Разработка сайта для Вашего бизнеса. Веб дизайн. Дизайн логотипа, фирменного стиля, рекламная фотография . Комплексный рекламный креатив.

Ralex. We do the work.
На рынке с 1999го года. Средняя ценовая категория. Ориентация на эффективность решений.
Ознакомтесь с нашим портфолио
Узнайте больше о услугах
Свяжитесь с нами:
E-mail: [email protected]
Tel: (044) 587 - 84 - 78
Custom web design & дизайн и разработка сайта "под ключ"
Креативный, эффективный дизайн. Система управления сайтом (СУС).
Custom flexible разработка систем электронной коммерции
Система e-commerce разрабатывается под индивидуальные потребности. Гибкая функциональность.
Search Engine Optimzation & оптимизация под поисковые системы (SEO)
Постоянная оптимизация и мониторинг сайта в поисковых системах. Достигаем результата быстро и эффективно
Custom logo design & дизайн логотипа и фирменного стиля
Многолетний опыт. Огромное портфолио. Уникальное предложение и цена.
профессиональная рекламная фотография
креативно, смело, качественно
Custom logo design & рекламный креатив. дизайн рекламы
Многолетний опыт. Огромное портфолио. Уникальное предложение и цена.

Огляд DLP-системи «Контур інформаційної безпеки SearchInform». Частина 2 - Сценарії застосування

  1. Вступ
  2. Контроль листування співробітників в соціальних мережах і месенджерах
  3. Перехоплення інформації, яка відображається на моніторах користувачів
  4. Контроль витоку інформації через знімні носії
  5. Виявлення передачі файлів, захищених паролем
  6. Контроль робочого часу і ефективності співробітників
  7. Моніторинг діяльності співробітників в режимі реального часу
  8. Контроль зв'язків співробітників всередині компанії і з зовнішнім світом
  9. Робота з графічнімі файлами
  10. Висновки

Наша взаимовыгодная связь https://banwar.org/

1. Введення

2. Контроль листування співробітників в соціальних мережах і месенджерах

3. Перехоплення інформації, яка відображається на моніторах користувачів

4. Контроль витоку інформації через знімні носії

5. Виявлення передачі файлів, захищених паролем

6. Контроль робочого часу і ефективності співробітників

7. Моніторинг діяльності співробітників в режимі реального часу

8. Контроль зв'язків співробітників всередині компанії і з зовнішнім світом

9. Робота з графічними файлами

10. Висновки

Вступ

В першій частині огляду DLP-системи «Контур інформаційної безпеки SearchInform» ми детально розповіли про архітектуру рішення, системних вимогах і функціональних можливостях продукту. Сьогодні ми продовжимо розмову про продукт і покажемо на прикладах, як працює дана система. На жаль, з огляду на те, що продукт «Контур інформаційної безпеки SearchInform» володіє широким функціоналом, немає можливості в рамках одного огляду детально розібрати і показати все його можливості та сценарії використання. Тому ми вибрали тільки найцікавіші кейси, які можуть мати місце в повсякденному житті компаній.

Контроль листування співробітників в соціальних мережах і месенджерах

Аудиторія соціальних мереж зростає стрімкими темпами. Крім персонального застосування, соціальні мережі також стали ефективним способом комунікацій в бізнесі. За допомогою них можна вести ділову переписку з колегами, партнерами та клієнтами, ділитися маркетинговими матеріалами, здійснювати відеодзвінки і багато іншого. Проте безконтрольне використання соціальних мереж в корпоративному середовищі може обернутися негативними наслідками для компаній. Розглянемо один з таких випадків і покажемо, як можна контролювати даний канал витоку за допомогою DLP-системи «Контур інформаційної безпеки SearchInform».

Співробітник комерційного відділу спілкувався через соціальну мережу «ВКонтакте» c постачальником компанії. Через деякий час постачальник почав виставляти завищені вимоги на підставі даних, які він не міг отримати з відкритих джерел. Це призвело до конфлікту, компанії погрожували збитки. Фахівці служби інформаційної безпеки компанії встановили, що співробітник в ході спілкування в соціальній мережі передавав постачальнику надлишкову інформацію.

