Лаборатория Касперского. Борис Шалопин. "Тренды, проблематика и стратегия про...
InfoWatch. Александр Горский. "Развитие современных угроз информационной безопасности"
1. ГОРСКИЙ АЛЕКСАНДР
Заместитель руководителя отдела
регионального развития,
АО «ИНФОВОТЧ»
ТЕЛЕФОН: +7 (905) 063-83-83
EMAIL: G.A@INFOWATCH.COM
РАЗВИТИЕ СОВРЕМЕННЫХ УГРОЗ
ИНФОРМАЦИОННОЙ
БЕЗОПАСНОСТИ
25 МАЯ 2017
БАКУ
#CODEIB
2. На старте. Как обстоят дела
с внутренней безопасностью?
• Персонал нанимается для
достижения целей компании, но
может вредить бизнесу
• Половина сотрудников при
увольнении заберет с собой
конфиденциальные данные
• Сотрудники периодически
ленятся на рабочих местах
• ВСЕ ИЩУТ ВЫГОДУ!
• Компания НЕСЕТ УБЫТКИ
4. …потому что их большинство
по данным Аналитического Центра InfoWatch, 2017
Зарегистрировано 873 утечки
информации по вине или
неосторожности внутреннего
нарушителя. В 540 случаях
причиной утечки был внешний
злоумышленник
6. по данным Аналитического Центра InfoWatch, 2017
• Доля утечек из-за
краж/потери
оборудования
снизилась на 5%
Утечки информации
• Доля утечек данных через сеть (браузер,
облачные хранилища), электронную почту и
сервисы обмена мгновенными сообщениями
выросла больше чем на 11%
7. Доля умышленных утечек
персональных данных по отраслям
Наиболее «привлекательными» оказались торговые, транспортные
компании и финансовые учреждения. В соответствующих отраслях более
половины утечек с компрометацией персональных данных имели
умышленный характер
по данным Аналитического Центра InfoWatch, 2017
12. Есть ли шанс защититься от утечки данных?
Для персонала – соблюдение правил обращения с информацией:
• Не использовать публичные почты для пересылки
конфиденциальной информации
• Не оставлять ноутбуки, смартфоны без присмотра
• Не разглашать информацию в соцсетях
Для организации:
• Выявление наиболее вероятных угроз со стороны сотрудников
• Положение о коммерческой или гостайне и защите персональных
данных
• Назначение ответственных за безопасность
• Разработка процедур по защите информации
• Использование технических средств защиты от утечек (DLP) –
например, InfoWatch Traffic Monitor
14. Стоимость похищенных данных составляет
несколько миллиардов рублей, плюс издержки
на судебные разбирательства и потеря
репутации
Бывший сотрудник «Яндекса» скопировал с
сервера компании документы содержащие код
и исходные алгоритмы поисковика
Ущерб:
Подробности:
• Бывший сотрудник получил условный срок за кражу
• Потеря исходного кода могла обернуться для поисковика
годами судебных разбирательств, серьезными
репутационными издержками и падением капитализации
Был случай
17. Мониторинг и анализ
данных
Автоматическая
классификация
информационных потоков
Предотвращение утечек
конфиденциальных данных
InfoWatch Traffic Monitor –
решение для борьбы с внутренними
угрозами и неправомерными
действиями сотрудников, которые
приводят к утечкам бизнес-данных
и финансовым потерям
Безопасное хранение данных
для анализа и проведения
расследований
InfoWatch Traffic Monitor
19. Возможности блокировки
Каналы перехвата:
• Почта (SMTP/MAPI/web-mail/IMAP)
• HTTP(s)
• Копирование на съемные устройства
• Копирование на сетевые ресурсы
• FTP
Поддерживаемые технологии:
• Текстовые объекты
• Категории терминов
• БКФ
• Форматы файлов
Высокая точность детектирования
(возможность комбинировать
технологии анализа)
Высокая скорость обработки событий и
принятия решений (задержка будет
незаметна и составит 1 – 1,5 секунды)
21. Лингвистический анализ
Определение категорий (тематики)
на основании найденных терминов
База контентной фильтрации (БКФ)
Морфологический анализ более
чем 35 языков
Детектирование опечаток, замен
и транслитерации
Бухгалтерия
Сумма,
НДС, ИНН
22. Базы контентной фильтрации
Типы БКФ:
• Стандартная
• Отраслевая
• Кастомизированная
Более 115
различных БКФ
(включая БКФ на
других языках)
Создание БКФ «под
ключ» – доработка
отраслевой БКФ под
специфику заказчика
База контентной фильтрации –
список категорий из слов и выражений, позволяющий определить тематику и
степень конфиденциальности данных
24. Детектор текстовых объектов
Поиск текстовых объектов,
соответствующих заданным
шаблонам:
• Номер паспорта
• Номер кредитной карты
• ФИО
Более 100 предустановленных
шаблонов
Кредитная
карта
25. Детектор эталонных документов
Цифровые отпечатки документов:
• Шаблоны текстовых документов
• Шаблоны бинарных файлов
ДСП
Текстовый
документ
Бинарный
файл
26. Детектор печатей и факсимиле
Детектор печатей и факсимиле –
технология, позволяющая контролировать передачу отсканированных документов,
содержащих изображения эталонных печатей и факсимиле
Определение
печати как части
графического
объекта
Технология выявит
