«Поликом Про» на DLP-Russia 2008: решения по защите от внутренних угроз

«Поликом Про» на DLP-Russia 2008: решения по защите от внутренних угроз

5-6 ноября 2008 года прошла первая российская конференция, посвященная борьбе с утечками конфиденциальных данных – «DLP Russia 2008», ставшая знаковым событием в индустрии информационной безопасности России.

В конференции приняли участие все серьезные игроки DLP-рынка – Infowatch, Websense, Trend Micro, Verdasys, Symantec (Vontu), McAfee – а также директоры по информационной безопасности крупных российских предприятий и ведущие системные интеграторы. Компания «Поликом Про», одним из приоритетных направлений деятельности которой является поставка решений по информационной безопасности, приняла активное участие в конференции. Михаил Орешин, директор московского филиала «Поликом Про», представил доклад о влиянии работы DLP-решения на управление бизнес-процессами компании и принял участие в работе круглого стола. В фойе выставки работал стенд «Поликом Про», демонстрировавший работу решения по контролю утечек на базе новой версии продукта Websense Data Security Suite 7.0.


Эксперты отмечают, что борьба с внутренними угрозами сегодня выходит на первый план при построении информационной защиты компании, ведь только по официальным данным ущерб от утечек информации в 2007 году в России составил десятки миллионов долларов. Участие ведущих мировых специалистов в российской конференции позволило объединить опыт российских и зарубежных компаний в борьбе с утечками данных.

Рич Могул, американский эксперт в области защиты конфиденциальной информации с 17 -летним опытом работы, представил концепцию решений категории DLP (Data Loss Prevention), предназначенных для обеспечения защиты данных от внутренних угроз, и выделил три основных канала, по которым утекает информация из компании и которые следует контролировать – передача информации, ее использование и хранение.


Наравне с зарубежными экспертами на конференции выступали и ведущие российские специалисты по информационной безопасности – Алексей Лукацкий, Рустем Хайретдинов, Наталья Касперская. Михаил Орешин, ключевой эксперт «Поликом Про» по вопросам информационной безопасности, представил доклад «Требует ли внедрение DLP-решения изменения структуры процессов компании?» в рамках тематической секции «Законодательство и бизнес».

Михаил рассказал, что внедрение системы DLP повлечет за собой изменение текущих процессов только в том случае, если такие процессы в компании уже прописаны и формализованы. Однако, если в компании уже налажена система процессного управления, то внедряемое решение по борьбе с утечками данных должно в наименьшей степени менять ее структуру – иначе проект с большой вероятностью завершится провалом. Отсюда следует логичный вывод: начинать внедрение DLP-решения следует с общей организации и анализа текущих бизнес-процессов, и только после этого реализовывать проект.


Решение «Поликом Про», работа которого была показана на стенде компании, обеспечивает точное определение и классификацию контента в документах более чем 400 различных типов и форматов – от исходного кода программ до документов САПР, даже если контент перенесен и конвертирован из одного формата в другой. Создано оно на базе программного продукта компании Websense, однако давние партнерские отношения «Поликом Про» с другими лидерами ИТ-рынка – компаниями Trend Micro, Symantec, Infowatch – и большой опыт реализации проектов позволяют интегратору предлагать решения на основе технологий и этих вендоров.


Роман Совалов, ведущий инженер компании «Поликом Про»:
«На сегодняшний момент технический уровень представленных на рынке DLP-решений выровнялся, и назвать среди всех явного лидера нельзя. Такая ситуация, на мой взгляд, идет на пользу всей отрасли в целом, поскольку в условиях жесткой конкуренции функционал продуктов будет меняться, а качество - расти. Вместе с тем будет расти и эффективность наших решений».


Участники круглого стола, завершившего программу конференции, обсуждали, насколько реальной проблемой является контроль утечек, соответствуют ли программные продукты вендоров задачам, которые ставят Заказчики, и готовы ли системные интеграторы внедрять решения. Подводя итоги работы круглого стола, Михаил Орешин отметил: «На конференции присутствовали многие ведущие эксперты в области информационной безопасности – приятно было увидеть своих коллег как из России, так и из-за рубежа. У нас во многом разные взгляды на то, каким образом следует решать задачи по предотвращению утечек, но в целом мы едины: такие задачи нужно решать в превентивном порядке. Отмечу, что с организационной точки зрения процесс внедрения DLP-решений гораздо сложнее, нежели с технической. Невозможно реализовать проект по предотвращению утечек без хотя бы базовой регламентации бизнес-процессов Заказчика».

Психологический тест с сюрпризом: хакеры атакуют госсектор через BusySnake

Психологический тест в письме может оказаться не заботой о ментальном здоровье, а входным билетом для стилера. Эксперты «Лаборатории Касперского» обнаружили активную вредоносную кампанию, нацеленную на государственный и электроэнергетический секторы России, Казахстана и Бразилии.

По данным исследователей, за атаками может стоять ранее не упоминавшаяся группировка Armored Likho.

Злоумышленники используют новый стилер BusySnake, который крадет данные с зараженных Windows-устройств, делает скриншоты, вытаскивает пароли из браузеров и отправляет конфиденциальные файлы на командный сервер.

Основной способ заражения — фишинговые письма с архивами. Легенды меняются: где-то жертве предлагают пройти психологический тест, где-то — оформить заявку на гуманитарную помощь. Названия архивов подгоняются под тему письма, чтобы всё выглядело убедительнее.

 

После запуска содержимого на экране может открыться приложение-приманка с опросом или документ, соответствующий легенде. Пока пользователь смотрит на психологию или помощь, в фоне запускается многоэтапная цепочка загрузки, которая приводит к установке BusySnake.

Сам стилер написан на Python и уже существует в нескольких версиях. Он умеет красть данные из буфера обмена, перехватывать пароли из Firefox и Chromium-браузеров, похищать cookie через отдельный модуль и собирать файлы с устройства. В коде также предусмотрены механизмы, которые мешают обнаружению и усложняют анализ.

Любопытная деталь: загрузчики, через которые BusySnake попадает на устройство, судя по анализу кода, могли быть сгенерированы с помощью ИИ. Исследователи отмечают характерные избыточные комментарии и блоки кода.

В «Лаборатории Касперского» считают, что Armored Likho совмещает кибершпионаж против организаций с финансово мотивированными атаками на частных пользователей. Группировка развивает инструменты и встраивает в них функции, которые раньше использовала отдельно.

RSS: Новости на портале Anti-Malware.ru