Практические аспекты реализации системы...
DESCRIPTION
Практические аспекты реализации системы информационной безопасности в российских компаниях. Из опыта работы SearchInform НИКОЛАЙ СОРОКИН, Руководитель представительства компании «Searchinform» в СФОTRANSCRIPT
«Спорные вопросы при построении системыинформационной безопасности в компании»
Практические аспектыреализации системы информационной
безопасности в российских компаниях.
Из опыта работы SearchInform
Николай Сорокин
Руководитель представительства компании SearchInform
в Сибирском федеральном округе
www.searchinform.ru
1.7.14
Данный доклад представлен в сентябре 2014 г. в Новосибирске наВторой Всесибирской Конференция с мастер-классом для руководителей служб безопасности
«ЗАЩИТОРГ – 2014».в рамках 23-ой Международной выставки «СибБезопасность / SIPS»
Операто мероприятия: Агентство стратегических коммуникаций ВДАWww.askBDA.ru
Контур информационной безопасности «SearchInform» используется в более, чем в 1500 организациях
России, Украины, Беларуси, Казахстана, Польши
www.searchinform.ru
Офисы компании успешно работают в Москве, Хабаровске, Новосибирске, Екатеринбурге, Казани,
Санкт-Петербурге, Варшаве, Киеве, Минске, Алматы
SearchInform сегодня
Отдел внедрения
www.searchinform.ru
Специфика профессии не побуждает специалистов по информационной безопасности активно делиться определенной информацией друг с другом .
Зато они делятся ею с нами. Специалисты SearchInform подобны докторам: мы не заинтересованы в распространении информации, о «болячках». Мы заинтересованы в решении проблемы.
Отдел внедрения
www.searchinform.ru
Таким образом, за счет работы с более чем 1500 клиентов из различных направлений бизнеса, со временем у нас накопилась уникальная база «обезличенных» кейсов.
Эта база знаний – наш ответ на вопрос «с чего начать?»
Приобретая DLP-систему нужно использовать ее возможности на 100%.
Учебный центр
www.searchinform.ru
С мая 2013 года компания открыла собственный учебный центр, где проводит обучение по программе
«Практика применения DLP-систем».
За это время мы подготовили более 600 специалистов.
Сотрудничество с вузами:
Выпускники вузов не оправдывают ожидания работодателей, так как не имеют практического опыта в сфере ИБ и опыта работы с DLP-системами.
SearchInform – единственная российская компания-разработчик системы обес-печения ИБ, которая участвует в под-готовке квалифицированных молодых специалистов по информационной безопасности.
Мы бесплатно предоставляем заинтересованнымвузам наше решение для подготовки специалистов, умеющих работать с реальным продуктом.
www.searchinform.ru
www.searchinform.ru
Зачастую компании для предотвращения утечек информации запрещают сотрудникам использовать удобные и популярные каналы ее передачи и общения с внешним миром.
Например, для безопасности обычно разрешено использовать только корпоративную электронную почту, а такие средства как ICQ, Skype запрещены, несмотря на то, что они во многих случаях могли бы существенно увеличить эффективность работы.
Современная система информационной безопасности должна позволять сотруднику использовать все каналы для передачи информации, и вместе с тем перехватывать и анализировать информационные потоки, идущие по этим каналам.
Информационная безопасность должнаспособствовать бизнесу, а не препятствовать ему
Все каналы передачи информациидолжны быть открытыми
www.searchinform.ru
В мультфильме «Волшебник Изумрудного города» на границе страны стояли ворота, которые охранял большой страшный волк – никто не мог пройти. Вот только вся остальная граница была лишь нарисована…
Информационная безопасность – это контроль всех каналов передачи информации
Так и с информационной безопасностью. Если, например, запретить только запись информации на флешки, диски и другие носители, то данные будут благополучно уходить через электронную почту или интернет-пейджеры.
Также, например, бытует мнение, что перехватить информацию, передаваемую в Skype, нельзя. Именно поэтому пользователи намного свободнее общаются в Skype на рабочем месте, чем в других интернет-мессенджерах. В связи с этим непременно следует контролировать текстовые и голосовые сообщения, а также файлы, передаваемые в Skype.
