Задачи бизнеса и эволюция DLP: какова следующая ступень?

Прозоров АндрейВедущий эксперт по информационной безопасности

Задачи бизнеса и эволюция DLP: какова следующая ступень?

Для DLP–Expert 07-2013

C темой «защита от инсайдеров» занимаюсь с 2007 года

В 2008 защитил диплом «Разработка методики комплексной защиты конфиденциальной информации предприятия от инсайдеров»

Работал с решениями DLP от InfoWatch, McAfee, Websense, Symantec.

4,5 года работал в системных интеграторах (ЛЕТА, IBS Platformix). С мая 2013 работаю в компании InfoWatch

Эксперт / Консультант по ИБ

Блогер («Жизнь 80 на 20», http://80na20.blogspot.ru )

Почему я?

Я постараюсь говорить про общие тенденции, а не про решения компании InfoWatch, в которой я работаю. Но если будет много вопросов, мы ответим на них отдельно

Информационные блоки: Общие термины: ILDP -> DLP -> IPC Эволюция DLP: Стадии, которые проходят в своем развитии DLP-

системы Задачи, которые решаются с использованием DLP

Вопросы можете присылать по ходу вебинара, я иногда буду останавливаться и отвечать на них

Ориентировочная продолжительность: 1-1.5 часа

Кстати, это мой 1й вебинар, поэтому я буду особенно стараться

Регламент

Зачем мы об этом говорим сейчас?

20 сентября 2013 состоится конференция DLP-Russia 2013(г.Москва, Digital October)

Выходит новый номер журнала«!Безопасность Деловой Информации»

Общие терминыILDP -> DLP -> IPC

ADL: Anti Data Leakage - The 451 Group

ALS: Anti-Leakage Software - Ernst&Young

CMF: Content Monitoring and Filtering - Gartner

DLP: Data Leakage Prevention, Data Loss Prevention, Data Leak Prevention, Data Leakage Protection - IDC 

EPS: Extrusion Prevention System

ILDP: Information Leak Detection and Prevention - IDC 

ILP: Information Leak Prevention, Information Leak Protection - Forrester

IPC: Information Protection and Control - IDC

ITISS: Internal Threats Information Security Software

ITD: Internal Threats Determination

ITP: Insider Threat Prevention

Активное упоминание «DLP» в Мире с 2005 года,

в России с 2008-2009. «IPC» с 2007 года.

IDLP/DLP/IPC

Типичный, но не точный ответ: «DLP – информационная система, предотвращающая утечку конфиденциальных данных» 

Для определения термина «DLP» важно понимать общие принципы работы

Уровни работы системы:

Data-in-Motion – данные в движении (передаваемые по каналам связи, например, корпоративная и личная электронная почта, web, сервисы мгновенных сообщений и пр.)

Data-at-Rest – данные при хранении (на серверах, рабочих станциях, мобильных и внешних носителях, системах хранения данных)

Data-in-Use – используемые данные 

Что такое DLP?

МногоканальностьКонтроль различных каналов передачи информации (например, эл.почта, сеть Интернет, внешние носители и пр.)

Унифицированный менеджментУправление политиками, анализ событий и построение отчетов по всем каналам мониторинга

Активная защита (мониторинг и блокирование)

Учет как содержания, так и контекстаУчет не только ключевых слов и регулярных выражений, но и общего содержания документов. Понимание контекста: тип приложения, протокол, активность, размер сообщения, отправитель, адресат и пр.

Forrester Research

Свойства DLP

Сегменты DLP

Host-based DLP / Endpoint

Discovery DLP

Network-based DLP

Network-based DLP. Network-based DLP solutions are typically installed at the corporate gateway. These solutions scan network traffic such as email, instant messaging, FTP, Web-based tools (HTTP or HTTPS), and peer-to-peer application for leaks of sensitive information.

Discovery DLP. Discovery DLP solutions are designed to discover sensitive information on desktops, laptops, file servers, databases, document and records management, email repositories, and Web content and applications.

Host-based DLP. Host-based DLP solutions are typically installed on desktops, laptops, mobile devices, USB drives, file/storage servers, and other types of data repositories. Host-based DLP also includes solutions that provide data discoveryand classification capabilities.

IDC

IPC (Information Protection and Control) – defined as monitoring, encrypting, filtering, and blocking sensitive information contained in data at rest, data in motion, and data in use – IDC

Разные источники рассматриваю разный набор направлений защиты:

А что такое IPC?

