Перейти к содержанию
Сергей Ильин

Проблема утечки корпоративных данных и пути ее решения

Recommended Posts

Сергей Ильин

Краткое содержание презентации:

- Утечки информации как самая большая современная проблема

- Классификация утечек

- Традиционные решения безопасности

- Систем контентной фильтрации

- Требования к современной системе предотвращения утечек

- Websense Content Protection Suite – лидирующее решение по предотвращению утечек

websense_DLP_market.pdf

websense_DLP_market.pdf

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
broker

Отличная презентация.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
svv
Отличная презентация.

ага, если на 11-й страничке исправить.. "лидирующее решение по предоСТРащению утечек"

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
alexgr

неплохой материал. Но PR. Причем в чистом виде - о промахах своего решения у одного европейского банка - ни гу-гу. :angry:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
broker
о промахах своего решения у одного европейского банка - ни гу-гу.

можно подробнее

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Прибочий Михаил

неплохой материал. Но PR. Причем в чистом виде - о промахах своего решения у одного европейского банка - ни гу-гу. :angry:
Да, о ком идет речь?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
А.Щеглов

Коллеги, анализ контента, проводимого с целью предотвращения утечек (проотиводействие инсайдерским атакам), по осмысленности и полезности, решение близкое к сигнатурному анализу. Все эти задачи могут эффективно решаться только механизмами контроля доступа к ресурсам. Для предотвращения утечек должна быть реализована разделительная (замечу, не разграничительная) политика доступа к ресурсам, реализующая различные режимы обработки одним пользователем информации различных категорий конфиденциальности, например, открытую можно передавать в Интернет, сохранять на внешние накопители, конфиденциальную только распечатывать, и то на сетевом принтере, возможно, что только с печатью реквизитов. Все это уже вопросы политики безопасности. Должна предотвращаться сама возможность хищения конфиденциальной информации, она должна обрабатываться в том режиме - при таких разграничениях, что делает подобное невозможным. А возлагать эти задачи на какой-либо контроль - это же глупость.

Если есть интерес в рассмотрении подобного подхода, могу направить модератору, либо кому скажете, статью на эту тему (все решения, рассмотренные в статье апробированы, другими словами, в статье рассмотрен эффективный практически реализованный "инструмент" решения данной задачи защиты информации).

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
broker
Должна предотвращаться сама возможность хищения конфиденциальной информации

т.е. её никто не должен видеть, обрабатываться она не должна и в бизнес-процессах она не должна учавствовать.

К сожалению в ряде случаев невозможно предотвратить возможность, так как ряд средств (почтовый клиент например) используется в бизнес-процессах, в которых обрабатывается конфиденциальная информация. Исключение почтового клиента, несомненно закрывает один из каналов утечки информации, но при этом останавливается бизнес-процесс :)..Т.о. нарушатеся аксиома, безопасность ради бизнеса!

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Кирилл Керценбаум

А.Щеглов Как известно, лучший и самый надежный способ предохранения (во всех смыслах) это просто это самое не делать, но жизнь показывает что так не бывает, так устроен человек, и так же устроены современные бизнес процессы, поэтому переставайте изобретать четырехколесный велосипед, до вас уже давно изобрели двухколесный, он дешевле, надежнее и проще в эксплуатации

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
А.Щеглов
т.е. её никто не должен видеть, обрабатываться она не должна и в бизнес-процессах она не должна учавствовать.

К сожалению в ряде случаев невозможно предотвратить возможность, так как ряд средств (почтовый клиент например) используется в бизнес-процессах, в которых обрабатывается конфиденциальная информация. Исключение почтового клиента, несомненно закрывает один из каналов утечки информации, но при этом останавливается бизнес-процесс :)..Т.о. нарушатеся аксиома, безопасность ради бизнеса!

Что за ерунда! Зачем что-то исключать, нужно защищать. Всегда существует несколько возможностей. Вот пример решения поставленного Вами вопроса. Вы на компьютере создаете два режима обработки информации, в одном пользователь имеет доступ только к открытой информации, при этом для почтового клиента нет никаких разграничений, в другом, только к корпоративной - почтовому клиенту разрешается взаимодействие только с компьютерами в составе корпоративной сети (этот трафик целесообразно шифровать). При изолированности режимов обработки (это пару дополнительных механизмов защиты) и Вы полностью решаете свою задачу защиты - конфиденциальная информация не может попать никуда, кроме, как к корпоративным пользователям из разрешенного списка. Что еще контролировать?

А.Щеглов Как известно, лучший и самый надежный способ предохранения (во всех смыслах) это просто это самое не делать, но жизнь показывает что так не бывает, так устроен человек, и так же устроены современные бизнес процессы, поэтому переставайте изобретать четырехколесный велосипед, до вас уже давно изобрели двухколесный, он дешевле, надежнее и проще в эксплуатации

Велосипед-то получился хреновый, возможно, забыли цепь натянуть? Колеса крутишь, а не едешь! Поэтому, наверное, и в эксплуатации проще? А каково тому, кто на нем ехать не может?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
broker
Вот пример решения поставленного Вами вопроса. Вы на компьютере создаете два режима обработки информации, в одном пользователь имеет доступ только к открытой информации, при этом для почтового клиента нет никаких разграничений, в другом, только к корпоративной - почтовому клиенту разрешается взаимодействие только с компьютерами в составе корпоративной сети (этот трафик целесообразно шифровать).

данный пример имеет право на жизнь, но он более идеален, чем практически применим. В клиентоориентированных процессах конфиденциальная информация должна перетекать из одного режима в другой.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
alexgr

:(

Да, о ком идет речь?

