Файл: Комплекс программных решений в области информационной безопасности компании Infowatch (Анализ передаваемой информации ).pdf
Добавлен: 05.07.2023
Просмотров: 93
Скачиваний: 5
СОДЕРЖАНИЕ
Анализ передаваемой информации
Комплекс программных решений InfoWatch
Функциональные возможности продукта и решаемые задачи
Контролируемые каналы и протоколы
Сценарии работы InfoWatch Traffic Monitor
Предотвращение утечек в момент их реализации
Запрет операций при работе в бизнес-приложениях
Перехват операций копирования-вставки данных с помощью буфера обмена
Предотвращение утечек информации из баз данных
Предотвращение утечек персональных данных
Защита объектов интеллектуальной собственности
Контролируемые каналы и протоколы
Каналы блокировки:
- Съемные носители и внешние устройства: USB, HDD, FireWire, Wi-Fi, Bluetooth, подключение мобильных устройств (MTP).
- Локальные и сетевые устройства печати.
- Запуск и копирование в буфер обмена, снимки экрана, печать, облачные хранилища.
- Подключение к внешним сетям.
Каналы перехвата:
- Почта: SMTP, IMAP4, POP3, MAPI, NRPC (Lotus).
- Веб-ресурсы: HTTP / HTTPS, FTP / FTPS, Веб-почта, Блоги / Форумы / Соцсети, Облачные хранилища.
- Мессенджеры: ICQ, Skype (включая голос), Jabber, Lync.
- Теневое копирование файлов, отправленных на сетевые папки.
Контроль мобильных Android/iOS устройств:
- камера, приложения, сообщения (SMS, iMessage), мессенджеры (WhatsApp, Skype), почта и интернет.
Контроль удаленного подключения:
- Microsoft RDP и Citrix XenApp.
Сценарии работы InfoWatch Traffic Monitor
Предотвращение утечек в момент их реализации
InfoWatch Traffic Monitor блокирует передачу данных с компьютера сотрудника при обнаружении в них защищаемых данных. Это позволяет офицеру безопасности предотвращать внутренние угрозы в момент их реализации. Для анализа данных на агенте при попытке отправки их с компьютера пользователя система использует технологии лингвистического анализа, детектирования текстовых объектов, а также технологию комбинированных объектов защиты, что позволяет распознать сложные структуры данных, исключить ложные срабатывания и обеспечить высокую точность срабатывания, не нарушая работу бизнес-процессов компании.
Система также принимает решение о блокировке по сигнатуре файла, например, предотвратит запись Exсel-таблицы на съемное устройство или передачу конструкторской документации в облачное хранилище. Для применения политик блокировки доступны все ранее разработанные базы контентной фильтрации, и заказчик может сам выбрать, какая должна срабатывать на агенте при блокировке инцидента. Это помогает настроить правила блокировки наиболее точным образом и сократить число ложноположительных срабатываний.
Запрет операций при работе в бизнес-приложениях
InfoWatch Traffic Monitor позволяет создавать правила запрета на выполнение отдельных операций при работе в бизнес-приложениях: копирование через буфер обмена, отправку на печать и снятие скриншотов.
Возможность тонко разграничивать права отдельных групп сотрудников особенно актуальна для контроля извлечения данных из бизнес-систем и автоматизированных рабочих мест в системах АСУ ТП. Запрет отдельных операций позволяет контролировать приложения, чья ролевая модель не предусматривает разграничение прав для определенных операций, в том числе программного обеспечения, разработанного под конкретного заказчика.
В консоли InfoWatch Device Monitor имеется возможность создать правило «Правило запретов скриншотов в Excel», в нем указывается запрет на создание скриншотов только в приложении Microsoft Excel.
Перехват операций копирования-вставки данных с помощью буфера обмена
В InfoWatch имеется возможность контролировать данные, передаваемые с помощью буфера обмена, в том числе на неконтролируемые машины в терминальных сессиях, находящиеся за периметром компании.
Подобная функциональность позволяет отслеживать перемещение конфиденциальной информации по наиболее уязвимым и критичным маршрутам, исключая операции, предусмотренные производственной деятельностью. Таким образом, офицер безопасности будет оповещен системой только в том случае, когда операция с буфером обмена представляет угрозу утечки, например, при копировании данных из бизнес-системы в программу мгновенного обмена сообщениями.
Предотвращение утечек информации из баз данных
Сведения о контрагентах, партнерах, клиентах, собранные в различных базах, являются одним из наиболее ценных активов для любой организации. При этом ФИО контрагентов, названия компаний-контрагентов, адреса и иные сведения из этих баз представляют собой особый тип данных, не поддающийся формализации.
В InfoWatch Traffic Monitor для их обнаружения создается эталонный отпечаток базы (может формироваться из нескольких источников — системы CRM, ERP, файлы Excel и пр.).
В потоке трафика система анализирует каждое сообщение (письма, публикации в веб, файлы, сохраненные в облаке, и пр.), сравнивает обнаруженные в этих сообщениях текстовые фрагменты с данными из эталонного отпечатка. Если система находит совпадение, офицер безопасности получает уведомление об инциденте.
Предотвращение утечек персональных данных
Для выявления утечек персональных данных и иной формализованной (например, в виде анкет) информации применяется технология «Детектор заполненных бланков».
Производительность этой технологии в новой версии выросла в 28 раз с возможностью одновременного контроля 150 анкет. Для защиты персональных данных также работает «Детектор графических объектов». В систему можно завести различные графические объекты, например паспорта, кредитные карты, географические карты, чертежи и т. д.
Для повышения эффективности детектирования персональных данных и снижения числа ложноположительных срабатываний появилась возможность создания комбинированных объектов защиты. Например, в политике защиты персональных данных можно задать условие срабатывания для бланков, в которых заполнены поля «номер паспорта», «адрес», «номер подразделения, выдавшего паспорт». В отношении бланков, в которых данные поля не заполнены, политика срабатывать не будет.
Защита объектов интеллектуальной собственности
Интеллектуальная собственность компании защищается с помощью патентов и других правовых методов, однако подобная защита подходит только для тех разработок, которые уже окончательно оформлены и доработаны. В то же время утечка информации может произойти задолго до того, как компания получит патент.
Кроме того, существуют такие виды интеллектуальной собственности, которые не так и просто защитить, зато очень легко украсть. Специфика деятельности организации определяет, какая именно информация подлежит защите. Например, для конструкторского бюро опасность представляет утечка чертежей проектируемых объектов, а для софтверных компаний — утечка исходных кодов.
Чтобы защита была эффективной, технологии анализа информации должны учитывать специфику деятельности организации. Для этого InfoWatch Traffic Monitor предоставляет разные наборы правил обработки информации для различных отраслей экономики: специализированные базы контентной фильтрации, представляющие собой иерархический список категорий из слов и выражений, позволяющий определить тематику и степень конфиденциальности данных.
Расследование инцидентов информационной безопасности
Новая система отчетности InfoWatch Traffic Monitor позволяет собрать большой объем данных и представить всю необходимую информацию для офицера безопасности и руководителей бизнес-подразделений в виде графиков и отчетов. Например, ознакомиться со статистикой о нарушениях и нарушителях можно в консоли InfoWatch Traffic Monitor в разделе «Сводка».
Информация отображается на виджетах. Для эргономичного использования рабочей области виджеты располагаются на панелях. Панели позволяют группировать виджеты, объединенные общей тематикой. Офицер безопасности может настроить консоль управления под себя и получать сводку об инцидентах без потери времени. При этом каждый виджет обладает дополнительными настройками.
Виджеты удобно использовать для ежедневного мониторинга, так как они позволяют быстро просмотреть статистику по событиям. Например:
- Виджет «Динамика нарушений» отображает количественные изменения по выбранным типам нарушений за определенный период времени.
- Виджет «Топ нарушителей» отображает список пользователей, совершающих наибольшее количество нарушений (высокого, среднего и низкого уровня) за выбранный период времени.
- Виджет «Количество нарушений» показывает, какое число нарушений для каждого типа правил совершено за исследуемый период времени. «Статистика по политикам» отображает количество нарушений по заведенным в организации политикам ИБ — правила передачи, копирования и хранения конфиденциальных данных.
Заключение
В данном реферате было освещено комплексное решение в области информационной безопасности компании InfoWatch - DLP-система InfoWatch Traffic Monitor
Продукт представляет собой мощный набор инструментов для контроля каналов передачи данных и предотвращения утечек конфиденциальной информации. Применение системы позволяет существенно снизить риски утечки информации и возникновения инцидентов, связанных с неправомерными действиями сотрудников организации, в том числе при использовании мобильных устройств в корпоративной среде.