Вениамин Левцов, Директор по развитию направления

Информационная безопасность

Как защититься от инсайдеров

Компания LETA более 4-х лет занимается внедрением систем по предотвращению утечек информации

ILDP системы: 17 проектов

По различным аспектам борьбы с утечками: 40 проектов

Компания #1 по рейтингу CNews в сфере построения систем защиты от инсайдеров в 2007 году

Компания #4 по рейтингу CNews Security 2006: крупнейших ИТ-компании России в сфере защиты информации

Сертификаты и лицензии на деятельность в области защиты информации:

ФСТЭК России ФСБ России

Как защититься от инсайдеров

Партнерские отношения:

Ежегодные исследования рынка ILDP в России на сайте www.leta.ru

Как защититься от инсайдеров

Контентная фильтрация

Цифровые отпечатки

Метки документов + локальный агент

Мониторинг запросов к базам данных

IRM – разделение прав доступа к документам

Контроль утечек структурированных данных

Противодействие примитивному "шифрованию"

Как защититься от инсайдеров

Определяются «ключевые»

термины

Определяются обычные термины – для каждого задается вес в категории

Дерево категорий

Категория 1 Категория 2 Категория 3

Задается порог толерантности

Как защититься от инсайдеров

Проверяемый документ

Нашлось«ключевое слово»

Множество слов из

документа

...

Сумма весов слов превысила порог чувствительности

Контроль словоформ

Проверяемый документ

Как защититься от инсайдеров

Защищаемый документ

Множество «отпечатков» фрагментов защищаемого

документа

A 1

A 2

A N

B 1

B 2

B M

Множество «отпечатков» проверяемого документа

?

Как защититься от инсайдеров

Компьютер с локальным DLP агентом

В атрибуты файла записывается метка

Для папки задается тэг и список запрещенных

операций

Папка с конфиденциальными документами

Метка сохраняется со всеми производными

файлами

Копирование через clipboard

Правило запрета копирования

Создание print screen

Правило запрета print screen

Отключение процесса локального агента

Защита на уровне процессов ОС

Ручной ввод документаСоздание «цифрового отпечатка»

Отправка e-mail, web mail, печать, USB

Запрет по обнаружению метки

Как защититься от инсайдеров

IRM (Information Rights Management)

Общая схема работы:

▫ Владелец информации формирует множество пользователей и разрешенных операций

▫ Локальные агенты для основных приложений

▫ Крипто-сервер выдает разрешения на работу с документом

▫ Возможны ограничения печати, копирования-вставки, исправлений и т.д.

Пример: полный запрет на открытие документа не авторизованным пользователем

Фокус на защите контейнера, а не содержания

Вопрос: как быть с черновиками и перенабором текста?

Как защититься от инсайдеров

Использован: The Forrester Wave™: Enterprise Database Auditing And Real-Time Protection, Q4 2007

DBA Менеджмент компанииВыбор решения и ответственность

1-2 критичные базы Почти все структурированные данные

Масштаб решения

Запуск встроенных механизмов СУБД

Специализированные решенияСредства обеспечения

НеформализованаСтандартизованные формы отчетов: об

инцидентах, для аудитаОтчеты и статистика

DBA Назначаемый менеджерТочка контроля

Консоль управления конкретной БД

Единая консоль для всех аудируемых БД

Управление системой контроля

Как защититься от инсайдеров

Цель: перехват подозрительных SQL пакетов без влияния на сервер баз данных и подготовка отчетовSQL запросы подвергаются анализу в он-лайнеАвтоматические уведомления о совершении подозрительных действийРепозитории для подготовки статистических отчетов

Разделение лога запросов и собственно объектного хранилища

Разделение ролей:

▫ Объектным хранилищем управляет администратор БД

▫ Базой с результатами мониторинга управляет специальный аудитор

Формирование надежной доказательной базы

Как защититься от инсайдеров

Суть подхода: снятие "цифрового отпечатка" с содержания базы данных

Определяется набор защищаемых полей

Задается порог чувствительности: минимальное количество записей для срабатывания правила

Снимается "отпечаток" с данных в выбранных столбцах

Содержание передаваемых данных проверяется на корреляцию с "отпечатком"

Передача данных может быть заблокирована

По опыту: работает достаточно надежно

Как защититься от инсайдеров

Ручная автозамена символа на специальный

Замена обратимая, символ не встречается в исходном тексте

Решение 1:

▫ Правила нормализации слов для часто встречающихся подмен

▫ Плюс: при хорошей разметке размер не важен

▫ Минус: ограничение числа пар подмен

Решение 2:

▫ Предустановленное правило на основе статистических методов

▫ Плюс: не обнаружено ограничений на пары символов

▫ Минус: начинает работать с некоторого объема (2 страницы из 25, замена 2-х символов )

Как защититься от инсайдеров

Заказать живую демонстрацию решения!

Вениамин Левцов,Директор по развитию направления Информационная безопасность

VLevtzov@leta.ru

LETA IT-company109129, Россия, Москва, ул. 8-я Текстильщиков, д.11, стр.2 Тел./факс: +7 495 101 1410www.leta.ru

Спасибо за внимание!