solarsecurity.ru +7 (499) 755-07-7030.03.2016

Всё, что вы хотели узнать про DLP, но не у кого было спросить

solarsecurity.ru +7 (499) 755-07-70 2

О проекте «Спроси эксперта»

Что это: Серия вебинаров без рекламы, маркетинга и высокоуровненвых лозунгов. Только экспертиза, методологии и проектный опыт.

Цель вебинаров: Поиск ответов на актуальные вопросы отрасли и повышение общей осведомленности.

Формат: Ведущий и приглашённые эксперты отвечают на присланные вопросы.

Аудитория: Специалисты по ИБ и ИТ (и молодые и со стажем).

Задавайте вопросы сюда - ask@solarsecurity.ru

1й вебинар серии «Спроси эксперта. Все, что вы хотели узнать про IdM, но боялись спросить» - http://solarsecurity.ru/analytics/webinars/641/

solarsecurity.ru +7 (499) 755-07-70 3

Про что больше всего спрашивают?

Про суть термина «DLP», отличие западных решений от российских, отличие DLP-lite от DLP, Цели и задачи DLP и пр.

Про технологии анализа и инструменты расследований инцидентов

Про варианты обхода DLP систем Про пилоты и внедрение DLP

(проекты) Про юридические вопросы

использования DLP и орг.меры

solarsecurity.ru +7 (499) 755-07-70 4

Что такое DLP?

СЗНПИ (средство защиты от несанкционированной передачи (вывода) информации) - программные средства, используемые в целях обеспечения защиты (некриптографическими методами) информации, содержащей сведения, составляющие государственную тайну, иной информации с ограниченным доступом, и реализующим функции обнаружения и предотвращения несанкционированной передачи (вывода) информации ограниченного доступа из защищенного сегмента информационной системы на основе анализа смыслового содержания информации.

DLP по ФСТЭК России (проект)

solarsecurity.ru +7 (499) 755-07-70 5

Рекомендации ФСТЭК России по функционалу DLP

5

ОЦЛ.5 КОНТРОЛЬ СОДЕРЖАНИЯ ИНФОРМАЦИИ, ПЕРЕДАВАЕМОЙ ИЗ ИНФОРМАЦИОННОЙ СИСТЕМЫ (КОНТЕЙНЕРНЫЙ, ОСНОВАННЫЙ НА СВОЙСТВАХ ОБЪЕКТА ДОСТУПА, И КОНТЕНТНЫЙ, ОСНОВАННЫЙ НА ПОИСКЕ ЗАПРЕЩЕННОЙ К ПЕРЕДАЧЕ ИНФОРМАЦИИ С ИСПОЛЬЗОВАНИЕМ СИГНАТУР, МАСОК И ИНЫХ МЕТОДОВ), И ИСКЛЮЧЕНИЕ НЕПРАВОМЕРНОЙ ПЕРЕДАЧИ ИНФОРМАЦИИ ИЗ ИНФОРМАЦИОННОЙ СИСТЕМЫ Контроль содержания информации, передаваемой из информационной системы, должен предусматривать: • выявление фактов неправомерной передачи защищаемой информации из информационной системы

через различные типы сетевых соединений, включая сети связи общего пользования, и реагирование на них;

• выявление фактов неправомерной записи защищаемой информации на неучтенные съемные машинные носители информации и реагирование на них;

• выявление фактов неправомерного вывода на печать документов, содержащих защищаемую информацию, и реагирование на них;

• выявление фактов неправомерного копирования защищаемой информации в прикладное программное обеспечение из буфера обмена и реагирование на них;

• контроль хранения защищаемой информации на серверах и автоматизированных рабочих местах;

• выявление фактов хранения информации на общих сетевых ресурсах (общие папки, системы документооборота, базы данных, почтовые архивы и иные ресурсы).

Требования к усилению• в информационной системе должно осуществляться хранение всей передаваемой из

информационной системы информации и (или) информации с недопустимым к передаче из информационной системы содержанием, в течение времени, определяемого оператором;

• в информационной системе должна осуществляться блокировка передачи из информационной системы информации с недопустимым содержанием Методический документ.

Меры защиты информации в государственных ИС

solarsecurity.ru +7 (499) 755-07-70 6

DLP по Gartner

• Gartner defines the data loss prevention (DLP) market as those technologies that, as a core function, perform both content inspection and contextual analysis of data at rest on-premises or in cloud applications and cloud storage, in motion over the network, or in use on a managed endpoint device.

• DLP solutions can execute responses — ranging from simple notification to active blocking — based on policy and rules defined to address the risk of inadvertent or accidental leaks, or exposure of sensitive data outside authorized channels.

solarsecurity.ru +7 (499) 755-07-70 7

Характеристики DLP по Forrester

• Многоканальность• Унифицированный

менеджмент • Активная защита • Учет содержания и контекста

solarsecurity.ru +7 (499) 755-07-70 8

Как работает система DLP?

solarsecurity.ru +7 (499) 755-07-70 9

Почему все любят DLP, хотя они не дают гарантию 100% защиты?

