Гаврилов Вадимведущий системный инженер
ИБ: СТРАТЕГИЯ ОБОРОНЫ17.06.2015
Серия четвертая: Таможня дает «добро»! (ч. II)
Борисова Ольгаменеджер по работе с ключевыми Заказчиками
2 из 22
Серия вебинаров «ИБ: Стратегия обороны» Серия первая: Устав караульной службы (13.04.2015)
Планирование и внедрение систем защиты информации Серия вторая: Почему порядок не убираете? (27.04.2015)
Системы контроля доступа к информации Серия третья: Разновидности колючей проволоки (20.05.2015)
Системы контроля доступа к устройствам Серия четвертая: Таможня дает «добро»! (ч. I ) (3.06.2015)
Системы защиты от утечек Серия четвертая: Таможня дает «добро»! (ч. II) (17.06.2015)
Системы защиты от утечек Серия пятая: Будни контрразведчика: шпионаж, саботаж, макияж
(??.07.2015) Серия шестая Серия седьмая: Серия восьмая:
Протокол
Длительность вебинара составит 1 час
Вопросы можно задавать по ходу вебинара на вкладке questions
Есть приз за самое активное участие!
Обратная связь по адресу [email protected]
Запись вебинара будет выслана всем зарегистрировавшимся!
P.S. Кого рекламируем?
3 из 22
Краткое содержание предыдущей серии Системы защиты от утечек:
Утечка: утеря и кража
Что такое DLP-система и чем она отличается от смежных систем
Из чего состоит DLP-система
Два подхода к контролю утечек
Как это работает на практике
4 из 22
О чем эта презентация? Как это работает - углубленно
Юридические аспекты применения
Преимущества и недостатки
Возможности интеграции
Границы применимости
Как выбрать?
Типичные представители
5 из 22
Точная классификация данных Неточная настройка:
мало типов данных, нестрогие правила;
много типов данных, слишком строгие правила.
Результат одинаковый:данные уходят бесконтрольно
6 из 20
Решение: Понимание структуры защищаемых
данных
Учет контекста
Контроль только в необходимых точках
Точная настройка Наличие инструментов, которые
позволят сделать точную настройку
Механика: как это работает? Характеристики файлов
Ключевые слова
Словари (в т.ч. синонимов)
Регулярные выражения
Цифровые отпечатки
«Искусственный интеллект»
Дополнительные механизмы
7 из 20
Характеристики файлов Характеристики файлов:
имя
тип
категория
размер
наличие шифрования
8 из 20
Ключевые слова Ключевые слова:
учет морфологии
учет регистра
поддержка нескольких языков
9 из 20
Словарь Словарь:
массовое добавление ключевых слов
группировка слов по одной тематике
замена поддержки морфологии
синонимы
10 из 20
Регулярные выражения Регулярные выражения:
номера паспортов
ИНН
СНИЛС
права
номера кредитных карт
11 из 20
Цифровые отпечатки Цифровые отпечатки
текстовые документы
бинарные файлы
базы данных
12 из 20
Искусственный интеллект «Искусственный интеллект»
текстовые документы
статистические методы анализа
создание цифровых отпечатков документов, которые не были предъявлены системе
13 из 20
Вспомогательные механизмы Распознавание текста
Распознавание изображений
Распознавание звука
Корреляция событий
Скрипты
Комбинированные типы
Календарь
14 из 20
Юридические аспекты применения Законно ли применение систем защиты от утечек?
УК РФ. Ст. 138 «Нарушение тайны переписки, телефонных переговоров, почтовых, телеграфных или иных сообщений»
ГК РФ. Ст. 152.2 «Охрана частнойжизни гражданина»
Являются ли собранныесистемой защиты от утечекданные юридическизначимыми?
15 из 20
Блокировка и наблюдение в контексте юриспруденции
16 из 20
Предотвращение силами системы
Юридическое обоснование+ журналы системы+ административные
мероприятия
Оздоровительные поездки на свежий
воздух
Системы блокировки Системы наблюдения
Юридические аспекты применения - 2 Законно ли применение систем защиты от утечек?
