над Data Warehouse (сховище даних), де зберігаються первинні дані.

Для системи інформаційної безпеки можливо створити ще одну підсистему у Performance Management and Analytic Applications та інтегрувати її із засобами BI – Business Intelligence, GIS, Text Mining, ін. Систему  програмних засобів для інформаційної безпеки можна будувати як модифіковану систему підтримки прийняття рішень на основі Business Intelligence (DSS BI 2.0), яка передбачає  реалізацію концепції Business Intelligence+KMS.

Особливості побудови DSS BI 2.0 описані у статті Узагальнена архітектура системи підтримки прийняття рішень на основі Business Intelligence у розширенному тлумаченні.

Особливості концепції Business Intelligence+KMS (Knowledge Management System) та її часткових складових описані на головній сторінці сайту  Business Intelligence+KMS та у системі зв`язаних наукових публікацій. Зазначимо, що Business Intelligence+KMS відображає підходи, які реалізовані на практиці у всіх сучасних аналітичних системах, проте під різними маркетинговими назвами. Для прикладу, подібно побудована основа веб-системи Google Analytics; у необхідному форматі для застосування засобів Business Intelligence без операцій ETL (Extract, Transform, Load) почали видавати лог файл у панелі управління хостингом C-panel, ін.

Щоб обрати платформу для Business Intelligence, необхідно мати на увазі, що у світі є багато відомих вендорів, які постачають на ринок BI-платформи. Провідні постачальники   BI-платформ відображаються у звітах провідних консалтингових компаній IDC, Gartner, Forrester. Нижче показані діаграми Gartner Magic Quadrant for Business Intelligence and Analytics Platforms за 2013-2015 р.р., де визначені загальновідомі у світі вендори платформ Business Intelligence.

IDC Business Analytics Taxonomy 2013-2015
IDC Business Analytics Taxonomy 2013-2015

Зміст  Gartner Magic Quadrant for Business Intelligence and Analytics Platforms на українській мові розкритий у вказаній вище статті: “УЗАГАЛЬНЕНА АРХІТЕКТУРА СИСТЕМИ ПІДТРИМКИ ПРИЙНЯТТЯ РІШЕНЬ
НА ОСНОВІ BUSINESS INTELLIGENCE У РОЗШИРЕНОМУ ТЛУМАЧЕННІ”.

З поданих вище діаграм Gartner Magic Quadrant for Business Intelligence and Analytics Platforms видно, що до лідерів серед вендорів BI-платформ на протязі багатьох років відносяться такі: Microsoft, Tableau Software, Oracle, IBM, SAS,SAP, інші.

У даній публікації у якості BI-платформи для ІБ взятий приклад зі статті Нестандартное применение BI: на страже информационной безопасности. У цій статті для системи ІБ обрана BI-платформа  BI QlikView . Як видно з поданих вище діаграм Gartner Magic Quadrant for Business Intelligence and Analytics Platforms, компанія Qlik під модифікованими назвами тривалий час входить до лідерів  Magic Quadrant for Business Intelligence.  Компанію Qlik визначають одним з лідерів також консалтингові компанії IDC, Forrester та інші.  Доцільно зазначити, що з навчальною метою можливо використовувати непогану тріал-версію BI QlikView.

Отже, система візуалізації та моніторингу ефективності інформаційної безпеки BI QlikView має включати три нижчевказані невід’ємних елементи.

  1. Чітко вибудувана ієрархія показників ефективності. В її основі лежить взаємозв’язок між технічними та бізнес-орієнтованими показниками. Якщо правильно підходити до вибудовування ієрархії, верхні позиції займуть ті з них, які найбільш цікаві і зрозумілі бізнесу.
  2. Автоматизація оцінки метрик безпеки та збору відповідної аналітики. У даному випадку необхідно знайти такий інструмент, який дозволяє оцінювати значення метрик.
  3. Налаштовані звіти. Звіти дозволяють швидко надавати результати вимірювань й аналітики всім зацікавленим сторонам, навіть якщо таких сторін виявиться багато і кожна з них потребуватиме різних зрізів даних.

Впровадження продуманої системи візуалізації та моніторингу ефективності у сфері інформаційної безпеки дозволяє контролювати її стан у режимі on-line, наочно демонструвати діяльність щодо забезпечення інфобезпеки у динаміці, розслідувати інциденти безпеки та  своєчасно виявляти передумови для їх виникнення. Крім того, така BI-система дає можливість відстежувати ефективність впроваджуваних заходів щодо забезпечення безпеки і оцінювати зміну рівня захищеності організації, а також планувати розвиток системи забезпечення ІБ в короткостроковій і довгостроковій перспективі. Іншими словами, система моніторингу ІБ на основі технології Business Intelligence може допомогти підвищити зрілість системи безпеки, вивести значимість підрозділів ІБ на належний рівень і забезпечити якісний діалог з бізнесом.

Оскільки використання такої гнучкої і швидкої BI-системи, як QlikView, дає широкий простір для візуалізації та моніторингу ефективності ІБ, то далі розглянуті приклади кількох завдань замовників у сфері ІБ, які можна вирішити допомогою впровадження QlikView.

