«Заперечливі питання при побудові системи...

«Заперечливі питання при побудові системи інформаційної безпеки в компанії »

Практичні аспектиреалізації системи інформаційної

безпеки в компаніях.

З досвіду роботи SearchInform

www.searchinform.com.ua

Контур інформаційної безпеки «SearchInform» використовується в більш, ніж в 1500 організаціях

України, Білорусі, Росії, Казахстану, Литви та Латвії.


Офіси компанії успішно працюють в Києві, Мінську, Алмати,Москві, Хабаровську, Новосибірську, Єкатеринбурзі, Казані,

Санкт-Петербурзі, Ризі, Вільнюсі.

SearchInform сьогодні

Компаніям, готовим до впровадження нашого продукту, ми допомагаємо вибудувати систему інформаційної безпеки, спираючись на досвід вирішення супутніх завдань нашими клієнтами з цієї ж галузі (назви таких компаній - клієнтів зберігаються в таємниці).

Це рекомендації відносно того:

Які політики безпеки необхідно налаштувати;

Яку інформацію треба захищати;

Як розмежувати права доступу співробітників до чутливої інформації та інше.

Спеціальний відділ з підтримки клієнтів


Співпраця з вузами:

Випускники вузів не виправдовують очікувань роботодавців, тому що не мають практичного досвіду в сфері ІБ і досвіду роботи з DLP-системами.

SearchInform – єдина компанія- розробник системи забезпечення ІБ, яка бере участь в підготовці кваліфікованих молодих фахівців з інформаційної безпеки.

Ми безкоштовно надаємо зацікавленим вузам наше рішення для підготовки фахівців, які вміють працювати з реальним продуктом.



Найчастіше компанії для запобігання витоків інформації забороняють співробітникам використовувати зручні та популярні канали її передачі і спілкування із зовнішнім світом.

Наприклад, для безпеки звичайно дозволено використовувати тільки корпоративну електронну пошту, а такі засоби як ICQ, Skype заборонені, незважаючи на те, що вони в багатьох випадках могли б істотно збільшити ефективність роботи.

Сучасна система інформаційної безпеки повинна дозволяти співробітнику використовувати всі канали для передачі інформації, і разом з тим перехоплювати та аналізувати інформаційні потоки, що йдуть по цих каналах.

Інформаційна безпека повинна

сприяти бізнесу, а не перешкоджати йому.

Всі канали передачі інформації повинні

бути відкритими


У мультфільмі «Чарівник Смарагдового міста» на кордоні країни стояли ворота, які охороняв великий страшний вовк - ніхто не міг пройти. Ось тільки вся інша межа була лише намальована ...

Інформаційна безпека – це контроль всіх каналів передачі інформації

Так і з інформаційною безпекою. Якщо, наприклад, заборонити тільки запис інформації на флешки, диски та інші носії, то данні будуть благополучно йти

через електронну пошту або інтернет-пейджери.Також, наприклад, існує думка, що перехопити інформацію, передану в Skype, не можливо. Саме тому користувачі набагато вільніше спілкуються в Skype на

робочому місці , ніж в інших інтернет-месенджерах. У зв'язку з цим неодмінно слід контролювати текстові і голосові повідомлення, а також

файли, що передаються в Skype.

Реалізація комплексної політики інформаційної безпеки неможлива при наявності хоча б одного неконтрольованого службою безпеки каналу

потенційних витоків.

«Контур інформаційної безпеки SearchInform»


Один у полі не воїн?

Навіть якщо інформація успішно перехоплена, вона марна доти, поки не буде проаналізована. Читати все «по-старому» нераціонально. При такому підході один офіцер безпеки добре, якщо здатний охопити 20-50 осіб. А якщо співробітників декілька сотень або тисяч?

Перевагою «Контура інформаційної безпеки SearchInform» є здатність до автоматичного аналізу інформації за допомогою різних пошукових алгоритмів та автоматичне відпрацювання заданих політик безпеки.

