джет dlp или dайте lюдям работать
Post on 11-Jul-2015
548 Views
Preview:
TRANSCRIPT
2009 г.
DLP
или
Dайте Lюдям Работать
Владимир Резникrvv@jet.ua
© 2009 Инфосистемы ДжетЦентр информационной безопасности
С чего всѐ начиналось
© 2009 Инфосистемы ДжетЦентр информационной безопасности
Интернет во благо или во вред?
• Интернет – социальное явление
• Когда сотрудник идѐт на работу – он идѐт
к точке доступа в Интернет
• Интернет позволяет оперативно
обмениваться большими объѐмами
информации
• Интернет позволяет экономить и тратить
время, зарабатывать и терять деньги
• Цели работника не всегда соответствуют
целям работодателя
© 2009 Инфосистемы ДжетЦентр информационной безопасности
Служба безопасности и Интернет
• Баланс между крайностями
• Закрыть всѐ никаких утечек… по крайней мере – по обычным
каналам, которые можно контролировать
невозможно нормально работать с окружающим
миром, т.к. электросвязь – стандарт
пользователи найдут альтернативные каналы (у
каждого в кармане - мобильный)
• Открыть всѐ, расследовать инциденты
«пост-фактум» легче общаться и получать информацию – можно
работать эффективнее
сотрудники пользуются обычными каналами, и
оставляют «следы», которые можно найти
то, что ушло уже не вернѐшь
© 2009 Инфосистемы ДжетЦентр информационной безопасности
Каналы связи – и каналы утечки
Public WiFi
(Golden Wifi)
usb connect
usb/com
VOIP
ssh_fs
ssl_vpn
ipsecvpn
pptp
GSM/GPRS
BLogs
IM
FTP wiki
WebMails
Social
Networks sms_http
HTTPVPN
WIFI
© 2009 Инфосистемы ДжетЦентр информационной безопасности
Сложно расследовать инциденты?
• Приходится анализировать большой объѐм
информации• неструктурированной, лежащей в разных местах
• не всегда понятно, что искать
• утечку нашли – а как найти инсайдера и его сообщников?
• компьютер не знает, кто за ним сидит – как доказать?
• Огромное количество рутинной работы
• Человеческий фактор• вычитывать по нескольку Мб текстов в день – нереально
• принятие решений – субъективно
• масштабы работы таковы, что скрыть их
нельзя, пользователи узнают, что их
контролируют, инсайдеры становятся осторожнее
• История одной телекоммуникационной компании• 1 неприятный факт, 5 тыс. пользователей, 4 суток работы
© 2009 Инфосистемы ДжетЦентр информационной безопасности
Что такое DLP
• DLP - Data leak prevention - Предотвращение утечки данных.
• DLP - Data loss prevention - Предотвращение потери данных.
• IPC - Information protection and control – Защита и контроль
информации.
• ILP - Information leak prevention - Предотвращение утечки
информации.
• ILP - Information leak protection – Защита от утечек
информации.
• ILDP - Information leak detection and prevention -
Обнаружение утечек и их предотвращение.
• CMF - Content monitoring and filtering – Контроль и
фильтрация контента.
• EPS - Extrusion prevention system – Система предотвращения
утечек.
© 2009 Инфосистемы ДжетЦентр информационной безопасности
Суть DLP систем
• Технология предотвращения утечек
конфиденциальной информации из информационной
системы вовне, включающая
• Волю, желание и возможности топ-менеджмента
организации
• идеологию защиты (политика, требования
внутренних и внешних нормативных документов),
• программно-аппаратный комплекс
предотвращения утечек,
• специально обученных сотрудников (офицеры
безопасности, администраторы безопасности)
© 2009 Инфосистемы ДжетЦентр информационной безопасности
Что даѐт DLP
Как лучше защитить их от
потери?
Как они
используются?
Где ваши конфиденциальные
данные?
