Transcript Контур інформаційної безпеки підприємства

«Заперечливі питання при побудові
системи інформаційної безпеки в компанії »
Практичні аспекти
реалізації системи інформаційної
безпеки в компаніях.
З досвіду роботи SearchInform
www.searchinform.com.ua
SearchInform сьогодні
Контур інформаційної безпеки «SearchInform»
використовується в більш, ніж в 1500 організаціях
України, Білорусі, Росії, Казахстану, Литви та Латвії.
Офіси компанії успішно працюють в Києві, Мінську, Алмати,
Москві, Хабаровську, Новосибірську, Єкатеринбурзі, Казані,
Санкт-Петербурзі, Ризі, Вільнюсі.
www.searchinform.com.ua
Спеціальний відділ
з підтримки клієнтів
Компаніям, готовим до впровадження нашого продукту, ми
допомагаємо вибудувати систему інформаційної безпеки,
спираючись на досвід вирішення супутніх завдань нашими
клієнтами з цієї ж галузі (назви таких компаній - клієнтів
зберігаються в таємниці).
Це рекомендації відносно того:
 Які політики безпеки необхідно налаштувати;
 Яку інформацію треба захищати;
 Як розмежувати права доступу співробітників
до чутливої ​інформації та інше.
www.searchinform.com.ua
Співпраця з вузами:
Випускники вузів не виправдовують очікувань
роботодавців, тому що не мають практичного досвіду в
сфері ІБ і досвіду роботи з DLP-системами.
SearchInform
–
єдина
компаніярозробник системи забезпечення ІБ, яка
бере участь в підготовці кваліфікованих
молодих фахівців з інформаційної
безпеки.
Ми безкоштовно надаємо зацікавленим
вузам наше рішення для підготовки фахівців,
які вміють працювати з реальним продуктом.
www.searchinform.com.ua
Інформаційна безпека повинна
сприяти бізнесу, а не перешкоджати йому.
Всі канали передачі інформації повинні
бути відкритими
Найчастіше компанії для запобігання витоків
інформації
забороняють
співробітникам
використовувати зручні та популярні канали її
передачі і спілкування із зовнішнім світом.
Наприклад, для безпеки звичайно дозволено
використовувати тільки корпоративну електронну
пошту, а такі засоби як ICQ, Skype заборонені,
незважаючи на те, що вони в багатьох випадках
могли б істотно збільшити ефективність роботи.
Сучасна система інформаційної безпеки повинна
дозволяти співробітнику використовувати всі
канали для передачі інформації, і разом з тим
перехоплювати та аналізувати інформаційні
потоки, що йдуть по цих каналах.
www.searchinform.com.ua
Інформаційна безпека – це контроль всіх
каналів передачі інформації
У мультфільмі «Чарівник Смарагдового міста»
на кордоні країни стояли ворота, які охороняв
великий страшний вовк - ніхто не міг пройти. Ось
тільки вся інша межа була лише намальована ...
Так і з інформаційною безпекою. Якщо, наприклад, заборонити тільки запис
інформації на флешки, диски та інші носії, то данні будуть благополучно йти
через електронну пошту або інтернет-пейджери.
Також, наприклад, існує думка, що перехопити інформацію, передану в Skype,
не можливо. Саме тому користувачі набагато вільніше спілкуються в Skype на
робочому місці , ніж в інших інтернет-месенджерах. У зв'язку з цим неодмінно
слід контролювати текстові і голосові повідомлення, а також файли, що
передаються в Skype.
Реалізація комплексної політики інформаційної безпеки неможлива при
наявності хоча б одного неконтрольованого службою безпеки каналу
потенційних витоків.
www.searchinform.com.ua
«Контур інформаційної безпеки SearchInform»
www.searchinform.com.ua
Один у полі не воїн?
Навіть якщо інформація успішно перехоплена,
вона марна доти, поки не буде проаналізована.
Читати все «по-старому» нераціонально. При такому
підході один офіцер безпеки добре, якщо здатний
охопити 20-50 осіб. А якщо співробітників декілька
сотень або тисяч?
Перевагою «Контура інформаційної безпеки SearchInform» є здатність до
автоматичного аналізу інформації за допомогою різних пошукових алгоритмів та
автоматичне відпрацювання заданих політик безпеки.
Таким чином, при використанні «Контура» один офіцер безпеки може
контролювати 1000-1500 співробітників.
www.searchinform.com.ua
Доменні імена
Інтеграція з доменної системою Windows дає
можливість достовірно ідентифікувати користувача,
що відправив повідомлення електронною поштою,
Skype, ICQ, MSN, JABBER або залишив його на
форумі або блозі, навіть якщо співробітник
скористався для цього поштовою скринькою на
безкоштовному сервері, підписався чужим ім'ям
(никнеймом) або увійшов в мережу з чужого
комп'ютера.
www.searchinform.com.ua
Елементи «Контура інформаційної
безпеки»
Контроль ноутбуків
SearchInform
дозволяє
повноцінно
контролювати ноутбуки по всіх каналах,
навіть коли вони знаходяться за межами
корпоративної мережі.
Агент EndpointSniffer ретельно приховує свою присутність на
лептопі, виявити його непросто навіть кваліфікованому фахівцю.
Він збирає відправлені дані, які будуть передані для аналізу відділу
ІБ відразу ж, як тільки лептоп виявить з'єднання з мережею.
У 2013 році вийшло додаткове рішення MicrophoneSniffer, що дозволяє при включеному
ноутбуку писати розмови навколо.
www.searchinform.com.ua
Елементи «Контура інформаційної
безпеки»
Контроль iPad та iPhone
Мобільність співробітника сьогодні грає важливу роль в логіці
ведення бізнесу. Використання корпоративних смартфонів та
планшетів підвищує ефективність роботи працівників на десятки
відсотків. Адже тепер вони можуть підключатися до
корпоративних мереж нарівні з корпоративними ПК і мобільними
пристроями з будь-якого місця і у будь-який час. Однак, разом із
зручністю приходить цілий ряд проблем для співробітників служби
інформаційної безпеки.
«Контур інформаційної безпеки
SearchInform»
на
сьогодні
підтримує перехоплення пошти, IM,
Skype і HTTP-трафіку з iPhone та
iPad.
www.searchinform.com.ua
Елементи «Контура інформаційної
безпеки»
Контроль робочого часу співробітників
Поряд із захистом конфіденційної інформації компанії та
боротьбою з інсайдерством, важливим завданням сьогодні є
виявлення неіффектівних співробітників. Інакше кажучи, нероб.
ProgramSniffer – новий
модуль, що входить до
складу
«Контура
інформаційної безпеки
SearchInform»-допомагає
вирішити цю задачу,
надаючи співробітникові
СБ звіти про :
- час приходу співробітника на роботу та з роботи;
- час реальної роботи за комп'ютером;
- статистику та час використання додатків.
www.searchinform.com.ua
Розпізнавання хитрувань інсайдерів
Найчастіше
недобросовісні
співробітники, намагаючись обдурити
службу
безпеки,
передають
інформацію в графічному вигляді або,
наприклад, в зашифрованому архіві.
Для повноцінного контролю необхідно:
• розпізнавати текст в графічних файлах і здійснювати
пошук по ньому;
• виявляти передачу зашифрованих архівів по всіх
каналах можливого витоку інформації;
• виявляти пересилку файлів із зміненим типом.
www.searchinform.com.ua
Социальные мережи, форуми
блоги, месенджери
Обговорення внутрішнього життя компанії сьогодні відбувається не
тільки в курилці, але і в соціальних мережах, скайпі, мікроблогах.
Поява у відкритому доступі негативних відгуків або внутрішньої
інформації компанії може істотно вплинути на її імідж та позначитися
на лояльності клієнтів.
Крім того, не варто
забувати про силу
«сарафанного радіо».
www.searchinform.com.ua
Витоки інформації та способи
їх запобігання
Важливо відстежувати
комунікативні
зв'язки
між
працівниками,
виявляти неформальних
лідерів у колективі,
а також контролювати
спілкування співробітників
з
колишніми
колегами.
www.searchinform.com.ua
Блокування вихідного трафіку:
шкода або користь?
Уявіть
собі
ситуацію
...
Йде війна. Партизани вийшли на
слід німецького загону, що засів в
одній з глухих білоруських сіл.
Ніч. Розвідники доповіли, що
німецьке командування і частина
солдатів - в сусідньому селі,
повернуться не скоро. А в
тимчасовому німецькому штабі п'ять солдатів, і все міцно сплять.
На столі - дивом залишений на
загальний огляд секретний план
майбутнього наступу на Москву.
У партизан два варіанти:
1. Викрасти план і розкрити свою
присутність, а також звести цінність
добутої інформації нанівець.
www.searchinform.ru
Блокування вихідного трафіку:
шкода або користь?
