Вениамин Левцов, Директор по развитию направления

Информационная безопасность

Как защититься от инсайдеров

Компания LETA более 4-х лет занимается внедрением систем по предотвращению утечек информации

ILDP системы: 17 проектов

По различным аспектам борьбы с утечками: 40 проектов

Компания #1 по рейтингу CNews в сфере построения систем защиты от инсайдеров в 2007 году

Компания #4 по рейтингу CNews Security 2006: крупнейших ИТ-компании России в сфере защиты информации

Сертификаты и лицензии на деятельность в области защиты информации:

ФСТЭК России ФСБ России

Как защититься от инсайдеров

Партнерские отношения:

Ежегодные исследования рынка ILDP в России на сайте www.leta.ru

Как защититься от инсайдеров

Основные методы контроля

Локальный агент или анализ трафика?

Смежные подходы

Проблемы и решения

Как защититься от инсайдеров

Определяются «ключевые»

термины

Определяются обычные термины – для каждого задается вес в категории

Дерево категорий

Категория 1 Категория 2 Категория 3

Задается порог толерантности

Проверяемый документ

Как защититься от инсайдеров

Защищаемый документ

Множество «отпечатков» фрагментов защищаемого

документа

A 1

A 2

A N

B 1

B 2

B M

Множество «отпечатков» проверяемого документа

?

Как защититься от инсайдеров

Цель: перехват подозрительных SQL пакетов без влияния на сервер баз данных и подготовка отчетовSQL запросы подвергаются анализу в он-лайнеАвтоматические уведомления о совершении подозрительных действийРепозитории для подготовки статистических отчетов

Разделение лога запросов и собственно объектного хранилища

Разделение ролей:

▫ Объектным хранилищем управляет администратор БД

▫ Базой с результатами мониторинга управляет специальный аудитор

Массив предустановленных правил на основе best practice

Формирование надежной доказательной базы

Как защититься от инсайдеров

Суть подхода: снятие "цифрового отпечатка" с содержания

Определяется набор защищаемых полей

Снимается "отпечаток" с данных в выбранных столбцах

Задается порог чувствительности: количество записей базы данных

Содержание передаваемых данных проверяется на корреляцию с "отпечатком"

Передача данных может быть заблокирована

По опыту: работает достаточно надежно

Как защититься от инсайдеров

Контроль за действиями пользователя или приложения

Контроль отправлений через анализ трафика

Агент требует

▫ Развертывания и управления конфигурациями

▫ Ресурсов конечной станции

▫ Ограничения прав пользователя

Агент позволяет контролировать

▫ Локальные порты с учетом контента

▫ Работу локальных приложений

▫ Пользователя в пути

Шлюзовое решение: контроль отправки с нетипичных устройств

Как защититься от инсайдеров

Различные ограничения:

▫ Правила для типов документов

▫ Категоризация

▫ Скрытые метки

▫ Определение каталога для хранения и т.д.

Ограничение множества пользователей и операций

Пример: запрет на сохранение документа вне заданного каталога

Фокус на регламенте штатной работы с документами

Нет контроля за содержанием передаваемой информации

Вопрос: как быть с локальной печатью?

Как защититься от инсайдеров

IRM (Information Rights Management)

Общая схема работы:

▫ Владелец информации формирует множество пользователей и разрешенных операций

▫ Локальные агенты для основных приложений

▫ Крипто-сервер выдает разрешения на работу с документом

▫ Возможны ограничения печати, копирования-вставки, исправлений и т.д.

Пример: полный запрет на открытие документа не авторизованным пользователем

Фокус на защите контейнера, а не содержания

Вопрос: как быть с черновиками?

Как защититься от инсайдеров

Ручная автозамена символа на специальный

Замена обратимая, символ не встречается в исходном тексте

Решение 1:

▫ Правила нормализации слов для часто встречающихся подмен

▫ Плюс: при хорошей разметке размер не важен

▫ Минус: ограничение числа пар подмен

Решение 2:

▫ Предустановленное правило

▫ Плюс: не обнаружено ограничений на пары символов

▫ Минус: начинает работать с некоторого объема (2 страницы из 25, замена 2-х символов )

Как защититься от инсайдеров

Снятие "отпечатков" обычно запускается по графику

Конфиденциальный документ доступен, но "отпечаток" еще не готов

Решение:

▫ Тэг - ключевое слово (например, название проекта)

▫ Регулярное выражение, активное до определенного момента

Оба подхода отлично дополняют "отпечатки"

Как защититься от инсайдеров

Системы контентного анализа требуют длительного внедрения и тонкой настройки для минимазации ложных срабатываний

Подготовка "цифровых" отпечатков требует в среднем 5-10, но иногда до 20% объема защищаемых данных

Пока не реализован контроль данных в графических форматах

Локальные агенты оказывают реальное влияние на загрузку рабочих станций

Запросы локальных агентов на сервер контентного анализа повышают нагрузку на сеть

Контроль за базами данных с блокировкой в режиме реального времени трудно реализуем

Как защититься от инсайдеров

Звучит банально, но … типового решения нет!

Необходимо определить ключевые потребности бизнеса и выработать общий подход к решению

▫ Провести анализ массива конфиденциальной информации

▫ Выделить области наибольшей чувствительности для бизнеса

▫ Определить параметры пилотного внедрения

▫ Развернуть пилот и оценить его результаты

▫ Составить план развития решения и т.д.

Нужен совет эксперта!

Вениамин Левцов Директор по развитию направления Информационная безопасность

VLevtzov@leta.ru

LETA IT-company109129, Россия, Москва, ул. 8-я Текстильщиков, д.11, стр.2 Тел./факс: +7 495 101 1410www.leta.ru

Спасибо за внимание!