1 / 23

DLP – решение для защиты данных и предотвращения промышленного шпионажа.

DLP – решение для защиты данных и предотвращения промышленного шпионажа. Таран Дмитрий Руководитель направления информационной безопасности DmitriyT@softline.by +375 (17) 290 71 80. Общие сведения.

zada
Download Presentation

DLP – решение для защиты данных и предотвращения промышленного шпионажа.

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. DLP – решение для защиты данных и предотвращения промышленного шпионажа. • Таран Дмитрий • Руководитель направления информационной безопасности • DmitriyT@softline.by • +375 (17) 290 71 80

  2. Общие сведения По определению GartnerDLP-технология представляет собой набор подходов и методов проверки, позволяющих распознавать и классифицировать информацию, записанную в объекте (например, в сообщении электронной почты, файле, приложении), который хранится в памяти компьютера, находится в использовании или передается по каналам связи, а также динамически применять к этим объектам разные правила, начиная от передачи уведомлений и заканчивая блокировкой. DLP системы предназначены для мониторинга и аудита, для обнаружения и предотвращения пересылки конфиденциальных данных за пределы компании по электронной почте, через сервисы мгновенных сообщений (такие как IСQ и т.д.) и через Web (Web-почта, форумы, чаты и т. п.), а также копирования данных на сменные носители и отправки на печать. Data Loss Prevention или Data Leak Protection

  3. Необходимо знать, что защищать. Производство Бухгалтерия Кадры ИТ служба Endpoint Персональные данные сотрудников Сведения о штатной структуре Данные о зарплате Бухгалтерские ведомости История платежей Список контрагентов Сведения о ИТ инфраструктуре Используемые средства защиты Данные о настройках сетевого оборудования Рецепты Ноу хау Чертежи

  4. Угрозы утечки конфиденциальной информации Инсайдеры Добропорядочные Инсайдеры Злонамеренные Внешние угрозы

  5. Контролируемые каналы утечки конфиденциальной информации Хранилища Сетевые каналы Рабочие станции Endpoint Файловые сервера Почтовые сервера Документооборот Веб-сервера Базы данных Sharepoint Локальные диски Сетевые диски Съемные носители Печать Почта Веб Приложения Буфер обмена CD/DVD Интернет Почта FTP Интернет пейджеры

  6. Типовая структура DLP решений

  7. Основные методы определения конфиденциальной информации • Лингвистический анализ информации; • Регулярные выражения (шаблоны, словари); • Характеристики информации; • Цифровые отпечатки; • Метки.

  8. Что умеет делать DLP? • Режимы работы DLP Решения: • Мониторинг • «В линию» (Защита) • Что делает DLP : • Собирает все факты нарушения заданных политик работы с конфиденциальной информацией (факты + сами данные) • Уведомляет • Блокирует

  9. Преимущества внедрения систем DLP • Основные выгоды: • Защиту информационных активов и важной стратегической информации компании; • Структурированные и систематизированные данные в организации; • Прозрачности бизнеса и бизнес-процессов для руководства и служб безопасности; • Контроль процессов передачи конфиденциальных данных в компании; • Снижение рисков связанных с потерей, кражей и уничтожением важной информации; • Соответствие отраслевым стандартам и требованиям законодательства; • Сохранение и архивация всех действий связанных с перемещением конфиденциальных данных внутри информационной системы. • Вторичные выгоды: • Контроль работы персонала на рабочем месте; • Экономия Интернет-трафика; • Оптимизация работы корпоративной сети; • Контроль используемых пользователем приложений; • Выявление нелояльных сотрудников; • Повышение эффективности работы персонала.

  10. Основные вендоры систем DLP • Symantec • InfoWatch • Websense • McAfee • RSA • TrendMicro • CheckPoint • и другие…...

