searchinform: практические аспекты реализации системы ИБ
TRANSCRIPT
«Спорные вопросы при построении системыинформационной безопасности в компании»
Практические аспектыреализации системы информационной
безопасности в российских компаниях.
Из опыта работы SearchInform
www.searchinform.ru#CODEIB
Контур информационной безопасности «SearchInform» используется в более, чем в 1500 организациях
России, Украины, Беларуси, Казахстана, Польши
www.searchinform.ru
Офисы компании успешно работают в Москве, Хабаровске, Новосибирске, Екатеринбурге, Казани,
Санкт-Петербурге, Варшаве, Киеве, Минске, Алматы
SearchInform сегодня
#CODEIB
Отдел внедрения
www.searchinform.ru
Специфика профессии не побуждает специалистов по информационной безопасности активно делиться определенной информацией друг с другом .
Зато они делятся ею с нами. Специалисты SearchInform подобны докторам: мы не заинтересованы в распространении информации, о «болячках». Мы заинтересованы в решении проблемы.
#CODEIB
Отдел внедрения
www.searchinform.ru
Таким образом, за счет работы с более чем 1500 клиентов из различных направлений бизнеса, со временем у нас накопилась уникальная база «обезличенных» кейсов.
Эта база знаний – наш ответ на вопрос «с чего начать?»
Приобретая DLP-систему нужно использовать ее возможности на 100%.
#CODEIB
Преимущества отдела внедрения
www.searchinform.ru
• Менеджер, закрепленный именно за вашей компанией, который вас полностью поддерживает, решает все ваши проблемы и отстаивает ваши интересы.
• Информирование обо всех актуальных новостях, связанных с «Контуром информационной безопасности SearchInform» и его использованием.
• Участие сотрудников отдела внедрения в работе Учебного центра. Вам не просто расскажут о том, как создать политику безопасности для решения той или иной задачи, а приведут примеры ее реального использования, подводные камни и прогнозируемые результаты.
#CODEIB
Учебный центр
www.searchinform.ru
С мая 2013 года компания открыла собственный учебный центр, где проводит обучение по программе
«Практика применения DLP-систем».
За это время мы подготовили более 600 специалистов.
#CODEIB
www.searchinform.ru
Зачастую компании для предотвращения утечек информации запрещают сотрудникам использовать удобные и популярные каналы ее передачи и общения с внешним миром.
Современная система информационной безопасности должна позволять сотруднику использовать все каналы для передачи информации, и вместе с тем перехватывать и анализировать информационные потоки, идущие по этим каналам.
Информационная безопасность должнаспособствовать бизнесу, а не препятствовать ему
Все каналы передачи информациидолжны быть открытыми
#CODEIB
Контур информационной безопасности SearchInform
www.searchinform.ru#CODEIB
Один в поле не воин?
Даже если информация успешно перехвачена, она бесполезна до тех пор, пока не будет проанализирована. Читать всё «по-старинке» нерационально. При таком подходе один офицер безопасности хорошо, если способен охватить 20-50 человек. А если сотрудников несколько сотен или тысяч?
Преимуществом «Контура информационной безопасности SearchInform» является способность к автоматическому анализу информации с помощью различных поисковых алгоритмов и автоматическая отработка заданных политик безопасности.
Таким образом, при использовании «Контура» один офицер безопасности может контролировать 1000-1500 сотрудников.
www.searchinform.ru#CODEIB
Доменные имена
www.searchinform.ru
Интеграция с доменной системой Windows дает возможность достоверно связать совершённое действие с конкретным компьютером и конкретным пользователем, из-под учётной записи которого оно произошло.
#CODEIB
www.searchinform.ru
Элементы «Контура информационной безопасности»
Контроль ноутбуков
MicrophoneSniffer – позволяет при включенном ноутбуке записывать разговоры вокруг или прослушивать их в режиме реального времени.
SearchInform позволяет полноценно контролировать ноутбуки по всем каналам, даже когда они находятся за пределами корпоративной сети.
