�ݺ�ߣ

solarsecurity.ru +7 (499) 755-07-70
30.03.2016
Всё, что вы хотели
узнать про DLP, но не
у кого было спросить

О проекте «Спроси эксперта»
2
 Что это: Серия вебинаров без рекламы, маркетинга и
высокоуровненвых лозунгов. Только экспертиза, методологии и
проектный опыт.
 Цель вебинаров: Поиск ответов на актуальные вопросы отрасли и
повышение общей осведомленности.
 Формат: Ведущий и приглашённые эксперты отвечают на
присланные вопросы.
 Аудитория: Специалисты по ИБ и ИТ (и молодые и со стажем).
 Задавайте вопросы сюда - ask@solarsecurity.ru
1й вебинар серии «Спроси эксперта. Все, что вы
хотели узнать про IdM, но боялись спросить» -
http://solarsecurity.ru/analytics/webinars/641/

Про что больше всего спрашивают?
3
 Про суть термина «DLP», отличие
западных решений от российских, отличие
DLP-lite от DLP, Цели и задачи DLP и пр.
 Про технологии анализа и инструменты
расследований инцидентов
 Про варианты обхода DLP систем
 Про пилоты и внедрение DLP (проекты)
 Про юридические вопросы
использования DLP и орг.меры

Что такое DLP?
4
СЗНПИ (средство защиты от несанкционированной
передачи (вывода) информации) - программные
средства, используемые в целях обеспечения защиты
(некриптографическими методами) информации,
содержащей сведения, составляющие государственную
тайну, иной информации с ограниченным доступом, и
реализующим функции обнаружения и
предотвращения несанкционированной передачи
(вывода) информации ограниченного доступа из
защищенного сегмента информационной системы на
основе анализа смыслового содержания информации.
DLP по ФСТЭК России (проект)

Рекомендации ФСТЭК России
по функционалу DLP
5
5
ОЦЛ.5 КОНТРОЛЬ СОДЕРЖАНИЯ ИНФОРМАЦИИ, ПЕРЕДАВАЕМОЙ ИЗ ИНФОРМАЦИОННОЙ СИСТЕМЫ
(КОНТЕЙНЕРНЫЙ, ОСНОВАННЫЙ НА СВОЙСТВАХ ОБЪЕКТА ДОСТУПА, И КОНТЕНТНЫЙ, ОСНОВАННЫЙ НА ПОИСКЕ
ЗАПРЕЩЕННОЙ К ПЕРЕДАЧЕ ИНФОРМАЦИИ С ИСПОЛЬЗОВАНИЕМ СИГНАТУР, МАСОК И ИНЫХ МЕТОДОВ), И
ИСКЛЮЧЕНИЕ НЕПРАВОМЕРНОЙ ПЕРЕДАЧИ ИНФОРМАЦИИ ИЗ ИНФОРМАЦИОННОЙ СИСТЕМЫ
Контроль содержания информации, передаваемой из информационной системы, должен предусматривать:
• выявление фактов неправомерной передачи защищаемой информации из информационной системы через
различные типы сетевых соединений, включая сети связи общего пользования, и реагирование на них;
• выявление фактов неправомерной записи защищаемой информации на неучтенные съемные машинные
носители информации и реагирование на них;
• выявление фактов неправомерного вывода на печать документов, содержащих защищаемую информацию, и
реагирование на них;
• выявление фактов неправомерного копирования защищаемой информации в прикладное программное обеспечение
из буфера обмена и реагирование на них;
• контроль хранения защищаемой информации на серверах и автоматизированных рабочих местах;
• выявление фактов хранения информации на общих сетевых ресурсах (общие папки, системы
документооборота, базы данных, почтовые архивы и иные ресурсы).
Требования к усилению
• в информационной системе должно осуществляться хранение всей передаваемой из информационной системы
информации и (или) информации с недопустимым к передаче из информационной системы содержанием, в течение
времени, определяемого оператором;
• в информационной системе должна осуществляться блокировка передачи из информационной системы
информации с недопустимым содержанием
Методический документ. Меры защиты информации в государственных ИС

DLP по Gartner
6
• Gartner defines the data loss prevention (DLP) market as
those technologies that, as a core function, perform both
content inspection and contextual analysis of data at rest
on-premises or in cloud applications and cloud storage, in
motion over the network, or in use on a managed
endpoint device.
• DLP solutions can execute responses — ranging from
simple notification to active blocking — based on policy
and rules defined to address the risk of inadvertent or
accidental leaks, or exposure of sensitive data outside
authorized channels.