© 2009 Инфосистемы ДжетЦентр информационной безопасности
Как всѐ знать так, чтобы другие не знали
Идеальная система контроля
• легко устанавливается и настраивается, требует
минимального администрирования
• показывает администратору только те факты, которые
свидетельствуют об утечке, и при этом практически не
ошибается
• имеет сенсоры, которые обеспечивают контроль всех
возможных каналов утечки, причѐм незаметный для
пользователей
• ведѐт архив фактов, чтобы можно было анализировать то, что
уже произошло, выделять тренды, строить отчѐты и прогнозы
• обеспечивать доказательную базу, если дело дойдѐт до
увольнения и суда
© 2009 Инфосистемы ДжетЦентр информационной безопасности
Что хочет украинский заказчик от DLP
• Решение должно быть простое в управление и
администрировании, данное требование связано с отсутствием или
большой загруженностью (недостатком) квалифицированных кадров в
отделах ИБ.
•
• Система должна быть комплексной, то есть содержать в себе
полный спектр средств управления и предотвращения возможных
инцидентов, требование связано с трудностями выделения бюджетов
на модернизацию существующих программных комплексов, которые
уже установлены но не могут выполнять свои функции из-за отсутствия
функционала или лицензионных ограничений.
•
• Система должна быть максимально масштабируемой, требования
связано с постоянно растущими кадрами на предприятиях и
непрерывно изменяемыми политиками ИБ.
© 2009 Инфосистемы ДжетЦентр информационной безопасности
Система должна контролировать периметр
© 2009 Инфосистемы ДжетЦентр информационной безопасности
Что конкретно нужно контролировать
• исходящая электронная почта (SMTP, ESMTP/TLS);
• исходящий веб-трафик и социальные сети
(HTTP,HTTPS/FTP);
• внутренняя электронная почта (Exchange, Domino,
Lotus);
• веб-почта и системы мгновенного обмена
сообщениями (Gmail.com, Mail.ru, Skype, MSN
Messenger, ICQ и другие);
• сетевая печать и копирование данных на съемные
носители;
• выборки из базы данных с целью
несанкционированной передачи конфиденциальных
данных;
© 2009 Инфосистемы ДжетЦентр информационной безопасности
• Система должна поддерживать плавный переход на новые
версии ПО или перенос на изменяемое аппаратное обеспечение,
требование связано с устареванием или выходом из строя серверов,
сменой аппаратной(x86, x86-64, Risc) или программной базы (Windows,
Linux, Solaris), а также с необходимостью включения исправлений в
функционирующее ПО с максимально короткими сроками простоя.
•
• Результаты работы системы должны быть максимально
наглядны, требование связано с необходимостью непрерывного
формирования статистических данных и отчетов работы ПО, а также
последующим принятием решений по собранным результатам.
•
• Система должна поддерживать территориально распределенную
структуру предприятия, частое наличие множества филиалов
предприятия находящихся по всей стране или за еѐ пределами.
© 2009 Инфосистемы ДжетЦентр информационной безопасности
• Система должна поддерживать территориально
распределенную структуру предприятия, при наличии
филиалов предприятия находящихся по всей стране или за еѐ
пределами.
•
• Система должна обладать множеством стандартных схем
функционирования, что связано с требованием обнаружения
утечек характерной отраслевой информации, а также
проведения внедрения системы в кратчайшие сроки с
минимальным привлечением специалистов со стороны
заказчика.
•
• Система должна иметь возможность разграничения ролей
принятия решений в процессе разбора возможных
инцидентов, - связано с требованием этапности прохождения
разбора происшествия.
© 2009 Инфосистемы ДжетЦентр информационной безопасности
• Система должна быть хорошо адаптированной к
функционированию в мульти-языковой среде, требование связано
с ведением международных переписок в повседневной жизни
предприятия.
•
• Система должна содержать средства приведения политик ИБ к
соответствию международным стандартам, требование связано с
необходимостью прохождения многих предприятий проверок на
соответствие стандартам безопасности (пример PCI DSS для банков).
•
• Система должна помогать планомерному снижению возникающих
инцидентов ИБ на предприятии.