Малюнок 1. Контроль листування співробітників в соціальних мережах в «Контур інформаційної безпеки SearchInform»

Контроль листування співробітників в соціальних мережах в «Контур інформаційної безпеки SearchInform»

Переписка контролювалася DLP-системою «Контур інформаційної безпеки SearchInform» (модуль IMSniffer). Співробітник зрозумів, що відпиратися немає сенсу і щиросердно визнав провину. Керівництво дозволило йому звільнитися за власним бажанням.

Щоб застрахуватися від подібних випадків, в DLP-системі «Контур інформаційної безпеки SearchInform» можна зробити блокування соціальних мереж. Наприклад, таким чином, щоб користувач міг тільки читати новинну стрічку, але не міг нічого відправити.

Малюнок 2. Налаштування параметрів блокування для соціальних мереж і месенджерів в «КІБ SearchInform»

Налаштування параметрів блокування для соціальних мереж і месенджерів в «КІБ SearchInform»

Як ми вже говорили в першій частині огляду, модуль IMSniffer дозволяє здійснювати перехоплення великої кількості протоколів - ICQ, MMP (Mail.ru Агент), XMPP, MSN, Lync, Viber, HTTPIM (Facebook, «Однокласники», «ВКонтакте» і ін. ).

Крім того, в IMSniffer є такі опції, як:

  • обмеження по перехоплює вузлів, IP, портам, відправнику, розміром;
  • додавання списків сервісів-анонімайзерів;
  • перехоплення будь-якого з перерахованих протоколів з використанням HTTP-тунелювання;

Перехоплення інформації, яка відображається на моніторах користувачів

Моніторинг діяльності співробітників за допомогою перегляду екрану дозволяє зробити висновки, наскільки раціонально вони використовують свій робочий час і не порушують прийняті в організації політики. Для цих цілей у складі DLP-системи «Контур інформаційної безпеки SearchInform» є модуль MonitorSniffer, який призначений для перехоплення інформації, яка відображається на моніторах користувачів. MonitorSniffer дозволяє створювати скріншоти екрану і здійснювати відеозапис дій користувача, а також дає можливість адміністратору інформаційної безпеки підключатися до монітора користувача в режимі реального часу. Рішення поставляється разом з програмним модулем KeyLogger, який дозволяє перехоплювати дані, що вводяться користувачем з клавіатури.

Розглянемо кейс, який продемонструє, як даний спосіб контролю допомагає запобігти інциденти. Для прикладу візьмемо ситуацію пошуку співробітником компанії нової роботи.

Сучасні сайти з пошуку роботи, такі як HeadHunter, SuperJob.ru, Job.ru, Rabota.ru і інші, дозволяють вести активний моніторинг роботодавців, складати і відправляти резюме безпосередньо з сайту, не вдаючись до поштових сервісів і іншим каналам спілкування. Тому підтвердити або спростувати підозри, що співробітник збирається звільнитися, можна тільки за допомогою відеозапису з вибірковим пошуком по активності.

Юрист одного з підприємств був дуже цінним фахівцем. Умови і оплата праці відповідали займаній посаді. Проте служба безпеки виявила підвищену активність співробітника на сайтах з працевлаштування. А за допомогою модуля MailSniffer було перехоплено лист, в якому юрист обговорював способи збереження доступу до даних на поточному місці роботи. Служба інформаційної безпеки компанії вирішила перевірити за допомогою відеозапису робочого столу, ніж саме зайнятий співробітник на сайті з пошуку роботи.

Малюнок 3. Перегляд відеозапису того, що відбувається на робочому столі у співробітника в «Контур інформаційної безпеки SearchInform»

Перегляд відеозапису того, що відбувається на робочому столі у співробітника в «Контур інформаційної безпеки SearchInform»

Підозри, що фахівець вирішив звільнитися і активно моніторить ринок праці, підтвердилися. Служба інформаційної безпеки повідомила про ситуацію керівнику підприємства. Так як юрист був цінним фахівцем, з ним обговорили умови, при яких він залишився б на колишньому місці роботи. Таким чином, компанія зберегла співробітника.

Контроль витоку інформації через знімні носії

Тема контролю витоків інформації через знімні носії - нова. Виявивши факт несанкціонованого перенесення даних на флешку і провівши глибокий аналіз інциденту за допомогою інструментів «Контур інформаційної безпеки SearchInform», можна з'ясувати багато корисної інформації. Наступний кейс присвячений цій темі.

