Автор Анна Евкова
Преподаватель который помогает студентам и школьникам в учёбе.

Комплекс программных решений в области информационной безопасности компании Infowatch (Анализ передаваемой информации )

Содержание:

Введение

С каждым годом увеличивается количество информации, растет ее спрос, а значит и растет ее ценность, в связи с этим возрастают требования по ее защите. Так же быстрыми темпами совершенствуются компьютерные технологии. В связи с стремительным развитием информационных технологий возникают новые угрозы для информации, следовательно, возрастет необходимость ее своевременной защиты. Для того чтобы защита была полной необходима комплексная проработка.

Утечка любой практически любой информации отражается на имидже компании. Особую роль играет информация ограниченного доступа, компрометация которой может повлечь большие репутационные
и материальные потери. В связи с вышесказанным мероприятия по защите информации пользуются невероятным спросом.

Для обеспечения полноценной защиты конфиденциальной информации необходимо проводить комплексный анализ каналов утечки, каналов и методов несанкционированного воздействия на информацию.

При обеспечении информационной безопасности организации одним из самых важных видов деятельности является выявление инцидентов информационной безопасности. Необходимо понимать то, что невозможно избежать всех инцидентов информационной безопасности, так как всегда могут происходить события, влекущие за собой потенциальную угрозу.

Событие информационной безопасности — идентифицированное появление определенного состояния системы, сервиса или сети, указывающего на возможное нарушение политики ИБ или отказ защитных мер, или возникновение неизвестной ранее ситуации, которая может иметь отношение к безопасности.

Инцидент информационной безопасности — одно или серия нежелательных или неожиданных событий в системе информационной безопасности, которые имеют большой шанс скомпрометировать деловые операции и поставить под угрозу защиту информации.

Существует множество способов борьбы с инцидентами, как на уровне организационных процедур, так и на уровне программных решений. Одним из наиболее эффективных методов является внедрение системы защиты от утечек конфиденциальных данных Data Leak Prevention (DLP) — технологии предотвращения утечек конфиденциальной информации из информационной системы вовне, а также технические устройства (программные или программно-аппаратные) предотвращения утечек.

Анализ передаваемой информации

На текущий момент на рынке представлено довольно много DLP-решений, позволяющих определять и предотвращать утечку конфиденциальной информации по тем или иным каналам.

Однако действительно комплексных решений, покрывающих все существующие каналы, значительно меньше. В этих условиях чрезвычайно важным становится выбор технологии, обеспечивающей защиту от утечек конфиденциальной информации с максимальной эффективностью и минимальным количеством ложных срабатываний.

Первое, чему следует уделить внимание при выборе DLP-решения - это как данное решение осуществляет анализ передаваемой информации и какие технологии используются для определения наличия конфиденциальных данных? Всего существует пять методов анализа:

  1. Поиск по словарям (по точному совпадению слов, в некоторых случаях с учетом морфологии)
  2. Регулярные выражения. Регулярные выражения - система синтаксического разбора текстовых фрагментов по формализованному шаблону, основанная на системе записи образцов для поиска. Например, номера кредитных карт, телефонов, адреса e-mail, номера паспорта, лицензионные ключи.
  3. Сравнение по типам файлов. Политиками безопасности может быть запрещена отправка вовне некоторых типов файлов. При этом если пользователь изменит расширение файла, то система все равно должна "опознать" тип файла и предпринять необходимые действия. В большинстве решений используется технология компании Autonomy.
  4. Статистический ("поведенческий") анализ информации по пользователям. Если пользователь имеет доступ к конфиденциальной информации, и в то же время он посещает определенные сайты (web-storage, web-mail, хакерские и т.д.), то он попадает в "группу риска" и к нему возможно применение дополнительных ограничивающих политик безопасности.
  5. Технологии цифровых отпечатков. Наиболее перспективные и достаточно сложные технологии, при которых производятся определенные математические преобразования исходного файла. Процесс преобразования строится следующим образом: исходный файл - математическая модель файла - цифровой отпечаток. Такой процесс позволяет существенно сократить объем обрабатываемой информации (объем цифрового отпечатка не более 0,01 от объема файла). Цифровые отпечатки затем размещаются в базе данных (Oracle, MS SQL) и могут быть продублированы в оперативной памяти устройства, осуществляющего анализ информации. Отпечатки затем используются для сравнения и анализа передаваемой информации. При этом отпечатки передаваемого и "модельного" файлов могут совпадать не обязательно на 100%, процент совпадения может задаваться (или программироваться в ПО производителем). Технологии устойчивы к редактированию файлов и применимы для защиты практически любых типов файлов: текстовых, графических, аудио, видео. Количество "ложных срабатываний" не превышает единиц процентов (все другие технологии дают 20-30% ложных срабатываний). Эта технология устойчива к различным текстовым кодировкам и языкам, используемым в тексте.

Также следует обратить внимание на систему отчетности и наборы преднастроенных политик безопасности, представляемых DLP-решением, так как это поможет избежать некоторых проблем и сложностей при внедрении.

Комплекс программных решений InfoWatch

Группа компаний InfoWatch — российский разработчик комплексных решений для обеспечения информационной безопасности организаций. Компания InfoWatch была основана в 2003 году Натальей Касперской и сегодня объединяет бренды InfoWatch, Attack Killer, Cezurity, Kribrum и Taiga.

Продуктовый портфель группы компаний содержит эффективные комплексные решения для защиты предприятий от наиболее актуальных внутренних и внешних угроз. ГК InfoWatch накоплен обширный опыт реализации масштабных проектов в промышленности, ТЭК, ИКТ, финансовом и государственном секторах.

InfoWatch Traffic Monitor – комплексное решение для борьбы с внутренними угрозами и неправомерными действиями сотрудников, которые приводят к утечкам бизнесданных и финансовым потерям.

Это первая в России DLP-система, которая умеет блокировать действия злоумышленников в момент совершения, не прерывая бизнес-процессы компании. При срабатывании политики нарушения Traffic Monitor блокирует передачу данных при обнаружении в них защищаемых данных. Кроме того, для отдельных групп сотрудников решение запрещает операции в бизнес-приложениях.

Основными преимуществами данного программного продукта являются:

  1. Высокая скорость анализа данных

Производительность технологии «Детектор выгрузок из баз данных» составляет 54 млн записей в секунду, что позволяет защищать большие объемы клиентских баз данных. Заполненные формы анализируются со скоростью 12,7 млн знаков в секунду (в условиях анализа одновременно 150-ти анкет). Это позволяет защищать большой объем персональных данных, содержащихся в опросниках, анкетах, бланках и т.д.

  1. Минимальное количество ложных срабатываний

Комбинированные объекты защиты позволяют совмещать технологии для защиты документов, одновременно соответствующих сразу нескольким условиям. Например, классифицировать отсканированные договора, заверенные печатью. Такой подход позволяет точно детектировать коммерческую тайну в потоке трафика и снижать ложные срабатывания.

  1. Мощное решение с поддержкой сложных структур

Эффективно работает в структурах даже с численностью более 300 000 человек. Подходит для крупных организаций с большим объемом анализируемого трафика и территориально распределенной структурой.

  1. Точная идентификация нарушителей

Все события хранятся в единой базе, которая может служить юридически значимой базой при расследовании инцидентов. Специальные инструменты проведения расследований – граф связей, карточки сотрудников и досье – позволяют выявлять угрозы на ранней стадии и привлекать нарушителей к ответственности.

  1. Веб-интерфейс

Управлять настройками и политиками, строить и просматривать отчеты можно с любой рабочей станции, независимо от используемой операционной системы (Windows, Linux, Apple Mac OS). Ежедневную работу с событиями и расследованиями инцидентов удобно вести в интерактивной консоли InfoWatch Vision.

Функциональные возможности продукта и решаемые задачи

InfoWatch Traffic Monitor обладает комплексом функциональных возможностей и решает следующие задачи:

  • Позволяет выявить сговоры, шантаж, мошенничество, воровство и коррупцию, злоумышленников, лиц, занимающихся промышленным шпионажем, а также круг причастных лиц.
  • Помогает осуществлять бизнес-разведку с целью контроля деятельности персонала и определения степени его лояльности к компании. Предотвращает утечки конфиденциальной информации (банковская тайна, коммерческая и финансовая информация, персональные данные, секреты производства, исходный код) и защищает организации от неправомерных действий сотрудников (распространение нежелательной информации от лица компании, несанкционированное взаимодействие с прессой, распространение секретных сведений).
  • Позволяет сформировать доказательную базу для проведения расследований инцидентов информационной безопасности. Предотвращение утечек и выявление нарушителей осуществляется через мониторинг, перехват и анализ всех информационных потоков организации, с учетом установленных политик информационной безопасности и правил. Продукт производит мониторинг данных, которые передаются через почтовые системы, web, системы обмена сообщениями, распечатываются и копируются на съемные носители.