Федеральный закон от 12.08.1995 N 144-ФЗ (ред. от 21.12.2013) "Об оперативно-розыскной деятельности"
УК РФ. Ст. 138.1 «Незаконный оборот специальных технических средств, предназначенных для негласного получения информации»
17 из 20
Преимущества и недостатки схемы
18 из 22
Системы предотвращения Системы наблюдения
Преимущества:
• предотвращение утечек в автоматическом режиме
• законность• надежность• предсказуемость результатов• низкая нагрузка на СБ
• интеллектуальный потенциал человека• корреляция событий• предотвращение утечек по неконтролируемым
каналам
Недостатки
• необходимость формализациижизненного цикла защищаемой информации
• необходимость тонкой настройки• нет возможности расследования
«задним числом»• вмешательство в бизнес-процесс
• нарушение законодательства• человеческий фактор• невозможность предотвращения утечек
кроме как силами сотрудников СБ• высокая нагрузка на СБ• невозможность предотвратить утерю информации• большая база данных
Преимущества и недостатки архитектуры
19 из 20
Шлюз Агент Интеграция с сервисом SPAN-порт
Преимущества:
• Контроль всех РС, включая гостевые на которые не установлен агент
• Более контролируемая среда, в которой работает ПО
• Наилучший контроль каналов
• Возможность контроля устройств, находящихся вне сети предприятия
• Минимальное вмешательство в существующую инфраструктуру
• Использованиесуществующего сервиса вместо внедрения нового
• Минимальное воздействие на существующую схему информационных потоков
• Наименьшее воздействие на существующую архитектуру
Недостатки
• Средний диапазон контролируемых каналов
• Проблема отказоустойчивости
• Проблема балансировки нагрузки
• Проблема идентификации пользователя
• Рутинные работы по установке новых агентов
• Проблема защиты агентов на РС
• Проблема конфликтов ПО• Нагрузка на РС• Невозможность контроля РС и
серверов без агента
• Средний диапазон контролируемых каналов
• Проблемы интеграции с сервисом
• Проблема идентификации пользователя
• Наименьший диапазон контролируемых каналов
• Проблема идентификации пользователя
Интеграция Системы контроля доступа к информации Системы контроля устройств Системы контроля персонала Системы контроля приложений Системы усиленной аутентификации
пользователей Доверенная среда Системы контроля доступа
в интернет Системы контроля почты
20 из 22
Границы применимости Ограничения смежных систем
Ограничения конкретной системы
21 из 22
Границы применимости Обход контролируемых каналов
Использование слабых мест системы
Механический взлом
Маскировка передаваемой информации Стеганография
Сонография
Обфускация
Использование специализирован-ных технологически средств
22 из 22
Обход контролируемых каналов Обход системы
бумага
фотографирование
диктофон
23 из 22
Использование слабых мест системы Утечка через неконтролируемые каналы
утечка с рабочей станции при шлюзовой архитектуре
утечка с рабочей станции без агента
утечка с мобильного устройства
Использование слабых мест системы утечка через неконтролируемый
протокол
утечка через скан документа
24 из 22
Механический взлом Обход агента на рабочих станциях
извлечение жесткого диска
препятствование отправкеинформации об инциденте
25 из 22
Стеганография Высокая стойкость к обнаружению
сокрытие не только информации,но и самого факта ее передачи
шифрование скрытой информации
многообразие используемыхконтейнеров
Низкая степень угрозы требует специальных познаний
требует специального ПО
26 из 22
Обфускация Средняя стойкость к обнаружению
можно обнаруживать по косвенным признакам
можно обнаруживать визуально
Высокая степень угрозы легко дойти до идеи
легко применить
не требуются специальные средства
27 из 22
Специализированные средства Очень высокая стойкость к обнаружению Высокая степень угрозы
рост популярности кибератак рост числа сложных кибератак рост разнообразия и сложности кибератак снижение стоимости кибератак
Разнообразие инструментов социальная инженерия вредоносное ПО разных типов
в различных комбинациях шифрование информации
28 из 22
Как выбрать? По типам архитектуры
По образу действий
По возможностям конкретной системы
По особенностям существующей инфраструктуры
По возможностям интеграции
По цене
По производителю
По наличию сертификата
29 из 22
Типичные представители
30 из 22
DLP-система: это мощный и гибкий инструмент
это средство защиты предприятия от утечек
это средство шпионажа за сотрудниками предприятия
не скатерть-самобранка, требует настройки и обслуживания
требует серьезной подготовки перед внедрением
не может самостоятельно спасти от сложныхатак, но хорошо работает всоставе комплекса средств(в том числе организационных)
Краткие итоги
31 из 22
Гаврилов Вадим[email protected]
ООО «УЦСБ»620100, Екатеринбург, ул. Ткачей, д. 6
Тел.: +7 (343) 379-98-34Факс: +7 (343) 229-57-38
Спасибо за внимание!Пожалуйста, задавайте вопросы!
Следующая серия: Будни контрразведчика -шпионаж, саботаж, макияж
Системы контроля персонала
??.06.2015
Ваши комментарии и предложения Вы можете присылать по адресу: