Файл: Комплекс программных решений в области информационной безопасности компании Infowatch.pdf

Ввдение

С каждым годом увеличивается количество информации, растет ее спрос, а значит и растет ее ценность, в связи с этим возрастают требования по ее защите. Так же быстрыми темпами совершенствуются компьютерные технологии. В связи с стремительным развитием информационных технологий возникают новые угрозы для информации, следовательно, возрастет необходимость ее своевременной защиты. Для того чтобы защита была полной необходима комплексная проработка.

Утечка любой практически любой информации отражается на имидже компании. Особую роль играет информация ограниченного доступа, компрометация которой может повлечь большие репутационные
и материальные потери. В связи с вышесказанным мероприятия по защите информации пользуются невероятным спросом.

Для обеспечения полноценной защиты конфиденциальной информации необходимо проводить комплексный анализ каналов утечки, каналов и методов несанкционированного воздействия на информацию.

При обеспечении информационной безопасности организации одним из самых важных видов деятельности является выявление инцидентов информационной безопасности. Необходимо понимать то, что невозможно избежать всех инцидентов информационной безопасности, так как всегда могут происходить события, влекущие за собой потенциальную угрозу.

Событие информационной безопасности — идентифицированное появление определенного состояния системы, сервиса или сети, указывающего на возможное нарушение политики ИБ или отказ защитных мер, или возникновение неизвестной ранее ситуации, которая может иметь отношение к безопасности.

Инцидент информационной безопасности — одно или серия нежелательных или неожиданных событий в системе информационной безопасности, которые имеют большой шанс скомпрометировать деловые операции и поставить под угрозу защиту информации.

Существует множество способов борьбы с инцидентами, как на уровне организационных процедур, так и на уровне программных решений. Одним из наиболее эффективных методов является внедрение системы защиты от утечек конфиденциальных данных Data Leak Prevention (DLP) — технологии предотвращения утечек конфиденциальной информации из информационной системы вовне, а также технические устройства (программные или программно-аппаратные) предотвращения утечек.

Анализ передаваемой информации

На текущий момент на рынке представлено довольно много DLP-решений, позволяющих определять и предотвращать утечку конфиденциальной информации по тем или иным каналам.

Однако действительно комплексных решений, покрывающих все существующие каналы, значительно меньше. В этих условиях чрезвычайно важным становится выбор технологии, обеспечивающей защиту от утечек конфиденциальной информации с максимальной эффективностью и минимальным количеством ложных срабатываний.

Первое, чему следует уделить внимание при выборе DLP-решения - это как данное решение осуществляет анализ передаваемой информации и какие технологии используются для определения наличия конфиденциальных данных? Всего существует пять методов анализа:

1. Поиск по словарям (по точному совпадению слов, в некоторых случаях с учетом морфологии)
2. Регулярные выражения. Регулярные выражения - система синтаксического разбора текстовых фрагментов по формализованному шаблону, основанная на системе записи образцов для поиска. Например, номера кредитных карт, телефонов, адреса e-mail, номера паспорта, лицензионные ключи.
3. Сравнение по типам файлов. Политиками безопасности может быть запрещена отправка вовне некоторых типов файлов. При этом если пользователь изменит расширение файла, то система все равно должна "опознать" тип файла и предпринять необходимые действия. В большинстве решений используется технология компании Autonomy.
4. Статистический ("поведенческий") анализ информации по пользователям. Если пользователь имеет доступ к конфиденциальной информации, и в то же время он посещает определенные сайты (web-storage, web-mail, хакерские и т.д.), то он попадает в "группу риска" и к нему возможно применение дополнительных ограничивающих политик безопасности.
5. Технологии цифровых отпечатков. Наиболее перспективные и достаточно сложные технологии, при которых производятся определенные математические преобразования исходного файла. Процесс преобразования строится следующим образом: исходный файл - математическая модель файла - цифровой отпечаток. Такой процесс позволяет существенно сократить объем обрабатываемой информации (объем цифрового отпечатка не более 0,01 от объема файла). Цифровые отпечатки затем размещаются в базе данных (Oracle, MS SQL) и могут быть продублированы в оперативной памяти устройства, осуществляющего анализ информации. Отпечатки затем используются для сравнения и анализа передаваемой информации. При этом отпечатки передаваемого и "модельного" файлов могут совпадать не обязательно на 100%, процент совпадения может задаваться (или программироваться в ПО производителем). Технологии устойчивы к редактированию файлов и применимы для защиты практически любых типов файлов: текстовых, графических, аудио, видео. Количество "ложных срабатываний" не превышает единиц процентов (все другие технологии дают 20-30% ложных срабатываний). Эта технология устойчива к различным текстовым кодировкам и языкам, используемым в тексте.

Также следует обратить внимание на систему отчетности и наборы преднастроенных политик безопасности, представляемых DLP-решением, так как это поможет избежать некоторых проблем и сложностей при внедрении.

Комплекс программных решений InfoWatch

Группа компаний InfoWatch — российский разработчик комплексных решений для обеспечения информационной безопасности организаций. Компания InfoWatch была основана в 2003 году Натальей Касперской и сегодня объединяет бренды InfoWatch, Attack Killer, Cezurity, Kribrum и Taiga.

Продуктовый портфель группы компаний содержит эффективные комплексные решения для защиты предприятий от наиболее актуальных внутренних и внешних угроз. ГК InfoWatch накоплен обширный опыт реализации масштабных проектов в промышленности, ТЭК, ИКТ, финансовом и государственном секторах.