печать, даже если
та перекрывает
текст или подпись
27. Детектор паспортов и банковских карт
Детектирование объектов в потоке:
Определение наличия отсканированных страниц паспорта
гражданина в потоке перехваченных файлов
Персональная
информация
Фотографии кредитных карт
28. Детектор выгрузок из баз данных
Высокая скорость анализа данных (до
54 млн. знаков в секунду)
Фиксирование выгрузок из баз данных в
сетевом трафике и текстовых документах
Ограничение копирования по: числу
строк/столбцов, комбинаций строк и
столбцов
29. Детектор заполненных анкет
Возможности детектора
заполненных анкет:
• Контроль передачи анкет, форм,
бланков
• Контроль документов заполненных
от руки
• Контроль отсканированных
документов
• Детектирование персональных
данных
Возможности технологии
позволяют анализировать
до 150 анкет одновременно
(12,7 млн. знаков в секунду)
30. Детектор графических объектов
Классификация и определение
типа изображения:
• Чертеж
• Карта
• Возможность детектировать
документы формата CAD
Детектирование графических
объектов в потоке перехваченных
файлов:
• Части схем или чертежей
31. Оптическое распознавание символов (OCR)
Два варианта поставки модуля
OCR:
• Tesseract
• ABBYY
Большое число поддерживаемых
языков и типов файлов
Возможность контроля
отсканированных документов
(совместно с решением DPrint)
Технология OCR –
технология распознавания
изображений, с целью извлечения из них
текстовой информации для
дальнейшего анализа
32. Комбинированные объекты защиты
Снижение числа
ложных
срабатываний
Определение
сложных типов
данных
Комбинирование
различных объектов
защиты
(печать и шаблон
документа «Договор»)
Комбинированные объекты защиты –
InfoWatch Traffic Monitor позволяет комбинировать различные технологии анализа
для точного детектирования конфиденциальных данных
34. Большая часть информации
остается в «серой зоне»
Сложно вычленить из
информационного потока
необходимые данные
Невозможно одновременно
реализовать быструю и
полную отчетность
Ограничение обзора
35. Был случай
Проблема:
Проектная
документация
оказалась в руках
конкурентов
Задача:
Как это
сделать:
Определить круг
неформального
общения конкретного
сотрудника
Необходимо
проанализировать
аномальную активность
сотрудников: 5900 событий
InfoWatch Vision – это…
• Секунды на фильтрацию 10 млн событий
• Охват «серых» зон информационных потоков
36. InfoWatch Vision –
инструмент офицера
безопасности для выявления
потенциально опасных связей
сотрудников и расследования
инцидентов в режиме
реального времени
Выявление подозрительных связей
сотрудников:
• Построение карты внешних
коммуникаций
• Выявление общения между несвязными
отделами
• Обозначение формального и
неформального круга общения
• Обозначение частых и редких контактов
• Понимание нестандартных схем
движения конфиденциальных данных
Мгновенный доступ к деталям любой
подозрительной активности
Представление отчетности в режиме
реального времени для любого среза
информации
InfoWatch Vision
37. Пилотные проекты
• Анализ состояния защищённости
конфиденциальной информации
• Определение актуальных для
организации внутренних угрозы и их
масштаба
• Демонстрация функциональных
возможностей комплекса и его
применимость для решения
актуальных задач ИБ в организации
• Определение состава и конфигурации
решения
• Обоснование необходимости
решения
38. Высокая скорость
анализа данных
Кастомизация
под специфику
бизнеса
Минимальное
количество
ложных
срабатываний
Точность
детектирования
конфиденциальных
данных
INFOWATCH
TRAFFIC
MONITOR
Преимущества
40. Нам доверяют в России
Банки и финансы Энергетика
Государственный сектор
Федеральная
Таможенная
Служба
Министерство
Финансов
Российской
Федерации
Федеральная
налоговая служба
Министерство
обороны
Российской
Федерации
Правительство
Тульской области МЧС России
Нефтегазовый сектор
Телекоммуникации
Страхование
Торговля
Промышленность
Московский
вертолетный
завод
им. М.Л. Миля
Фармацевтика
Транспорт и логистика
41. Выводы
СМЕНА ПАРАДИГМЫ ЗАЩИТЫ ВНУТРИ КОМПАНИИ
• Из задачи внутренней безопасности задача
обеспечения ИБ становится задачей всей компании
• Нужно объединение усилий разных подразделений
• Специалист по ИБ может возглавить этот процесс
СМЕНА ПАРАДИГМЫ СРЕДСТВ ЗАЩИТЫ
• Будет происходить смешение классов различных продуктов
• Всё большее значение будет приобретать использование
анализа больших данных для целей ИБ
• Анализ поведения будет всё более значимым
• Фокус средств ИБ будет всё больше смещаться
на раннее предотвращение инцидентов
43. 25 МАЯ 2017
БАКУ
#CODEIB
ГОРСКИЙ АЛЕКСАНДР
Заместитель руководителя отдела
регионального развития,
АО «ИНФОВОТЧ»
ТЕЛЕФОН: +7 (905) 063-83-83
EMAIL: G.A@INFOWATCH.COM