•
• Система должна иметь региональную службу поддержки с
возможностью непосредственного общения технических специалистов
заказчика и специалистов службы сопровождения, требование
связанно с критичностью простоя DLP систем.
© 2009 Инфосистемы ДжетЦентр информационной безопасности
Тонкости эксплуатации
Чтобы обеспечить целостную защиту и
лѐгкость эксплуатации, нужно:• дополнить существующие системы, чтобы они
контролировали все каналы, и интегрировать их
между собой
• внедрить единое DLP-решениеИ/ИЛИ
• У Вас уже есть системы контроля
• Это существенно лучше, чем ничего
• Эксплуатировать сложнее, чем
хотелось бы:• контролируются не все каналы
• нужно настраивать одну и ту же политику ИБ
в нескольких местах
• следы утечки оставлены в нескольких
системах - трудно свести в единую картину
• правовые аспекты контроля данных
© 2009 Инфосистемы ДжетЦентр информационной безопасности
Пассивный или активный контроль?
Пассивный контроль Активный контроль
не влияет на работу пользователей
сотрудники пользуются обычными каналами, и
оставляют «следы», которые можно найти
то, что ушло уже не вернѐшь
позволяет предотвратить часть утечек
мешает пользователям работать, заставляет
их пользоваться неконтролируемыми каналами
сложно эксплуатировать, нужна дежурная
смена
Позволяет выявить значительную часть
инсайдеров, но пропускает некоторую часть
утечек
Позволяет предотвратить некоторую часть
утечек «по неосторожности», но инсайдеры
быстро учатся его обходить
Dайте Lюдям Pаботать –
найти инсайдеров важнее, чем предотвратить часть утечек
© 2009 Инфосистемы ДжетЦентр информационной безопасности
Контроль утечек: компания №1
• Телекоммуникационная компания
• не обращали на инциденты внимания, пока
один из их сотрудников не опубликовал на
форуме высказывания, порочащие одного
из топ-менеджеров
• пассивный перехват данных, направляемых
в Интернет
• 5 тыс. пользователей
• внедрение - 40 рабочих дней
© 2009 Инфосистемы ДжетЦентр информационной безопасности
Контроль утечек: компания №2
• Компания, работающая в розничной
торговле
• мониторинг SMTP, HTTP, ICQ без активной
фильтрации, чтобы не связываться со сложной
политикой и дежурной сменой администраторов
безопасности
• система мониторинга, анализа и архивирования
web-почты, форумов, file upload, SMTP, POP3
• 2 тыс. пользователей (с расширением до 10 тыс.)
• внедрение - 60 рабочих дней
© 2009 Инфосистемы ДжетЦентр информационной безопасности
Предлагаемое решение
АдресатОтправитель
Сервер
сообщения
АрхивПерехват
Копия
Точка
перехвата
Администратор
безопасности
© 2009 Инфосистемы ДжетЦентр информационной безопасности
Почему Инфосистемы Джет
• Нами разработана и совершенствуется собственная DLP система.
•
• DLP система Дозор-Джет — единственная система данного класса
рассчитанная на анализ и длительное хранение почтового архива.
•
• У нас есть огромный опыт и высочайшая компетенция в работах по
внедрению и сопровождению систем защиты конфиденциальной
информации от случайных и намеренных утечек.
•
• Инфосистемы Джет разработало систему архивирования веб-почты и
социальных сетей не имеющую аналогов по скорости обработки
непрерывно поступающих входящих данных.
•
• В нашем коллективе собраны лучшие сертифицированные специалисты по
всем лидирующим DLP системам мира.
•
• При внедрение любой DLP системы мы всегда производим комплексный
подход решения задач заказчика
© 2009 Инфосистемы ДжетЦентр информационной безопасности
Отвечу на вопросы
МЫ ЗНАЕМ О DLP СИСТЕМАХ ВСЁ!
СПАСИБО ЗА ВНИМАНИЕ
Владимир Резник,
Компания «Инфосистемы Джет»
rvv@jet.ua
top related