У Gartner и Forrester термин «IPS» я не встречал

• Asset management • Desktop computing support • Device control, such as USB and Bluetooth storage devices • Encryption as part of a data-leakage solution to lost data on

stolen laptops • Identity management • Integrated audits • Management tools with which to instantly see and understand

everything occurring within the security perimeters• Security Incident/Event Management that provides correlation for

all the incidents at the endpoints, so threats can be detected early and dealt with quickly

• Patch control • Policy implementation and oversight

• Предотвращение передачи вовне не только конфиденциальной, но и другой нежелательной информации (обидных выражений, спама, эротики, излишних объёмов данных и т.п.)

• Предотвращение передачи нежелательной информации не только изнутри наружу, но и снаружи внутрь информационной системы организации

• Предотвращение использования работниками Интернет-ресурсов и ресурсов сети в личных целях

• Защита от спама• Защита от вирусов• Оптимизация загрузки каналов, уменьшения нецелевого трафика;• Учет рабочего времени и присутствия на рабочем месте• Отслеживание благонадёжности сотрудников, их политических

взглядов, убеждений, сбор компромата• Архивирование информации на случай случайного удаления или

порчи оригинала• Защита от случайного или намеренного нарушения внутренних

нормативов• Обеспечение соответствия стандартов в области информационной

безопасности и действующего Законодательства.

Endpoint

Encryption

DLP

Основные направления защиты

Эволюция DLP

1 Этап. Контроль эл.почтыи/или внешних носителей

Эволюция DLP

2 Этап. Расширение перечня каналов мониторинга

Эволюция DLP

3 Этап. DLP + Консалтинг

• Организационные меры

• Рекомендации по ИБ

• «Точная» настройка DLP

Эволюция DLP

Эволюция DLP

4 Этап. Решение по защите информации от внутренних угроз

Перспективные направления развития:• Защита и контроль мобильных устройств (endpoint)• Поиск информации в Web (discovery)• Интеграция с системами управления правами доступа• Анализ кода приложений• Анализ поведения пользователей…

5 Этап. Универсальная аналитическая система

DLP – ядро системы

Эволюция DLP

Стадии, которые проходят в своем развитииDLP-системы:

1. Контроль почты и/или внешних носителей

2. Расширение перечня каналов мониторинга

3. DLP + консалтинг

4. Решение по защите информации от внутренних угроз

5. Универсальная аналитическая система

Итого

Задачи, решаемые с использованием DLP

Ориентируясь на расширение функционала систем, мы отходим от главного.

Какие задачи помогает решать DLP?

Какой режим работы DLP выбрать?

Порядка 2-10% проектов по

внедрению DLP

ориентированы на

блокирование

Мониторинг Блокирование

Все задачиГруппы задач Задачи !!!

1.Выявление недобросовестных сотрудниковЦель: Принятие управленческого решения по конкретным сотрудникам

1.1.Выявление "слива" информации !!!

1.2.Выявление экономических преступлений !!!

1.3.Выявление распространения ложной, неэтичной информации, фактов подстрекательства и саботажа

!!

1.4.Архивирование событий и управление инцидентами (утечки данных)

!!!

2.Снижение рисковЦель: Повышение общего уровня ИБ

2.1.Блокирование каналов утечки информации !!

2.2.Выявление систематического нарушения политики безопасности

!!

3.Соответствие требованиям (сompliance)Цель: Выполнение требований регуляторов, повышение общего уровня ИБ

3.1.Выполнение обязательных (формализованных) требований регуляторов

!!!

3.2.Помощь в решении дополнительных задач (compliance)

!

4.Анализ и повышение эффективности процессовЦель: Повышение эффективности бизнес-процессов

4.1.Прогнозирование и выявление проблем с сотрудниками компании

!!

4.2.Анализ потоков данных !

DLP и защита ПДн 1/3

№

Условное обозначение

и номер меры

Содержание мер по обеспечению безопасности персональных данных DLP

Уровни защищенности

персональных данных

4 3 2 1

1. УПД.2 Реализация необходимых методов (дискреционный, мандатный, ролевой или иной метод), типов (чтение, запись, выполнение или иной тип) и правил разграничения доступа

DLP Endpoint + + + +

2. УПД.5 Назначение минимально необходимых прав и привилегий пользователям, администраторам и лицам, обеспечивающим функционирование информационной системы

DLP Endpoint + + + +

3. УПД.14 Регламентация и контроль использования в информационной системе технологий беспроводного доступа

DLP Endpoint + + + +

4. УПД.15 Регламентация и контроль использования в информационной системе мобильных технических средств

DLP Endpoint DLP Discovery

+ + + +

5. ОПС.1 Управление запуском (обращениями) компонентов программного обеспечения, в том числе определение запускаемых компонентов, настройка параметров запуска компонентов, контроль за запуском компонентов программного обеспечения

DLP Endpoint

6. ОПС.2 Управление установкой (инсталляцией) компонентов программного обеспечения, в том числе определение компонентов, подлежащих установке, настройка параметров установки компонентов, контроль за установкой компонентов программного обеспечения

DLP Endpoint + +

7. ОПС.3 Установка (инсталляция) только разрешенного к использованию программного обеспечения и (или) его компонентов

DLP Endpoint +

8 . ОПС.4 Управление временными файлами, в том числе запрет, разрешение, перенаправление записи, удаление временных файлов

DLP Endpoint

9. ЗНИ.1 Учет машинных носителей персональных данных DLP Endpoint + +

DLP и защита ПДн 2/3

№

Условное обозначение

и номер меры

Содержание мер по обеспечению безопасности персональных данных DLP

Уровни защищенности

персональных данных

4 3 2 1

10 . ЗНИ.2 Управление доступом к машинным носителям персональных данных DLP Endpoint + +

11. ЗНИ.4 Исключение возможности несанкционированного ознакомления с содержанием персональных данных, хранящихся на машинных носителях, и (или) использования носителей персональных данных в иных информационных системах

DLP Endpoint

12. ЗНИ.5 Контроль использования интерфейсов ввода (вывода) информации на машинные носители персональных данных

DLP Endpoint

13. ЗНИ.6 Контроль ввода (вывода) информации на машинные носители персональных данных

DLP Endpoint

14. ЗНИ.7 Контроль подключения машинных носителей персональных данных DLP Endpoint

15 . ЗНИ.8 Уничтожение (стирание) или обезличивание персональных данных на машинных носителях при их передаче между пользователями, в сторонние организации для ремонта или утилизации, а также контроль уничтожения (стирания) или обезличивания

DLP Endpoint + + +

16. РСБ.1 Определение событий безопасности, подлежащих регистрации, и сроков их хранения

DLP Endpoint DLP Network DLP Discovery

+ + + +

17. РСБ.2 Определение состава и содержания информации о событиях безопасности, подлежащих регистрации

DLP Endpoint DLP Network DLP Discovery

+ + + +

18. РСБ.3 Сбор, запись и хранение информации о событиях безопасности в течении установленного времени хранения

DLP Endpoint DLP Network DLP Discovery

+ + + +

№

Условное обозначение

и номер меры

Содержание мер по обеспечению безопасности персональных данных DLP

Уровни защищенности

персональных данных

4 3 2 1

19. РСБ.5 Мониторинг (просмотр, анализ) результатов регистрации событий безопасности и реагирование на них

DLP Endpoint DLP Network DLP Discovery

+ +

20. ОЦЛ.5 Контроль содержания информации, передаваемой из информационной системы (контейнерный, основанный на свойствах объекта доступа, и (или) контентный, основанный на поиске запрещенной к передаче информации с использованием сигнатур, масок и иных методов), и исключение неправомерной передачи информации из информационной системы

DLP Network

21. ОЦЛ.8 Контроль ошибочных действий пользователей по вводу и (или) передаче персональных данных и предупреждение пользователей об ошибочных действиях

DLP Network

22. ЗИС.5 Запрет несанкционированной удаленной активации видеокамер, микрофонов и иных периферийных устройств, которые могут активироваться удаленно, и оповещение пользователей об активации таких устройств

DLP Endpoint

23. ЗИС.20 Защита беспроводных соединений, применяемых в информационной системе DLP Endpoint + + +

24. ИНЦ.2 Обнаружение, идентификация и регистрация инцидентов DLP Endpoint DLP Network DLP Discovery

+ +

25. ИНЦ.3 Своевременное информирование лиц, ответственных за выявление инцидентов и реагирование на них, о возникновении инцидентов в информационной системе пользователями и администраторами

DLP Endpoint DLP Network DLP Discovery

+ +

DLP и защита ПДн 3/3

Хотите узнать больше?

Читайте журнал «!БезопасностьДеловой Информации»

Приходите на DLP-Russia 2013(20 сентября 2013, г.Москва Digital October)

http://www.infowatch.ru

@InfoWatchNews

http://dlp-expert.ru

@DLP_Expert

И контакты…

http://80na20.blogspot.ru

@3dwave