«Доповісти обстановку!»

Як вже говорилося вище, діяльність з ІБ далеко не завжди буває прозорою для керівництва. Це тягне за собою проблеми як для топ-менеджменту (непрозорість, нерозуміння, куди йдуть гроші і який ефект дають ці витрати), так і для керівників підрозділів ІБ (складності в демонстрації віддачі від діяльності ІБ, ефекту від вкладених коштів)

У зв’язку з цим актуальною для багатьох замовників є ієрархія показників результативності та ефективності ІБ (від бізнес-метрик до технічних показників). Використання метрик ефективності дозволяє кількісно і якісно оцінити очікувані результати від впровадження заходів із захисту інформації з погляду підвищення рівня безпеки та ефективності витрачання коштів. У той же час їх застосування дає можливість визначити ступінь відповідності впроваджуваних і вже впроваджених заходів очікуванням компанії, а також «вузькі місця», аномалії у функціонуванні заходів із захисту інформації, їх причини та способи усунення

Регулярне відстеження метрик дозволяє виявляти реальні та потенційні недоліки в забезпеченні ІБ, приймати своєчасні та обґрунтовані заходи щодо його поліпшення та усунення причин виниклих відхилень. Крім того, з’являється можливість відстежити, як вносяться зміни відбиваються на діяльності щодо забезпечення ІБ, і продемонструвати, яким чином вона вносить вклад у досягнення цілей бізнесу.

«А що це ви тут робите?»

Система візуалізації та моніторингу ІБ дозволяє робити найрізноманітніші зрізи даних за секунди. Наприклад, у разі виникнення інцидентів ІБ часто потрібно швидко зібрати інформацію з різних, не пов’язаних між собою джерел і зіставити їх.

Стався витік даних? Можна швидко подивитися, хто, коли і куди відсилав поштою файли, які містили критичну для компанії інформацію, а, може, зберіг її на флешку, з ким ці люди спілкувалися останнім часом поштою, на які сайти ходили в день витоку (або за день, за тиждень до цього). Крім цього, часто роботодавці стурбовані ефективністю роботи своїх співробітників: скільки часу вони проводять в інтернеті, на скільки спізнюються на роботу і т.п. Все це також можна аналізувати в рамках системи візуалізації та моніторингу інформаційної безпеки.

Прикладів застосування системи може бути маса. І єдине обмеження з отримання даних – це наявність їх джерел, з яких можна взяти інформацію, що цікавить. Все інше, як кажуть, – справа техніки.

«Що відбувається в далеких землях?»

Часта проблема в великих територіально розподілених компаніях – це контроль інформаційної безпеки на віддалених майданчиках. Як правило, її вирішують за допомогою регулярної звітності від філій, які направляються в головний офіс. Зрозуміло, що іноді повнота і достовірність цієї інформації можуть викликати питання.

Підключивши підсистеми безпеки філій до системи візуалізації та моніторингу ефективності ІБ, можна практично в режимі реального часу отримувати інформацію про стан інформаційної безпеки в них. При цьому доступ до даних про всі філіях матимуть тільки співробітники головного офісу, а фахівці на місцях будуть бачити дані тільки по своїй філії.

Додаткова інформація про консалтингові заходи у сфері інформаційної безпеки в Україні.

17 лютого  в Києві відбудеться конференція  IDC IT Security Roadshow +2016

На щорічній конференції  IDC IT Security Roadshow 2016  зберуться провідні фахівці з ІТ та ІБ, незалежні експерти, визнані практики і ключові гравці ринку, щоб обговорити уроки минулого року і поділитися тим, як компанії справлялися з кризами, визначити пріоритети на 2016 і обговорити сценарії роботи ІТ департаментів і відділів інформаційної безпеки в умовах заморожених бюджетів і невизначеності в бізнес-середовищі. 

Теми конференції IDC IT Security Roadshow +2016:

  • Протидія цільовим атакам. Приклади з практики.
  • Захисту від DoS-атак і забезпечення безперервної роботи критично важливих ІТ-систем.
  • Оцінка ефективності інвестицій в ІБ.
  • Управління ризиками ІБ: концепція GRC і системи управління інформаційними ризиками (SIEM; SVM, fraud prevention).
  • Протидія внутрішнім загрозам: забезпечення безпеки корпоративного ПО і запобігання витоків даних.
  • Мобільна безпека: забезпечення захисту даних на мобільних пристроях і керування правами доступу мобільних користувачів.
  • Сучасні рішення по забезпеченню безпеки хмарних і віртуальних інфраструктур.

Джерела:

Business Intelligence+KMS – концепція, технологія і засоби підтримки рішень не тривіальними знаннями з первинних даних

“Узагальнена архітектура системи підтримки прийняття рішень на основі Business Intelligence у розширенному тлумаченні”

Qlik: Business Intelligence | Data Visualization Tools

Нестандартное применение BI: на страже информационной безопасности 

IDC IT Security Roadshow +2016 in Kyiv

 

Автор:

студентка 323 групи Ліпінська А.В.

Співавтори:

студентка 323 групи Байлюк Є.М.

студентка 323 групи Іванюк К.О.