Перспективные методы

противодействия

внутренним угрозам

Наталья Касперская,

генеральный директор

ГК InfoWatch

О компании

Продуктовый фокус:

решения для защиты

корпоративной

информации

Обширная экспертиза и

опыт реализации проектов

любой сложности в

государственном

секторе, ТЭК, финансовой,

телекоммуникационной

и других отраслях

экономики

Лидер российского

рынка

защиты данных от утечки

Партнерская сеть в

России, СНГ и дальнем

зарубежье

Инновационные продукты

Компания основана

в 2003 году, выросла

из внутреннего проекта

«Лаборатории

Касперского»

Наши клиенты

Банки и финансы Энергетика

Государственный сектор

Федеральна

я

Таможенная

Служба

Министерств

о Финансов

Российской

Федерации

Федеральна

я налоговая

служба

Министерств

о обороны

Российской

Федерации Правительст

во Тульской

области

МЧС

России

Нефтегазовый сектор

Телекоммуникации

Страхование

Торговля

Промышленность

Московский

вертолетны

й завод

им. М.Л.

Миля

Фармацевтика

Транспорт и логистика

Эволюция роли ИТ в

бизнесе

1999-2000 2000-2009 2009-2015

Эра антивирусов

Задача ИТ –

ускорение обмена

информации

Эра DLP –

защита данных

Задача ИТ –

хранение и

передача данных

Эра защиты

бизнеса

ИТ как бизнес

среда: • Электронные

платежи и банкинг

• Электронное

принятие решений

• Виртуальные

совещания и

рабочие группы

• Удаленная работа

• Мобильные

устройства

Прямые финансовые

потери

Потеря клиентов Потеря доли рынка

Затраты на

нейтрализацию

последствий

Репутационные потери

Потеря

конкурентного

преимущества

Последствия

реализации угроз

бизнесу

Потеря важной

информации и

коммерческой

тайны

DLP vs ITIS

DLP

Защита информации

от утечек:

• Перехват информации по всем

возможным каналам

• Блокирование конфиденциальной

информации

• Хранение инцидентов

ITIS - internal

threats information

security

Защита бизнеса от: Саботажа,

Мошенничества, Воровства,

Коррупции

• Анализирует модель угроз и модель

поведения сотрудников с помощью Big

Data модели

• Выявляет подозрительных

• Инструмент для резкого облегчения

работы отдела безопасности

DLP – защита информации от

утечек

Статистика утечек

информации

Электронная почта, бумажная документация,

кража и потеря оборудования – самые частые

каналы утечки информации

* Глобальное исследование утечек конфиденциальной информации за 2014 год, Аналитический центр InfoWatch

Распределение утечек

по типам данных

* Глобальное исследование утечек конфиденциальной информации за 2014 год, Аналитический центр InfoWatch

Распределение утечек

по отраслям

* Глобальное исследование утечек конфиденциальной информации за 2014 год, Аналитический центр InfoWatch

Примеры утечек данных

Рeтейлер

Сотрудник

банка

Соцсети:

Информация о

зарплатах

Увеличение ЗП 169

сотрудникам. Ущерб:

15,5 млн руб./год

Данные счетов

VIP-клиентов с

пин-кодами

Украдено

3,5 млн

руб.

База данных

сотрудников

(KPI, ЗП, премии)

:

:

Подворовывал

небольшими

партиями

Известные меры

защиты

Оргмеры Режим коммерческой

тайны, регламенты,

разграничение прав и т.д.

Блокировка каналов

передачи USB, Интернет, внешняя

почта

Слежка за персоналом Видеонаблюдение, СКУД,

программы-снифферы,

Radmin и т.д.