Реализация комплексной политики информационной безопасности невозможна при наличии хотя бы одного неконтролируемого службой
безопасности канала потенциальных утечек.
Контур информационной безопасности SearchInform
www.searchinform.ru
Один в поле не воин?
Даже если информация успешно перехвачена, она бесполезна до тех пор, пока не будет проанализирована. Читать всё «по-старинке» нерационально. При таком подходе один офицер безопасности хорошо, если способен охватить 20-50 человек. А если сотрудников несколько сотен или тысяч?
Преимуществом «Контура информационной безопасности SearchInform» является способность к автоматическому анализу информации с помощью различных поисковых алгоритмов и автоматическая отработка заданных политик безопасности.
Таким образом, при использовании «Контура» один офицер безопасности может контролировать 1000-1500 сотрудников.
www.searchinform.ru
Доменные имена
www.searchinform.ru
Интеграция с доменной системой Windows дает возможность достоверно связать совершённое действие с конкретным компьютером и конкретным пользователем, из-под учётной записи которого оно произошло.
www.searchinform.ru
Распознавание ухищрений инсайдеров
Зачастую недобросовестные сотрудники, пытаясь обмануть службу безопасности, передают
информацию в графическом виде или, например, в зашифрованном архиве.
Для полноценного контроля необходимо:
• распознавать текст в графических файлах и осуществлять поиск по нему;
• обнаруживать передачу зашифрованных архивов по всем каналам возможной утечки информации;
• выявлять пересылку файлов с измененным типом.
Обсуждение внутренней жизни компании сегодня происходит не только в курилке, но и в социальных сетях, скайпе, микроблогах и т.д.
Появление в открытом доступе негативных отзывов или внутренней информации компании может существенно повлиять на ее имидж и сказаться на лояльности клиентов.
www.searchinform.ru
Социальные сети форумы блоги, мессенджеры
Кроме того, не стоит забывать о силе
«сарафанного радио».
www.searchinform.ru
Вопреки корпоративным инструкциям, многие сотрудники используют для рабочих целей личную почту, в первую очередь Gmail. Будучи уверенными в её защищённости, некоторые недобросовестные работники показывают своё «истинное лицо», ведя переписку с конкурентами, подыскивая себе дополнительный заработок и т.д.
Контроль входящей защищенной почты Gmail
Контроль Gmail, в том числе входящих сообщений, позволяет перехватывать всю цепочку общения, а не только письма одной стороны. Даже если сотрудник использует Gmail с телефона, как только он зайдёт в ящик с помощью корпоративного компьютера, вся переписка будет перехвачена.
Важно отслеживать коммуникативные связи
между работниками, выявлять неформальных
лидеров в коллективе,а также контролировать общение сотрудников с бывшими коллегами.
Утечки информации и способы их предотвращения
www.searchinform.ru
Разграничение прав доступа
www.searchinform.ru
Каждый из компонентов контура информационной безопасности предприятия согласуется с единой системой
разграничения прав доступа. Система обладает рядом гибких настроек и позволяет выстроить
иерархию доступа к конфиденциальной информации любым образом.
Все компоненты системы имеют клиент-серверную структуру.
Серверная – это одна из платформ для перехвата данных – SearchInform NetworkSniffer либо SearchInform EndpointSniffer, и клиентские приложения, предназначенные для работы с базой перехваченных данных и проведения служебных расследований.
Использование единого поискового аналитического движка позволяет в полной мере использовать все перечисленные поисковые возможности.
SearchInform NetworkSniffer - платформа для перехвата данных на уровне зеркалируемого трафика, т.е. NetworkSniffer обрабатывает трафик, не влияя на работу корпоративной сети.
Перехватываются данные, пересылаемые пользователями по популярным сетевым протоколам и каналам (SMTP, POP3, IMAP, HTTP, HTTPs, MAPI, ICQ, JABBER, MSN) на уровне локальной сети.
Платформа включает в себя следующие продукты:
www.searchinform.ru
Архитектура системы
SearchInform EndpointSniffer - платформа для перехвата трафика посредством агентов.