2. Скопіювати план, внести в нього значні
правки і повернути підроблений документ
на місце, будучи в курсі дій, які
спланувало
німецьке
командування.
Розкриваючи факт присутності
налагодженої системи контролю над
інформаційними потоками в організації
через блокування вихідного трафіку, ми
власноруч мотивуємо інсайдера на пошук
обхідних шляхів передачі конфіденційних
даних
компанії
третім
особам.
Інша справа, якщо на ворожому столі
документи, здатні переломити хід війни на
користь противника. Або в нашому
випадку - завдати непоправної шкоди
фінансового благополуччя компанії.
www.searchinform.com.ua
ІТ або ІБ?
Як показує практика роботи
SearchInform, інформаційна безпека
в компанії організована найкращим
чином у разі, коли робота ІТ та ІБ
відділів розмежовано. У кожного з
цих підрозділів свої завдання.
Ідеальним варіантом взаємодії цих відділів за відсутності в компанії
кваліфікованого «безопасника» є залучення до постійної роботи в ІБ
підрозділі довіреного IT спеціаліста.
www.searchinform.com.ua
Три кити ІБ
Попередження витоків:
Завдання ІБ-системи полягає не тільки, і не стільки, в тому,
щоб зафіксувати сам факт витоку, але в запобіганні інциденту
на стадії дозрівання негативного наміру у потенційного
інсайдера (інсайдерів).
Робота з колективом:
DLP-система відстежує настрої в колективі шляхом моніторингу
повідомлень співробітників в інтернет-месенджерах (Skype, ISQ) і
соцмережах в робочий час.
Оптимізація роботи:
За допомогою DLP-системи можна контролювати реакцію
колективу на нововведення та відповідно до неї ефективно
коригувати внутрішню політику підприємства.
www.searchinform.ru
Розмежування прав доступу
Кожен з компонентів контура інформаційної безпеки підприємства
узгоджується з єдиною системою розмежування прав доступу.
Система володіє рядом гнучких налаштувань і дозволяє вибудувати
ієрархію доступу до конфіденційної інформації будь-яким чином.
www.searchinform.com.ua
Архітектура системи
Всі компоненти системи мають клієнт-серверну структуру.
Серверна - це одна з платформ для перехоплення даних SearchInform NetworkSniffer або SearchInform EndpointSniffer, і
клієнтські програми, призначені для роботи з базою перехоплених
даних та проведення службових розслідувань. Використання
єдиного пошукового аналітичного движка дозволяє повною мірою
використовувати всі перераховані пошукові можливості.
SearchInform NetworkSniffer - платформа для перехоплення даних на рівні
зеркаліруемого трафіку, тобто NetworkSniffer обробляє трафік, не
впливаючи на роботу корпоративної мережі. Перехоплюються дані, що
пересилаються користувачами по популярних мережевих протоколах та
каналах (SMTP, POP3, IMAP, HTTP, HTTPs, MAPI, ICQ, JABBER, MSN) на
рівні локальної мережі. Платформа включає в себе наступні продукти:
www.searchinform.com.ua
Архітектура системи
SearchInform EndpointSniffer - платформа
перехоплення трафіку за допомогою агентів.
для
Додатково дозволяє контролювати співробітників, що перебувають
за межами корпоративної мережі - вони можуть вільно передати
конфіденційні дані з ноутбука третім особам. SearchInform
EndpointSniffer збирає відправлені дані і передає їх для аналізу
відділу ІБ , як тільки лептоп виходить в Мережу.
.
Переваги роботи агентів IMSniffer і MailSniffer на платформі
SearchInform EndpointSniffer в тому , що вони володіють підвищеною
стійкістю до різних збоїв (навіть якщо сервера стануть
недоступними,
перехоплення
буде
здійснюватися),
здатні
перехоплювати і ті дані, які передаються по захищених протоколах.
SearchInform EndpointSniffer - агенти :
www.searchinform.com.ua
Елементи «Контура інформаційнної
безпеки»
Перехоплення інтернет-трафику
SearchInform NetworkSniffer дозволяє здійснювати перехоплення
інформації, переданої через інтернет. Підтримуються всі поширені
протоколи, які можуть використовуватися інсайдерами. Пропонується
підтримка проксі-серверів - як програмних (Kerio, Squid і т.д.), так і
апаратних (BlueCoat, IronPort і т.д.) - через стандартний протокол ICAP.