У компанії було виявлено аномальне кількість файлів, скопійованих на зовнішні носії. Фахівці служби інформаційної безпеки провели деталізацію звіту по користувачам і виявили співробітницю, яка копіювала основну частину із загальної кількості файлів. Аналіз показав, що копіювалася строго конфіденційна, що стосується комерційної таємниці інформація: база клієнтів, умови угод, договори. Фахівці служби інформаційної безпеки провели додатковий аналіз листування співробітниці в Skype і в особистій пошті (при цьому виключили переписку з співробітниками компанії по корпоративної пошти для зменшення кількості результатів) і одночасно запустили політику для перевірки цих же каналів спілкування по словником на тематику «хочу звільнитися / збираюся йти ». Виявилося, що співробітниця дійсно зібралася звільнитися. Також в результаті розслідування з'ясувалося, що вона копіювала файли, щоб використовувати їх потім на новій роботі.

Щоб уникнути подібних ситуацій, рекомендуємо створити ряд політик, здатних не тільки детектувати пересилання конфіденційних документів зовні, але і перевіряти правила зберігання таких даних в корпоративних сховищах або на локальних станціях, а також вести аудит звернень до даних.

Малюнок 4. Налаштування індексування СУБД в Search Server

Малюнок 5. Створення політики для СУБД в AlertCenter

Створення політики для СУБД в AlertCenter

Виявлення передачі файлів, захищених паролем

Як ми вже говорили в першій частині огляду, недобросовісні співробітники (інсайдери) можуть намагатися обдурити службу безпеки, щоб отримати в особисте розпорядження цінну корпоративну інформацію. Наприклад, вони можуть змінювати розширення переданого документа або записувати дані в архів, захищений паролем.

«Контур інформаційної безпеки SearchInform» дозволяє:

  • розпізнавати текст в графічних файлах і здійснювати пошук по ним;
  • виявляти передачу захищених паролем архівів по всіх каналах можливого витоку інформації;
  • виявляти пересилання файлів з навмисне зміненим типом документа.

Розглянемо кейс, коли співробітник намагався викрасти інформацію, відправивши запаролений файл на свою особисту пошту.

За допомогою політики «запаролений документи» було виявлено файл, відправлений співробітником на особисту пошту. Фахівець з інформаційної безпеки через модуль KeyLogger (основна функція - перехоплення натиснутих клавіш, а також перехоплення тексту з буфера обміну) з'ясував пароль співробітника.

Фахівці з інформаційної безпеки відкрили документ, застосувавши отриманий пароль, і виявили, що співробітник компанії відправляв на особисту пошту інформацію про бюджети. Таким чином, ІБ-фахівця вдалося не тільки детектувати порушення, а й отримати доступ до прихованих співробітником даними.

Подібних інцидентів можна уникнути, якщо, наприклад, заборонити співробітникам відправку поштою самостійно зашифрованих архівів. Малюнок нижче показує, як настроюється блокування відправки зашифрованих архівів в DLP-системі «КІБ SearchInform».

Малюнок 6. Налаштування правил блокування зашифрованих архівів в «Контур інформаційної безпеки SearchInform»

Налаштування правил блокування зашифрованих архівів в «Контур інформаційної безпеки SearchInform»

Контроль робочого часу і ефективності співробітників

Важко уявити керівника компанії, якого б не цікавило, як співробітники проводять робочий час: яку частку часу вони виконують службові обов'язки; з якою метою і в якому обсязі вони користуються сервісами в інтернеті; яку інформацію передають по електронній пошті і набирають у текстовому редакторі.

Контроль за дотриманням співробітниками трудового розпорядку, їх активності протягом робочого часу, а також аналіз їх роботи в запускаються додатках дозволяють не тільки вирішити питання інформаційної безпеки та дисципліни, а й стимулюють співробітників ефективно використовувати робочий час.

Звичайно, нічого страшного, якщо співробітник хоче зробити невелику паузу і відволіктися, наприклад, на перегляд ролика на YouTube. Але можуть бути і менш нешкідливі випадки. Давайте розглянемо приклад, коли служба інформаційної безпеки за допомогою DLP-системи «Контур інформаційної безпеки SearchInform» вирахувала співробітника, який на робочому місці займався підробкою.

Фахівцями служби інформаційної безпеки при аналізі інцидентів з політики використання некорпоративних пошти виявили часту відправку листів одним із співробітників з адреси пошти з корпоративним доменом, який відрізнявся від корпоративного домена організації. Фахівці налаштували запит для аналізу всіх листів, відправлених та отриманих з цієї адреси. Проаналізувавши текст листування, фахівці з'ясували, що співробітник активно займається сторонньою комерційною діяльністю в робочий час. Більш ретельний аналіз активності співробітників дозволив з'ясувати, що в шахрайську схему залучено ще кілька співробітників відділу - двоє займалися моніторингом заявок на інтернет-майданчиках, ще двоє брали участь в складанні документації.

Малюнок 7. Звіт по групах сайтів в «Контур інформаційної безпеки SearchInform»

Звіт по групах сайтів в «Контур інформаційної безпеки SearchInform»

Моніторинг активності співробітників за робочими комп'ютерами здійснюється модулем ProgramSniffer. У ReportCenter передбачена можливість формування різноманітних звітів (наприклад, звіти по групам програмного забезпечення і сайтів), що дозволяють скласти уявлення про раціональність використання робочого часу тих чи інших користувачем, а також про дотримання ним політик безпеки організації. Це дозволяє виявити, які ресурси використовуються частіше і довше за інших і якими саме співробітниками. Додаткову інформацію можна отримати за допомогою скріншотів або відеозапису під час запуску тих чи інших процесів.

Варто зазначити, що основна проблема аудиту призначеного для користувача часу - «ручна» обробка результатів. Фахівцю з безпеки доводиться аналізувати і розподіляти масу різних сайтів, адже не завжди за назвою можна визначити його призначення. Для вирішення цієї проблеми в системі «Контур інформаційної безпеки SearchInform» реалізований «автокатегорізатор», який перевіряє всі сайти і відносить їх до однієї з 80 тематичних категорій.

Малюнок 8. Налагодження «автокатегорізатора» сайтів в «КІБ SearchInform»

Налагодження «автокатегорізатора» сайтів в «КІБ SearchInform»

Моніторинг діяльності співробітників в режимі реального часу

Якщо співробітник проявляє підозрілу активність, необхідно встановити більш пильний контроль за його діями - вести відео- або аудіозаписи, проводити аудит файлових операцій, онлайн-спостереження і фіксацію натиснутих клавіш. Ця інформація може виявитися критичною при проведенні розслідування і зборі доказів провини порушника. Наведемо типовий приклад такої ситуації.

У компанії різко знизилася кількість угод. Діючі клієнти не продовжували договору, поточні операції «буксували» і зривалися. Один з клієнтів повідомив, що є постачальник, який пропонує більш вигідні умови. Необхідно було з'ясувати, звідки конкуренти дізнаються умови і ціни, пропоновані клієнтам. Особливий контроль був встановлений за відділом продажів. З «Звіту по зв'язках користувачів» в ReportCenter за останній місяць виявили зв'язок одного з керівників з людиною з конкуруючої компанії. Фахівець з інформаційної безпеки зі звіту перейшов в переписку і побачив лист: «Інформацію передам в руки, там умови, ціни, клієнтська база». На наступний день ІБ-фахівець безперервно стежив за керівником через модуль MonitorSniffer, а також вів відеозапис того, що відбувається на робочому столі.

Малюнок 9. Спостереження за комп'ютером співробітника в режимі LiveView через консоль адміністратора «Контура інформаційної безпеки SearchInform»

Спостереження за комп'ютером співробітника в режимі LiveView через консоль адміністратора «Контура інформаційної безпеки SearchInform»

Спеціаліст побачив, що керівник відділу продажів підключив знімний жорсткий диск і намагався відправити на нього всю клієнтську базу і важливі напрацювання відділу. У цей момент фахівець з інформаційної безпеки через консоль EndpointSniffer оперативно вимкнув комп'ютер керівника і запобіг копіювання даних.

Малюнок 10. Віддалене вимикання комп'ютера через консоль адміністратора «Контура інформаційної безпеки SearchInform»

Всі зібрані в ході розслідування матеріали лягли в основу доказової бази при пред'явленні претензій роботодавця до инсайдеру, а також дозволили зібрати повний пакет необхідних документів для порушення кримінальної справи.

Контроль зв'язків співробітників всередині компанії і з зовнішнім світом

«Контур інформаційної безпеки SearchInform» дозволяє акцентувати увагу не тільки на порушеннях політик безпеки, а й дослідити взаємини в колективі. ReportCenter будує взаємозв'язку користувачів всередині організації та із зовнішнім світом, допомагає виявляти «особистих адресатів», а також окремо відображає комунікації, в яких знайдені порушення політик інформаційної безпеки.

У модулі AlertCenter по вбудованої універсальної політиці «Група ризику / Наркотики» було виявлено збіг в листуванні одного із співробітників в соціальній мережі «ВКонтакте». Фахівці служби інформаційної безпеки шляхом складання «Звіту по зв'язках користувачів» в модулі ReportCenter через IMSniffer проаналізували зв'язку співробітника в соціальних мережах та інших каналах спілкування. В результаті вдалося виявити активне спілкування з колегами з різних офісів в інших містах, хоча ніякі робочі завдання і обов'язки їх не пов'язували. Зіставивши час прийому на роботу всіх пов'язаних співробітників, фахівці ІБ виявили, що більше половини з них були працевлаштовані після «підозрілого» колеги. Шляхом детального аналізу листування - повного перегляду всіх повідомлень в соціальних мережах - вони знайшли завуальоване спілкування на тему наркотиків і можливі способи їх доставки за допомогою інфраструктури компанії.

Малюнок 11. «Звіт по зв'язках користувачів» в модулі ReportCenter

«Звіт по зв'язках користувачів» в модулі ReportCenter

Граф відносин, будучи наділений властивостями інтерактивності, дає наочне уявлення про зв'язки всередині колективу по всіх основних каналах комунікації, а також про коло спілкування того чи іншого користувача. Виявити, з ким встановлювалися контакти з цього облікового запису на комп'ютері протягом заданого періоду часу, за допомогою механізмів DLP-системи не складає труднощів.

Малюнок 12. Візуалізація зв'язків в модулі ReportCenter, в яких виявлено порушення політик безпеки

Робота з графічнімі файлами

Для роботи з відсканованімі документами DLP-системи Використовують технологію превращение зображення в текст (OCR). Але що робити, якщо об'єктами контролю є саме графічні файли, наприклад креслення, схеми та інші зображення? Наступний приклад присвячений саме цій темі.

Фахівці служби інформаційної безпеки за допомогою модуля Cloud & SharePoint, який контролює вхідні та вихідні дані хмарних сервісів, помітили, що співробітник відділу продажів вивантажив відскановані документи в загальнодоступне хмарне сховище. Після аналізу вивантажених файлів виявилося, що ця інформація відноситься до комерційної таємниці, і якщо дістанеться конкурентам, то може принести істотний фінансовий збиток. Витік був своєчасно попереджено, а співробітники служби інформаційної безпеки провели додатковий інструктаж з правил інформаційної безпеки.

Варто зазначити, що важливо розділяти особисті і корпоративні дані. Якщо вони зберігаються в текстовому форматі, то поділ буде автоматичним, згідно із заданими політикам. Однак якщо дані зберігаються у вигляді зображень, далеко не завжди OCR зможе їх коректно обробляти. Для більш точного визначення, які дані є критичними, в системі «Контур інформаційної безпеки SearchInform» реалізований спеціальний алгоритм для аналізу зображень. Система визначає ключові документи, навіть якщо в них немає тексту або OCR спрацювала неправильно. На малюнку нижче показаний приклад фільтрації зображення, візуально схожого на документи.

Малюнок 13. Фільтрація зображень, візуально схожих на документи, в «Контур інформаційної безпеки SearchInform»

DLP-система «Контур інформаційної безпеки SearchInform» здатна виявити і проаналізувати такі графічні файли, як креслення, схеми та інші зображення.

Малюнок 14. Виявлення і аналіз графічних файлів в «Контур інформаційної безпеки SearchInform»

Виявлення і аналіз графічних файлів в «Контур інформаційної безпеки SearchInform»

Висновки

Ми познайомилися з комплексним рішенням для захисту від витоків конфіденційної інформації і контролю інформаційних потоків в організаціях - DLP-системою «Контур інформаційної безпеки SearchInform». В першій части огляду ми докладно розповіли про архітектуру рішення, системні вимоги, функціональні можливості продукту, у другій частині ми показали сценарії роботи продукту на прикладах з реальної практики.