Дополнительно позволяет контролировать сотрудников, находящихся за пределами корпоративной сети - они могут свободно передать конфиденциальные данные с ноутбука третьим лицам.
SearchInform EndpointSniffer собирает отправленные данные и передает их для анализа отделу ИБ, как только лэптоп выходит в Сеть.
Преимущества работы агентов IMSniffer и MailSniffer на платформе SearchInform EndpointSniffer в том, что они обладают повышенной устойчивостью к различным сбоям (даже если сервера станут недоступными, перехват будет осуществляться), способны перехватывать и те данные, которые передаются по защищенным протоколам.
SearchInform EndpointSniffer-агенты:
Архитектура системы
www.searchinform.ru
У каждой компании, вне зависимости от сферы ее деятельности, есть свои «секреты», требующие защиты.
Необходимо контролировать движение в корпоративной сети и доступ к документам, содержащим:
список фамилий;
список компаний-партнеров;
товарные позиции.
www.searchinform.ru
Утечки информации и способы их предотвращения
Как показывает практика работы SearchInform с клиентами, некоторых сотрудников компании необходимо включать
в «группу риска», к которой могут быть отнесены:
1. Сотрудники, замеченные в нарушении политик ИБ.
2. Сотрудники, использующие в работе различные «трюки» (переименованные конфиденциальные файлы, запароленные архивы и т.д.).
3. Нелояльные сотрудники (негативные отзывы о руководстве, о компании и т.д.).
4. Сотрудники, которые по каким-то причинам начали саботировать работу.
5. Сотрудники, имеющие отношение к движениям финансов и товаров, а также часть менеджеры среднего звена (руководители департаментов).
www.searchinform.ru
Утечки информации и способы их предотвращения
Общие практики
Контроль общения с уволившимися сотрудниками
Отслеживания неформальных лидеров и всплесков активности
Мониторинг активности 1‑2% персонала организации за прошедший месяц.
www.searchinform.ru
Утечки информации и способы их предотвращения
В среднем их количество составляет 0,2-1% от общего числа в течение 3-4 месяцев после внедрения DLP-системы.
www.searchinform.ru
Оценка эффективности внедрения DLP
DLP – не панацея от всех болезней, а удобный инструмент для эффективной работы службы безопасности компании.
Оценкой эффективности работы СБ с «Контуром информационной безопасности SearchInform», по нашему опыту, может служить количество уволенных сотрудников.
www.searchinform.ru
1. Простота и скорость внедрения. Процесс инсталяции зани-мает всего несколько часов и не влияет на функционирование существующих информационных систем внутри компании.
Преимущества Контура информационной безопасности SearchInform
2. Возможность контроля всех каналов передачи информации, включая Skype, социальные сети, принтеры, а также работу пользователей на файл-серверах.
3. Функция «поиск похожих». Позволяет собственными силами быстро и гибко настроить систему оповещения, не привлекая сторонних специалистов. При этом для эффективной защиты конфиденциальных данных необходимы минимальные трудозатраты на анализ информационных потоков.
4. Полная интеграция с доменной структурой Windows позволяет достоверно идентифицировать пользователя.
5. Расширенные поисковые возможности позволяют эффективно защищать конфиденциальные данные при минимальных трудозатратах на анализ информационных потоков (достаточно 1 «безопасника» для контроля 1000 – 1500 рабочих станций в организации).
1. DLP это недорого. Как правило, стоимость внедрения DLP на одного сотрудника = стоимости затрат на чай, кофе и новогодний корпоратив.
2. DLP это не траты, а возвратные инвестиции. DLP экономит деньги на завышении цен при закупках, минимизации репутационных рисков, на «сливе» баз клиентов и партнеров и т.д.
3. «Не ждите с моря бюджета». Защита информации не терпит отлагательств, как и замена сломанного дверного замка.
4. Информация, хранящаяся на компьютере сегодня, всегда дороже самого компьютера, поэтому траты на информационную безопасность должны быть не меньше, чем на физическую.
www.searchinform.ru
Как убедить собственника в необходимости DLP
Сохранностьконфиденциальных данных
Вашей компаниизависит от Вас!
www.searchinform.ru