Конференция Код ИБ 2015, Нижний Новгород

1. КИБ SearchInform
больше, чем DLP
Велич Владимир Викторович,
Руководитель Поволжского офиса SearchInform
#CODEIB
SKYPE: sunnysamara
mailto:v.velich@searchinform.ru

2. SearchInform сегодня
«Контур информационной безопасности SearchInform» используется
более, чем в 1500 организациях России, Украины, Беларуси, Казахстана,
Польши. Офисы компании успешно работают в Москве, Хабаровске,
Новосибирске, Екатеринбурге, Казани, Санкт-Петербурге, Варшаве, Киеве,
Минске, Алматы.
#CODEIB

3. ООО «Серчинформ» является
российским разработчиком
программного обеспечения в
сфере информационной безо-
пасности. Продукты компании
зарегистрированы в Роспатенте
и соответствует всем обяза-
тельным требованиям, предъя-
вляемым к ПО, которое может
быть включено в Единый
реестр российских программ
для ЭВМ и БД.
Отечественный производитель
#CODEIB

4. Контур информационной безопасности SearchInform
#CODEIB

5. Наши преимущества: поиск и анализ информации
#CODEIB

6. Цифровые отпечатки
позволяют выявлять меру
схожести для двух
произвольных документов.
Наш поиск по цифровым
отпечаткам способен
обнаруживать факт пересылки
любых файлов (фотографий
или скриншотов части карты,
исполняемых файлов и т.д.), а
не только тех, которые
содержат текст.
Наши преимущества: поиск и анализ информации
#CODEIB

7. Позволяют автоматически выявлять инциденты на основании
количественных показателей:
• количество скопированных файлов на
внешний носитель;
• количество уникальных адресатов в
отправленных письмах;
• количество исходящих сообщений в
Skype, Lync, Viber, IM;
• количество напечатанных страниц;
• количество напечатанных документов;
• количество залогиненных учетных
записей на один компьютер;
• количество неудачных попыток
логина.
Наши преимущества: поиск и анализ информации
#CODEIB

8. В компании, занимающейся закупками, завелся «умный» менеджер. Честно
отработав некоторое время, девушка собрала «коллекцию» различных
коммерческих предложений и разработала мошенническую схему. Суть
заключалась в следующем: перед закупкой, вместо того, чтобы «честно»
собирать КП партнеров, менеджер договаривалась с какой-либо компанией
на откат, а остальные предложения «рисовала» в Photoshop, подставляя
заведомо невыгодные цены. Тем самым, создавалась видимость, что
«нужное» КП действительно самое выгодное, хотя это было не так.
Наши преимущества: новые каналы перехвата
#CODEIB

9. Запись звука целесообразна не
только «в целях повышения качества
обслуживания», но и для
выборочного контроля сотрудников,
подозревающихся в мошенничестве.
«Талантливые» менеджеры по
продажам на переговорах могут
договориться не только о том, что
затем будет записано на бумаге.
Наши преимущества: новые каналы перехвата
#CODEIB

10. CloudSniffer
Этот компонент отвечает за перехват данных, отправляемых с
компьютеров в облако.
ViberSniffer
Этот компонент отвечает за перехват Viber – набирающего
популярность мессенджера.
Наши преимущества: новые каналы перехвата
#CODEIB

11. • Помощь при проведении расследований. Теперь все заметки,
документы, ваши выводы, версии и предположения можно
систематизировать. Также поддерживается импорт информации из
других источников.
• Ведение досье по сотрудникам.
Наши преимущества: новые инструменты для аналитики
#CODEIB

12. Отдел внедрения
Наша сила в наших
знаниях. Ведь работа с
более 1500 клиентами –
это огромный опыт.
Приобретая продукт,
нужно использовать его возможности на 100%
Мы не просто решаем
задачи, но и объясняем,
почему предложенное
решение самое лучшее.
#CODEIB

13. Учебный центр
С мая 2013 года в компании
действует собственный
учебный центр.
За это время мы подготовили
более 1000 специалистов.
Мы готовим как аналитиков,
так и инженеров.
#CODEIB

14. Наш опыт – залог вашего успеха
Благодаря тесной работе с более чем 1500 компаний у нас имеются
готовые отраслевые решения для:
• Добывающей промышленности;
• Производства;
• Электро-, газо- и водоснабжения;
• Строительства;
• Торговли;
• Транспорта и логистики;
• Информации и связи;
• Финансовой деятельности и банков;
• Страхования;
• Государственного управления и обороны;
• Сельского хозяйства и лесоводства.
#CODEIB

15. SIEM-система (Security Information and Event Management) предназначена
для анализа информации, поступающей от различных источников (других
систем, антивирусов, оборудования и т.п.), и дальнейшего выявления
отклонения от норм по заданным критериям. SIEM работает в режиме,
приближенном к реальному времени. В основе SIEM лежит корреляция
различных событий, а также их статистический анализ.
Что такое SIEM
#CODEIB

16. SIEM и DLP. Не вместо, а вместе
Совместное использование DLP и SIEM позволяет вывести расследования
инцидентов на новый уровень. Системы дополняют друг друга и могут
выступать как источником информации, так и средством для ее анализа.
Лучшая битва – та, которой не произошло.
SIEM-система дополняет DLP, позволяя играть на опережение,
предупреждая инциденты еще до того, как их совершат сотрудники.
#CODEIB

17. Архитектура SearchInform Event Manager
Центральное место в решении занимает SearchInform SIEMServer,
отвечающий за обработку, корреляцию и реагирование на события
информационной безопасности.
Сбор данных для SIEMServer обеспечивают коннекторы. Источниками могут
выступать различные ресурсы: контроллеры домена Windows, почтовые
сервера Exchange, любые ресурсы с логированием в стандарте SYSLOG и
так далее. Каждого источника может быть более одного.
NetworkConnector отвечает за сбор и анализ логов от различных
корпоративных систем (межсетевых экранов, антивирусов, Active Directory и
т.п.).
EndpointConnector, в свою очередь, устанавливается непосредственно на
рабочие станции сотрудников.
Просмотр информации, составление отчетов и расследование выявленных
инцидентов осуществляется в SearchInform AnalyticsConsole.
#CODEIB

18. Преимущества SearchInform Event Manager
Ни одна из существующих систем не имеет агента для рабочих станций, а
именно оттуда можно получать информацию, необходимую СБ для
корреляции событий:
• Снимки экрана или запись видео рабочего дня пользователя;
• Анализ активности пользователя по всем каналам;
• Граф отношений;
• Выявление поведенческих аномалий;
• Выявление статистических аномалий;
• Защита данных на компьютере пользователя от доступа из вне;
• Работа за пределами корпоративной сети.
#CODEIB

19. • Попытка подбора пароля учетной записи;
• Создание временной учетной записи;
• Временное включение учетной записи;
• Просроченная учетная запись;
• Временное включение учётной записи в группу безопасности;
• Добавление учётной записи в критичную группу;
• Удаление критичных групп;
• Очистка журнала событий пользователем;
• Социальная активность в сети;
• Подключение под чужой учетной записью;
• Еще более 50 различных политик….
Примеры инцидентов. От общего
#CODEIB

20. Сотрудник*, узнав пароль от корпоративного почтового ящика своего
бывшего начальника, регулярно заходит на него, знакомится с
инсайдерской информацией и использует ее в своих целях («сливает»
за вознаграждение клиентам компании, чтобы они могли сбивать цену
при заключении договоров).
SearchInform Event Manager способна предотвратить этот инцидент.
Собственный агент SIEM-системы фиксирует всю активность
пользователя за компьютером, включая авторизацию в тех или иных
системах. Таким образом, если в приложении (Skype, почта и т.п.)
авторизуется кто-то другой, система обнаружит аномалию в поведении
пользователя и отправит уведомление службе безопасности.
*Дело «Фосагро»
Примеры инцидентов. К частному
#CODEIB

21. Одна компания начала проигрывать тендеры слишком часто. Заметили
тенденцию: проигрываются конкурсы, в которых участвует определенный
начальник. Анализ его деятельности показал, что письма начальника есть
на чужом компьютере. Оказалось, что один из сотрудников, раздобыл
пароль, настроил себе дополнительный корпоративный ящик (начальника)
и использовал полученную информацию в своих целях.
Примеры из жизни
#CODEIB

22. Примеры из жизни
Одна компания очень удивила своих сотрудников: закупила 150 ноутбуков
и раздала менеджерам высшего и среднего звена. Вскоре корпоративная
щедрость окупилась в десятки раз.
Наблюдалась устойчивая тенденция: в течение трех месяцев с момента
получения корпоративных ноутбуков сотрудники перестали разделять
личное и рабочее пространство. В итоге, и на работе, и дома люди
использовали корпоративные машины, что обеспечило приток важной с
точки зрения ИБ информации, позволившей вскрыть несколько крупных
мошеннических схем.
#CODEIB

23. Системный администратор, отвечающий, в том числе, и за работу
почтового сервера компании, настроил себе копию со всех корпоративных
почтовых ящиков. Таким образом, сотрудник имел доступ ко всей
переписке сотрудников компании, в том числе и высшего руководства.
Примеры из жизни
Виновного выявили с помощью
ReportCenter. В отчетах было
видно аномально большое
количество писем, что не
соотносилось с действительно-
стью. Детализация показала, что
больше всего писем почему-то
приходит сисадмину.
#CODEIB

24. Главный бухгалтер компании всерьез задумался о смене работы. Уже был
назначен преемник, которому надлежало передать дела. Но все выпало на
отчетный период. Юридически отчитаться должен был «старый» главный
бухгалтер. Если человек собирается уходить, его ставят под полный
контроль, в том числе и с помощью видеозаписи.
Примеры из жизни
Анализируя видеозаписи было
выявлено, что главный бухгалтер
перед отправкой отчетности внесла
изменения в некоторые документы.
Если бы компания не выявила
нарушение, в следующий раз у них
арестовали бы счета, пришла бы
проверка и на месяц-другой
финансовая деятельность
организации прекратилась. А за 1-2
месяца компания может и
обанкротиться.
#CODEIB

25. Сохранность
конфиденциальных
данных вашей компании
зависит от вас!
#CODEIB
Ожегов Сергей Владимирович
+7 (495) 721-84-06, доб. 000
serg@searchinform.ru