Transcript Kontur bezpieczeństwa informacyjnego

Kontrola kanałów przekazu
danych konfidencialnych
i najbardziej typowe problemy
zabezpieczenia bezpieczeństwa
informacyjnego firm
www.searchinform.ru
Możliwe sposoby przekazu
informacji konfidencjalnych
List elektroniczny z kosztowną informacją może być wysłany przez
protokół mailowy.
Informacje można wysłać przez komunikatory (gadu-gadu, ICQ,
MSN Messenger, QIP, Jabber).
Wiadomość głosowa lub textowa, wysłana przez Skype, też może
utrzymywać cenną informację.
Informacja może być umieszczona na forum, w
przekazana sieciami socialnymi, a taksamo przez FTP.
blogach,
Informacja może być zapisana na dyski przenośne (USB-pendrive
lub CD/DVD).
Informacje można wydrukować na drukarce.
www.searchinform.ru
Bezpieczeństwo informacji powinno pomagać
biznesowi, nie utrudniając go. Wszystkie kanały
komunikacji powinny być otwarte
Często, aby zapobiec wyciekom informacji, firmy
zabraniają pracownikom korzystania z wygodnych i
popularnych kanałów transmisji i komunikacji ze
światem zewnętrznym.
Na przykład, ze względu na bezpieczeństwo
użytkownicy mogą korzystać tylko
z poczty
korporacyjnej, natomiast narzędzia, takie jak Skype,
są zakazane, mimo że w wielu przypadkach mogą
zwiększyć wydajność pracy.
Nowoczesny system informacji o bezpieczeństwie
powinien umożliwiać pracownikowi korzystania ze
wszystkich kanałów do przekazywania informacji, a
poza tym przechwytywać i analizować przepływ
informacji napływających za pośrednictwem tych
kanałów.
www.searchinform.ru
Bezpieczeństwo informacji - to kontrolowanie
wszystkich kanałów komunikacji
W filmie animowanym "Czarnoksiężnik z
krainy Oz" na granicy kraju stała brama,
której strzegł wielki straszny wilk - nikt nie
mógł przejść. Ale reszta granicy po prostu
była namalowana.
To samo dotyczy bezpieczeństwa informacyjnego: na przykład, jeśli wziąć pod
kontrolę tylko korzystanie z pendrive, dysków i innych nośników, dane będą
normalnie przesyłane za pośrednictwem poczty elektronicznej lub klientów IM.
Albo na przykład, panuje przekonanie, że przechwyt informacji przekazywanych
poprzez Skype jest niemożliwy. Dlatego ludzie są o wiele bardziej chętni
komunikować się za pomocą Skype w miejscu pracy niż za pomocą innych
komunikatorów internetowych. W związku z tym z pewnością powinniśmy
monitorować tekstowy i głosowy trafik oraz pliki przesyłane przez Skype.
Realizacja pełnowartościowej polityki bezpieczeństwa informacyjnego
jest niemożliwa przy istnieniu chociażby jednego niekontrolowanego
kanału przekazu informacji.
www.searchinform.ru
Narzędzia analityczne w zakresie
bezpieczeństwa informacji
Najważniejszym elementem każdego systemu bezpieczeństwa
informacji jest moduł analizy. Jednoczesne wykorzystanie
wszystkich typów poszukiwania pozwala maksymalnie efektywnie
zabezpieczyć dane konfidencjalne w sieciach korporacyjnych i
znacznie obniżyć koszty ich analizy.
www.searchinform.ru
Narzędzia analityczne w zakresie
bezpieczeństwa informacji
Synonimy
Osobno stoi problem przeszukiwania logów rozmów ICQ czy Skype na
ten temat, np. otrzymywanie "łapówek". Aby rozwiązać ten problem nie
wystarczy znaleźć słowa kluczowe, należy również wziąć pod uwagę
wszystkie ich warianty (synonimy). Ponadto, synonimy nie w ich
zwykłym znaczeniu, a mianowicie użytkownikowe, takie jak:
-
Pytanie, problem, sprawa, zadanie, trudność
Pieniądze, płatność, kapusta, prezydenci, wdzięczności, obietnica
Usługa, pomoc, wsparcie, promocja
Podczas wyszukiwania słów „problem” i „pomoc" znaleźliśmy zwrot w
dialogu:
Tak, ale osoba, która zadecyduje o to pytanie, ilością
prezydentów nie jest zadowolona.
- Tak, on nigdy w tych pytaniach nie okazywał wsparcia. Może nie
jest kompetentny?
-
Domeny
Integracja z domenem systemu
Windows umożliwia pozytywną
identyfikację
użytkownika,
który wysłał e-mail, Skype,
ICQ, MSN, Jabber, zostawił
wiadomość na forum lub w
blogu, nawet jeśli pracownik
skorzystał z bezpłatnej skrzynki
pocztowej na zewnętrznym
serwerze,
podał
fałszywy
nickname lub wszedł do sieci z
innego komputera.
www.searchinform.ru
Rozpoznawanie sztuczek insajderów
Często pozbawieni skrupułów
pracownicy
próbują
oszukać
służbę
bezpieczeństwa,
przekazując informacje w formie
graficznej lub, na przykład, w
zaszyfrowanym archiwum.