Не

достаточно

1. Нужны технические

средства для контроля

1. Вызывает негатив

2. Пользователи ищут

пути обхода

3. Требует работы

с исключениями

1. Требует больших

человеческих

ресурсов

2. Низкая

эффективность

Комплексный подход

к защите данных

Pre DLP DLP Post DLP

Аудит ИБ

Классификация

данных

Внедрение режима

коммерческой

тайны

Установка и

настройка ПО

Техническое

сопровождение

Запуск мониторинга

Проведение

расследований

Сопровождение

внутренних

расследований

Обеспечение

хранения всех

инцидентов

Подход InfoWatch к защите от утечек

информации

Стадии внедрения

системы DLP -1

DLP Post

DLP

Аудит состояния режима

коммерческой тайны (КТ)

Категоризация

информационных ресурсов

Определение перечня

информации, составляющей

КТ

Определение перечня лиц

для доступа к КТ

(выполнение служебных

обязанностей) Разработка пакета

локальных нормативных

актов, типовых трудовых и

гражданско-правовых

договоров

Выбор технических средств

защиты КТ

Pre

DLP

Pre-DLP – залог

успешного внедрения

DLP-системы

Выработка политик

Классификация

данных

До После

Начинать поиск информации с

раскладывания ее по полочкам!

Стадии внедрения

системы DLP - 2

Pre

DLP

Post

DLP DLP

• Электронная

почта

• Веб-ресурсы

• Мессенджеры

• Внешние

накопители

• Принтеры

• Хранилища

• Мобильные

устройства

• Автоматическая

категоризация

перехваченных данных

• Определение отправителя

/ получателя

• Комплексный анализ

данных

• Блокирование передачи

данных

• Хранение всей

перехваченной

информации

• Полнотекстовый

поиск

• Отчетность по

инцидентам

Перехват

трафика

Многофакторный

анализ данных

Хранение

данных

Решение InfoWatch

для защиты от утечек Каналы мониторинга информационных

потоков организации

Почта

Интернет-

ресурсы

Мессенджеры

Съемные

носители Печать

Локальные,

сетевые

принтеры

Камера, почта,

интернет-трафик,

сообщения Моб.

устройства

Блоги, cоцсети, ЖЖ,

форумы: HTTP,

HTTPS, FTP, FTPS

SMTP, IMAP4, POP3,

MAPI, Lotus Domino

и другие

устройства

ICQ, Skype, Gtalk,

Mail.ru Agent,

Lync, XMPP, MMP

Сетевые папки,

локальные диски

рабочих станций Хранилища

Голос

Голосовой

трафик

Технологии анализа

данных

Гибридный анализ

на основе комплекса

технологий

Лингвистический

анализ

Базы контентной

фильтрации

Оптическое

распознавание

символов (OCR)

Цифровые

отпечатки

Детектор

паспортов

Детектор

выгрузок из баз

данных

Детектор

заполненных

форм

Детектор

печатей

Стадии внедрения

системы DLP - 3

Pre

DLP Post DLP

DLP

Выявление сговоров и злоумышленников, лиц,

занимающихся шпионажем

Сбор цифровых доказательств

Выявление аномальной активности

Хранение всех инцидентов

Обеспечение юридической значимости

собранных доказательств

Успешный кейс

Предотвращение утечек

Банк Перехват баз

данных клиентов За квартал пойманы

92 сотрудника

Решение InfoWatch для защиты от утечек

1. выявило факт воровства

2. предотвратило ущерб $420 млн

:

От DLP к защите бизнеса от

внутренних угроз

Как это работает?

Контекстный анализ

(DLP)

Событие 1:

Неуважительные

высказывание

о компании

Событие 2:

Сотрудник

обратился к базе

клиентов 300 раз

Событие 3:

8 общений

с конкурентами

по e-mail

Анализ поведения

Граф связей

Расширение функционала DLP системы

для анализа более широких рисков

Что в результате?

Неуважительные

отзывы о

компании

Репутационные

«наезды»

Сговоры,

мошенничест

ва, работа на

конкурентов

Кража коммер-

ческой тайны

! Обнаружение

нарушителей с

вероятностью

> 80%

Выводы

DLP решения – прекрасный продукт для защиты от потери данных и для категоризации информации

Дальнейшее развитие DLP-систем – в анализе моделей инцидентов на основе агрегированных данных, полученных от DLP, анализа графа связей моделей и других технологий

От защиты контента -> к защите от внутренних угроз и выявлению их на ранней стадии

Спасибо за внимание!

www.infowatch.ru

+7 495 22 900 22

Наталья Касперская