Агент EndpointSniffer тщательно скрывает свое присутствие на лэптопе, и обнаружить его непросто даже квалифицированному специалисту. Он собирает отправленные данные, которые будут переданы для анализа отделу ИБ сразу же, как только лэптоп обнаружит соединение с сетью.
#CODEIB
www.searchinform.ru
Элементы «Контура информационной безопасности»
Контроль рабочего времени сотрудников Наряду с защитой конфиденциальной информации компании и борьбой с инсайдерством, важной задачей сегодня является выяв-ление неэффективных сотрудников. Иначе говоря, бездельников.
ProgramSniffer – модуль, входящий в «Контур инфор-мационной безопасности SearchInform – помогает решить эту задачу, предо-ставляя сотруднику СБ отчеты о:
- времени прихода и ухода сотрудника с работы и на работу;- время реальной работы за компьютером;- статистику и время использования приложений.- Времени, проведенном на конкретных сайтах.
#CODEIB
www.searchinform.ru
Распознавание ухищрений инсайдеров
Зачастую недобросовестные сотрудники, пытаясь обмануть службу безопасности, передают
информацию в графическом виде или, например, в зашифрованном архиве.
Для полноценного контроля необходимо:
• распознавать текст в графических файлах и осуществлять поиск по нему;
• обнаруживать передачу зашифрованных архивов по всем каналам возможной утечки информации;
• выявлять пересылку файлов с измененным типом.
#CODEIB
Обсуждение внутренней жизни компании сегодня происходит не только в курилке, но и в социальных сетях, скайпе, микроблогах и т.д.
Появление в открытом доступе негативных отзывов или внутренней информации компании может существенно повлиять на ее имидж и сказаться на лояльности клиентов.
www.searchinform.ru
Социальные сети форумы блоги, мессенджеры
Кроме того, не стоит забывать о силе
«сарафанного радио».
#CODEIB
www.searchinform.ru
Вопреки корпоративным инструкциям, многие сотрудники используют для рабочих целей личную почту, в первую очередь Gmail. Будучи уверенными в её защищённости, некоторые недобросовестные работники показывают своё «истинное лицо», ведя переписку с конкурентами, подыскивая себе дополнительный заработок и т.д.
Контроль входящей защищенной почты Gmail
Контроль Gmail, в том числе входящих сообщений, позволяет перехватывать всю цепочку общения, а не только письма одной стороны. Даже если сотрудник использует Gmail с телефона, как только он зайдёт в ящик с помощью корпоративного компьютера, вся переписка будет перехвачена.
#CODEIB
Важно отслеживать коммуникативные связи
между работниками, выявлять неформальных
лидеров в коллективе,а также контролировать общение сотрудников с бывшими коллегами.
Утечки информации и способы их предотвращения
www.searchinform.ru#CODEIB
www.searchinform.ru
Раскрывая факт присутствия налаженной системы контроля над информационными потоками в организации посредством блокировки исходящего трафика, мы собственноручно мотивируем инсайдера на поиск обходных путей передачи конфиденциальных данных компании третьим лицам. Другой дело, если речь идёт о документах, потеря которых может нанести непоправимый ущерб финансовому благополучию компании.
Блокировка исходящего трафика:вред или польза?
#CODEIB
ИТ или ИБ?
Как показывает практика работы SearchInform, информа-ционная безопасность в компании организована наилучшим образом в случае, когда работа ИТ- и ИБ-отделов разграничена. У каждого из этих подразделений свои задачи.
Идеальным вариантом взаимодействия этих отделов при отсутствии в компании квалифицированного «безопасника» является привлечение к постоянной работе в ИБ-подразделении доверенного IT-специалиста.
www.searchinform.ru#CODEIB
Три кита ИБ
Предотвращение утечек:
Задача ИБ-системы состоит не только, и не столько, в том, чтобы зафиксировать сам факт утечки, но в предотвращении инцидента на стадии созревания негативного намерения у потенциального инсайдера (инсайдеров).
Работа с коллективом:
DLP-система отслеживает настроения в коллективе путем мониторинга сообщений сотрудников в интернет-мессенджерах (Skype, ICQ и т.д.) и соцсетях в рабочее время.