Електронна пошта
Один з найбільш небезпечних каналів витоків, оскільки
підтримується
пересилання
великих
обсягів
даних.
Підтримуються протоколи SMTP, POP3, MAPI, IMAP.
HTTP
Можливість витоку інформації в соціальні мережі, блоги, на
форуми, а також через Web-додатки для відправки електронної
пошти та SMS, Web-чати.
FTP
Цей протокол - найважливіший засіб передачі великих обсягів
даних,
і
може
використовуватися
недобросовісними
співробітниками для передачі цілих баз даних, деталізованих
креслень, пакетів відсканованих документів та ін.
www.searchinform.com.ua
Елементи «Контура інформаційнної
безпеки»
Skype
«Контур інформаційної безпеки SearchInform» є
першим з рішень в області інформаційної безпеки, який
забезпечив перехоплення не тільки голосових і
текстових повідомлень, а й файлів, переданих через
Skype.
Служби миттєвого обміну повідомденнями (IM)
Підтримуються протоколи ICQ, MSN, Mail.ru Агент,
JABBER,
активно
використовувані
офісними
працівниками.
PrintSniffer
Це програма, яка контролює вміст документів, відправлених на друк. Всі дані перехоплюються, вміст файлів
індексується і зберігається в базі заданий проміжок часу.
Відстежуючи документи, надруковані на принтері,
можна не тільки запобігати спроби розкрадання
інформації, але також оцінити доцільність використання
принтера кожним співробітником і уникнути
перевитрати паперу.
www.searchinform.com.ua
Елементи «Контура інформаційнної
безпеки»
DeviceSniffer – програма, що виконує аудит зовнішніх
носіїв, підключених до комп'ютера (флешки, компактдиски, зовнішні вінчестери), а також перехоплення
записуваних на них файлів завдяки функції «тіньового
копіювання». За допомогою цієї програми ви можете
уникнути витоку великих обсягів даних, які інсайдер
переписує на зовнішні носії через неможливість їх
передачі по інтернету.
MonitorSniffer призначений для перехоплення інформації,
яка відображається на моніторах користувачів і
збереження отриманих знімків екрану в базі даних.
Підтримується контроль екрану одного або декількох
користувачів у режимі реального часу, можна
відстежувати стан екранів користувачів термінальних
серверів, що працюють за RDP-з'єднанню (протоколу
віддаленого робочого столу).
www.searchinform.com.ua
Елементи «Контура інформаційнної
безпеки»
FileSniffer контролює роботу користувачів на загальних
мережевих ресурсах, які містять великі обсяги
конфіденційних
даних,
не
призначених
для
розповсюдження за межами компанії. Копіюючи
документи з цих ресурсів, співробітники можуть
торгувати корпоративними секретами. SearchInform
FileSniffer дозволяє контролювати всі операції з файлами
на загальнодоступних мережевих ресурсах, захищаючи
інформацію, що знаходиться на них.
Индексация рабочих станций дозволяє у реальному
часі відслідковувати появу, копіювання, переміщення та
видалення конфіденційної інформації на робочих
станціях користувачів. Такий аудит користувача
комп'ютерів у всій локальній мережі підприємства
дозволить вчасно виявити співробітника, який
збирається передати закриті корпоративні документи
третім особам.
www.searchinform.com.ua
Різні варіанти впровадження
контуру при наявності безлічі офісів
www.searchinform.com.ua
Витоки інформації та способи
їх запобігання
Словники синонімів
Спільно з однією з мерій був
розроблений
антикорупційний
словник синонімів. Фігурувала в
тому числі і «відкатна» тематика.
Політики «Контура інформаційної безпеки SearchInform»
налаштовані таким чином, що спрацьовують на певні
слова-синоніми (гроші, бабки, капуста).
www.searchinform.com.ua
Витоки інформації та способи
їх запобігання
Друк документів
На підприємстві, що виробляє
великий обсяг бакалійної продукції,
в ході аудиторської перевірки
з'ясувалося, що товарів на складах
у реалізаторів продукції виявилося
значно
більше,
ніж
було
відвантажено.
Було встановлено, що група зловмисників організувала на
підприємстві випуск неврахованої продукції. Її реалізація через
торгову мережу стала можливою за рахунок друку дублікатів
накладних, в яких вказувалися потрібні зловмисникам цифри.
www.searchinform.com.ua
Витоки інформації та способи
їх запобігання
ICQ і моніторинг робочих станцій
За допомогою моніторингу ICQ
були
знайдені
вірші
про
керівництво компанії не самого
втішного змісту, що завдають
серйозної шкоди діловому іміджу
компанії. Деякі з них були
опубліковані в Інтернеті.
