Как защитить важные данные

DLP DeviceLock Код ИБ Онлайн Защита от утечек конфиденциальной информации

Библиотека безопасника / Презентации к докладам

734 просмотры

0 0

1. Как защитить важные данные и не остаться в позиции наблюдателя за утечками?

Сергей Вахонин

DeviceLock, Inc.

2. Как защитить важные данные и не остаться в позиции наблюдателя за утечками?

АО Смарт Лайн Инк 2020

СЕРГЕЙ ВАХОНИН

Директор по решениям

Смарт Лайн Инк

SV@DEVICELOCK .COM

3. DeviceLock - 20 лет на мировом рынке информационной безопасности

Продукт

Программный комплекс DeviceLock DLP

Система защиты информации для организаций, которым необходимо простое и доступное решение по предотвращению утечек данных с корпоративных компьютеров под управлением Windows и MacOS, а также виртуализованных рабочих сред и приложений Windows.

Смарт Лайн Инк / DeviceLock

Отечественная компания с штаб-квартирой и офисом разработки в Москве (АО «Смарт Лайн Инк), офисами продаж в США ( DeviceLock NA, San Ramon, California ), Канаде (DeviceLock Canada, North Vancouver), Великобритании (DeviceLock UK, London), Германии (DeviceLock Europe GmbH, Ratingen), Италии (DeviceLock Italy , Milan) , а также партнерской сетью по всему миру.

4. DeviceLock – география использования

Число установок программного комплекса DeviceLock DLP только за последние три года составило около 4 миллионов компьютеров, установленных по всему миру в информационных системах 5,5 тысяч организаций кредитно-финансового, энергетического, оборонного и государственного секторов, а также телекоммуникаций, здравоохранения и образования и других.

5. ЧТО ЗАЩИЩАТЬ?

Защита необходима для информации и сведений, являющихся критическими для организации.

• Информация о владельцах бизнеса

• Финансовая и бухгалтерская информация

• Документы стратегического развития (прогнозы, планы выхода на новые рынки, планы по партнерству и т. д.)

• Аналитика – рыночная, маркетинговая

• Интеллектуальная собственность (разработки и т. д.)

• Техническая информация об ИТ-инфраструктуре

• Договоры, проекты договоров, приложения

• Информация о клиентах и партнерах

• Информация, полученная от партнеров, в особенности защищенная соглашением о конфиденциальности

Даже если в компании нет информации с грифом коммерческой или служебной тайны, или же она за пределами организации теряет смысл, всегда есть коммуникации между людьми внутри и снаружи организации – чаты, переписка, другой обмен данными. Если такие коммуникации не контролировать, почти неизбежны случаи мошенничества, сговоры и другие действия, наносящие прямой ущерб компании. Кроме того, в любой организации есть персональные данные (сотрудников, клиентов, пользователей и т.д.), защита которых необходима в соответствии с ФЗ-152, GDPR .

6. DATA LEAK (loss) PREVENTION (protection) = ПРЕДОТВРАЩЕНИЕ УТЕЧЕК ДАННЫХ

DLP-система – ИТ-решение, обеспечивающее выявление, отслеживание и предотвращение неавторизованного использования, хранения и перемещения данных ограниченного доступа и др., используемых в организации

• Обнаружение данных в хранилищах

• Отслеживание перемещения данных

• Предотвращение утечки по сети и через устройства

Defining DLP

Even a decade on, there is still little consensus on what actually compromises a DLP solution. Some people consider encryption or USB port control to be DLP, while others limit the term to complete product suites focused on analyzing and enforcing content usage policies. Securosis defines DLP as:

Products that, based on central policies, identify, monitor and protect data at rest, in motion, and in use, through deep content analysis.

Контроль = избирательное управление доступом + регистрация событий и перемещаемых данных + инспекция хранимых данных

Full-suit solutions provide complete coverage across your network, storage repositories, and endpoints, even if you aren’t using their full capabilities.

Источник: ‘Understanding and Selecting a Data Loss Prevention Solution’, Securosis Whitepaper, 2018, v.3

7. АВТОМАТИЧЕСКАЯ РАБОТА – ОСНОВНОЕ ТРЕБОВАНИЕ К ПОЛНОЦЕННЫМ DLP

Автоматическое принятие решений о возможности передачи/печати/сохранения на основе двух взаимодополняющих методов

Контекстный контроль

• Пользователь, его права, группы

• Дата и время

• Местонахождение

• Источник / адресат

• Тип файла / данных

• Использование шифрования данных

• Направление передачи данных

• Информация об устройстве / веб - сервисе

Контентный анализ и фильтрация (проверка содержимого)

• Ключевые слова и сочетания слов, морфологический анализ, транслитерация, промышленные словари

• Встроенные шаблоны данных (номера карт страхования, кредитных карт, др.)

• Цифровые отпечатки (fingerprints)

• Проверка архивов и вложенных архивов, встроенных в файлы-контейнеры

• Возможность проверки как сообщений, так и вложений почты и мессенджеров

• Категории и классификация

• Прочие критерии проверки

8. ПОЛНОЦЕННЫЙ КОНТРОЛЬ КОНФИДЕНЦИАЛЬНЫХ ДАННЫХ

Анализ содержимого на каждом этапе – от хранения до архива

9. КОГДА ОБНАРУЖИВАТЬ ЗАЩИЩАЕМЫЕ ДАННЫЕ?