InfoWatch Traffic Monitor – комплексное решение для борьбы с внутренними угрозами и неправомерными действиями сотрудников, которые приводят к утечкам бизнесданных и финансовым потерям.

Это первая в России DLP-система, которая умеет блокировать действия злоумышленников в момент совершения, не прерывая бизнес-процессы компании. При срабатывании политики нарушения Traffic Monitor блокирует передачу данных при обнаружении в них защищаемых данных. Кроме того, для отдельных групп сотрудников решение запрещает операции в бизнес-приложениях.

Основными преимуществами данного программного продукта являются:

1. Высокая скорость анализа данных

Производительность технологии «Детектор выгрузок из баз данных» составляет 54 млн записей в секунду, что позволяет защищать большие объемы клиентских баз данных. Заполненные формы анализируются со скоростью 12,7 млн знаков в секунду (в условиях анализа одновременно 150-ти анкет). Это позволяет защищать большой объем персональных данных, содержащихся в опросниках, анкетах, бланках и т.д.

1. Минимальное количество ложных срабатываний

Комбинированные объекты защиты позволяют совмещать технологии для защиты документов, одновременно соответствующих сразу нескольким условиям. Например, классифицировать отсканированные договора, заверенные печатью. Такой подход позволяет точно детектировать коммерческую тайну в потоке трафика и снижать ложные срабатывания.

1. Мощное решение с поддержкой сложных структур

Эффективно работает в структурах даже с численностью более 300 000 человек. Подходит для крупных организаций с большим объемом анализируемого трафика и территориально распределенной структурой.

1. Точная идентификация нарушителей

Все события хранятся в единой базе, которая может служить юридически значимой базой при расследовании инцидентов. Специальные инструменты проведения расследований – граф связей, карточки сотрудников и досье – позволяют выявлять угрозы на ранней стадии и привлекать нарушителей к ответственности.

1. Веб-интерфейс

Управлять настройками и политиками, строить и просматривать отчеты можно с любой рабочей станции, независимо от используемой операционной системы (Windows, Linux, Apple Mac OS). Ежедневную работу с событиями и расследованиями инцидентов удобно вести в интерактивной консоли InfoWatch Vision.

Функциональные возможности продукта и решаемые задачи

InfoWatch Traffic Monitor обладает комплексом функциональных возможностей и решает следующие задачи:

• Позволяет выявить сговоры, шантаж, мошенничество, воровство и коррупцию, злоумышленников, лиц, занимающихся промышленным шпионажем, а также круг причастных лиц.
• Помогает осуществлять бизнес-разведку с целью контроля деятельности персонала и определения степени его лояльности к компании. Предотвращает утечки конфиденциальной информации (банковская тайна, коммерческая и финансовая информация, персональные данные, секреты производства, исходный код) и защищает организации от неправомерных действий сотрудников (распространение нежелательной информации от лица компании, несанкционированное взаимодействие с прессой, распространение секретных сведений).
• Позволяет сформировать доказательную базу для проведения расследований инцидентов информационной безопасности. Предотвращение утечек и выявление нарушителей осуществляется через мониторинг, перехват и анализ всех информационных потоков организации, с учетом установленных политик информационной безопасности и правил. Продукт производит мониторинг данных, которые передаются через почтовые системы, web, системы обмена сообщениями, распечатываются и копируются на съемные носители.

Перехваченная информация проходит многоуровневый анализ. Вердикт о разрешении или блокировке передачи данных выносится автоматически благодаря технологиям, которые позволяют точно детектировать конфиденциальные данные «на лету», а также автоматически классифицировать информацию.

Лингвистический анализ - определение тематики и содержания текста по терминам (словам и словосочетаниям), найденным в тексте.

Детектор выгрузок из баз данных - поиск цитат из заданной базы данных; выгрузками из БД могут быть списки заработных плат сотрудников, другие личные данные и проч.

Детектор текстовых объектов - поиск текстовых объектов, соответствующих заданным шаблонам.

Детектирование цифровых отпечатков - поиск фрагментов текста, принадлежащих к заранее заданным эталонным документам.

Детектирование заполненных бланков - поиск бланков установленного шаблона. Бланками могут быть различные анкеты, квитанции и проч. Система также детектирует бланки, заполненные от руки.

Детектирование паспортов граждан РФ - поиск изображений паспортов граждан.

Детектирование печатей - поиск изображения печати установленного вида: круглые и треугольные печати, независимо от угла поворота, смещения, масштаба, яркости изображения и наличия на ней шумов (текст, краска, потертости и т. д.).

Детектор графических объектов - технология распознает в изображениях заранее предустановленные графические объекты и осуществляет поиск изображений, соответствующих какой-либо из предустановленных категорий (паспорта, кредитные карты).

OCR (optical character recognition) - мгновенное распознавание текста в изображениях - контроль процессов печати и сканирования документов, перемещения отсканированных копий внутри организации (со сканера на ПК, с ПК на принтер) и за ее пределы (отправка отсканированных копий по электронной почте, через сервисы мгновенных сообщений и пр.).

Сигнатурный анализ файла - категории сигнатур, с помощью которых правила File Monitor могут распространяться на заданные форматы файлов.

Комбинированные объекты защиты - позволяет классифицировать образы документов и сложные типы данных, а также комбинировать различные технологии анализа данных.

Технологии анализа применяются как на уровне сетевого шлюза, так и на конечных устройствах, включая персональные компьютеры, ноутбуки и мобильные устройства. Это помогает мгновенно блокировать несанкционированные действия сотрудников: хищение, разглашение, модификацию конфиденциальной информации. Все перехваченные данные помещаются в централизованный архив системы.