Перехваченная информация проходит многоуровневый анализ. Вердикт о разрешении или блокировке передачи данных выносится автоматически благодаря технологиям, которые позволяют точно детектировать конфиденциальные данные «на лету», а также автоматически классифицировать информацию.

Лингвистический анализ - определение тематики и содержания текста по терминам (словам и словосочетаниям), найденным в тексте.

Детектор выгрузок из баз данных - поиск цитат из заданной базы данных; выгрузками из БД могут быть списки заработных плат сотрудников, другие личные данные и проч.

Детектор текстовых объектов - поиск текстовых объектов, соответствующих заданным шаблонам.

Детектирование цифровых отпечатков - поиск фрагментов текста, принадлежащих к заранее заданным эталонным документам.

Детектирование заполненных бланков - поиск бланков установленного шаблона. Бланками могут быть различные анкеты, квитанции и проч. Система также детектирует бланки, заполненные от руки.

Детектирование паспортов граждан РФ - поиск изображений паспортов граждан.

Детектирование печатей - поиск изображения печати установленного вида: круглые и треугольные печати, независимо от угла поворота, смещения, масштаба, яркости изображения и наличия на ней шумов (текст, краска, потертости и т. д.).

Детектор графических объектов - технология распознает в изображениях заранее предустановленные графические объекты и осуществляет поиск изображений, соответствующих какой-либо из предустановленных категорий (паспорта, кредитные карты).

OCR (optical character recognition) - мгновенное распознавание текста в изображениях - контроль процессов печати и сканирования документов, перемещения отсканированных копий внутри организации (со сканера на ПК, с ПК на принтер) и за ее пределы (отправка отсканированных копий по электронной почте, через сервисы мгновенных сообщений и пр.).

Сигнатурный анализ файла - категории сигнатур, с помощью которых правила File Monitor могут распространяться на заданные форматы файлов.

Комбинированные объекты защиты - позволяет классифицировать образы документов и сложные типы данных, а также комбинировать различные технологии анализа данных.

Технологии анализа применяются как на уровне сетевого шлюза, так и на конечных устройствах, включая персональные компьютеры, ноутбуки и мобильные устройства. Это помогает мгновенно блокировать несанкционированные действия сотрудников: хищение, разглашение, модификацию конфиденциальной информации. Все перехваченные данные помещаются в централизованный архив системы.

Сохранение всей информации в архиве позволяет отследить маршруты движения информации, случаи нецелевого использования корпоративных ресурсов. Шаблоны отчетов помогут собрать и оформить доказательства для расследования инцидентов и проводить анализ утечек конфиденциальной информации.

Контролируемые каналы и протоколы

Каналы блокировки:

  1. Съемные носители и внешние устройства: USB, HDD, FireWire, Wi-Fi, Bluetooth, подключение мобильных устройств (MTP).
  2. Локальные и сетевые устройства печати.
  3. Запуск и копирование в буфер обмена, снимки экрана, печать, облачные хранилища.
  4. Подключение к внешним сетям.

Каналы перехвата:

  1. Почта: SMTP, IMAP4, POP3, MAPI, NRPC (Lotus).
  2. Веб-ресурсы: HTTP / HTTPS, FTP / FTPS, Веб-почта, Блоги / Форумы / Соцсети, Облачные хранилища.
  3. Мессенджеры: ICQ, Skype (включая голос), Jabber, Lync.
  4. Теневое копирование файлов, отправленных на сетевые папки.

Контроль мобильных Android/iOS устройств:

  1. камера, приложения, сообщения (SMS, iMessage), мессенджеры (WhatsApp, Skype), почта и интернет.

