Обзор методов контроля за перемещением конфиденциальных данных Вениамин Левцов, Директор по развитию направления Информационная безопасность

О компании Как защититься от инсайдеров Компания LETA более 4-х лет занимается внедрением систем по предотвращению утечек информации ILDP системы: 17 проектов По различным аспектам борьбы с утечками: 40 проектов Компания #1 по рейтингу CNews в сфере построения систем защиты от инсайдеров в 2007 году Компания #4 по рейтингу CNews Security 2006: крупнейших ИТ-компании России в сфере защиты информации Сертификаты и лицензии на деятельность в области защиты информации: ФСТЭК России ФСБ России

О компании Как защититься от инсайдеров Партнерские отношения: Ежегодные исследования рынка ILDP в России на сайте

Основные темы Как защититься от инсайдеров Контентная фильтрация Цифровые отпечатки Метки документов + локальный агент Мониторинг запросов к базам данных IRM – разделение прав доступа к документам Контроль утечек структурированных данных Противодействие примитивному "шифрованию"

Настройка системы контентного анализа Как защититься от инсайдеров Определяются «ключевые» термины Определяются обычные термины – для каждого задается вес в категории Дерево категорий Категория 1Категория 2Категория 3 Задается порог толерантности

Схема работы системы контентного анализа Как защититься от инсайдеров Проверяемый документ Нашлось «ключевое слово» Множество слов из документа... Сумма весов слов превысила порог чувствительности Контроль словоформ

Проверяемый документ Как работает «Цифровой отпечаток» Как защититься от инсайдеров Защищаемый документ Множество «отпечатков» фрагментов защищаемого документа A 1 A 2 A N B 1 B 2 B M Множество «отпечатков» проверяемого документа ?

Как работают метки и локальный агент Как защититься от инсайдеров Компьютер с локальным DLP агентом В атрибуты файла записывается метка Для папки задается тэг и список запрещенных операций Папка с конфиденциальными документами Метка сохраняется со всеми производными файлами

Потенциально опасные действия Копирование через clipboard Правило запрета копирования Создание print screen Правило запрета print screen Отключение процесса локального агента Защита на уровне процессов ОС Ручной ввод документа Создание «цифрового отпечатка» Отправка , web mail, печать, USB Запрет по обнаружению метки

IRM - система разделения прав Как защититься от инсайдеров IRM (Information Rights Management) Общая схема работы: Владелец информации формирует множество пользователей и разрешенных операций Локальные агенты для основных приложений Крипто-сервер выдает разрешения на работу с документом Возможны ограничения печати, копирования-вставки, исправлений и т.д. Пример: полный запрет на открытие документа не авторизованным пользователем Фокус на защите контейнера, а не содержания Вопрос: как быть с черновиками и перенабором текста?

Контроль запросов к базам данных – как менялась ситуация Как защититься от инсайдеров Использован: The Forrester Wave: Enterprise Database Auditing And Real-Time Protection, Q DBAМенеджмент компании Выбор решения и ответственность 1-2 критичные базы Почти все структурированные данные Масштаб решения Запуск встроенных механизмов СУБД Специализированные решения Средства обеспеченияНеформализована Стандартизованные формы отчетов: об инцидентах, для аудита Отчеты и статистика DBA Назначаемый менеджер Точка контроля Консоль управления конкретной БД Единая консоль для всех аудируемых БД Управление системой контроля

Контроль за базами данных: запросы Как защититься от инсайдеров Цель: перехват подозрительных SQL пакетов без влияния на сервер баз данных и подготовка отчетов SQL запросы подвергаются анализу в он-лайне Автоматические уведомления о совершении подозрительных действий Репозитории для подготовки статистических отчетов Разделение лога запросов и собственно объектного хранилища Разделение ролей: Объектным хранилищем управляет администратор БД Базой с результатами мониторинга управляет специальный аудитор Формирование надежной доказательной базы

Контроль утечек структурированных данных Как защититься от инсайдеров Суть подхода: снятие "цифрового отпечатка" с содержания базы данных Определяется набор защищаемых полей Задается порог чувствительности: минимальное количество записей для срабатывания правила Снимается "отпечаток" с данных в выбранных столбцах Содержание передаваемых данных проверяется на корреляцию с "отпечатком" Передача данных может быть заблокирована По опыту: работает достаточно надежно

Примитивное шифрование – как с ним бороться? Как защититься от инсайдеров Ручная автозамена символа на специальный Замена обратимая, символ не встречается в исходном тексте Решение 1: Правила нормализации слов для часто встречающихся подмен Плюс: при хорошей разметке размер не важен Минус: ограничение числа пар подмен Решение 2: Предустановленное правило на основе статистических методов Плюс: не обнаружено ограничений на пары символов Минус: начинает работать с некоторого объема (2 страницы из 25, замена 2-х символов )

Как подобрать решение Как защититься от инсайдеров Заказать живую демонстрацию решения!

Вопросы? Вениамин Левцов, Директор по развитию направления Информационная безопасность LETA IT-company , Россия, Москва, ул. 8-я Текстильщиков, д.11, стр.2 Тел./факс: Спасибо за внимание!