Утечки информац

ии

Используем DLP для контроля

Внутренние

угрозы

solarsecurity.ru +7 (499) 755-07-70 10

Вопросы и комментарии из ФБ

Евгений: «Ну, в общем, так. ИБ в компании может иметь 4 базовых направления. 

1 - комплайнс. Обеспечение соответствия требованиям, законам, нормам. Политики, регламенты, режим и т.п.2 - ИТ безопасность. Обеспечение ИБ при использовании информационных систем. Во взаимодействии с ИТ департаментом. 3 - оперативная работа. Связана с информационным полем во взаимодействием с экономической безопасностью и т.п. Предоставление информации для принятия решений, манипуляций и т.п.4 - хакерство. Исследования, разработки, ковыряния и т.п.

Вопрос: какие задачи с примерами помогает решать DLP для каждой озвученной роли?!»

Александр: «DLP решает ровно одну задачу. Но решает ее хорошо.»Для решения каких задач обычно используют DLP?

solarsecurity.ru +7 (499) 755-07-70 11

DLP-Lite / недоDLP / товары заменители

Решения «похожие» на DLP: системы контроля съемных носителей, кейлоггеры, системы контроля рабочего времени, снифферы трафика, СЭД с метками, решения для защиты электронной почты и пр.

Характерные признаки:• Нет блокировки или по ограниченному числу каналов• Много консолей управления• Слабые технологии контентного анализа, а также

использование научных терминов без понимания/пояснения их смысла (например, «байесовский алгоритм»)

• Много работы (вручную) остается администратору / офицеру безопасности

Когда стоит выбирать такие решения,а не полноценные DLP системы?

solarsecurity.ru +7 (499) 755-07-70 12

Блокировка или мониторинг?

Блокировать Только мониторить• Возможность защиты

действительно важной информации от случайной утечки

• Наличие формальных требований (напр.PCI DSS)

• «Контролируемая утечка»

• Наказание только за нарушение правил обработки и защиты информации (слабое)

• Недовольство пользователей

• Меньше рисков нарушения работы бизнес-процессов

• Возможность наказания за разглашение информации ограниченного доступа

• Как часто Заказчики используют функционал блокировки?• Когда его надо/следует использовать?• Все ли каналы можно и нужно блокировать?

solarsecurity.ru +7 (499) 755-07-70 13

А если DLP обмануть?

• Какие есть варианты обхода DLP?

• Что со стеганографией, шифрованием и пр.

• Что делать, если выявили попытку сокрытия информации от DLP?

solarsecurity.ru +7 (499) 755-07-70 14

Какой функционал наиболее необходим для DLP?

solarsecurity.ru +7 (499) 755-07-70 15

Контентный анализ

Контекстный анализ

Контентный и контекстный анализ

• Активность (дата/время, периодичность, частота)

• Отправитель (права пользователя, группы (втч под особым контролем, например, «На увольнении») и роли)

• Получатель (внутренний/внешний, знакомый/неизвестный, «из перечня» и пр.)

• Канал передачи, протокол передачи, тип приложения

• Местоположение (географическое и аппаратное)

• Цифровые отпечатки

• «Лингвистика»• Метки• и пр.

solarsecurity.ru +7 (499) 755-07-70 16

Контентный анализ

• Анализ вложения (тип вложения (формат), наименование файла, размер, цифровые отпечатки бинарных файлов, свойства файлов)

• Ключевые слова, словари (БКФ) и другие лингвистические методы (например, выявление опечаток и транслитерации)

• Идентификаторы / текстовые объекты по определенной структуре / регулярные выражения (ИНН, номер паспорта, номер кредитной карты, лицензионные ключи и пр.)

• Шаблоны документов / документы по определенной структуре (анкеты, протоколы, заявления и пр.)

• Цифровые отпечатки (текст) и выгрузки из БД

• Анализ изображений и схем (сканы паспортов, кредитные карты, карты местности, схемы, подписи, печати и штампы и пр.) + модуль OCR

• Цифровые метки

Какие технологии

контентного и контекстного

анализа самые полезные /

часто применяются?

solarsecurity.ru +7 (499) 755-07-70 17

Поговорим про DLP Discovery / Crawler

• Что такое DLP Discovery? • Какие задачи решает?• Почему этот функционал

считается стандартным и обязательным для DLP?

• Примеры из практики

DLP: Network + Endpoint + Discovery

solarsecurity.ru +7 (499) 755-07-70 18

Инструменты расследования инцидентов

1. Детальная информация об инциденте и Архив сообщений2. Отчеты и Поиск 3. «Досье» (на субъекта или группу)4. «Уровень доверия» / «Карма» / Рейтинг нарушителей5. «Граф связей» 6. «Досье» на информационные объекты7. Снимки экрана / Видеозапись экрана / Рабочий стол в режиме

реального времени8. Аудиозапись / Видеозапись пользователя9. Кейлоггер10. Контроль рабочего времени (запуск программ и «активное» окно)11. Категоризатор сайтов сети Интернет12. …

Все ли сообщения надо хранить в архиве и как долго?Какие инструменты расследования действительно

полезны?

solarsecurity.ru +7 (499) 755-07-70 19

Зачем нужен граф-связей? Почему он есть у многих DLP –систем?

solarsecurity.ru +7 (499) 755-07-70 20

В чём отличие российских и западных DLP?

