ВУЗ: Не указан
Категория: Не указан
Дисциплина: Не указана
Добавлен: 04.02.2024
Просмотров: 29
Скачиваний: 1
ВНИМАНИЕ! Если данный файл нарушает Ваши авторские права, то обязательно сообщите нам.
DLP. Сбербанк
Что такое DLP система?
DLP-система (от англ. Data Leak Prevention) — это специализированное ПО, которое защищает организацию от утечек данных. Данная технология – это не только возможность блокировать передачу конфиденциальной информации по различным каналам, но и инструмент для наблюдения за ежедневной работой сотрудников, который позволяет найти слабые места в безопасности до наступления инцидента.
Зачем нужна DLP и как она работает?
Часто в компаниях больше внимание уделяют внешним угрозам: спаму и фишинг-атакам типа «отказ в обслуживании», вирусам (троянскому ПО, червям), подмене главных страниц интернет-ресурсов, шпионскому и рекламному программному обеспечению, социальному инжинирингу. Но на самом деле внутренние угрозы способны причинить компании куда более серьезный ущерб, чем злоумышленники за ее пределами.
В принципе любой работник компании может являться потенциальным инсайдером и поставить информационную безопасность под угрозу. От злого умысла или банальной оплошности не застрахован никто: от низшего звена и до топ-менеджмента.
Принцип работы DLP-системы прост и заключается в анализе всей информации: исходящей, входящей и циркулирующей внутри компании. Система при помощи алгоритмов анализирует, что это за информация и в случае, если она критичная и отправляется туда куда ей не положено — блокирует передачу и/или уведомляет об этом ответственного сотрудника.
Основа DLP — набор правил. Они могут быть любой сложности и касаться разных аспектов работы. Если кто-то их нарушает, то ответственные лица получают уведомление.
Так, например, в компании Х выявили сотрудника, который занимался майнингом криптовалют. Это было обнаружено при использовании модуля активности пользователей – отчёт показал, что рабочая станция не отключалась на ночь. После просмотра запущенных процессов выяснилось, что сотрудник перед уходом запускал процесс майнинга.
Что такое dlp-система?
Система отслеживает не только время работы и активные программы на компьютере
, но и любую другую работу с информацией, — ввод данных с клавиатуры, переписку и передачу файлов по почте, в соцсетях и мессенджерах, отправляемые на печать документы, время простоя, SIP-телефонию, активность на сайтах и многое другое.
Способы перехвата данных
Для того, чтобы анализировать данные — DLP-система сперва должна их получить.
Есть два основных способа перехвата — серверный и агентский. В первом случае система контролирует сетевой траффик на сервере, через который компьютеры «общаются» с внешним миром. Во втором случае специальные небольшие программы — агенты — устанавливаются на все компьютеры организации и передают с каждой машины данные для анализа.
Агентский перехват является более распространённым, ведь с его помощью можно получить гораздо больше данных из различных каналов коммуникации, а значит и надежнее предотвратить возможные утечки
DLP в Сбербанке
В Сбербанк в 2022 внедрена DLP-система Solar Dozor.
Solar Dozor
Solar Dozor — система для предотвращения утечек конфиденциальной информации (Data Leak Prevention, DLP). Ее возможности обеспечивают контроль коммуникаций сотрудников, блокировку или изменение нежелательных сообщений, выявление и мониторинг групп риска, а также ретроспективный анализ архива коммуникаций для проведения расследований. Кроме этого, Solar Dozor может анализировать поведение пользователей (User Behavior Analytics), что позволяет выявлять аномалии поведения, круг общения и приватные контакты сотрудников, а также профилировать их на основе 19 устойчивых паттернов поведения.
В Solar Dozor реализована современная концепция обеспечения внутренней безопасности организации — People-Centric Security. В ее основе — концентрация внимания службы безопасности не на движении информации, а на сотрудниках, их связях и поведении. Такой подход значительно снижает количество ложных срабатываний и отвлекающих уведомлений. В результате офицеры безопасности могут сосредоточиться на расследовании и профилактике критических инцидентов.
Если организация состоит из нескольких дочерних зависимых обществ или территориально-распределенных филиалов, инсталляции Solar Dozor могут работать как единое целое (функции модуля MultiDozor). Это дает возможность:
-
в режиме реального времени получать и обрабатывать данные по всей компании или отдельным подразделениям; -
контролировать деятельность всех пользователей DLP-системы; -
выполнять централизованный мониторинг групп особого контроля; -
проводить сквозные расследования в масштабе компании; -
централизованно управлять системой и распространять политику безопасности в филиалы.