Оптимизация работы:
С помощью DLP-системы можно контролировать реакцию коллектива на нововведения и в соответствии с ней эффективно корректировать внутреннюю политику предприятия.
www.searchinform.ru#CODEIB
Разграничение прав доступа
www.searchinform.ru
Каждый из компонентов контура информационной безопасности предприятия согласуется с единой системой
разграничения прав доступа. Система обладает рядом гибких настроек и позволяет выстроить
иерархию доступа к конфиденциальной информации любым образом.
#CODEIB
Все компоненты системы имеют клиент-серверную структуру.
Серверная – это одна из платформ для перехвата данных – SearchInform NetworkSniffer либо SearchInform EndpointSniffer, и клиентские приложения, предназначенные для работы с базой перехваченных данных и проведения служебных расследований.
Использование единого поискового аналитического движка позволяет в полной мере использовать все перечисленные поисковые возможности.
SearchInform NetworkSniffer - платформа для перехвата данных на уровне зеркалируемого трафика, т.е. NetworkSniffer обрабатывает трафик, не влияя на работу корпоративной сети.
Перехватываются данные, пересылаемые пользователями по популярным сетевым протоколам и каналам (SMTP, POP3, IMAP, HTTP, HTTPs, MAPI, ICQ, JABBER, MSN) на уровне локальной сети.
Платформа включает в себя следующие продукты:
www.searchinform.ru
Архитектура системы
#CODEIB
SearchInform EndpointSniffer - платформа для перехвата трафика посредством агентов.
Дополнительно позволяет контролировать сотрудников, находящихся за пределами корпоративной сети - они могут свободно передать конфиденциальные данные с ноутбука третьим лицам.
Преимущества работы агентов IMSniffer и MailSniffer на платформе SearchInform EndpointSniffer в том, что они обладают повышенной устойчивостью к различным сбоям (даже если сервера станут недоступными, перехват будет осуществляться), способны перехватывать и те данные, которые передаются по защищенным протоколам.
SearchInform EndpointSniffer-агенты:
Архитектура системы
www.searchinform.ru#CODEIB
www.searchinform.ru
MailSnifferЭлектронная почта – один из наиболее опасных каналов утечек, так как поддерживается пересылка больших объемов данных. Поддерживаются протоколы SMTP, POP3, MAPI, IMAP.
HTTPSnifferВозможны утечки информации в социальные сети, блоги, на форумы, а также через Web-приложения для отправки электронной почты и SMS, Web-чаты.
CloudSnifferОблачные хранилища предназначены для хранения больших объёмов информации. Дополнительную опасность представляет автоматическая синхронизация хранилищ с устройствами работника. Следует контролировать такие сервисы, как: Dropbox, Google Drive, Office 365 и др.
Перехват интернет-трафика
SearchInform NetworkSniffer позволяет осуществлять перехват информации, передаваемую через интернет. Поддерживаются все распространенные протоколы, которые могут использоваться инсайдерами. Предлагается поддержка прокси-серверов - как программных (Kerio, Squid и т.д.), так и аппаратных (BlueCoat, IronPort и т.д.) - через стандартный протокол ICAP.
Элементы «Контура информационной безопасности»
#CODEIB
www.searchinform.ru
FTPSnifferЭтот протокол - важнейшее средство передачи больших объемов данных, и может использоваться недобросовестными сотрудниками для передачи целых баз данных, детализированных чертежей, пакетов отсканированных документов и пр.
Элементы «Контура информационной безопасности»
PrintSnifferЭтот модуль контролирует содержимое документов, отправленных на печать. Все данные перехватываются, содержимое файлов индексируется и хранится в базе заданный промежуток времени.Отслеживая документы, напечатанные на принтере, можно не только предотвращать попытки хищения информации, но также оценить целесообразность использования принтера каждым сотрудником и избежать перерасхода бумаги и тонера.
