Transcript PowerPoint
Cloud Software Services DLP – решение для защиты данных и предотвращения промышленного шпионажа. Таран Дмитрий Руководитель направления информационной безопасности [email protected] +375 (17) 290 71 80 Общие сведения По определению Gartner DLP-технология представляет собой набор подходов и методов проверки, позволяющих распознавать и классифицировать информацию, записанную в объекте (например, в сообщении электронной почты, файле, приложении), который хранится в памяти компьютера, находится в использовании или передается по каналам связи, а также динамически применять к этим объектам разные правила, начиная от передачи уведомлений и заканчивая блокировкой. DLP системы предназначены для мониторинга и аудита, для обнаружения и предотвращения пересылки конфиденциальных данных за пределы компании по электронной почте, через сервисы мгновенных сообщений (такие как IСQ и т.д.) и через Web (Web-почта, форумы, чаты и т. п.), а также копирования данных на сменные носители и отправки на печать. Data Loss Prevention или Data Leak Protection Необходимо знать, что защищать. Бухгалтерия Данные о зарплате Бухгалтерские ведомости История платежей Список контрагентов Endpoint ИТ служба Сведения о ИТ инфраструктуре Используемые средства защиты Данные о настройках сетевого оборудования Кадры Персональные данные сотрудников Сведения о штатной структуре Производство Рецепты Чертежи Ноу хау Угрозы утечки конфиденциальной информации Инсайдеры Инсайдеры Добропорядочные Злонамеренные Внешние угрозы Контролируемые каналы утечки конфиденциальной информации Хранилища Файловые сервера Почтовые сервера Документооборот Веб-сервера Базы данных Sharepoint Рабочие Endpoint станции Локальные диски Сетевые диски Съемные носители Печать Почта Веб Приложения Буфер обмена CD/DVD Сетевые каналы Интернет Почта FTP Интернет пейджеры Типовая структура DLP решений Основные методы определения конфиденциальной информации Лингвистический анализ информации; Регулярные выражения (шаблоны, словари); Характеристики информации; Цифровые отпечатки; Метки. Что умеет делать DLP? Режимы работы DLP Решения: Мониторинг «В линию» (Защита) Что делает DLP : Собирает все факты нарушения заданных политик работы с конфиденциальной информацией (факты + сами данные) Уведомляет Блокирует Преимущества внедрения систем DLP Основные выгоды: Защиту информационных активов и важной стратегической информации компании; Структурированные и систематизированные данные в организации; Прозрачности бизнеса и бизнес-процессов для руководства и служб безопасности; Контроль процессов передачи конфиденциальных данных в компании; Снижение рисков связанных с потерей, кражей и уничтожением важной информации; Соответствие отраслевым стандартам и требованиям законодательства; Сохранение и архивация всех действий связанных с перемещением конфиденциальных данных внутри информационной системы. Вторичные выгоды: Контроль работы персонала на рабочем месте; Экономия Интернет-трафика; Оптимизация работы корпоративной сети; Контроль используемых пользователем приложений; Выявление нелояльных сотрудников; Повышение эффективности работы персонала. Основные вендоры систем DLP Symantec InfoWatch Websense McAfee RSA TrendMicro CheckPoint и другие…... Особенности систем DLP Infowatch Использование специального механизма лингвистического анализа Наличие специальных баз контентной фильтрации Symantec Масштабирование (Enterprise решение) Использование различных технологий контроля и предотвращения утечек McAfee Appliance решение Websence Использование словарей с весовыми коэффициентами Devicelock DLP Расширенный набор функций по контролю внешних устройств Cloud Software Services SIEM – универсальный инструмент по контролю за технологическими процессами предприятия. Общие сведения Система управления событиями и инцидентами информационной безопасности Перед системой SIEM ставятся следующие задачи: Консолидация и хранение журналов событий от различных источников Предоставление инструментов для анализа событий и разбора инцидентов. Корреляция и обработка по правилам. Автоматическое оповещение и инцидент-менеджмент. Актульная информация – самый ценный ресурс Как получить актуальную картину происходящего? Какие активы находятся под угрозой? Что предпринять, чтобы исправить ситуацию? Событие как источник информации События для анализа: • активность оборудования и программных средств • отказы и конфликты совместимости собирать хранить понимать действовать • аномальное поведение • действия пользователей и администраторов • отчеты сторонних систем • отсутствие событий • нештатная работа оборудования SIEM-система способна выявлять • направленные атаки во внутреннем и внешнем периметрах • вирусные эпидемии или отдельные вирусные заражения, неудаленные вирусы, бэкдоры и трояны • попытки несанкционированного доступа к конфиденциальной информации • мошенничество • ошибки и сбои в работе информационных систем • уязвимости • ошибки конфигураций в средствах защиты и информационных системах • Использование служебных полномочий в корыстных целях (используя информационные системы или оборудование) Система управления событиями и инцидентами СОБЫТИЯ СБОР ПОЛИТИКИ 01010101010 10101010101 01010101010 АККАУНТЫ 01010101010 10101010101 01010101010 ДАННЫЕ 10101010101 01010101010 10101010101 СИСТЕМЫ 10101010101 10101010101 ИНФРАСТРУКТУРА ХРАНЕНИЕ КОРЕЛЛЯЦИЯ ДЕМОНСТРАЦИЯ и ОТЧЕТНОСТЬ Система управления событиями и инцидентами Централизованный сбор событий и логов систем Возможность балансировки нагрузки Инструменты создания собственных коллекторов Контроль активности пользователей и администраторов Нормализация, приоритезация, хранение Система хранения событий Автоматическая расстановка приоритетов и оценка рисков Корелляция событий и управление инцидентами Иерархическое объединение инцидентов Функционал Help Desk SIEM - преимущества Security IT Обнаружение и предотвращение инцидентов ИБ на ранней стадии, уменьшение ущерба Получение актуальной информация о состоянии ИБ и действиях персонала Контроль соответствия требованиям регуляторов Мониторинг состояния ресурсов системы и поиск узких мест Инструмент прогнозирования развития инфраструктуры и обоснования требуемых ресурсов Формирование базы знаний по инцидентам, улучшение показателей SLA Business Уверенность в стабильной работе бизнес-систем Повышение привлекательности для клиентов и инвесторов Дополнительный источник информации при принятии управленческих решений Прозрачность и управляемость Сценарий 1 Задача: контролировать активность сотрудников во внеурочное время Источники данных для правил корелляции: Регламент рабочего времени Список сотрудников в отпуске (из HR системы) Контроль доступа в помещение (СКУД) Информация о запуске/остановке оборудования Информация об изменениях в информационных системах во внерабочее время Результат корелляции: предупреждение о подозрительных действиях определенных сотрудников во внеурочное время Сценарий 2 Задача: отслеживать работоспособность оборудования и доступность бизнес-приложений в удаленных офисах Источники данных для правил корелляции: Регламент использования ресурсов Логи бизнес-систем Система управления ИТ-инфраструктурой Результат корелляции: предупреждение о простое (внерегламентное бездействие и/или выход системы из строя) Основные вендоры SIEM систем Symantec ArcSight Dell (Quest) McAfee Splunk и другие…... Спасибо за внимание Вопросы ? Таран Дмитрий [email protected] +375 (17) 290 71 80