Upload
expolink
View
302
Download
1
Embed Size (px)
Citation preview
Ольга Макарова
Руководитель направления по ИБ,
УрФО
Что объективно могут и не
могут DLP системы
Предметная область.
Первая мысль: система DLP как раз и должна решить все проблемы, о ней много пишут и говорят...
Утечки данных происходят:
Постоянно, в каждой организации
В 90% случаев от обычных пользователей, не
злоумышленников
Как правило, в результате нарушение бизнес-
процессов, а не с целью хищения данных
«Мифы…»
• Должно поддерживать «русскую морфологию»
– … иначе вообще не работает
Типовой состав «политик»...
30% это цифровые отпечатки
30% это шаблоны-классификаторы
15% отпечатки таблиц и СУБД
15% ключевые слова, фразы и «морфология»
10% по описанию файла (размер, тип и т.д.)
Доля ключевых слов в политиках DLP: менее 1/6
(недостатки морфологии компенсируются шаблонами
wildcard: конфиденциал* )
«Мифы…»
• Должно поддерживать «русскую морфологию»
– … иначе вообще не работает
• Не знаем, что конфиденциально, и будем
архивировать все
– … а потом разберемся, настроим и будет счастье
• Это средство против инсайдеров
– ... технологичная «дубинка» СБ
• Это набор «фичей» для мониторинга каналов
– … чем больше Интернет-пейджеров, тем «круче»
• Цель DLP – это аудит всех потоков данных
– … и потому внедрение так сложно
• DLP должно защитить от 100% утечек
– … а иначе какой смысл?
Трюки «вендоров» и интеграторов...
Показать мониторинг/блокировку файла с ПК,
Но не объяснить, каким именно способом
сработала система:
Заготовить банальный RegExp и выдать его
за отпечатки и «морфологию»…
Рассказывать об успешном опыте
использования другими клиентами:
Не показывать в действии…
Предлагаемый подход
Что конкретно защищаем?
От кого защищаем?
Как может произойти утечка?
Что же конкретно защищаем?
Информационны
е потоки
Владелец
Критичность
Места хранения
Формат
Конфиденциальная
информация
От кого защищаемся?
Тип поведения Умысел Корысть Постановка
задачи Действия
Халатный Нет Нет Нет Случайные
Манипулируемый Нет Нет Нет Непреднамеренные
Обиженный Да Нет Сам Сознательные
Нелояльный Да Нет Сам Сознательные
Подрабатывающий Да Да Сам\Извне Сознательные
Внедренный Да Да Извне Сознательные,
спланированные
Как может произойти утечка?
Адресат:
• Случайный получатель
• Конкуренты
• Неопределенное лицо
Модель состояний защищаемых информационных активов
При определении сценариев утечки данных удобно
использовать модель состояний и переходов
Выявление сценариев угроз информационным активам
Начальное состояние
Событие №1
Состояние №1
… Событие
№Х Конечное состояние
Пример табличной модели угроз №
сценария События/Состояния
S1.1
Вынос рабочей станции, ноутбука, носителя
информации за периметр КЗ
Хранение информации на
съемных носителях
S1.2
Хранение и обработка
информации на рабочей станции
S1.2.1.1
Копирование информации на рабочую станцию
Хранение информации на съемных носителях
S1.2.1.2 Хранение информации в
хранилище резервных копий
S1.2.1.3 Хранение информации на
файловом сервере
S1.2.2.1 Подготовка отчета с
использованием штатного функционала
Хранение и обработка информации в БД
приложения
S1.2.3.1 Выгрузка информации в файл через выполнение
SQL-запроса
Хранение и обработка информации в БД
приложения
Но и это еще не всё.
Процесс идентификации инцидента и определения его категории
Порядок действий после идентификации инцидента
Перечень контактов ответственных лиц, задействованных при расследовании инцидента
Процедура оценки действий в ходе работе с инцидентом
У системы DLP должна быть и процедурная
поддержка функционирования:
Направления развития DLP-систем
Контроль различных мобильных платформ (планшеты, коммуникаторы)
Контроль данных, размещенных в «облаке»
Интеграция со средствами защиты разных производителей
Контроль доступа к файлам произвольно выбранных приложений
Совершенствование контроля систем обмена сообщениями и голосовой связи (например, Skype)
Если DLP-системы оказывается недостаточно?
Контроль действий привилегированных
пользователей
Аудит и контроль доступа к файловой системе
Аудит и контроль доступа в СУБД