DLP-система как инструмент проведения расследований инцидентов ИБ

Г. ЕКАТЕРИНБУРГ03 СЕНТЯБРЯ 2015#CODEIB

АНДРЕЙ ТИМОШЕНКОВРУКОВОДИТЕЛЬ НАПРАВЛЕНИЯ DOZOR,SOLAR SECURITY

Мониторинг и выявление мошенничества через контроль

коммуникаций сотрудников

КОНТАКТЫТЕЛ. +7 (499) 755-07-07МОБ. +7 (903) 597-21-24

О ЧЕМ РЕЧЬ?

1 НОВЫЕ ЗАДАЧИ DLP-СИСТЕМ

3ПРОЦЕСС МОНИТОРИНГА КОММУНИКАЦИЙ

4МОНИТОРИНГ КОСВЕННЫХПРИЗНАКОВ

ВИДЫ КОРПОРАТИВНОГО МОШЕННИЧЕСТВА2 5

6РАССЛЕДОВАНИЕ

ЧТО ЕЩЕ НУЖНО КОНТРОЛИРОВАТЬ


Изменение задач DLP-систем

• Что именно произошло и почему?• Что за человек мог так сделать?• Кого именно можно подозревать и кто скорее всего сделал?• Что еще мог сделать такой человек?• Какие следующие вероятные его или ее шаги?• Что за информацию еще нужно иметь для расследования

и какова ее точность?• Достаточно ли доказательств?

ЧТО ИМЕННО ПРЕДПРИНЯТЬ ДАЛЕЕ?


ВИДЫ КОРПОРАТИВНОГОМОШЕННИЧЕСВТА

Подделка или фальсификация документов

Передача клиентов другим компаниям

Проведение сделок с

подконтрольными компаниями

Сговор или аффилированность с клиентами или с

поставщиками

Оплата счетов за невыполненные работы

или непоставленные товары

«Откаты»Использование

подставных поставщиков или

посредников

Искусственное завышение цен

Использование сотрудников, оборудования, материалов или

ресурсов компании в личных целях


ЧТО ТАКОЕ СОВРЕМЕННЫЕ КОММУНИКАЦИИ?

55%

20%

10%

8%7%

Корпоративная почтаWeb-почтаМессенджерыСоциальные сетиПрочее


КОНТРОЛИРУЕМЫЕ КАНАЛЫ


ПРОЦЕСС МОНИТОРИНГА КОММУНИКАЦИЙ

МОНИТОРИНГ КОСВЕННЫХ ПРИЗНАКОВ ПЕРВИЧНЫЙ РАЗБОР РАССЛЕДОВАНИЕ ОТЧЕТНОСТЬ


МОНИТОРИНГ КОСВЕННЫХПРИЗНАКОВ Мониторинг содержимого информационного

обмена, поисковых запросов, пересылки недопустимых или несвойственных документов;

Мониторинг конкретных людей и сотрудников, входящих в группы риска, их действий и коммуникаций;

Мониторинг и выявление связей и отношений между людьми, с компаниями-конкурентами, подрядчиками или контрагентами;

Выявление аномалий в коммуникациях сотрудников, в частности изменение тональности, уход коммуникаций из корпоративных каналов.


РАССЛЕДОВАНИЕИССЛЕДОВАНИЕ КОММУНИКАЦИЙ СОТРУДНИКОВ

Ретроспективных анализ всех коммуникаций, попавшего под подозрение сотрудника;

Поиск «вокруг» подозрительного события или инцидента;

Выявление связей между событиями, людьми, данными;

Построение карты связей и коммуникаций сотрудников;

Постановка на более жесткий мониторинг коммуникаций конкретных сотрудников.


ЧТО ЕЩЕ НУЖНОКОНТРОЛИРОВАТЬ?

Проверки контрагентов и выявление связей с внутренними сотрудниками;

Выявление мотиваторов (кредитов, займов, расписок, частных займов, любовных историй);

Анализ областей интересов сотрудников, пристрастий к азартным играм;

Анализ отношений между людьми, наложенный на матрицу конфликтов интересов;

Контроль лояльности персонала.



Досье

ЕЩЕ ИНТЕРЕСНЫЕ ВОЗМОЖНОСТИ DLP

ПОЛЕЗНЫЕ ИНСТРУМЕНТЫ

Досье и обогащение из внешних источников;

Связывание «непонятных» адресов с людьми;

Расчет «уровня доверия» и кармы сотрудников;

Граф связей.



Граф Связей

ЧТО ЗАПУСКАЕТ РАБОТУ СПЕЦИАЛИСТА ИБ?


Источник Оперативность1. Оповещение по email Высокая2. Оповещение в системе DLP Высокая3. Оповещение по SMS Высокая4. Информация на рабочем столе (Dashboard) Средняя

5. Информация из автоматического регулярного отчета

Средняя

6. Информация из отчетов по запросу Низкая7. Регулярный мониторинг и анализ Низкая8. Внешняя информация об инциденте Низкая9. Запрос со стороны руководства / заинтересованных лиц

Низкая

10. «Чутье» (Подозрение на инцидент) Низкая11. Скука / Интерес Низкая

СПАСИБО ЗА ВНИМАНИЕ!


АНДРЕЙ ТИМОШЕНКОВРУКОВОДИТЕЛЬ НАПРАВЛЕНИЯ DOZOR,SOLAR SECURITY

КОНТАКТЫТЕЛ. +7 (499) 755-07-07МОБ. +7 (903) 597-21-24

Business

DLP-система как инструмент проведения расследований инцидентов ИБ