Обзор методов контроля за перемещением конфиденциальных данных

1. Обзор методов контроля за перемещением конфиденциальных данных Вениамин Левцов, Директор по развитию направления Информационная безопасность

2. Как защититься от инсайдеров О компании • Компания LETA более 4-х лет занимается внедрением систем по предотвращению утечек информации • ILDP системы: 17 проектов • По различным аспектам борьбы с утечками: 40 проектов • Компания #1 по рейтингу CNews в сфере построения систем защиты от инсайдеров в 2007 году • Компания #4 по рейтингу CNews Security 2006: крупнейших ИТ-компании России в сфере защиты информации • Сертификаты и лицензии на деятельность в области защиты информации: ФСТЭК России ФСБ России

3. Как защититься от инсайдеров О компании • Партнерские отношения: • Ежегодные исследования рынка ILDP в России на сайте www.leta.ru

4. Как защититься от инсайдеров Основные темы • Контентная фильтрация • Цифровые отпечатки • Метки документов + локальный агент • Мониторинг запросов к базам данных • IRM – разделение прав доступа к документам • Контроль утечек структурированных данных • Противодействие примитивному "шифрованию"

5. Как защититься от инсайдеров Настройка системы контентного анализа Дерево категорий Задается порог толерантности Категория 1 Категория 2 Категория 3 Определяются «ключевые» термины Определяются обычные термины – для каждого задается вес в категории

6. Как защититься от инсайдеров Схема работы системы контентного анализа Контроль словоформ ... Проверяемый документ Нашлось «ключевое слово» Множество слов из документа Сумма весов слов превысила порог чувствительности

7. Как защититься от инсайдеров Как работает «Цифровой отпечаток» ? A 1 B 1 A 2 B 2 A N B M Проверяемый документ Защищаемый документ Множество «отпечатков» фрагментов защищаемого документа Множество «отпечатков» проверяемого документа

8. Как защититься от инсайдеров Как работают метки и локальный агент Для папки задается тэг и список запрещенных операций Папка с конфиденциальными документами Компьютер с локальным DLP агентом Метка сохраняется со всеми производными файлами В атрибуты файла записывается метка

9. Потенциально опасные действия Копирование через clipboard Отправка e-mail, web mail, печать, USB Запрет по обнаружению метки Правило запрета копирования Создание print screen Правило запрета print screen Отключение процесса локального агента Защита на уровне процессов ОС Ручной ввод документа Создание «цифрового отпечатка»

10. Как защититься от инсайдеров IRM - система разделения прав • IRM (Information Rights Management) • Общая схема работы: • Владелец информации формирует множество пользователей и разрешенных операций • Локальные агенты для основных приложений • Крипто-сервер выдает разрешения на работу с документом • Возможны ограничения печати, копирования-вставки, исправлений и т.д. • Пример: полный запрет на открытие документа не авторизованным пользователем • Фокус на защите контейнера, а не содержания • Вопрос: как быть с черновикамии перенабором текста?

11. Как защититься от инсайдеров Контроль запросов к базам данных – как менялась ситуация Использован: The Forrester Wave™: Enterprise Database Auditing And Real-Time Protection, Q4 2007 Выбор решения и ответственность • Стандартизованные формы отчетов: об инцидентах, для аудита • Консоль управления конкретной БД • Единая консоль для всех аудируемых БД • Запуск встроенных механизмов СУБД • Специализированные решения • Почти все структурированные данные • Назначаемый менеджер • 1-2 критичные базы • DBA • DBA • Менеджмент компании • Неформализована Отчеты и статистика • Масштаб решения • Средства обеспечения • Точка контроля Управление системой контроля

12. Как защититься от инсайдеров Контроль за базами данных: запросы • Цель: перехват подозрительных SQL пакетов без влияния на сервер баз данных и подготовка отчетов • SQL запросы подвергаются анализу в он-лайне • Автоматические уведомления о совершении подозрительных действий • Репозитории для подготовки статистических отчетов • Разделение лога запросов и собственно объектного хранилища • Разделение ролей: • Объектным хранилищем управляет администратор БД • Базой с результатами мониторинга управляет специальный аудитор • Формирование надежной доказательной базы

13. Как защититься от инсайдеров Контроль утечек структурированных данных • Суть подхода: снятие "цифрового отпечатка" с содержания базы данных • Определяется набор защищаемых полей • Задается порог чувствительности: минимальное количество записей для срабатывания правила • Снимается "отпечаток" с данных в выбранных столбцах • Содержание передаваемых данных проверяется на корреляцию с "отпечатком" • Передача данных может быть заблокирована • По опыту: работает достаточно надежно

14. Как защититься от инсайдеров Примитивное шифрование – как с ним бороться? • Ручная автозамена символа на специальный • Замена обратимая, символ не встречается в исходном тексте • Решение 1: • Правила нормализации слов для часто встречающихся подмен • Плюс: при хорошей разметке размер не важен • Минус: ограничение числа пар подмен • Решение 2: • Предустановленное правило на основе статистических методов • Плюс: не обнаружено ограничений на пары символов • Минус: начинает работать с некоторого объема (2 страницы из 25, замена 2-х символов )

15. Как защититься от инсайдеров Как подобрать решение Заказать живую демонстрацию решения!

16. Спасибо за внимание! Вопросы? Вениамин Левцов, Директор по развитию направления Информационная безопасность VLevtzov@leta.ru LETA IT-company 109129, Россия, Москва, ул. 8-я Текстильщиков, д.11, стр.2 Тел./факс: +7 495 101 1410 www.leta.ru