Dla pełnej kontroli nezbędne jest:
• rozpoznawanie tekstu w plikach graficznych i wyszukiwanie go
• wykrywanie transmisji zaszyfrowanych plików na wszystkich
możliwych kanałach wycieku informacji
• identyfikacja przesyłanych plików o zmienionym typie
www.searchinform.ru
Monitorowanie nastroju w zespole
Aby zapobiec powstaniu negatywnego wizerunku organizacji i
przewidzieć ewentualny wyciek cennych informacji dla firmy, ważne
jest znać nastroje w zespole. Opinie pracowników na temat firmy i
zarządu są często odzwierciedlone w ich komunikacjach na ICQ i
Skype, na forum, w blogach i sieciach społecznych.
www.searchinform.ru
Ustalenie i monitorowania
grupy ryzyka
Pracowników, którzy są pod podejrzeniem, należy
ścisłe monitorować. Trzeba przeanalizować wszystkie
informacje, które trafiają do świata zewnętrznego z ich
kont.
Do grupy ryzyka trzeba włączyć:
1.
2.
3.
4.
5.
Pracowników, którzy są postrzegani w naruszeniu zasad bezpieczeństwa
informacji
Pracowników, którzy wykorzystują rozmaite sztuczki (zmiana nazwy plików,
archiwa zabezpieczone hasłem, itp.)
Niezadowolonych pracowników (negatywne rozmowy na temat pracy firmy,
kierownictwa, itp.)
Pracowników, efektywność pracy których upadła.
Pracowników związanych z przepływami towarów i finansów, a także
niektórych kierowników średniego szczebla (szefowie departamentów)
www.searchinform.ru
Prowadzenie oficjalnych
dochodzeń
W wypadku wycieku informacji chronionych przez
bezpieczeństwa
informacji
można
zorganizować
dochodzenie. Aby to zrobić potrzebne są:
systemy
oficjalne
• archiwum przechwyconej informacji;
• możliwość zobaczyć log działalności pracowników we
wszystkich kanałach przekazu informacji;
• kontrola zawartości komputerów pracowników i dysków
sieciowych;
Jako środek zapobiegawczy jest przydatne przeprowadzenie retrospektywnego
monitorowania aktywności 1-2% pracowników organizacji w ciągu ostatniego
miesiąca. W przypadku wystąpienia jakichkolwiek incydentów związanych z
naruszeniem zasad bezpieczeństwa informacji organizacji, pracownik musi
zostać dodany do listy aktywnego monitorowania (tzn. grupa ryzyka).
www.searchinform.ru
Kontur bezpieczeństwa
informacyjnego
«Kontur
bezpieczeństwa
informacyjnego SearchInform»
rozwiązuje
wszystkie
te
problemy w praktyce. Może
pomóc zidentyfikować przecieki
poufnych informacji i danych
osobowych poprzez e-mail, ICQ
i inne komunikatory, Skype,
sieci społeczne, forum i blogi,
urządzeia zewnętrzne (USB /
CD/DVD), dokumenty wysyłane
do drukowania.
www.searchinform.ru
Elementy KBI
Przechwytywanie trafiku internetowego
SearchInform NetworkSniffer pozwala na przechwycenie informacji
przesyłanych przez Internet. Obsługuje wszystkie popularne protokoły,
które mogą być używane przez insiderów. Podtrzymywóje serwery proxy zarówno oprogramowane (Kerio, kalmary, itp.) oraz metalowe (BlueCoat,
IronPort, itp.) - standardowy protokół ICAP.
Poczta elektroniczna
Jeden z najbardziej niebezpiecznych kanałów wycieku, bo umożliwia
przekazywanie dużych ilości danych. Obsługuje protokoły SMTP, POP3,
MAPI, IMAP.
HTTP
Możliwe są wycieki informacji w sieci społeczne, blogi, na forum, a
taksamo przez Web-aplikacje dla wysyłania poczty elektronicznej i SMS,
Web-czaty.
FTP
Protokół ten - najważniejszy środek przesyłania dużych ilości danych i
może być wykoryzstywany przez nieuczciwych pracowników do
przenoszenia baz danych, rysunków szczegółowych i zeskanowanych
dokumentów.
www.searchinform.ru
Elementy KBI
Skype
«Kontur bezpieczeństwa informacyjnego SearchInform» jest
pierwszym oprogramowaniem w strefie bezpieczeństwa
informacyjnego, które zabezpiecza przechwycenie nie tylko
głosowych i tekstowych wiadomości, ale i plików,
przekazywanych przez Skype.
Komunikatory (IM)
Obsługiwane są protokoły aktywnie wykorzystywane przez
pracowników biurowych: ICQ, MSN, Gadu-Gadu, Jabber.
PrintSniffer
Jest to program, który monitoruje zawartość dokumentów
wysłanych do druku. Wszystkie dane są przechwytywane,
zawartość pliku jest indeksowana i przechowywana w
określonym przedziale czasu.