Таким чином, при використанні «Контура» один офіцер безпеки може контролювати 1000-1500 співробітників.


Доменні імена


Інтеграція з доменної системою Windows дає можливість достовірно ідентифікувати користувача, що відправив повідомлення електронною поштою, Skype, ICQ, MSN, JABBER або залишив його на форумі або блозі, навіть якщо співробітник скористався для цього поштовою скринькою на безкоштовному сервері, підписався чужим ім'ям (никнеймом) або увійшов в мережу з чужого комп'ютера.


Елементи «Контура інформаційної безпеки»

Контроль ноутбуків

У 2013 році вийшло додаткове рішення - MicrophoneSniffer, що дозволяє при включеному ноутбуку писати розмови навколо.

SearchInform дозволяє повноцінно контролювати ноутбуки по всіх каналах, навіть коли вони знаходяться за межами корпоративної мережі.

Агент EndpointSniffer ретельно приховує свою присутність на лептопі, виявити його непросто навіть кваліфікованому фахівцю. Він збирає відправлені дані, які будуть передані для аналізу відділу ІБ відразу ж, як тільки лептоп виявить з'єднання з мережею.



Контроль iPad та iPhone

Мобільність співробітника сьогодні грає важливу роль в логіці ведення бізнесу. Використання корпоративних смартфонів та планшетів підвищує ефективність роботи працівників на десятки відсотків. Адже тепер вони можуть підключатися до корпоративних мереж нарівні з корпоративними ПК і мобільними пристроями з будь-якого місця і у будь-який час. Однак, разом із зручністю приходить цілий ряд проблем для співробітників служби інформаційної безпеки.

«Контур інформаційної безпеки SearchInform» на сьогодні підтримує перехоплення пошти, IM, Skype і HTTP-трафіку з iPhone та iPad.



Контроль робочого часу співробітників Поряд із захистом конфіденційної інформації компанії та боротьбою з інсайдерством, важливим завданням сьогодні є виявлення неіффектівних співробітників. Інакше кажучи, нероб.

ProgramSniffer – новий модуль, що входить до складу «Контура інформаційної безпеки SearchInform»-допомагає вирішити цю задачу, надаючи співробітникові СБ звіти про :

- час приходу співробітника на роботу та з роботи; - час реальної роботи за комп'ютером; - статистику та час використання додатків.


Розпізнавання хитрувань інсайдерів

Найчастіше недобросовісні співробітники, намагаючись обдурити службу безпеки, передають інформацію в графічному вигляді або, наприклад, в зашифрованому архіві.

Для повноцінного контролю необхідно:

• розпізнавати текст в графічних файлах і здійснювати пошук по ньому;• виявляти передачу зашифрованих архівів по всіх каналах можливого витоку інформації; • виявляти пересилку файлів із зміненим типом.

Обговорення внутрішнього життя компанії сьогодні відбувається не тільки в курилці, але і в соціальних мережах, скайпі, мікроблогах. Поява у відкритому доступі негативних відгуків або внутрішньої інформації компанії може істотно вплинути на її імідж та позначитися на лояльності клієнтів.


Социальные мережи, форуми блоги, месенджери

Крім того, не варто забувати про силу

«сарафанного радіо».

Важливо відстежувати комунікативні зв'язки між працівниками, виявляти неформальних лідерів у колективі, а також контролювати спілкування співробіт-ників з колишніми колегами.

Витоки інформації та способи їх запобігання


www.searchinform.ru

Уявіть собі ситуацію ...

Йде війна. Партизани вийшли на слід німецького загону, що засів в одній з глухих білоруських сіл. Ніч. Розвідники доповіли, що німецьке командування і частина солдатів - в сусідньому селі, повернуться не скоро. А в тимчасовому німецькому штабі - п'ять солдатів, і все міцно сплять.

На столі - дивом залишений на загальний огляд секретний план майбутнього наступу на Москву. У партизан два варіанти:

1. Викрасти план і розкрити свою присутність, а також звести цінність добутої інформації нанівець.

Блокування вихідного трафіку:шкода або користь?


2. Скопіювати план, внести в нього значні правки і повернути підроблений документ на місце, будучи в курсі дій, які спланувало німецьке командування. Розкриваючи факт присутності налагодженої системи контролю над інформаційними потоками в організації через блокування вихідного трафіку, ми власноруч мотивуємо інсайдера на пошук обхідних шляхів передачі конфіденційних даних компанії третім особам. Інша справа, якщо на ворожому столі документи, здатні переломити хід війни на користь противника. Або в нашому випадку - завдати непоправної шкоди фінансового благополуччя компанії.

Блокування вихідного трафіку:шкода або користь?

ІТ або ІБ?

Як показує практика роботи SearchInform, інформаційна безпека в компанії організована найкращим чином у разі, коли робота ІТ та ІБ відділів розмежовано. У кожного з цих підрозділів свої завдання.

Ідеальним варіантом взаємодії цих відділів за відсутності в компанії кваліфікованого «безопасника» є залучення до постійної роботи в ІБ підрозділі довіреного IT спеціаліста.


Три кити ІБ

Попередження витоків:

Завдання ІБ-системи полягає не тільки, і не стільки, в тому, щоб зафіксувати сам факт витоку, але в запобіганні інциденту на стадії дозрівання негативного наміру у потенційного інсайдера (інсайдерів).

Робота з колективом:

DLP-система відстежує настрої в колективі шляхом моніторингу повідомлень співробітників в інтернет-месенджерах (Skype, ISQ) і соцмережах в робочий час.

Оптимізація роботи:

За допомогою DLP-системи можна контролювати реакцію колективу на нововведення та відповідно до неї ефективно коригувати внутрішню політику підприємства.

www.searchinform.ru

Розмежування прав доступу


Кожен з компонентів контура інформаційної безпеки підприємства узгоджується з єдиною системою розмежування прав доступу.

Система володіє рядом гнучких налаштувань і дозволяє вибудувати ієрархію доступу до конфіденційної інформації будь-яким чином.

Всі компоненти системи мають клієнт-серверну структуру. Серверна - це одна з платформ для перехоплення даних - SearchInform NetworkSniffer або SearchInform EndpointSniffer, і клієнтські програми, призначені для роботи з базою перехоплених даних та проведення службових розслідувань. Використання єдиного пошукового аналітичного движка дозволяє повною мірою використовувати всі перераховані пошукові можливості.

SearchInform NetworkSniffer - платформа для перехоплення даних на рівні зеркаліруемого трафіку, тобто NetworkSniffer обробляє трафік, не впливаючи на роботу корпоративної мережі. Перехоплюються дані, що пересилаються користувачами по популярних мережевих протоколах та каналах (SMTP, POP3, IMAP, HTTP, HTTPs, MAPI, ICQ, JABBER, MSN) на рівні локальної мережі. Платформа включає в себе наступні продукти:


Архітектура системи

SearchInform EndpointSniffer - платформа для перехоплення трафіку за допомогою агентів.

Додатково дозволяє контролювати співробітників, що перебувають за межами корпоративної мережі - вони можуть вільно передати конфіденційні дані з ноутбука третім особам. SearchInform EndpointSniffer збирає відправлені дані і передає їх для аналізу відділу ІБ , як тільки лептоп виходить в Мережу. . Переваги роботи агентів IMSniffer і MailSniffer на платформі SearchInform EndpointSniffer в тому , що вони володіють підвищеною стійкістю до різних збоїв (навіть якщо сервера стануть недоступними, перехоплення буде здійснюватися), здатні перехоплювати і ті дані, які передаються по захищених протоколах. SearchInform EndpointSniffer - агенти :

Архітектура системи



Електронна поштаОдин з найбільш небезпечних каналів витоків, оскільки підтримується пересилання великих обсягів даних. Підтримуються протоколи SMTP, POP3, MAPI, IMAP. HTTPМожливість витоку інформації в соціальні мережі, блоги, на форуми, а також через Web-додатки для відправки електронної пошти та SMS, Web-чати. FTPЦей протокол - найважливіший засіб передачі великих обсягів даних, і може використовуватися недобросовісними співробітниками для передачі цілих баз даних, деталізованих креслень, пакетів відсканованих документів та ін.

