КИБ Searchinform – больше, чем DLP

Профилактика утечек информации

Из опыта работы SearchInform

или как выявлять инсайдеров на ранней стадии. Практические примеры работы с коллективом.

SearchInform сегодня«Контур информационной безопасности SearchInform» используется более, чем в 1500 организациях России, Украины, Беларуси, Казахстана, Польши. Офисы компании успешно работают в Москве, Хабаровске, Новосибирске, Екатеринбурге, Казани, Санкт-Петербурге, Варшаве, Киеве, Минске, Алматы.

Учебный центр

С мая 2013 года в компании действует собственный учебный центр

За это время мы подготовили более 1000 специалистов

Мы готовим как аналитиков, так и инженеров

Отдел внедрения

Наша сила в наших знаниях. Ведь работа с более 1500 клиентами – это огромный опыт

Приобретая DLP-систему, нужно использовать её возможности на 100%

Мы не просто решаем задачи, но и объясняем, почему предложенное решение самое лучшее

Основные понятия

ИБ должна способствовать бизнесу, а не препятствовать

ему

Все каналы должны быть открыты и под контролем

Информации слишком многоКонтроль «по-старинке» не эффективенБольшой штат безопасников - утопия

Нужны новые продвинутые инструменты поиска и

аналитики

Компьютеры

«Зеркало» Агенты

Парсеры протоколов

SQL

SearchServer

Индексы

AlertCenter ReportCenter Общий клиент

ДвижениеИнформацииВ DLP-системе

Задачи Контура

Предотвращение инцидента еще на

стадии формирования

Контроль перемещения

конфиденциальных документов

Контроль персонала (выявление нелояльных, инсайдеров, групп риска)

Оптимизация работы компании

30% всех политик

10% всех политик

60% всех политик

Контур информационной безопасности SearchInform

Виды поиска для создания политик

Новое понимание концепции DLP

СБ должна работать на упреждение и находить нелояльных сотрудников еще до того, как они что-то начнут пересылать

Если нам удалось остановить отсылку документа, это, конечно, хорошо, но нам это минус, потому что человек: во-первых, уже получил информацию, а во-вторых, уже решил ее кому-то передать

Инсайдерами не рождаются

Практика показывает, решение «слить» не появляется мгновенно, а формируется постепенно.

Подтолкнуть к инсайдерству может:

• Негативное отношение к руководству;• Негативное отношение к компании;• Негативное отношение к коллективу;• Финансовые проблемы;• Алчность;• Зависть;• Шантаж и др.

Давайте разберем практические примеры и посмотрим, на что стоит обращать внимание

Любое действие имеет начало

Почти все инциденты можно «предвидеть».

Статистические запросы позволяют автоматически выявлять инциденты на основании количественных показателей:

• количество скопированных файлов на внешний носитель;

• количество уникальных адресатов в отправленных письмах;

• количество исходящих сообщений в Skype, Lync, Viber, IM;

• количество напечатанных страниц;• количество напечатанных документов;• количество залогиненных учетных

записей на один компьютер;• количество неудачных попыток логина.

С помощью «всплесков» и аномалий можно выявить лишь малую часть инцидентов. Настоящим Граалем информации является общение сотрудников между собой и с внешним миром. Поэтому при предотвращении утечек информации, работа с коллективом выходит на первое место.

Группа риска

1. Долги и кредиты2. Алкогольная зависимость 3. Наркотики4. Отношения между коллегами5. Общение с журналистами6. Посещение сайтов по трудоустройству7. Общение с конкурентами8. Общение с уволенными сотрудниками9. Негативное мнение о руководстве10. Обсуждение зарплат11. Обсуждение сотрудников ИБ и мер противодействия им12. И т.д.

Составные части Контура информационной безопасности

Только совместное использование всех трех инструментов позволяет вам получить целостную картину происходящего в компании

SearchInform Event Manager

SIEM

SysLog

Exchange Active Directory

FireWall

Antivirus

Data Loss Prevention

SearchInform WorkTime Monitor

Одна компания начала проигрывать тендеры слишком часто. Заметили тенденцию: проигрываются конкурсы, в которых участвует определенный начальник. Анализ его деятельности показал, что письма начальника есть на чужом компьютере. Оказалось, что один из сотрудников, раздобыл пароль, настроил себе дополнительный корпоративный ящик (начальника) и использовал полученную информацию в своих целях.

Примеры из жизни

Системный администратор, отвечающий, в том числе, и за работу почтового сервера компании, настроил себе копию со всех корпоративных почтовых ящиков. Таким образом, сотрудник имел доступ ко всей переписке сотрудников компании, в том числе и высшего руководства.

Примеры из жизни

Виновного выявили с помощью ReportCenter. В отчетах было видно аномально большое количество писем, что не соотносилось с действительно-стью. Детализация показала, что больше всего писем почему-то приходит сисадмину.

Главный бухгалтер компании всерьез задумался о смене работы. Уже был назначен преемник, которому надлежало передать дела. Но все выпало на отчетный период. Юридически отчитаться должен был «старый» главный бухгалтер. Если человек собирается уходить, его ставят под полный контроль, в том числе и с помощью видеозаписи.

Примеры из жизни

Анализируя видеозаписи было выявлено, что главный бухгалтер перед отправкой отчетности внесла изменения в некоторые документы. Если бы компания не выявила нарушение, в следующий раз у них арестовали бы счета, пришла бы проверка и на месяц-другой финансовая деятельность организации прекратилась. А за 1-2 месяца компания может и обанкротиться.

Оценка эффективности

Оценкой эффективности работы СБ с DLP-системой, по нашему опыту, может служить количество уволенных сотрудников

В среднем их количество составляет 0,2-1% от общего числа в течение 3-4 месяцев после внедрения DLP-системы

Общие практики

Контроль общения с

уволившимися сотрудниками

Отслеживание неформальных

лидеров и всплесков активности

Мониторинг активности 1-2%

персонала организации за

прошедший месяц

Преимущества

• Простота и скорость внедрения

• Контроль всех популярных каналов передачи информации

• Функция «Поиск похожих»

• Полная интеграция с доменной структурой Windows

• Расширенные поисковые возможности позволяют эффективно защищать конфиденциальные данные при минимальных трудозатратах на анализ информационных потоков

Сохранность конфиденциальных данных вашей компании зависит от вас!