Software Cloud Services DLP – решение для защиты данных и предотвращения промышленного шпионажа. Таран Дмитрий Руководитель направления информационной. - презентация

1 Software Cloud Services DLP – решение для защиты данных и предотвращения промышленного шпионажа. Таран Дмитрий Руководитель направления информационной безопасности +375 (17)

2 По определению Gartner DLP-технология представляет собой набор подходов и методов проверки, позволяющих распознавать и классифицировать информацию, записанную в объекте (например, в сообщении электронной почты, файле, приложении), который хранится в памяти компьютера, находится в использовании или передается по каналам связи, а также динамически применять к этим объектам разные правила, начиная от передачи уведомлений и заканчивая блокировкой. DLP системы предназначены для мониторинга и аудита, для обнаружения и предотвращения пересылки конфиденциальных данных за пределы компании по электронной почте, через сервисы мгновенных сообщений (такие как IСQ и т.д.) и через Web (Web-почта, форумы, чаты и т. п.), а также копирования данных на сменные носители и отправки на печать. Data Loss Prevention или Data Leak Protection Общие сведения

3 Необходимо знать, что защищать. Бухгалтерия Кадры Персональные данные сотрудников Сведения о штатной структуре Сведения о ИТ инфраструктуре Используемые средства защиты Данные о настройках сетевого оборудования Endpoint ИТ служба Данные о зарплате Бухгалтерские ведомости История платежей Список контрагентов Производство Рецепты Ноу хау Чертежи

4 Угрозы утечки конфиденциальной информации Инсайдеры Добропорядочные Инсайдеры Злонамеренные Внешние угрозы

5 Контролируемые каналы утечки конфиденциальной информации Хранилища Сетевые каналы Интернет Почта FTP Интернет пейджеры Локальные диски Сетевые диски Съемные носители Печать Почта Веб Приложения Буфер обмена CD/DVD Endpoint Рабочие станции Файловые сервера Почтовые сервера Документооборот Веб-сервера Базы данных Sharepoint

6 Типовая структура DLP решений

7 Лингвистический анализ информации; Регулярные выражения (шаблоны, словари); Характеристики информации; Цифровые отпечатки; Метки. Основные методы определения конфиденциальной информации

8 Режимы работы DLP Решения: Мониторинг «В линию» (Защита) Что делает DLP : Собирает все факты нарушения заданных политик работы с конфиденциальной информацией (факты + сами данные) Уведомляет Блокирует Что умеет делать DLP?

9 Основные выгоды: Защиту информационных активов и важной стратегической информации компании; Структурированные и систематизированные данные в организации; Прозрачности бизнеса и бизнес-процессов для руководства и служб безопасности; Контроль процессов передачи конфиденциальных данных в компании; Снижение рисков связанных с потерей, кражей и уничтожением важной информации; Соответствие отраслевым стандартам и требованиям законодательства; Сохранение и архивация всех действий связанных с перемещением конфиденциальных данных внутри информационной системы. Вторичные выгоды: Контроль работы персонала на рабочем месте; Экономия Интернет-трафика; Оптимизация работы корпоративной сети; Контроль используемых пользователем приложений; Выявление нелояльных сотрудников; Повышение эффективности работы персонала. Преимущества внедрения систем DLP

10 Symantec InfoWatch Websense McAfee RSA TrendMicro CheckPoint и другие…... Основные вендоры систем DLP

11 Infowatch Использование специального механизма лингвистического анализа Наличие специальных баз контентной фильтрации Symantec Масштабирование (Enterprise решение) Использование различных технологий контроля и предотвращения утечек McAfee Appliance решение Websence Использование словарей с весовыми коэффициентами Devicelock DLP Расширенный набор функций по контролю внешних устройств Особенности систем DLP

12 Software Cloud Services SIEM – универсальный инструмент по контролю за технологическими процессами предприятия.

13 Общие сведения Система управления событиями и инцидентами информационной безопасности Перед системой SIEM ставятся следующие задачи: Консолидация и хранение журналов событий от различных источников Предоставление инструментов для анализа событий и разбора инцидентов. Корреляция и обработка по правилам. Автоматическое оповещение и инцидент-менеджмент.

14 Актульная информация – самый ценный ресурс Как получить актуальную картину происходящего? Какие активы находятся под угрозой? Что предпринять, чтобы исправить ситуацию?

15 Событие как источник информации собирать хранить понимать действовать События для анализа: активность оборудования и программных средств отказы и конфликты совместимости аномальное поведение действия пользователей и администраторов отчеты сторонних систем отсутствие событий нештатная работа оборудования

16 SIEM-система способна выявлять направленные атаки во внутреннем и внешнем периметрах вирусные эпидемии или отдельные вирусные заражения, неудаленные вирусы, бэкдоры и трояны попытки несанкционированного доступа к конфиденциальной информации мошенничество ошибки и сбои в работе информационных систем уязвимости ошибки конфигураций в средствах защиты и информационных системах Использование служебных полномочий в корыстных целях (используя информационные системы или оборудование)

17 Система управления событиями и инцидентами СБОР ХРАНЕНИЕ КОРЕЛЛЯЦИЯ ДЕМОНСТРАЦИЯ и ОТЧЕТНОСТЬ ДЕМОНСТРАЦИЯ и ОТЧЕТНОСТЬ СОБЫТИЯ ПОЛИТИКИ АККАУНТЫ ДАННЫЕ СИСТЕМЫ ИНФРАСТРУКТУРА

18 Централизованный сбор событий и логов систем Возможность балансировки нагрузки Инструменты создания собственных коллекторов Контроль активности пользователей и администраторов Нормализация, приоритезация, хранение Система хранения событий Автоматическая расстановка приоритетов и оценка рисков Корелляция событий и управление инцидентами Иерархическое объединение инцидентов Функционал Help Desk Система управления событиями и инцидентами

19 SIEM - преимущества Security IT Business Обнаружение и предотвращение инцидентов ИБ на ранней стадии, уменьшение ущерба Получение актуальной информация о состоянии ИБ и действиях персонала Контроль соответствия требованиям регуляторов Мониторинг состояния ресурсов системы и поиск узких мест Инструмент прогнозирования развития инфраструктуры и обоснования требуемых ресурсов Формирование базы знаний по инцидентам, улучшение показателей SLA Уверенность в стабильной работе бизнес-систем Повышение привлекательности для клиентов и инвесторов Дополнительный источник информации при принятии управленческих решений Прозрачность и управляемость

20 Сценарий 1 Задача: контролировать активность сотрудников во внеурочное время Источники данных для правил корелляции: Регламент рабочего времени Список сотрудников в отпуске (из HR системы) Контроль доступа в помещение (СКУД) Информация о запуске/остановке оборудования Информация об изменениях в информационных системах во внерабочее время Результат корелляции: предупреждение о подозрительных действиях определенных сотрудников во внеурочное время

21 Сценарий 2 Задача: отслеживать работоспособность оборудования и доступность бизнес-приложений в удаленных офисах Источники данных для правил корелляции: Регламент использования ресурсов Логи бизнес-систем Система управления ИТ-инфраструктурой Результат корелляции: предупреждение о простое (внерегламентное бездействие и/или выход системы из строя)

22 Symantec ArcSight Dell (Quest) McAfee Splunk и другие…... Основные вендоры SIEM систем

23 Вопросы ? Спасибо за внимание Таран Дмитрий +375 (17)