Знайти винних допоміг аналіз ICQ листування, за допомогою
SearchInform IMSniffer. Було знайдено найперше повідомлення з
віршем, після чого були перевірені робочі станції винних
співробітників, на яких і були знайдені файли з віршами.
www.searchinform.com.ua
Витоки інформації та способи
їх запобігання
Нецензурні і негативні слова
Мати + негативні слова разом з
прізвищами топ менеджменту та
назвою компанії дають поживу для
роздумів
про
лояльність
співробітників.
www.searchinform.com.ua
Витоки інформації та способи
їх запобігання
У кожної компанії, незалежно від сфери її діяльності, є
свої «секрети», які потребують захисту.
Необхідно контролювати рух в корпоративній
мережі та доступ до документів, що містить:
 список призвіщ;
 список компаній - партнерів;
 товарні позиції.
www.searchinform.com.ua
Витоки інформації та способи
їх запобігання
Як показує практика роботи SearchInform з клієнтами,
деяких співробітників компанії необхідно включати
в «групу ризику», до якої можуть бути віднесені:
1.
Співробітники,
помічені
в
порушенні
політик
ІБ.
2. Співробітники, які використовують в роботі різні «трюки»
(перейменовані конфіденційні файли, запаролені архіви та ін.).
3. Нелояльні співробітники (негативні відгуки про керівництво, про
компанії
та
ін.).
4. Співробітники, які з якихось причин почали саботувати роботу.
5. Співробітники, що мають відношення до рухів фінансів та товарів,
а також частина менеджерів середньої ланки (керівники
департаментів).
www.searchinform.com.ua
Витоки інформації та способи
їх запобігання
Загальні практики
 Контроль спілкування з співробітниками, що звільнилися
 Відстеження неформальних лідерів і сплесків активності
 Моніторинг активності 1-2% персоналу організації за минулий
місяць.
www.searchinform.com.ua
Оцінка ефективності
впровадження DLP
DLP – ні панацея від усіх хвороб, а зручний інструмент для
ефективної роботи служби безпеки компанії.
Оцінкою ефективності роботи СБ з «контуром інформаційної
безпеки SearchInform», за нашим досвідом, може служити кількість
звільнених співробітників.
В середньому їх кількість становить 0,2-1% від загального числа
протягом 3-4 місяців після впровадження DLP-системи.
www.searchinform.com.ua
Переваги Контура інформаційної
безпеки SearchInform
1.
Простота та швидкість впровадження. Процес інсталяції займає всього
кілька годин та не впливає на функціонування існуючих інформаційних
систем всередині компанії.
2.
Можливість контроля всіх каналів передачи інформації, включаючи
Skype, соціальні мережі, принтери, а також роботу користувачів на файлсерверах.
3.
Функція «пошук схожих». Дозволяє власними силами швидко і гнучко
налаштувати систему оповіщення, не привертаючи сторонніх фахівців.
При цьому для ефективного захисту конфіденційних даних необхідні
мінімальні трудовитрати на аналіз інформаційних потоків.
4.
Повна інтеграція з доменною структурою
достовірно ідентифікувати користувача.
5.
Розширені пошукові можливості дозволяють ефективно захищати
конфіденційні дані при мінімальних трудовитратах на аналіз
інформаційних потоків (досить 1 спеціаліста для контролю 1000 - 1500
робочих станцій в організації).
Windows
дозволяє
www.searchinform.com.ua
Як переконати власника в
необхідності DLP
1.
DLP це недорого. Як правило, вартість впровадження DLP
на одного співробітника = вартості витрат на чай, каву та
новорічний корпоратив .
2.
DLP це не витрати, а зворотні інвестиції. DLP економить
гроші на завищенні цін при закупівлях , мінімізації
репутаційних ризиків , на « зливі » баз клієнтів і партнерів
та інше.
3.
«Не чекайте з моря бюджету». Захист інформації не
терпить зволікань , як і заміна зламаного дверного замка.
4.
Інформація, що зберігається на комп'ютері сьогодні,
завжди дорожче самого комп'ютера, тому витрати на
інформаційну безпеку повинні бути не менше, ніж на
фізичну.
www.searchinform.com.ua
Збереження
конфіденційних даних
вашої компанії
залежить від Вас!
www.searchinform.com.ua