Перехоплення інтернет-трафику SearchInform NetworkSniffer дозволяє здійснювати перехоплення інформації, переданої через інтернет. Підтримуються всі поширені протоколи, які можуть використовуватися інсайдерами. Пропонується підтримка проксі-серверів - як програмних (Kerio, Squid і т.д.), так і апаратних (BlueCoat, IronPort і т.д.) - через стандартний протокол ICAP.

Елементи «Контура інформаційнної безпеки»

Skype«Контур інформаційної безпеки SearchInform» є першим з рішень в області інформаційної безпеки, який забезпечив перехоплення не тільки голосових і текстових повідомлень, а й файлів, переданих через Skype.

PrintSnifferЦе програма, яка контролює вміст документів, відправ- лених на друк. Всі дані перехоплюються, вміст файлів індексується і зберігається в базі заданий проміжок часу.

Відстежуючи документи, надруковані на принтері, можна не тільки запобігати спроби розкрадання інформації, але також оцінити доцільність використання принтера кожним співробітником і уникнути перевитрати паперу.

Служби миттєвого обміну повідомденнями (IM)

Підтримуються протоколи ICQ, MSN, Mail.ru Агент, JABBER, активно використовувані офісними працівниками.




DeviceSniffer – програма, що виконує аудит зовнішніх носіїв, підключених до комп'ютера (флешки, компакт-диски, зовнішні вінчестери), а також перехоплення записуваних на них файлів завдяки функції «тіньового копіювання». За допомогою цієї програми ви можете уникнути витоку великих обсягів даних, які інсайдер переписує на зовнішні носії через неможливість їх передачі по інтернету.

MonitorSniffer призначений для перехоплення інформації, яка відображається на моніторах користувачів і збереження отриманих знімків екрану в базі даних. Підтримується контроль екрану одного або декількох користувачів у режимі реального часу, можна відстежувати стан екранів користувачів термінальних серверів, що працюють за RDP-з'єднанню (протоколу віддаленого робочого столу).



Индексация рабочих станций дозволяє у реальному часі відслідковувати появу, копіювання, переміщення та видалення конфіденційної інформації на робочих станціях користувачів. Такий аудит користувача комп'ютерів у всій локальній мережі підприємства дозволить вчасно виявити співробітника, який збирається передати закриті корпоративні документи третім особам.

FileSniffer контролює роботу користувачів на загальних мережевих ресурсах, які містять великі обсяги конфіденційних даних, не призначених для розповсюдження за межами компанії. Копіюючи документи з цих ресурсів, співробітники можуть торгувати корпоративними секретами. SearchInform FileSniffer дозволяє контролювати всі операції з файлами на загальнодоступних мережевих ресурсах, захищаючи інформацію, що знаходиться на них.



Різні варіанти впровадження контуру при наявності безлічі офісів

Словники синонімів

Спільно з однією з мерій був розроблений антикорупційний словник синонімів. Фігурувала в тому числі і «відкатна» тематика.

Політики «Контура інформаційної безпеки SearchInform» налаштовані таким чином, що спрацьовують на певні

слова-синоніми (гроші, бабки, капуста).



Друк документів

На підприємстві, що виробляє великий обсяг бакалійної продукції, в ході аудиторської перевірки з'ясувалося, що товарів на складах у реалізаторів продукції виявилося значно більше, ніж було відвантажено.

Було встановлено, що група зловмисників організувала на підприємстві випуск неврахованої продукції. Її реалізація через торгову мережу стала можливою за рахунок друку дублікатів накладних, в яких вказувалися потрібні зловмисникам цифри.