«Российские» DLP «Западные» DLP• Много решений, которые не

являются DLP в прямом понимании этого термина. Может быть «перекос» функционала в сторону того или иного модуля DLP.

• Фокус не на предотвращение, а на расследование инцидентов

• Архив всех сообщений• Больше технологий и

инструментов анализа, ориентированных на особенности защиты информации в РФ

• Есть в реестре отечественного ПО https://reestr.minsvyaz.ru

• …

• Полный функционал DLP, сбалансированные решения

• Ориентир на Compliance и блокирование

• Обычно хранят в архиве не все информационные сообщения, а лишь инциденты

• Удобные консоли управления• Хорошая интеграция со

сторонними средствами защиты и мониторинга

• …

Каких решений больше на российском рынке?

solarsecurity.ru +7 (499) 755-07-70 21

Какие факторы критичны для успеха проекта по внедрению DLP?

1. Четкое понимание целей и задач проекта, ожиданий заинтересованных сторон

2. Сильная команда внедрения (Заказчик и Исполнитель)3. Понимание режима работы специалистов с системой

(регулярный, по инцидентам, по запросу, «как пойдет»), высокая мотивация и квалификация

4. Понимание того, что простого технического внедрения будет не достаточно, нужен еще и «консалтинг»

5. Ориентир на постоянное совершенствование политик, повышение автоматизации деятельности. Как и куда будет развиваться DLP-система, куда ее «ведет» производитель? Вендор «догоняющий» или «лидер»/генератор идей?

solarsecurity.ru +7 (499) 755-07-70 22

Еще вопросы про внедрение

Сколько длится типовой проект по внедрению DLP? Может ли его сделать Заказчик своими силами или всегда нужен интегратор?

Что делать, если уже есть DLP, но хотим поменять? Что делать, если был неудачный опыт внедрения DLP?

Всегда ли нужен Пилот? В каких случаях можно обойтись без него?

Что с ложными срабатываниями? Как их минимизировать? До какого уровня?

solarsecurity.ru +7 (499) 755-07-70 23

Что сейчас с сертификацией DLP? (проект)

Класс

СЗНПИ уровня сети СЗНПИ уровня хоста

СЗНПИ уровня хранилищ

1 ОВ ОВ ОВ2 СС СС СС3 С С С4 Для всех остальных ИС (ГосИС и ИСПДн) без ГТ5 ГосИС 3го класса защищенности (без взаимодействия с

сетями междунар.инф.обмена) и 4го класса защищенности. В ИСПДн 3го уровня защищенности ПДн (при актуальных угрозах 3го типа и отсутствии взаимодействия с сетями междунар.инф.обмена) и 4го уровня защищенности ПДн

6 Минимальный уровень

• Типовые программа и методика сертификационных испытаний СЗНПИ

• Требования к СЗНПИ• Профиль защиты СЗНПИ (6*3 документов)

solarsecurity.ru +7 (499) 755-07-70 24

Что c орг.вопросами использования DLP?

Скрытое или открытое внедрение? Как регламентировать работу DLP? Как не нарушать конституционные права работников? Что можно/нужно делать с нарушителями? Какова процедура реагирования на инциденты? Что с судебной практикой? Как «легализовать» информацию для Суда? …

http://80na20.blogspot.ru …

solarsecurity.ru +7 (499) 755-07-70 25

Куда развиваются DLP?

• Развитие модуля Endpoint: контроль мобильных устройств, шифрование, контроль времени, белые и черные списки ПО и пр.

• Развитие технологий и инструментов анализа (втч для Экономической безопасности и Кадровой безопасности)

• Развитие модуля DLP Discovery и его интеграция с другими системами

• DLP и «облака»• DLP и аутсорсинг (40«-»/20«+» … 40)• DLP и «большие данные»: Анализ поведения,

«предсказание» инцидентов• Интеграция с другими системами: анти-APT,

SIEM, IDS/IPS• Тотальная слежка за всем (сотрудники и

ресурсы в сети Интернет)• …

solarsecurity.ru +7 (499) 755-07-70 26

Еще вопросы…

Дмитрий: «Расскажите как продавать заказчикам ваши продукты»

Пишите Денису Назаренко (Руководитель отдела по работе с партнерами) - d.nazarenko@solarsecurity.ru

Прозоров АндрейРуководитель экспертного направления

a.prozorov@solarsecurity.ru

Смирнов ЭликсАналитик отдела развития Solar Dozor