PowerPoint

Report
Cloud
Software
Services
DLP – решение для защиты
данных и предотвращения
промышленного шпионажа.
Таран Дмитрий
Руководитель направления информационной безопасности
[email protected]
+375 (17) 290 71 80
Общие сведения
По определению Gartner DLP-технология представляет собой
набор подходов и методов проверки, позволяющих распознавать и
классифицировать информацию, записанную в объекте (например, в
сообщении электронной почты, файле, приложении), который
хранится в памяти компьютера, находится в использовании или
передается по каналам связи, а также динамически применять к этим
объектам разные правила, начиная от передачи уведомлений и
заканчивая блокировкой.
DLP системы предназначены для мониторинга и аудита, для
обнаружения и предотвращения пересылки конфиденциальных
данных за пределы компании по электронной почте, через сервисы
мгновенных сообщений (такие как IСQ и т.д.) и через Web (Web-почта,
форумы, чаты и т. п.), а также копирования данных на сменные
носители и отправки на печать.
Data Loss Prevention или Data Leak Protection
Необходимо знать, что защищать.
Бухгалтерия
Данные о
зарплате
Бухгалтерские
ведомости
История платежей
Список
контрагентов
Endpoint
ИТ служба
Сведения о ИТ
инфраструктуре
Используемые
средства защиты
Данные о
настройках
сетевого
оборудования
Кадры
Персональные
данные
сотрудников
Сведения о
штатной структуре
Производство
Рецепты
Чертежи
Ноу хау
Угрозы утечки конфиденциальной информации
Инсайдеры
Инсайдеры
Добропорядочные
Злонамеренные
Внешние угрозы
Контролируемые каналы утечки конфиденциальной
информации
Хранилища
Файловые
сервера
Почтовые сервера
Документооборот
Веб-сервера
Базы данных
Sharepoint
Рабочие
Endpoint
станции
Локальные диски
Сетевые диски
Съемные
носители
Печать
Почта
Веб
Приложения
Буфер обмена
CD/DVD
Сетевые каналы
Интернет
Почта
FTP
Интернет
пейджеры
Типовая структура DLP решений
Основные методы определения конфиденциальной
информации
 Лингвистический анализ информации;
 Регулярные выражения (шаблоны, словари);
 Характеристики информации;
 Цифровые отпечатки;
 Метки.
Что умеет делать DLP?
Режимы работы DLP Решения:
 Мониторинг
 «В линию» (Защита)
Что делает DLP :
 Собирает все факты нарушения заданных политик работы с
конфиденциальной информацией (факты + сами данные)
 Уведомляет
 Блокирует
Преимущества внедрения систем DLP
Основные выгоды:
 Защиту информационных активов и важной стратегической
информации компании;
 Структурированные и систематизированные данные в организации;
 Прозрачности бизнеса и бизнес-процессов для руководства и служб
безопасности;
 Контроль процессов передачи конфиденциальных данных в компании;
 Снижение рисков связанных с потерей, кражей и уничтожением важной
информации;
 Соответствие
отраслевым
стандартам
и
требованиям
законодательства;
 Сохранение и архивация всех действий связанных с перемещением
конфиденциальных данных внутри информационной системы.
Вторичные выгоды:
 Контроль работы персонала на рабочем месте;
 Экономия Интернет-трафика;
 Оптимизация работы корпоративной сети;
 Контроль используемых пользователем приложений;
 Выявление нелояльных сотрудников;
 Повышение эффективности работы персонала.
Основные вендоры систем DLP
 Symantec
 InfoWatch
 Websense
 McAfee
 RSA
 TrendMicro
 CheckPoint
 и другие…...
Особенности систем DLP

Infowatch
Использование специального механизма лингвистического анализа
Наличие специальных баз контентной фильтрации

Symantec
Масштабирование (Enterprise решение)
Использование различных технологий контроля и предотвращения утечек

McAfee
Appliance решение

Websence
Использование словарей с весовыми коэффициентами

Devicelock DLP
Расширенный набор функций по контролю внешних устройств
Cloud
Software
Services
SIEM – универсальный
инструмент по контролю за
технологическими
процессами предприятия.
Общие сведения
Система управления событиями и инцидентами
информационной безопасности
Перед системой SIEM ставятся следующие задачи:

Консолидация и хранение журналов событий от различных источников

Предоставление инструментов для анализа событий и разбора инцидентов.

