Обзор методов контроля за перемещением...
DESCRIPTION
Обзор методов контроля за перемещением конфиденциальных данных. Вениамин Левцов , Директор по развитию направления Информационная безопасность. Как защититься от инсайдеров. О компании. Компания LETA более 4-х лет занимается внедрением систем по предотвращению утечек информации - PowerPoint PPT PresentationTRANSCRIPT
Вениамин Левцов, Директор по развитию направления
Информационная безопасность
Как защититься от инсайдеров
Компания LETA более 4-х лет занимается внедрением систем по предотвращению утечек информации
ILDP системы: 17 проектов
По различным аспектам борьбы с утечками: 40 проектов
Компания #1 по рейтингу CNews в сфере построения систем защиты от инсайдеров в 2007 году
Компания #4 по рейтингу CNews Security 2006: крупнейших ИТ-компании России в сфере защиты информации
Сертификаты и лицензии на деятельность в области защиты информации:
ФСТЭК России ФСБ России
Как защититься от инсайдеров
Партнерские отношения:
Ежегодные исследования рынка ILDP в России на сайте www.leta.ru
Как защититься от инсайдеров
Основные методы контроля
Локальный агент или анализ трафика?
Смежные подходы
Проблемы и решения
Как защититься от инсайдеров
Определяются «ключевые»
термины
Определяются обычные термины – для каждого задается вес в категории
Дерево категорий
Категория 1 Категория 2 Категория 3
Задается порог толерантности
Проверяемый документ
Как защититься от инсайдеров
Защищаемый документ
Множество «отпечатков» фрагментов защищаемого
документа
A 1
A 2
A N
B 1
B 2
B M
Множество «отпечатков» проверяемого документа
?
Как защититься от инсайдеров
Цель: перехват подозрительных SQL пакетов без влияния на сервер баз данных и подготовка отчетовSQL запросы подвергаются анализу в он-лайнеАвтоматические уведомления о совершении подозрительных действийРепозитории для подготовки статистических отчетов
Разделение лога запросов и собственно объектного хранилища
Разделение ролей:
▫ Объектным хранилищем управляет администратор БД
▫ Базой с результатами мониторинга управляет специальный аудитор
Массив предустановленных правил на основе best practice
Формирование надежной доказательной базы
Как защититься от инсайдеров
Суть подхода: снятие "цифрового отпечатка" с содержания
Определяется набор защищаемых полей
Снимается "отпечаток" с данных в выбранных столбцах
Задается порог чувствительности: количество записей базы данных
Содержание передаваемых данных проверяется на корреляцию с "отпечатком"
Передача данных может быть заблокирована
По опыту: работает достаточно надежно
Как защититься от инсайдеров
Контроль за действиями пользователя или приложения
Контроль отправлений через анализ трафика
Агент требует
▫ Развертывания и управления конфигурациями
▫ Ресурсов конечной станции
▫ Ограничения прав пользователя
Агент позволяет контролировать
▫ Локальные порты с учетом контента
▫ Работу локальных приложений
▫ Пользователя в пути
Шлюзовое решение: контроль отправки с нетипичных устройств
Как защититься от инсайдеров
Различные ограничения:
▫ Правила для типов документов
▫ Категоризация
▫ Скрытые метки
▫ Определение каталога для хранения и т.д.
Ограничение множества пользователей и операций
Пример: запрет на сохранение документа вне заданного каталога
Фокус на регламенте штатной работы с документами
Нет контроля за содержанием передаваемой информации
Вопрос: как быть с локальной печатью?
Как защититься от инсайдеров
IRM (Information Rights Management)
Общая схема работы:
▫ Владелец информации формирует множество пользователей и разрешенных операций
▫ Локальные агенты для основных приложений
▫ Крипто-сервер выдает разрешения на работу с документом
▫ Возможны ограничения печати, копирования-вставки, исправлений и т.д.
Пример: полный запрет на открытие документа не авторизованным пользователем
Фокус на защите контейнера, а не содержания
Вопрос: как быть с черновиками?
Как защититься от инсайдеров
Ручная автозамена символа на специальный
Замена обратимая, символ не встречается в исходном тексте
Решение 1:
▫ Правила нормализации слов для часто встречающихся подмен
▫ Плюс: при хорошей разметке размер не важен
▫ Минус: ограничение числа пар подмен
Решение 2:
▫ Предустановленное правило
▫ Плюс: не обнаружено ограничений на пары символов
▫ Минус: начинает работать с некоторого объема (2 страницы из 25, замена 2-х символов )
Как защититься от инсайдеров
Снятие "отпечатков" обычно запускается по графику
Конфиденциальный документ доступен, но "отпечаток" еще не готов
Решение:
▫ Тэг - ключевое слово (например, название проекта)
▫ Регулярное выражение, активное до определенного момента
Оба подхода отлично дополняют "отпечатки"
Как защититься от инсайдеров
Системы контентного анализа требуют длительного внедрения и тонкой настройки для минимазации ложных срабатываний
Подготовка "цифровых" отпечатков требует в среднем 5-10, но иногда до 20% объема защищаемых данных
Пока не реализован контроль данных в графических форматах
Локальные агенты оказывают реальное влияние на загрузку рабочих станций
Запросы локальных агентов на сервер контентного анализа повышают нагрузку на сеть
Контроль за базами данных с блокировкой в режиме реального времени трудно реализуем
Как защититься от инсайдеров
Звучит банально, но … типового решения нет!
Необходимо определить ключевые потребности бизнеса и выработать общий подход к решению
▫ Провести анализ массива конфиденциальной информации
▫ Выделить области наибольшей чувствительности для бизнеса
▫ Определить параметры пилотного внедрения
▫ Развернуть пилот и оценить его результаты
▫ Составить план развития решения и т.д.
Нужен совет эксперта!
Вениамин Левцов Директор по развитию направления Информационная безопасность
LETA IT-company109129, Россия, Москва, ул. 8-я Текстильщиков, д.11, стр.2 Тел./факс: +7 495 101 1410www.leta.ru
Спасибо за внимание!