«Контур інформаційної безпеки SearchInform» являє собою потужний набір інструментів для контролю каналів передачі даних, запобігання витоків конфіденційної інформації і контролю ефективності користувачів. Застосування системи істотно знижує ризик витоку інформації і виникнення інцидентів, викликаних внутрішніми користувачами. Крім ключового завдання, пов'язаної із запобіганням витоків конфіденційної інформації, «Контур інформаційної безпеки SearchInform» вирішує ряд завдань, пов'язаних з контролем дій персоналу.

Наявність сертифіката за вимогами безпеки ФСТЕК Росії (4 рівень РД НДВ) дає можливість використовувати «Контур інформаційної безпеки SearchInform» в комплексі захисту інформаційних систем, де застосування сертифікованих продуктів обов'язково.

Варто відзначити, що «КІБ SearchInform» займає лідируючі позиції на російському ринку і користується хорошим попитом. Про це ми вже детально розповідали в статті « Аналіз ринку систем захисту від витоків конфіденційних даних (DLP) в Росії 2013-2016 ».

Також до переваг DLP-системи «Контур інформаційної безпеки SearchInform» можна віднести його модульну архітектуру. Це дозволяє клієнтам впроваджувати тільки ті модулі, в яких є потреба. У разі необхідності розширення функціоналу системи контролю клієнт може просто докупити необхідні модулі та ліцензії і з легкістю їх інтегрувати в уже функціонуючу інфраструктуру безпеки «КІБ SearchInform».

Розглянуті в другій частині огляду кейси показали, що «КІБ SearchInform» «заточений» на рішення конкретних практичних задач. Попередньо політики враховують досвід великих клієнтів з різних галузей і дозволяють ІБ-фахівцям вчитися на чужих помилках і повторювати успіхи колег по галузі.

До недоліків можна віднести велику кількість консолей управління, що може створити певні незручності адміністраторам при експлуатації системи, а також відсутність агентів для більшості операційних систем сімейства Linux (є агент лише для російської ОС Astra Linux), macOS і мобільних операційних систем.

переваги:

  • Російське рішення для захисту від витоків конфіденційної інформації і контролю інформаційних потоків.
  • Наявність сертифіката відповідності ФСТЕК Росії.
  • Гнучка система ліцензування продукту - дозволяє придбати тільки необхідні модулі, що в підсумку знижує загальну вартість рішення.
  • Простота впровадження і збереження структури локальної мережі.
  • Підтримка великої кількості протоколів для перехоплення і аналізу даних.
  • Широкі можливості інтеграції зі сторонніми рішеннями і сервісами (AD, SIEM, проксі, поштові сервера).
  • Гнучка система побудови звітності, в тому числі можливість створення графічних звітів.
  • Можливість розпізнавання аудіозаписи в текст, а також текстовий пошук по аудіо та відео.
  • Розвинений функціонал контролю продуктивності / ефективності співробітників.

недоліки:

  • Велика кількість модулів (консолей) управління, що створює незручності при управлінні системою. Однак вендор заявляє, що в першому кварталі 2017 року продукт буде складатися з двох консолей.
  • Наявність агентів тільки під Windows і Astra Linux , Відсутність агентів для Linux, macOS і мобільних операційних систем.

Огляд DLP-системи «Контур інформаційної безпеки SearchInform». Частина 1 - Основні функції системи

Але що робити, якщо об'єктами контролю є саме графічні файли, наприклад креслення, схеми та інші зображення?
Категории
  • Биология
  • Математика
  • Краеведению
  • Лечебная
  • Наука
  • Физике
  • Природоведение
  • Информатика
  • Новости

  • Новости
    https://banwar.org/
    Наша взаимовыгодная связь https://banwar.org/. Запустив новый сайт, "Пари Матч" обещает своим клиентам незабываемый опыт и возможность выиграть крупные суммы.


    Наши клиенты
    Клиенты

    Быстрая связь

    Тел.: (044) 587-84-78
    E-mail: [email protected]

    Имя:
    E-mail:
    Телефон:
    Вопрос\Комментарий: