1 / 16

Обзор методов контроля за перемещением конфиденциальных данных

Обзор методов контроля за перемещением конфиденциальных данных. Вениамин Левцов , Директор по развитию направления Информационная безопасность. Как защититься от инсайдеров. О компании. Компания LETA более 4-х лет занимается внедрением систем по предотвращению утечек информации

dashiell-marechal
Download Presentation

Обзор методов контроля за перемещением конфиденциальных данных

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Обзор методов контроля за перемещением конфиденциальных данных Вениамин Левцов, Директор по развитию направления Информационная безопасность

  2. Как защититься от инсайдеров О компании • Компания LETA более 4-х лет занимается внедрением систем по предотвращению утечек информации • ILDP системы: 17 проектов • По различным аспектам борьбы с утечками: 40 проектов • Компания #1 по рейтингу CNews в сфере построения систем защиты от инсайдеров в 2007 году • Компания #4 по рейтингу CNews Security 2006: крупнейших ИТ-компании России в сфере защиты информации • Сертификаты и лицензии на деятельность в области защиты информации: ФСТЭК России ФСБ России

  3. Как защититься от инсайдеров О компании • Партнерские отношения: • Ежегодные исследования рынка ILDP в России на сайте www.leta.ru

  4. Как защититься от инсайдеров Основные темы • Основные методы контроля • Локальный агент или анализ трафика? • Смежные подходы • Проблемы и решения

  5. Как защититься от инсайдеров База контентного анализа Дерево категорий Задается порог толерантности Категория 1 Категория 2 Категория 3 Определяются «ключевые» термины Определяются обычные термины – для каждого задается вес в категории

  6. Как защититься от инсайдеров Цифровой отпечаток ? A 1 B 1 A 2 B 2 A N B M Проверяемый документ Защищаемый документ Множество «отпечатков» фрагментов защищаемого документа Множество «отпечатков» проверяемого документа

  7. Как защититься от инсайдеров Контроль за базами данных: запросы • Цель: перехват подозрительных SQL пакетов без влияния на сервер баз данных и подготовка отчетов • SQL запросы подвергаются анализу в он-лайне • Автоматические уведомления о совершении подозрительных действий • Репозитории для подготовки статистических отчетов • Разделение лога запросов и собственно объектного хранилища • Разделение ролей: • Объектным хранилищем управляет администратор БД • Базой с результатами мониторинга управляет специальный аудитор • Массив предустановленных правил на основе best practice • Формирование надежной доказательной базы

  8. Как защититься от инсайдеров Контроль за базами данных: содержание • Суть подхода: снятие "цифрового отпечатка" с содержания • Определяется набор защищаемых полей • Снимается "отпечаток" с данных в выбранных столбцах • Задается порог чувствительности: количество записей базы данных • Содержание передаваемых данных проверяется на корреляцию с "отпечатком" • Передача данных может быть заблокирована • По опыту: работает достаточно надежно

  9. Как защититься от инсайдеров Агент или серверное решение • Контроль за действиями пользователя или приложения • Контроль отправлений через анализ трафика • Агент требует • Развертывания и управления конфигурациями • Ресурсов конечной станции • Ограничения прав пользователя • Агент позволяет контролировать • Локальные порты с учетом контента • Работу локальных приложений • Пользователя в пути • Шлюзовое решение: контроль отправки с нетипичных устройств

  10. Как защититься от инсайдеров Близкие подходы: Системы документооброта • Различные ограничения: • Правила для типов документов • Категоризация • Скрытые метки • Определение каталога для хранения и т.д. • Ограничение множества пользователей и операций • Пример: запрет на сохранение документа вне заданного каталога • Фокус на регламенте штатной работы с документами • Нет контроля за содержанием передаваемой информации • Вопрос: как быть с локальной печатью?

  11. Как защититься от инсайдеров Близкие подходы: системы разделения прав • IRM (Information Rights Management) • Общая схема работы: • Владелец информации формирует множество пользователей и разрешенных операций • Локальные агенты для основных приложений • Крипто-сервер выдает разрешения на работу с документом • Возможны ограничения печати, копирования-вставки, исправлений и т.д. • Пример: полный запрет на открытие документа не авторизованным пользователем • Фокус на защите контейнера, а не содержания • Вопрос: как быть с черновиками?

  12. Как защититься от инсайдеров Примитивное шифрование – как с ним бороться? • Ручная автозамена символа на специальный • Замена обратимая, символ не встречается в исходном тексте • Решение 1: • Правила нормализации слов для часто встречающихся подмен • Плюс: при хорошей разметке размер не важен • Минус: ограничение числа пар подмен • Решение 2: • Предустановленное правило • Плюс: не обнаружено ограничений на пары символов • Минус: начинает работать с некоторого объема (2 страницы из 25, замена 2-х символов )

  13. Как защититься от инсайдеров Временная защита - пока не снят отпечаток • Снятие "отпечатков" обычно запускается по графику • Конфиденциальный документ доступен, но "отпечаток" еще не готов • Решение: • Тэг - ключевое слово (например, название проекта) • Регулярное выражение, активное до определенного момента • Оба подхода отлично дополняют "отпечатки"

  14. Как защититься от инсайдеров Общие проблемы • Системы контентного анализа требуют длительного внедрения и тонкой настройки для минимазации ложных срабатываний • Подготовка "цифровых" отпечатков требует в среднем 5-10, но иногда до 20% объема защищаемых данных • Пока не реализован контроль данных в графических форматах • Локальные агенты оказывают реальное влияние на загрузку рабочих станций • Запросы локальных агентов на сервер контентного анализа повышают нагрузку на сеть • Контроль за базами данных с блокировкой в режиме реального времени трудно реализуем

  15. Как защититься от инсайдеров Как подобрать решение • Звучит банально, но … типового решения нет! • Необходимо определить ключевые потребности бизнеса и выработать общий подход к решению • Провести анализ массива конфиденциальной информации • Выделить области наибольшей чувствительности для бизнеса • Определить параметры пилотного внедрения • Развернуть пилот и оценить его результаты • Составить план развития решения и т.д. • Нужен совет эксперта!

  16. Спасибо за внимание! Вопросы? Вениамин Левцов Директор по развитию направления Информационная безопасность VLevtzov@leta.ru LETA IT-company 109129, Россия, Москва, ул. 8-я Текстильщиков, д.11, стр.2 Тел./факс: +7 495 101 1410 www.leta.ru

More Related