Контроль удаленного подключения:

  1. Microsoft RDP и Citrix XenApp.

Сценарии работы InfoWatch Traffic Monitor

Предотвращение утечек в момент их реализации

InfoWatch Traffic Monitor блокирует передачу данных с компьютера сотрудника при обнаружении в них защищаемых данных. Это позволяет офицеру безопасности предотвращать внутренние угрозы в момент их реализации. Для анализа данных на агенте при попытке отправки их с компьютера пользователя система использует технологии лингвистического анализа, детектирования текстовых объектов, а также технологию комбинированных объектов защиты, что позволяет распознать сложные структуры данных, исключить ложные срабатывания и обеспечить высокую точность срабатывания, не нарушая работу бизнес-процессов компании.

Система также принимает решение о блокировке по сигнатуре файла, например, предотвратит запись Exсel-таблицы на съемное устройство или передачу конструкторской документации в облачное хранилище. Для применения политик блокировки доступны все ранее разработанные базы контентной фильтрации, и заказчик может сам выбрать, какая должна срабатывать на агенте при блокировке инцидента. Это помогает настроить правила блокировки наиболее точным образом и сократить число ложноположительных срабатываний.

Запрет операций при работе в бизнес-приложениях

InfoWatch Traffic Monitor позволяет создавать правила запрета на выполнение отдельных операций при работе в бизнес-приложениях: копирование через буфер обмена, отправку на печать и снятие скриншотов.

Возможность тонко разграничивать права отдельных групп сотрудников особенно актуальна для контроля извлечения данных из бизнес-систем и автоматизированных рабочих мест в системах АСУ ТП. Запрет отдельных операций позволяет контролировать приложения, чья ролевая модель не предусматривает разграничение прав для определенных операций, в том числе программного обеспечения, разработанного под конкретного заказчика.

В консоли InfoWatch Device Monitor имеется возможность создать правило «Правило запретов скриншотов в Excel», в нем указывается запрет на создание скриншотов только в приложении Microsoft Excel.

Перехват операций копирования-вставки данных с помощью буфера обмена

В InfoWatch имеется возможность контролировать данные, передаваемые с помощью буфера обмена, в том числе на неконтролируемые машины в терминальных сессиях, находящиеся за периметром компании.

Подобная функциональность позволяет отслеживать перемещение конфиденциальной информации по наиболее уязвимым и критичным маршрутам, исключая операции, предусмотренные производственной деятельностью. Таким образом, офицер безопасности будет оповещен системой только в том случае, когда операция с буфером обмена представляет угрозу утечки, например, при копировании данных из бизнес-системы в программу мгновенного обмена сообщениями.

Предотвращение утечек информации из баз данных

Сведения о контрагентах, партнерах, клиентах, собранные в различных базах, являются одним из наиболее ценных активов для любой организации. При этом ФИО контрагентов, названия компаний-контрагентов, адреса и иные сведения из этих баз представляют собой особый тип данных, не поддающийся формализации.

В InfoWatch Traffic Monitor для их обнаружения создается эталонный отпечаток базы (может формироваться из нескольких источников — системы CRM, ERP, файлы Excel и пр.).

В потоке трафика система анализирует каждое сообщение (письма, публикации в веб, файлы, сохраненные в облаке, и пр.), сравнивает обнаруженные в этих сообщениях текстовые фрагменты с данными из эталонного отпечатка. Если система находит совпадение, офицер безопасности получает уведомление об инциденте.

Предотвращение утечек персональных данных

Для выявления утечек персональных данных и иной формализованной (например, в виде анкет) информации применяется технология «Детектор заполненных бланков».

Производительность этой технологии в новой версии выросла в 28 раз с возможностью одновременного контроля 150 анкет. Для защиты персональных данных также работает «Детектор графических объектов». В систему можно завести различные графические объекты, например паспорта, кредитные карты, географические карты, чертежи и т. д.

Для повышения эффективности детектирования персональных данных и снижения числа ложноположительных срабатываний появилась возможность создания комбинированных объектов защиты. Например, в политике защиты персональных данных можно задать условие срабатывания для бланков, в которых заполнены поля «номер паспорта», «адрес», «номер подразделения, выдавшего паспорт». В отношении бланков, в которых данные поля не заполнены, политика срабатывать не будет.

Защита объектов интеллектуальной собственности

Интеллектуальная собственность компании защищается с помощью патентов и других правовых методов, однако подобная защита подходит только для тех разработок, которые уже окончательно оформлены и доработаны. В то же время утечка информации может произойти задолго до того, как компания получит патент.

Кроме того, существуют такие виды интеллектуальной собственности, которые не так и просто защитить, зато очень легко украсть. Специфика деятельности организации определяет, какая именно информация подлежит защите. Например, для конструкторского бюро опасность представляет утечка чертежей проектируемых объектов, а для софтверных компаний — утечка исходных кодов.

Чтобы защита была эффективной, технологии анализа информации должны учитывать специфику деятельности организации. Для этого InfoWatch Traffic Monitor предоставляет разные наборы правил обработки информации для различных отраслей экономики: специализированные базы контентной фильтрации, представляющие собой иерархический список категорий из слов и выражений, позволяющий определить тематику и степень конфиденциальности данных.

Расследование инцидентов информационной безопасности

Новая система отчетности InfoWatch Traffic Monitor позволяет собрать большой объем данных и представить всю необходимую информацию для офицера безопасности и руководителей бизнес-подразделений в виде графиков и отчетов. Например, ознакомиться со статистикой о нарушениях и нарушителях можно в консоли InfoWatch Traffic Monitor в разделе «Сводка».

Информация отображается на виджетах. Для эргономичного использования рабочей области виджеты располагаются на панелях. Панели позволяют группировать виджеты, объединенные общей тематикой. Офицер безопасности может настроить консоль управления под себя и получать сводку об инцидентах без потери времени. При этом каждый виджет обладает дополнительными настройками.

Виджеты удобно использовать для ежедневного мониторинга, так как они позволяют быстро просмотреть статистику по событиям. Например:

  1. Виджет «Динамика нарушений» отображает количественные изменения по выбранным типам нарушений за определенный период времени.
  2. Виджет «Топ нарушителей» отображает список пользователей, совершающих наибольшее количество нарушений (высокого, среднего и низкого уровня) за выбранный период времени.
  3. Виджет «Количество нарушений» показывает, какое число нарушений для каждого типа правил совершено за исследуемый период времени. «Статистика по политикам» отображает количество нарушений по заведенным в организации политикам ИБ — правила передачи, копирования и хранения конфиденциальных данных.

Заключение

В данном реферате было освещено комплексное решение в области информационной безопасности компании InfoWatch - DLP-система InfoWatch Traffic Monitor

Продукт представляет собой мощный набор инструментов для контроля каналов передачи данных и предотвращения утечек конфиденциальной информации. Применение системы позволяет существенно снизить риски утечки информации и возникновения инцидентов, связанных с неправомерными действиями сотрудников организации, в том числе при использовании мобильных устройств в корпоративной среде.

InfoWatch Traffic Monitor предоставляет компаниям необходимый набор инструментов как для проведения внутренних расследований, так и для дальнейшей правовой защиты собственных интересов. Согласно исследованию аналитического агентства Gartner, компания InfoWatch ежегодно входит в число лучших разработчиков DLP-систем (Magic Quadrant for Enterprise Data Loss Prevention) и второй год подряд признается ведущим российским DLP-вендором на мировом рынке.

Аналитики Gartner отмечают запатентованные технологии лингвистического анализа InfoWatch, аналитические возможности системы и широкий спектр языковой поддержки InfoWatch Traffic Monitor, позволяющие выявлять нелояльно настроенных сотрудников и факты внутреннего фрода в организации, включая мошенничество, шпионаж, нецелевое использование ресурсов и несанкционированные действия с информацией ограниченного доступа.

Кроме того, InfoWatch Traffic Monitor занимает лидирующую позицию российском рынке, также к преимуществам InfoWatch Traffic Monitor можно отнести его модульную архитектуру.

Комплектация и состав продукта определяются потребностями бизнеса. Это позволяет клиентам внедрять только те модули, в которых есть потребность. В случае необходимости расширения функционала системы клиент может просто докупить необходимые модули и лицензии и с легкостью их интегрировать в уже функционирующую инфраструктуру безопасности InfoWatch Traffic Monitor.

Список используемой литературы

  1. https://www.infowatch.ru – информационный портал компании Infowatch.
  2. https://www.gartner.com/en - аналитическое агентство.
  3. https://fstec.ru – портал информационного регулятора РФ.
  4. Федеральный закон "О персональных данных" от 27.07.2006 N 152-ФЗ
  5. Федеральный закон "О коммерческой тайне" от 29.07.2004 N 98-ФЗ