За допомогою моніторингу ICQ були знайдені вірші про керівництво компанії не самого втішного змісту, що завдають серйозної шкоди діловому іміджу компанії. Деякі з них були опубліковані в Інтернеті.

Знайти винних допоміг аналіз ICQ листування, за допомогою SearchInform IMSniffer. Було знайдено найперше повідомлення з віршем, після чого були перевірені робочі станції винних співробітників, на яких і були знайдені файли з віршами.

ICQ і моніторинг робочих станцій


Нецензурні і негативні слова

Мати + негативні слова разом з прізвищами топ менеджменту та назвою компанії дають поживу для роздумів про лояльність співробітників.



У кожної компанії, незалежно від сфери її діяльності, є свої «секрети», які потребують захисту.

Необхідно контролювати рух в корпоративній мережі та доступ до документів, що містить:

список призвіщ;

список компаній - партнерів;

товарні позиції.



Як показує практика роботи SearchInform з клієнтами, деяких співробітників компанії необхідно включати

в «групу ризику», до якої можуть бути віднесені:

1. Співробітники, помічені в порушенні політик ІБ. 2. Співробітники, які використовують в роботі різні «трюки» (перейменовані конфіденційні файли, запаролені архіви та ін.). 3. Нелояльні співробітники (негативні відгуки про керівництво, про компанії та ін.). 4. Співробітники, які з якихось причин почали саботувати роботу. 5. Співробітники, що мають відношення до рухів фінансів та товарів, а також частина менеджерів середньої ланки (керівники департаментів).



Загальні практики

Контроль спілкування з співробітниками, що звільнилися

Відстеження неформальних лідерів і сплесків активності

Моніторинг активності 1-2% персоналу організації за минулий місяць.



В середньому їх кількість становить 0,2-1% від загального числа протягом 3-4 місяців після впровадження DLP-системи.


Оцінка ефективності впровадження DLP

DLP – ні панацея від усіх хвороб, а зручний інструмент для ефективної роботи служби безпеки компанії.

Оцінкою ефективності роботи СБ з «контуром інформаційної безпеки SearchInform», за нашим досвідом, може служити кількість звільнених співробітників.


1. Простота та швидкість впровадження. Процес інсталяції займає всього кілька годин та не впливає на функціонування існуючих інформаційних систем всередині компанії.

Переваги Контура інформаційної безпеки SearchInform

2. Можливість контроля всіх каналів передачи інформації, включаючи Skype, соціальні мережі, принтери, а також роботу користувачів на файл-серверах.

3. Функція «пошук схожих». Дозволяє власними силами швидко і гнучко налаштувати систему оповіщення, не привертаючи сторонніх фахівців. При цьому для ефективного захисту конфіденційних даних необхідні мінімальні трудовитрати на аналіз інформаційних потоків.

4. Повна інтеграція з доменною структурою Windows дозволяє достовірно ідентифікувати користувача.

5. Розширені пошукові можливості дозволяють ефективно захищати конфіденційні дані при мінімальних трудовитратах на аналіз інформаційних потоків (досить 1 спеціаліста для контролю 1000 - 1500 робочих станцій в організації).

1. DLP це недорого. Як правило, вартість впровадження DLP на одного співробітника = вартості витрат на чай, каву та новорічний корпоратив .

2. DLP це не витрати, а зворотні інвестиції. DLP економить гроші на завищенні цін при закупівлях , мінімізації репутаційних ризиків , на « зливі » баз клієнтів і партнерів та інше.

3. «Не чекайте з моря бюджету». Захист інформації не терпить зволікань , як і заміна зламаного дверного замка.

4. Інформація, що зберігається на комп'ютері сьогодні, завжди дорожче самого комп'ютера, тому витрати на інформаційну безпеку повинні бути не менше, ніж на фізичну.


Як переконати власника в необхідності DLP

Збереження конфіденційних даних

вашої компанії залежить від Вас!


«Заперечливі питання при побудові системи...

Documents