Характеристики DLP по Forrester
7
• Многоканальность
• Унифицированный менеджмент
• Активная защита
• Учет содержания и контекста

Как работает система DLP?
8

Почему все любят DLP, хотя они
не дают гарантию 100% защиты?
9
Утечки
информации
Используем DLP
для контроля
Внутренние
угрозы

Вопросы и комментарии из ФБ
10
Евгений: «Ну, в общем, так. ИБ в компании может иметь 4 базовых
направления.
1 - комплайнс. Обеспечение соответствия требованиям, законам, нормам.
Политики, регламенты, режим и т.п.
2 - ИТ безопасность. Обеспечение ИБ при использовании информационных
систем. Во взаимодействии с ИТ департаментом.
3 - оперативная работа. Связана с информационным полем во
взаимодействием с экономической безопасностью и т.п. Предоставление
информации для принятия решений, манипуляций и т.п.
4 - хакерство. Исследования, разработки, ковыряния и т.п.
Вопрос: какие задачи с примерами помогает решать DLP для каждой
озвученной роли?!»
Александр: «DLP решает ровно одну задачу. Но решает ее хорошо.»
Для решения каких задач обычно используют DLP?

DLP-Lite / недоDLP / товары заменители
11
Решения «похожие» на DLP: системы контроля съемных носителей,
кейлоггеры, системы контроля рабочего времени, снифферы трафика,
СЭД с метками, решения для защиты электронной почты и пр.
Характерные признаки:
• Нет блокировки или по ограниченному числу каналов
• Много консолей управления
• Слабые технологии контентного анализа, а также использование
научных терминов без понимания/пояснения их смысла (например,
«байесовский алгоритм»)
• Много работы (вручную) остается администратору / офицеру
безопасности
Когда стоит выбирать такие решения,
а не полноценные DLP системы?

Блокировка или мониторинг?
12
Блокировать Только мониторить
• Возможность защиты
действительно важной информации
от случайной утечки
• Наличие формальных требований
(напр.PCI DSS)
• «Контролируемая утечка»
• Наказание только за нарушение
правил обработки и защиты
информации (слабое)
• Недовольство пользователей
• Меньше рисков
нарушения работы бизнес-
процессов
• Возможность наказания за
разглашение информации
ограниченного доступа
• Как часто Заказчики используют функционал блокировки?
• Когда его надо/следует использовать?
• Все ли каналы можно и нужно блокировать?

А если DLP обмануть?
13
• Какие есть варианты обхода DLP?
• Что со стеганографией,
шифрованием и пр.
• Что делать, если выявили попытку
сокрытия информации от DLP?

Какой функционал наиболее необходим
для DLP?
14

Контентный
анализ
Контекстный
анализ
Контентный и контекстный анализ
15
• Активность (дата/время,
периодичность, частота)
• Отправитель (права пользователя,
группы (втч под особым контролем,
например, «На увольнении») и роли)
• Получатель (внутренний/внешний,
знакомый/неизвестный, «из перечня»
и пр.)
• Канал передачи, протокол передачи,
тип приложения
• Местоположение
(географическое и аппаратное)
• Цифровые
отпечатки
• «Лингвистика»
• Метки
• и пр.

Контентный анализ
16
• Анализ вложения (тип вложения (формат),
наименование файла, размер, цифровые отпечатки
бинарных файлов, свойства файлов)
• Ключевые слова, словари (БКФ) и другие
лингвистические методы (например, выявление
опечаток и транслитерации)
• Идентификаторы / текстовые объекты по определенной
структуре / регулярные выражения (ИНН, номер
паспорта, номер кредитной карты, лицензионные
ключи и пр.)
• Шаблоны документов / документы по определенной
структуре (анкеты, протоколы, заявления и пр.)
• Цифровые отпечатки (текст) и выгрузки из БД
• Анализ изображений и схем (сканы паспортов,
кредитные карты, карты местности, схемы, подписи,
печати и штампы и пр.) + модуль OCR
• Цифровые метки
Какие технологии
контентного и
контекстного
анализа самые
полезные / часто
применяются?

Поговорим про DLP Discovery / Crawler
17
• Что такое DLP Discovery?
• Какие задачи решает?
• Почему этот функционал
считается стандартным и
обязательным для DLP?
• Примеры из практики
DLP: Network + Endpoint + Discovery

Инструменты расследования инцидентов
18
1. Детальная информация об инциденте и Архив сообщений
2. Отчеты и Поиск
3. «Досье» (на субъекта или группу)
4. «Уровень доверия» / «Карма» / Рейтинг нарушителей
5. «Граф связей»
6. «Досье» на информационные объекты
7. Снимки экрана / Видеозапись экрана / Рабочий стол в режиме реального
времени
8. Аудиозапись / Видеозапись пользователя
9. Кейлоггер
10. Контроль рабочего времени (запуск программ и «активное» окно)
11. Категоризатор сайтов сети Интернет
12. …
Все ли сообщения надо хранить в архиве и как долго?
Какие инструменты расследования действительно полезны?

Зачем нужен граф-связей? Почему он есть
у многих DLP –систем?
19

В чём отличие российских и западных DLP?
20
«Российские» DLP «Западные» DLP
• Много решений, которые не
являются DLP в прямом понимании
этого термина. Может быть
«перекос» функционала в сторону
того или иного модуля DLP.
• Фокус не на предотвращение, а на
расследование инцидентов
• Архив всех сообщений
• Больше технологий и инструментов
анализа, ориентированных на
особенности защиты информации в
РФ
• Есть в реестре отечественного ПО
https://reestr.minsvyaz.ru
• …
• Полный функционал DLP,
сбалансированные решения
• Ориентир на Compliance и
блокирование
• Обычно хранят в архиве не все
информационные сообщения, а
лишь инциденты
• Удобные консоли управления
• Хорошая интеграция со
сторонними средствами защиты и
мониторинга
• …
Каких решений больше на российском рынке?

Какие факторы критичны для
успеха проекта по внедрению DLP?
21
1. Четкое понимание целей и задач проекта, ожиданий
заинтересованных сторон
2. Сильная команда внедрения (Заказчик и Исполнитель)
3. Понимание режима работы специалистов с системой (регулярный,
по инцидентам, по запросу, «как пойдет»), высокая мотивация и
квалификация
4. Понимание того, что простого технического внедрения будет не
достаточно, нужен еще и «консалтинг»
5. Ориентир на постоянное совершенствование политик, повышение
автоматизации деятельности. Как и куда будет развиваться DLP-
система, куда ее «ведет» производитель? Вендор «догоняющий»
или «лидер»/генератор идей?

Еще вопросы про внедрение
22
 Сколько длится типовой проект по внедрению
DLP? Может ли его сделать Заказчик своими
силами или всегда нужен интегратор?
 Что делать, если уже есть DLP, но хотим
поменять? Что делать, если был неудачный
опыт внедрения DLP?
 Всегда ли нужен Пилот? В каких случаях можно
обойтись без него?
 Что с ложными срабатываниями? Как их
минимизировать? До какого уровня?

Что сейчас с сертификацией DLP? (проект)
23
Класс СЗНПИ уровня сети СЗНПИ уровня
хоста
СЗНПИ уровня
хранилищ
1 ОВ ОВ ОВ
2 СС СС СС
3 С С С
4 Для всех остальных ИС (ГосИС и ИСПДн) без ГТ
5 ГосИС 3го класса защищенности (без взаимодействия с сетями
междунар.инф.обмена) и 4го класса защищенности.
В ИСПДн 3го уровня защищенности ПДн (при актуальных угрозах 3го
типа и отсутствии взаимодействия с сетями междунар.инф.обмена) и
4го уровня защищенности ПДн
6 Минимальный уровень
• Типовые программа и методика сертификационных испытаний СЗНПИ
• Требования к СЗНПИ
• Профиль защиты СЗНПИ (6*3 документов)

Что c орг.вопросами использования DLP?
24
 Скрытое или открытое внедрение?
 Как регламентировать работу DLP?
 Как не нарушать конституционные права работников?
 Что можно/нужно делать с нарушителями?
 Какова процедура реагирования на инциденты?
 Что с судебной практикой?
 Как «легализовать» информацию для Суда?
 …
http://80na20.blogspot.ru
…

Куда развиваются DLP?
25
• Развитие модуля Endpoint: контроль мобильных
устройств, шифрование, контроль времени, белые и
черные списки ПО и пр.
• Развитие технологий и инструментов анализа (втч для
Экономической безопасности и Кадровой
безопасности)
• Развитие модуля DLP Discovery и его интеграция с
другими системами
• DLP и «облака»
• DLP и аутсорсинг (40«-»/20«+» … 40)
• DLP и «большие данные»: Анализ поведения,
«предсказание» инцидентов
• Интеграция с другими системами: анти-APT, SIEM,
IDS/IPS
• Тотальная слежка за всем (сотрудники и ресурсы в
сети Интернет)
• …

Еще вопросы…
26
Дмитрий: «Расскажите как
продавать заказчикам ваши
продукты»
Пишите Денису Назаренко
(Руководитель отдела по
работе с партнерами) -
d.nazarenko@solarsecurity.ru

Прозоров Андрей
Руководитель экспертного направления
a.prozorov@solarsecurity.ru
Смирнов Эликс
Аналитик отдела развития Solar Dozor

�ݺ�ߣ

спроси эксперта. все, что вы хотели узнать про Dlp, но не у кого было спросить

Convert to study materialsBETA

More Related Content

спроси эксперта. все, что вы хотели узнать про Dlp, но не у кого было спросить