К сожалению, я сказать не могу. Когда этот вопрос выплыл - были подписаны определенные документы по инциденту. Но в компании уверили, что скрывать не будут. Скрывают :rolleyes: Речь идет о попытке копирования на внешний мобильный носитель базы кредитного департамента. Уровень угрозы для банка оцените сами.

Смешно, но обнаружили неспецифическим софтом, а купленный для этого промолчал.

Все же позиция банка более понятна - там имидж как то прозрачен, а здесь - не сделали, набедокурили и молчок. Детский сад, вторая четверть.... Сказали бы- впрошлой версии имели место недочеты, зато теперь мы белые и пушистые :P

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
А.Щеглов
данный пример имеет право на жизнь, но он более идеален, чем практически применим. В клиентоориентированных процессах конфиденциальная информация должна перетекать из одного режима в другой.

Не могу с Вами согласиться. Все вопросы безопасности начинаются с категорирования информации, и не очень понимаю, куда может "перетекать" конфиденциальная информация, становиться открытой? Но тогда какое-либо категорирование, па, следовательно, какая-либо осмысленная защита, невозможны.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
broker
и не очень понимаю, куда может "перетекать" конфиденциальная информация, становиться открытой? Но тогда какое-либо категорирование, па, следовательно, какая-либо осмысленная защита, невозможны.

рассмотрите любую CRM систему.. или что-то подобное

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
А.Щеглов
рассмотрите любую CRM систему.. или что-то подобное

Голословно спорить не буду, нужно рассматривать конкретные случаи и принимать решения о построении (или реализации) защиты с учетом их особенностей. Решение можно найти всегда (или практически всегда), не такое, так и иное.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
broker

согласен

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
A.
:(

К сожалению, я сказать не могу. Когда этот вопрос выплыл - были подписаны определенные документы по инциденту. Но в компании уверили, что скрывать не будут. Скрывают :rolleyes: Речь идет о попытке копирования на внешний мобильный носитель базы кредитного департамента. Уровень угрозы для банка оцените сами.

Смешно, но обнаружили неспецифическим софтом, а купленный для этого промолчал.

Все же позиция банка более понятна - там имидж как то прозрачен, а здесь - не сделали, набедокурили и молчок. Детский сад, вторая четверть.... Сказали бы- впрошлой версии имели место недочеты, зато теперь мы белые и пушистые :P

Ну что, приведем тогда альтернативный пример ? :)

--

В Москве задержан менеджер компании «Вымпелком», который пытался передать сведения об одном из абонентов заинтересованному лицу. Незаконные действия были пресечены службой безопасности компании и Управлением «К».

В отношении менеджера компании «ВымпелКом» (торговая марка «Билайн») возбуждено уголовное дело за попытку передачи конфиденциальных сведений. Источник в правоохранительных органах сообщил, что задержанный накануне в Москве менеджер проживает во Владимирской области, передает РБК.

В «Вымпелкоме» подтвердили информацию о задержании своего сотрудника. Менеджер имел доступ к детализированным отчетам о входящих и исходящих вызовах абонентов. Пользуясь своим служебным положением, он скопировал информацию о переговорах одного из абонентов и попытался передать ее заинтересованному лицу. При этом в компании подчеркнули, что менеджер не успел передать конфиденциальную информацию — его задержали при попытке сделать это. "Для того чтобы пресекать подобные случаи до совершения факта преступления (передачи данных об абонентах третьим лицам), у нас в компании существует соответствующее подразделение, — рассказала пресс-секретарь компании «Вымпелком» Екатерина Осадчая. — Работает оно вполне успешно, о чем свидетельствует и этот факт. Сотрудник был задержан в момент передачи информации, и его незаконные действия были вовремя пресечены силами наших работников службы безопасности и сотрудников Управления "К"".

---

Можно считать, что затраты Билайна на внедрение у себя кое-чьей :) DLP-системы полностью окупились.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Прибочий Михаил
К сожалению, я сказать не могу. Когда этот вопрос выплыл - были подписаны определенные документы по инциденту. Но в компании уверили, что скрывать не будут. Скрывают :rolleyes: Речь идет о попытке копирования на внешний мобильный носитель базы кредитного департамента. Уровень угрозы для банка оцените сами. Смешно, но обнаружили неспецифическим софтом, а купленный для этого промолчал.
Мне сложно что то сказать, поскольку не понимаю о каком клиенте идет речь. Но из фразы, сказанной Вами "...попытке копирования на внешний мобильный носитель" могу предположить, что причина инцидента могла быть в неиспользовании заказчиком агентов на рабочих станциях (приобретаются отдельно).

Равно как это может быть следствием неправильной настройки / использования продукта.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • Ego Dekker
      ESET Cyber Security был обновлён до версии 8.2.3000.
    • demkd
      Это можно. Хотя можно ведь просто нажать Enter.
    • PR55.RP55
      Да, но... ( как мне кажется ) Можно кнопку " Перезагрузить и запустить до запуска эксплорера " поместить после: Проверять весь HKCR ( больше файлов в списке ) на размер это не повлияет, а вот случайно ткнуть уже не выйдет.  
    • demkd
      тут увы, уже слишком много кнопок, а окошко должно помещаться в экран и при низком разрешении, а будут еще 2 кнопки.
    • PR55.RP55
      Demkd По поводу интеграции в Windows, бала такая программа ( до санкций ) Antisms   там имели место быть ряд полезных функций. В том числе и автоматические действия - ( блокировка файлов по ЭЦП ); Удаляются файлы autorun.inf в корне каждого логического диска и т.д. ------ По поводу меню:  Запустить под текущим пользователем и Перезагрузить и запустить до запуска эксплорера Кнопки находятся слишком близко - я уже несколько раз случайно жал не ту кнопу. Мало приятного.
×