  11. Infowatch Использование специального механизма лингвистического анализа Наличие специальных баз контентной фильтрации Symantec Масштабирование (Enterprise решение) Использование различных технологий контроля и предотвращения утечек McAfee Appliance решение Websence Использование словарей с весовыми коэффициентами Devicelock DLP Расширенный набор функций по контролю внешних устройств Особенности систем DLP

  12. SIEM – универсальный инструмент по контролю за технологическими процессами предприятия.

  13. Общие сведения Система управления событиями и инцидентами информационной безопасности Перед системой SIEM ставятся следующие задачи: • Консолидация и хранение журналов событий от различных источников • Предоставление инструментов для анализа событий и разбора инцидентов. • Корреляция и обработка по правилам. • Автоматическое оповещение и инцидент-менеджмент.

  14. Актульная информация – самый ценный ресурс Как получить актуальную картину происходящего? Какие активы находятся под угрозой? Что предпринять, чтобы исправить ситуацию?

  15. Событие как источник информации • События для анализа: • активность оборудования и программных средств • отказы и конфликты совместимости • аномальное поведение • действия пользователей и администраторов • отчеты сторонних систем • отсутствие событий • нештатная работа оборудования собиратьхранитьпониматьдействовать

  16. SIEM-система способна выявлять • направленные атаки во внутреннем и внешнем периметрах • вирусные эпидемии или отдельные вирусные заражения, неудаленные вирусы, бэкдоры и трояны • попытки несанкционированного доступа к конфиденциальной информации • мошенничество • ошибки и сбои в работе информационных систем • уязвимости • ошибки конфигураций в средствах защиты и информационных системах • Использование служебных полномочий в корыстных целях (используя информационные системы или оборудование)

  17. Система управления событиями и инцидентами СБОР ДЕМОНСТРАЦИЯ и ОТЧЕТНОСТЬ СОБЫТИЯ ПОЛИТИКИ ХРАНЕНИЕ АККАУНТЫ 0101010101010101010101010101010100101010101010101010101010101010101010101010101010101010101010101011010101010110101010101 ДАННЫЕ КОРЕЛЛЯЦИЯ СИСТЕМЫ ИНФРАСТРУКТУРА

  18. Система управления событиями и инцидентами • Централизованный сбор событий и логов системВозможность балансировки нагрузкиИнструменты создания собственных коллекторовКонтроль активности пользователей и администраторов • Нормализация, приоритезация, хранениеСистема хранения событийАвтоматическая расстановка приоритетов и оценка рисков • Корелляция событий и управление инцидентамиИерархическое объединение инцидентовФункционал Help Desk

  19. SIEM - преимущества Security IT Business Мониторинг состоянияресурсов системы и поиск узких мест Инструментпрогнозирования развития инфраструктуры и обоснования требуемых ресурсов Формирование базы знаний по инцидентам, улучшение показателей SLA Уверенность в стабильной работе бизнес-систем Повышение привлекательности для клиентов и инвесторов Дополнительный источник информации при принятии управленческих решений Обнаружение и предотвращение инцидентов ИБ на ранней стадии, уменьшение ущерба Получение актуальной информация о состоянии ИБ и действиях персонала Контроль соответствия требованиям регуляторов Прозрачность и управляемость

  20. Сценарий 1 Задача: контролировать активность сотрудников во внеурочное время Источники данных для правил корелляции: Регламент рабочего времени Список сотрудников в отпуске (из HR системы) Контроль доступа в помещение (СКУД) Информация о запуске/остановке оборудования Информация об изменениях в информационных системах во внерабочее время Результат корелляции: предупреждение о подозрительных действиях определенных сотрудников во внеурочное время

  21. Сценарий 2 Задача: отслеживать работоспособность оборудования и доступность бизнес-приложений в удаленных офисах Источники данных для правил корелляции: Регламент использования ресурсов Логибизнес-систем Система управления ИТ-инфраструктурой Результат корелляции: предупреждение о простое (внерегламентное бездействие и/или выход системыиз строя)

  22. Основные вендорыSIEM систем • Symantec • ArcSight • Dell (Quest) • McAfee • Splunk • и другие…...

  23. Вопросы ?  Спасибо за внимание Таран Дмитрий DmitriyT@softline.by +375 (17) 290 71 80

More Related