ADSnifferКонтроль и анализ событий журналов Active Directory позволяет выявлять подозрительные действия, которые могут совершаться системным администратором компании. ADSniffer позволяет отслеживать и сохранять в свою базу данных только те события, которые представляют потенциальную угрозу безопасности системы.
#CODEIB
SkypeSniffer«Контур информационной безопасности SearchInform» является первым решением в области информационной безопасности, обеспечившим перехват не только голосовых и текстовых сообщений, но и файлов, передаваемых через Skype.
IMSniffer (перехват служб мгновенного обмена сообщениями)
Поддерживаются протоколы ICQ, MSN, Mail.ru Агент, JABBER, активно используемые офисными работниками.
www.searchinform.ru
Элементы «Контура информационной безопасности»
ViberSnifferЕдинственное решение, позволяющее осуществлять полный контроль Viber. Перехватываются чаты, звонки, отправляемые файлы, контакты.
#CODEIB
www.searchinform.ru
DeviceSniffer – программа, выполняющая аудит внешних носителей, подключенных к компьютеру (флэшки, компакт-диски, внешние винчестеры), а также перехват записываемых на них файлов благодаря функции «теневого копирования». Предусмотрена возможность шифрования всей информации, записываемой на внешние носителию. С помощью этой программы вы можете избежать утечки больших объемов данных, которые инсайдер переписывает на внешние носители из-за невозможности их передачи по интернету.
MonitorSniffer предназначен для снятия снимков и видеозаписи экранов рабочих станций сотрудников и сохранения полученной информации в базе данных. Поддерживается контроль экрана одного или нескольких пользователей в режиме реального времени, можно отслеживать состояние экранов пользователей терминальных серверов, работающих по RDP-соединению (протоколу удаленного рабочего стола).
Элементы «Контура информационной безопасности»
#CODEIB
www.searchinform.ru
Индексация рабочих станций позволяет реального времени отслеживать появление, копирование, перемещение и удаление конфиденциальной информации на рабочих станциях пользователей. Подобный аудит пользовательских компьютеров во всей локальной сети предприятия позволит вовремя обнаружить сотрудника, собирающегося передать закрытые корпоративные документы третьим лицам.
FileSniffer контролирует работу пользователей на общих сетевых ресурсах, которые содержат большие объемы конфиденциальных данных, не предназначенных для распространения за пределами компании. Копируя документы с этих ресурсов, сотрудники могут торговать корпоративными секретами. SearchInform FileSniffer позволяет контролировать все операции с файлами на общедоступных сетевых ресурсах, защищая информацию, находящуюся на них.
Элементы «Контура информационной безопасности»
#CODEIB
www.searchinform.ru
Различные варианты внедрения контура при наличии множества офисов
#CODEIB
Словари синонимов
Совместно с одной из мэрий был разработан антикоррупционный словарь синонимов. Фигурировала в том числе и «откатная» тематика.
Политики «Контура информационной безопасности SearchInform» настроены таким образом, что срабатывают
на определенные слова-синонимы (деньги, бабки, капуста).
www.searchinform.ru
Утечки информации и способы их предотвращения
#CODEIB
Нецензурные и негативные слова
Мат + негативные слова вместе с фамилиями топ менеджмента и названием компании дают пищу для размышлений о лояльности
сотрудников.
www.searchinform.ru
Утечки информации и способы их предотвращения
#CODEIB
«Боковички»
Выявление учредительных доку-ментов и выписок ЕГРЮЛ, не относящихся к деятельности ком-пании, свидетельствует о том, что кто-то из сотрудников организовал либо принимает участие в работе так называемых «боковых схем».
www.searchinform.ru
Утечки информации и способы их предотвращения
#CODEIB
У каждой компании, вне зависимости от сферы ее деятельности, есть свои «секреты», требующие защиты.
Необходимо контролировать движение в корпоративной сети и доступ к документам, содержащим:
список фамилий;
список компаний-партнеров;
товарные позиции.
www.searchinform.ru
Утечки информации и способы их предотвращения
#CODEIB
Как показывает практика работы SearchInform с клиентами, некоторых сотрудников компании необходимо включать
в «группу риска», к которой могут быть отнесены:
1. Сотрудники, замеченные в нарушении политик ИБ.