Śledząc dokumenty drukowane na drukarce, można nie
tylko zapobiec próbom kradzieży informacji, ale również
ocenić wydajność korzystania z drukarki każdego
pracownika aby uniknąć przekraczania kosztów papieru i
toneru.
www.searchinform.ru
Elementy KBI
DeviceSniffer – program, który wykonuje kontrolę
zewnętrznych nośników podłączonych do komputera (flash
USB, CD-ROM, dysk zewnętrzny). Za pomocą tego programu
można uniknąć wycieku dużych ilości danych, które kopiuje
insider do zewnętrznych nośników z powodu niemożliwości ich
przesyłania za pośrednictwem Internetu.
MonitorSniffer Przeznaczony jest dla przechwytywania
informacji, odtwarzanej na monitorach użytkowników i
zapisywania zdjęć ekranu do bazy danych. Jest możliwa
kontrola monitorów jednego albo kilku użytkowników w reżymie
“live”, można śledzić stan ekranów użytkowników serverów
terminalnych, pracujących przez RDP.
www.searchinform.ru
Elementy KBI
FileSniffer nadzoruje pracę użytkowników na udziałach
sieciowych, które zawierają duże ilości danych, nie
przeznaczonych do dystrybucji na zewnątrz firmy. Kopiując
dokumentów z tychże środków pracownicy mogą sprzedawać
firmowe tajemnice. SearchInform FileSniffer pozwala na
kontrolowanie
wszystkich
operacji
z
plikami
na
współdzielonych zasobach sieciowych, chroniąc zapisane na
nie informacje.
Indeksowanie stacji roboczych umożliwia śledzenie w
czasie rzeczywistym pojawienia, kopiowania, przenoszenia i
usuwania poufnych informacji na stacjach roboczych
użytkowników. Podobny audyt komputerów użytkowników
całej sieci lokalnej pozwoli szybko znaleźć pracownika, który
wysyła prywatne dokumenty korporacyjne.
www.searchinform.ru
Elementy KBI
SearchInform ReportCenter - narzędzie, które pozwala
dowiedzieć się z kim rozmawiają pracownicy w danym okresie
czasu dla każdego z kanałów wymiany informacji zarówno
wewnątrz firmy i poza nią.
Grafik umożliwia wizualizację stosunków jak
wszystkich pracowników, tak i konkretnego
użytkownika.
Więc
jest
możliwe
zidentyfikowanie tych najbardziej intensywnie
przepisywujących
się
z
niepożądanymi
odbiorcami pracowników.
Aplikacja umożliwia również linki do
różnicowania barwy w zależności od
liczby przeniesionych stanowisk dla
pracowników, co ułatwia identyfikację
wizualną "nienormalnie" towarzyskich
użytkowników. Ponadto, każdy link
znajduje ma wizerunek kanału, przez
który
komunikacja
została
przeprowadzona.
www.searchinform.ru
Elementy KBI
Kontrola laptopów
Laptop - to nie tylko wygodne narzędzie
pracy, z którego korzysta większość
pracowników w biurze, w podróżach
służbowych i w domu, ale także poważne
zagrożenie dla organizacji bezpieczeństwa
informacji.
Poza siecią kontrolowaną przez pracodawcę, pracownik może wysłać ważne
dane z laptopa osobom trzecim. SearchInform EndpointSniffer pozwala to
kontrolować. Zbiera on wysyłane dane, które będą przedstawione do analizy
w dział bezpieczeństwa natychmiast, jak tylko laptop będzie ponownie w sieci
firmowej. Współpracuje z danymi przesyłanymi za pośrednictwem poczty
(IMAP / MAPI, a przez SMTP/POP3 - z szyfrowaniem), web-form (HTTP /
HTTPS), komunikatorów (Gadu-Gadu, Jabber, MSN Messenger), FTP, Skype,
przekazywanymi do drukarki. Możliwe jest także monitorowanie aktywności
pracowników w czasie rzeczywistym za pomocą okresowgo zrzutu ekranu.
Agent EndpointSniffer starannie ukrywa swoją obecność na laptopie.
www.searchinform.ru
Zalety KIBu
1. Łatwość i szybkość instalacji. Proces instalacji zajmuje tylko
parę godzin i nie wpływa na funkcjonowanie innych systemów.
2.
Możliwość kontroli wszystkich kanałów przekazania informacji, w
tym Skype, sieci socjalne, drukarki, itp.
3.
Funkcja «znajdź podobne». Pozwala szybko i niezawodnie konfigurować
system ostrzegania, bez udziału ekspertów zewnętrznych. Ponadto, dla
skutecznej ochrony danych wymaga minimalnego wysiłku do analizy
przepływów informacyjnych.
4.
Pełna integracja z domenem
zidentyfikować użytkownika.
5.
Zaawansowane funkcje wyszukiwania pozwalają na skuteczną
ochronę poufnych danych przy minimalnym wysiłku, potrzebnym
do analizy przepływu informacji (wystarczy 1 oficera bezpieczeństwa dla
kierowania 1000 - 1500 stacji roboczych w organizacji).
Windows
pozwala
niezawodnie
www.searchinform.ru