ДО

Анализ хранимых данных (discovery)

ВО ВРЕМЯ ПЕРЕДАЧИ

Анализ передаваемых данных в реальном времени (передача, сохранение, печать)

ПОСЛЕ

Анализ перехваченных данных в архиве

Проверять содержимое документов и переписки можно и нужно не только после того, как утечка уже произойдет, а утекшие данные будут распространяться бесконтрольно!

Последствия отсутствия механизма контентной фильтрации в реальном времени для всех каналов в DLP-системе:

• в архиве DLP-системы хранятся ВСЕ перехваченные данные, и корпоративные, и личные.

Блокировка каналов передачи данных целиком там, где можно делать исключения, блокируя только передачу данных ограниченного доступа

ЛИБО

• Ваши возможности защиты информации сводятся к мониторингу каналов передачи данных... без возможности предотвратить утечку

# если нашли утечку – значит, не было утечки!

# проведение расследования

10. ЧТО МОЖЕТ DEVICELOCK DLP?

• ПРЕДОТВРАЩЕНИЕ УТЕЧЕК ДАННЫХ (КОНТРОЛЬ ДОСТУПА)

... все устройства и интерфейсы

... каналы сетевых коммуникаций

... с применением технологий контентной фильтрации

в режиме реального времени, в любых сценариях!

• ДЕТАЛЬНЫЙ МОНИТОРИНГ СОБЫТИЙ МОНИТОРИНГ АКТИВНОСТИ ПОЛЬЗОВАТЕЛЕЙ

События и теневые копии на уровне агента и на уровне сети

• СКАНИРОВАНИЕ ХРАНИМЫХ ДАННЫХ

Автоматическое устранение выявленных нарушений

• АНАЛИЗ АРХИВА: СЕРВЕР ПОЛНОТЕКСТОВОГО ПОИСКА

С поддержкой запросов по расписанию

• МОНИТОРИНГ АКТИВНОСТИ ПОЛЬЗОВАТЕЛЕЙ

Видеозапись, скриншоты, кейлоггер

по триггерам

*В версии DeviceLock DLP 9

11. КОНТЕНТНЫЙ АНАЛИЗ И ФИЛЬТРАЦИЯ В РЕАЛЬНОМ ВРЕМЕНИ

Технологии контентной фильтрации

• Поиск по ключевым словам и сочетания слов, Использование шаблонов регулярных выражений.

• Морфологический анализ заданных слов на русском, английском и других языках.

• Встроенные промышленные и геоспецифичные терминологические словари.

• Бинарно-сигнатурное определение более 5 300 типов файлов. Анализ по расширенным свойствам файлов. Анализ архивов и контейнеров.

• Цифровые отпечатки (fingerprinting)

• Встроенный модуль оптического распознавания символов (OCR)

Все используемые методы контентной фильтрации могут быть объединены в правила любого уровня сложности на базе различных численных и логических условий.

12. DEVICELOCK DLP В ОДНОЙ КАРТИНКЕ

13. МОНИТОРИНГ ПОЛЬЗОВАТЕЛЬСКОЙ АКТИВНОСТИ

В ближайшей версии DeviceLock DLP 9 – снимки и запись экрана, кейлоггер - по триггерам, включая правила анализа содержимого!

14. ЗАЩИТА ОТ ФОТОГРАФИРОВАНИЯ ЭКРАНОВ – В РАЗРАБОТКЕ!

15. КОНТРОЛИРУЕМЫЙ УДАЛЕННЫЙ ДОСТУП К ДАННЫМ

Технология Device Lock Virtual DLP

DLP - агент функционирует внутри терминальной сессии

• Приложения, опубликованные на гипервизорах ( XenApp)

• Локальные виртуальные машины

• Терминальные сессии рабочих столов, в т.ч. опубликованных на гипервизорах

• Решения для виртуализации от Microsoft (RDS/RDP), Citrix (XenApp, XenDesktop ) и VMware (VMware View)

• Передача данных через протоколы Microsoft RDP/RemoteFX и Citrix ICA/HDX

16. ТИПИЧНЫЙ СЦЕНАРИЙ: РАБОЧАЯ СРЕДА НА ТЕРМИНАЛЬНОМ СЕРВЕРЕ

Передача данных из хранилища конфиденциальных документов не допускается – как документов в исходном или измененном виде, так и их частей. Работа с конфиденциальными данными выполняется в корпоративной рабочей среде на сервере.

DeviceLock контролирует обращения к буферу обмена (контроль доступа, протоколирование, теневые копии) и проверяет в реальном времени содержимое передаваемых данных (например, с использованием цифровых отпечатков) с принятием решения на основании проверки содержимого.

Дополнительно – ведется видеозапись работы.

17. УДАЛЕННАЯ РАБОТА НА КАРАНТИНЕ?

noleaks.devicelock.com

Бесплатно предоставляются дистрибутив, лицензия, инструкция по настройке и типовые файлы настроек для быстрого запуска контроля перенаправленных устройств и буфера обмена данными.

Акция актуальна и будет актуальна, пока в стране действует режим самоизоляции.

18. #CODEIB

СПАСИБО ЗА ВНИМАНИЕ

СЕРГЕЙ ВАХОНИН

SV@DEVICELOCK .COM

www.devicelock.com