Можно подробнее??
Как и любая информационная система, Dozor старается балансировать между мощью и простотой. Да так, чтобы обе составляющих выкрутить на максимум. Вот только возможно ли это?
Стол руководителя
Встречает нас простота – дашборд. Всё красиво, наглядно, в картинках. Дашборд руководителя – вообще сказка – тренды по нарушениям, ТОП нарушителей, оценка нагрузки на команду. Но что за этим стоит, откуда весь этот контент?
КАРТИНКИ ТУТ -> https://habr.com/ru/company/softline/blog/431548/
В основе всего лежит принцип оперирования информационными объектами. И вот он, момент, где функционал вытесняет наглядность. Может потребоваваться куча времени, слайдов и фломастеров, чтобы понять, что же здесь творится. Если коротко и упрощая, система при помощи политики, состоящей из правил, оперирующих информационными объектами, заданными критериями с возможностью использования шаблонов, создаёт из сообщений события, имеющие возможность стать инцидентами.
События в системе
Самое главное, что из потока информации система создаёт «события» – уведомления о том, что вероятно что-то не в порядке. А дальше снова красота. У события есть красивая карточка, где кратко описано, кто, что и каким способом натворил. Для простоты карточки ранжируются по критичности и типу действий (снова магия). Остаётся внимательно на неё посмотреть и проверить, правильно ли заклинание сработало.
КАРТИНКА
В один клик отдаём неправильное нашему чародею на «допил», а правильное фиксируем как инцидент. Зафиксировали? Кричим в соседний кабинет: «Коллеги, примите в работу!». А нет, система просит назначить ответственного. Назначаем – самый ответственный получает уведомление. В итоге у каждого события есть статус, а у каждого инцидента – ответственный. Ничего не потеряли. Статусы система учла и считает те самые тренды. Красота.
На что ещё способна эта магия? Прерывать процесс передачи данных, если они классифицированы как информационный объект. Выдавать предупреждения о потенциальном нарушении (по тому же принципу). Приостанавливать почту в карантин (и сразу же уведомлять об этом на дашборде). Модифицировать письма, убирая критичные объекты. Распределять нарушителей в группы особого контроля.
Умный поиск
С основной рутиной разобрались. Дальше – заглянуть в прошлое – поиск. И снова нас встречает красота – простой поиск. Привычными движениями «гуглим» информацию в строке поиска. Не хватает? Переходим в режим расширенного поиска. И снова наглядность нас покидает. Множество доступных для поиска атрибутов – хорошо, но попробуйте сходу отличить «отправитель» от «персона» или «источник» или даже «персона-источник». Так ещё логические операции выполняются в не самом очевидном порядке. Сложно. А вот умный поиск хорош – позволяет найти похожие файлы среди всех коммуникаций – всего пара кнопок, а какой простор для творчества.
Досье. Снова красота. Вся информация по персоне так ещё и вся статистика по нарушениям (снова магия информационных объектов). Граф связей в комплекте, правда, ни красотой, ни мощью не отличается.
Отчеты. Выбор, конечно, не богат. Но вот «Тепловая карта коммуникаций» – очень полезная штука. Мало кто сходу сможет сказать, в каких подразделениях какая информация обрабатывается. А зачастую сложно даже определить, где какими каналами коммуникаций пользуются. Вот здесь и поможет тепловая карта. Вся активность выбранной группы сотрудников будет распределена по категориям, а дальше делаем выводы: какие действия норма, а какие – аномалия.
Тепловая карта. Полезно на старте настройки, пригодится и в дальнейшей работе. Остальные отчеты скорее для возможности передать коллегам/руководству всё то, что мы сами видим в различных разделах системы.
Цитатки великих
Внедрение Solar Dozor, кстати, произошло в достаточно сжатые сроки — за полгода. Директор Департамента кибербезопасности Сбербанка Сергей Лебедь комментирует:
«Влияние DLP-системы удалось распространить на весь банк — от Калининграда до Камчатки. В результате мы смогли обеспечить тотальный контроль передаваемой информации. В нашей стране нет аналогичных внедрений подобных решений, работающих в инфраструктурах такого масштаба — с петабайтами данных и терабайтами оперативной памяти».