Software Cloud Services DLP – решение для защиты данных и предотвращения промышленного шпионажа. Таран Дмитрий Руководитель направления информационной безопасности +375 (17)

По определению Gartner DLP-технология представляет собой набор подходов и методов проверки, позволяющих распознавать и классифицировать информацию, записанную в объекте (например, в сообщении электронной почты, файле, приложении), который хранится в памяти компьютера, находится в использовании или передается по каналам связи, а также динамически применять к этим объектам разные правила, начиная от передачи уведомлений и заканчивая блокировкой. DLP системы предназначены для мониторинга и аудита, для обнаружения и предотвращения пересылки конфиденциальных данных за пределы компании по электронной почте, через сервисы мгновенных сообщений (такие как IСQ и т.д.) и через Web (Web-почта, форумы, чаты и т. п.), а также копирования данных на сменные носители и отправки на печать. Data Loss Prevention или Data Leak Protection Общие сведения

Необходимо знать, что защищать. Бухгалтерия Кадры Персональные данные сотрудников Сведения о штатной структуре Сведения о ИТ инфраструктуре Используемые средства защиты Данные о настройках сетевого оборудования Endpoint ИТ служба Данные о зарплате Бухгалтерские ведомости История платежей Список контрагентов Производство Рецепты Ноу хау Чертежи

Угрозы утечки конфиденциальной информации Инсайдеры Добропорядочные Инсайдеры Злонамеренные Внешние угрозы

Контролируемые каналы утечки конфиденциальной информации Хранилища Сетевые каналы Интернет Почта FTP Интернет пейджеры Локальные диски Сетевые диски Съемные носители Печать Почта Веб Приложения Буфер обмена CD/DVD Endpoint Рабочие станции Файловые сервера Почтовые сервера Документооборот Веб-сервера Базы данных Sharepoint

Типовая структура DLP решений

Лингвистический анализ информации; Регулярные выражения (шаблоны, словари); Характеристики информации; Цифровые отпечатки; Метки. Основные методы определения конфиденциальной информации

Режимы работы DLP Решения: Мониторинг «В линию» (Защита) Что делает DLP : Собирает все факты нарушения заданных политик работы с конфиденциальной информацией (факты + сами данные) Уведомляет Блокирует Что умеет делать DLP?

Основные выгоды: Защиту информационных активов и важной стратегической информации компании; Структурированные и систематизированные данные в организации; Прозрачности бизнеса и бизнес-процессов для руководства и служб безопасности; Контроль процессов передачи конфиденциальных данных в компании; Снижение рисков связанных с потерей, кражей и уничтожением важной информации; Соответствие отраслевым стандартам и требованиям законодательства; Сохранение и архивация всех действий связанных с перемещением конфиденциальных данных внутри информационной системы. Вторичные выгоды: Контроль работы персонала на рабочем месте; Экономия Интернет-трафика; Оптимизация работы корпоративной сети; Контроль используемых пользователем приложений; Выявление нелояльных сотрудников; Повышение эффективности работы персонала. Преимущества внедрения систем DLP

Symantec InfoWatch Websense McAfee RSA TrendMicro CheckPoint и другие…... Основные вендоры систем DLP

Infowatch Использование специального механизма лингвистического анализа Наличие специальных баз контентной фильтрации Symantec Масштабирование (Enterprise решение) Использование различных технологий контроля и предотвращения утечек McAfee Appliance решение Websence Использование словарей с весовыми коэффициентами Devicelock DLP Расширенный набор функций по контролю внешних устройств Особенности систем DLP

Software Cloud Services SIEM – универсальный инструмент по контролю за технологическими процессами предприятия.

Общие сведения Система управления событиями и инцидентами информационной безопасности Перед системой SIEM ставятся следующие задачи: Консолидация и хранение журналов событий от различных источников Предоставление инструментов для анализа событий и разбора инцидентов. Корреляция и обработка по правилам. Автоматическое оповещение и инцидент-менеджмент.

Актульная информация – самый ценный ресурс Как получить актуальную картину происходящего? Какие активы находятся под угрозой? Что предпринять, чтобы исправить ситуацию?

Событие как источник информации собирать хранить понимать действовать События для анализа: активность оборудования и программных средств отказы и конфликты совместимости аномальное поведение действия пользователей и администраторов отчеты сторонних систем отсутствие событий нештатная работа оборудования

SIEM-система способна выявлять направленные атаки во внутреннем и внешнем периметрах вирусные эпидемии или отдельные вирусные заражения, неудаленные вирусы, бэкдоры и трояны попытки несанкционированного доступа к конфиденциальной информации мошенничество ошибки и сбои в работе информационных систем уязвимости ошибки конфигураций в средствах защиты и информационных системах Использование служебных полномочий в корыстных целях (используя информационные системы или оборудование)

Система управления событиями и инцидентами СБОР ХРАНЕНИЕ КОРЕЛЛЯЦИЯ ДЕМОНСТРАЦИЯ и ОТЧЕТНОСТЬ ДЕМОНСТРАЦИЯ и ОТЧЕТНОСТЬ СОБЫТИЯ ПОЛИТИКИ АККАУНТЫ ДАННЫЕ СИСТЕМЫ ИНФРАСТРУКТУРА

Централизованный сбор событий и логов систем Возможность балансировки нагрузки Инструменты создания собственных коллекторов Контроль активности пользователей и администраторов Нормализация, приоритезация, хранение Система хранения событий Автоматическая расстановка приоритетов и оценка рисков Корелляция событий и управление инцидентами Иерархическое объединение инцидентов Функционал Help Desk Система управления событиями и инцидентами

SIEM - преимущества Security IT Business Обнаружение и предотвращение инцидентов ИБ на ранней стадии, уменьшение ущерба Получение актуальной информация о состоянии ИБ и действиях персонала Контроль соответствия требованиям регуляторов Мониторинг состояния ресурсов системы и поиск узких мест Инструмент прогнозирования развития инфраструктуры и обоснования требуемых ресурсов Формирование базы знаний по инцидентам, улучшение показателей SLA Уверенность в стабильной работе бизнес-систем Повышение привлекательности для клиентов и инвесторов Дополнительный источник информации при принятии управленческих решений Прозрачность и управляемость

Сценарий 1 Задача: контролировать активность сотрудников во внеурочное время Источники данных для правил корелляции: Регламент рабочего времени Список сотрудников в отпуске (из HR системы) Контроль доступа в помещение (СКУД) Информация о запуске/остановке оборудования Информация об изменениях в информационных системах во внерабочее время Результат корелляции: предупреждение о подозрительных действиях определенных сотрудников во внеурочное время

Сценарий 2 Задача: отслеживать работоспособность оборудования и доступность бизнес-приложений в удаленных офисах Источники данных для правил корелляции: Регламент использования ресурсов Логи бизнес-систем Система управления ИТ-инфраструктурой Результат корелляции: предупреждение о простое (внерегламентное бездействие и/или выход системы из строя)

Symantec ArcSight Dell (Quest) McAfee Splunk и другие…... Основные вендоры SIEM систем

Вопросы ? Спасибо за внимание Таран Дмитрий +375 (17)