Корреляция и обработка по правилам.

Автоматическое оповещение и инцидент-менеджмент.
Актульная информация – самый ценный ресурс
Как получить актуальную картину происходящего?
Какие активы находятся под угрозой?
Что предпринять, чтобы исправить ситуацию?
Событие как источник информации
События для анализа:
• активность оборудования
и программных средств
• отказы и конфликты
совместимости
собирать
хранить
понимать
действовать
• аномальное поведение
• действия пользователей и
администраторов
• отчеты сторонних систем
• отсутствие событий
• нештатная работа
оборудования
SIEM-система способна выявлять
• направленные атаки во внутреннем и внешнем
периметрах
• вирусные эпидемии или отдельные вирусные
заражения, неудаленные вирусы, бэкдоры и трояны
• попытки несанкционированного доступа к
конфиденциальной информации
• мошенничество
• ошибки и сбои в работе информационных систем
• уязвимости
• ошибки конфигураций в средствах защиты и
информационных системах
• Использование служебных полномочий в корыстных
целях (используя информационные системы или
оборудование)
Система управления событиями и инцидентами
СОБЫТИЯ
СБОР
ПОЛИТИКИ
01010101010
10101010101
01010101010
АККАУНТЫ
01010101010
10101010101
01010101010
ДАННЫЕ
10101010101
01010101010
10101010101
СИСТЕМЫ
10101010101
10101010101
ИНФРАСТРУКТУРА
ХРАНЕНИЕ
КОРЕЛЛЯЦИЯ
ДЕМОНСТРАЦИЯ и
ОТЧЕТНОСТЬ
Система управления событиями и инцидентами
 Централизованный сбор событий и логов систем
Возможность балансировки нагрузки
Инструменты создания собственных коллекторов
Контроль активности пользователей и администраторов
 Нормализация, приоритезация, хранение
Система хранения событий
Автоматическая расстановка приоритетов и оценка рисков
 Корелляция событий и управление инцидентами
Иерархическое объединение инцидентов
Функционал Help Desk
SIEM - преимущества
Security
IT
Обнаружение и
предотвращение
инцидентов ИБ на
ранней стадии,
уменьшение
ущерба
Получение актуальной
информация о
состоянии ИБ и
действиях
персонала
Контроль соответствия
требованиям
регуляторов
Мониторинг состояния
ресурсов системы и
поиск узких мест
Инструмент
прогнозирования
развития
инфраструктуры и
обоснования
требуемых ресурсов
Формирование базы
знаний по
инцидентам,
улучшение
показателей SLA
Business
Уверенность в
стабильной работе
бизнес-систем
Повышение
привлекательности
для клиентов и
инвесторов
Дополнительный
источник
информации при
принятии
управленческих
решений
Прозрачность и управляемость
Сценарий 1
Задача:
контролировать активность сотрудников во внеурочное время
Источники данных для правил корелляции:
Регламент рабочего времени
Список сотрудников в отпуске (из HR системы)
Контроль доступа в помещение (СКУД)
Информация о запуске/остановке оборудования
Информация об изменениях в информационных системах во
внерабочее время
Результат корелляции:
предупреждение о подозрительных действиях определенных
сотрудников во внеурочное время
Сценарий 2
Задача: отслеживать работоспособность
оборудования и доступность бизнес-приложений в
удаленных офисах
Источники данных для правил корелляции:
Регламент использования ресурсов
Логи бизнес-систем
Система управления ИТ-инфраструктурой
Результат корелляции: предупреждение о простое
(внерегламентное бездействие и/или выход системы
из строя)
Основные вендоры SIEM систем
 Symantec
 ArcSight
 Dell (Quest)
 McAfee
 Splunk
 и другие…...
Спасибо за внимание
Вопросы ? 
Таран Дмитрий
[email protected]
+375 (17) 290 71 80

similar documents