2. Сотрудники, использующие в работе различные «трюки» (переименованные конфиденциальные файлы, запароленные архивы и т.д.).
3. Нелояльные сотрудники (негативные отзывы о руководстве, о компании и т.д.).
4. Сотрудники, которые по каким-то причинам начали саботировать работу.
5. Сотрудники, имеющие отношение к движениям финансов и товаров, а также часть менеджеры среднего звена (руководители департаментов).
www.searchinform.ru
Утечки информации и способы их предотвращения
#CODEIB
Общие практики
Контроль общения с уволившимися сотрудниками
Отслеживания неформальных лидеров и всплесков активности
Мониторинг активности 1 2% персонала организации за ‑прошедший месяц.
www.searchinform.ru
Утечки информации и способы их предотвращения
#CODEIB
В среднем их количество составляет 0,2-1% от общего числа в течение 3-4 месяцев после внедрения DLP-системы.
www.searchinform.ru
Оценка эффективности внедрения DLP
DLP – не панацея от всех болезней, а удобный инструмент для эффективной работы службы безопасности компании.
Оценкой эффективности работы СБ с «Контуром информационной безопасности SearchInform», по нашему опыту, может служить количество уволенных сотрудников.
#CODEIB
www.searchinform.ru
1. Простота и скорость внедрения. Процесс инсталяции зани-мает всего несколько часов и не влияет на функционирование существующих информационных систем внутри компании.
Преимущества Контура информационной безопасности SearchInform
2. Возможность контроля всех каналов передачи информации, включая Skype, социальные сети, принтеры, а также работу пользователей на файл-серверах.
3. Функция «поиск похожих». Позволяет собственными силами быстро и гибко настроить систему оповещения, не привлекая сторонних специалистов. При этом для эффективной защиты конфиденциальных данных необходимы минимальные трудозатраты на анализ информационных потоков.
4. Полная интеграция с доменной структурой Windows позволяет достоверно идентифицировать пользователя.
5. Расширенные поисковые возможности позволяют эффективно защищать конфиденциальные данные при минимальных трудозатратах на анализ информационных потоков (достаточно 1 «безопасника» для контроля 1000 – 1500 рабочих станций в организации).
#CODEIB
www.searchinform.ru
На что обращать внимание при выборе DLP
• Поисковые возможности. Качество и скорость• Аналитические возможности• Полнота охвата контролируемых каналов• Наличие архива перехваченной информации в компактном виде• Тестирование в «боевых условиях» на максимальном количестве пользователей• Конфиденциальность тестирования, внедрения и эксплуатации• Модульность продукта• Наличие сертификата ФСТЭК• Качество и оперативность службы технической поддержки• Наличие, качество и стоимость работы службы внедрения• Наличие учебного центра• Стоимость владения
#CODEIB
Первостепенные критерии
www.searchinform.ru
На что обращать внимание при выборе DLP
• Блокировка передаваемой информации• Перехват в режиме реального времени• Интерфейс• Шифрование• Преднастроенные «из коробки» поисковые критерии и
тематические словари• Контроль личных мобильных устройств сотрудников
(BYOD)
#CODEIB
Второстепенные критерии
1. DLP это недорого. Как правило, стоимость внедрения DLP на одного сотрудника = стоимости затрат на чай, кофе и новогодний корпоратив.
2. DLP это не траты, а возвратные инвестиции. DLP экономит деньги на завышении цен при закупках, минимизации репутационных рисков, на «сливе» баз клиентов и партнеров и т.д.
3. «Не ждите с моря бюджета». Защита информации не терпит отлагательств, как и замена сломанного дверного замка.
4. Информация, хранящаяся на компьютере сегодня, всегда дороже самого компьютера, поэтому траты на информационную безопасность должны быть не меньше, чем на физическую.
www.searchinform.ru
Как убедить собственника в необходимости DLP
#CODEIB
Сохранностьконфиденциальных данных
Вашей компаниизависит от Вас!
www.searchinform.ru#CODEIB