SOT

SOT

SOAR
Security Orchestration, Automation and Response

Автоматизация реагирования на инциденты информационной безопасности при помощи динамических плейбуков с применением СЗИ, выстраиванием цепочки атаки и объектно-ориентированным подходом

NG SOAR
Next Generation SOAR

Автоматизация реагирования на инциденты ИБ со встроенной базовой корреляцией, сбором сырых событий непосредственно с СЗИ, динамическими плейбуками, выстраиванием цепочки атаки и объектно-ориентированным подходом

AM
Asset Management

Описание ИТ-ландшафта, обнаружение новых объектов в сети, категорирование активов, инвентаризации и управления жизненным циклом оборудования и ПО на АРМ и серверах организаций

VM
Vulnerability Management

Выстраивание процесса обнаружения и устранения технических уязвимостей, сбор информации с имеющихся сканеров защищённости, платформ управления обновлениями, экспертных внешних сервисов и других решений

ГосСОПКА
Государственная Система Обнаружения Предупреждения и Ликвидации Последствий Компьютерных Атак

Двустороннее взаимодействие с Национальным координационным центром по компьютерным инцидентам (НКЦКИ), а именно передача информации об инцидентах и получение оперативных уведомлений/бюллетеней от регулятора

FinCERT
Financial Computer Emergency Response Team

Двустороннее взаимодействие с Центральным Банком (ЦБ РФ, ЦБ РБ и др.), а именно передача информации об инцидентах и получение оперативных уведомлений/бюллетеней от регулятора

Напишите нам на sales@securityvision.ru или закажите демонстрацию

GRC

GRC

КИИ
Критическая Информационная Инфраструктура

Аудит и исполнение требований ФЗ-187 «О безопасности критической информационной инфраструктуры Российской Федерации» и других нормативных документов

RM
Risk Management

Формирование реестра рисков, угроз, мер защиты и других параметров контроля, оценка по выбранной методике, формирование перечня дополнительных мер для изменения уровня риска, контроль исполнения, периодическая переоценка

ORM
Operational Risk Management

Учёт и фиксация событий операционных рисков (СОР), мониторинг ключевых индикаторов рисков (КИР) и проведение самооценки /контроля согласно положению №716-П ЦБ РФ

CM
Compliance Management

Аудит соответствия и комплаенса различным методологиям и стандартам

BCP
Business Continuity Plan

Автоматизация процесса обеспечения непрерывности и восстановления деятельности (ОНиВД) после наступления чрезвычайных ситуаций

Напишите нам на sales@securityvision.ru или закажите демонстрацию

Как организована техническая сторона защиты данных от утечек

Как организована техническая сторона защиты данных от утечек
22.08.2022

  |  Слушать на Google Podcasts  |   Слушать на Mave  |   Слушать на Яндекс Музыке  |  


Руслан Рахметов, Security Vision


Публикация персональных данных в сети или передача конкурентам конфиденциальной информации – это результат случайных ошибок или злого умысла. Вне зависимости от причин подобных утечек последствия подвергают опасности людей и компании, которым впоследствии перестают доверять. Поэтому защита данных от утечек – задача, которая будет актуальной, пока существуют люди и компании. Решается она различными организационными мерами и применением специальных технических средств.


Организационные методы основаны на рекомендациях и требованиях соответствующих законов. Так, например, персональные данные защищаются согласно требованиям 152-ФЗ (на территории Российской Федерации) и GDPR (если речь идёт о данных субъектов, которые находятся на территории стран Евросоюза, даже если эти данные обрабатываются в других государствах), а другие типы конфиденциальных данных определяются внутренними нормативными актами и установлением режима конфиденциальности (ноу-хау, коммерческая тайна), который работает по аналогии с патентным и авторским правами.


Технические средства тоже бывают разные: одни из них обеспечивают мониторинг трафика (CMS – Content Monitoring System), другие – проведение расследований по уже произошедшим утечкам (ILD – Information Leakage Detection) и последние, но не последние по важности, предназначены для защиты траффика «на лету» (DLP).


В этой статье пойдёт речь о том, как организованы DLP-системы, какие задачи они выполняют и том, какие каналы передачи данных можно защитить с их помощью.


DLP – это общее название для различного программного обеспечения, которое обеспечивает мониторинг и защиту. Сам термин расшифровывается как «предотвращение утечек данных» (Data Leakage Prevention) или «защита от потери данных» (Data Loss Protection).


Если вмешиваться в передачу данных не входит в ваши планы, то DLP-система устанавливается параллельно исходящему трафику и работает в режиме «зеркалирования». А если вы решаете задачу защиты данных на лету, нужно обеспечить подачу трафика через DLP-систему, таким образом DLP будет работать в режимах «карантин» и/или «вразрыв».


WhatsApp Image 2022-08-22 at 12.48.49.jpeg


В зависимости от того, как происходила эволюция DLP-системы определённого вендора, можно заметить особое внимание к конкретным каналам. Так, например, InfoWatch Traffic Monitor эволюционировал из средства контроля сетевых узлов, защита данных на агенте появилась уже в процессе обновления; SearchInform КИБ в своих первых версиях контролировал трафик именно на уровне хоста; Google DLP обеспечивает защиту данных только внутри своих веб-сервисов в рамках специальной корпоративной подписки.


Современная DLP-система чаще всего является клиент-серверным приложением:

· Часть ПО работает централизованно (СЕРВЕР), что позволяет контролировать сетевой и почтовый трафик через соответствующие шлюзы (прокси- и почтовые сервера).

· Вторая часть устанавливается на хосты пользователей (АГЕНТ), чтобы обеспечить контроль подключения физических устройств, буфера обмена, текста, вводимого с клавиатуры, запуск приложений и другие каналы, которые можно контролировать только на этом уровне.



Именно такой «средний по больнице» образ системы защиты от утечек данных изображён на рисунке ниже.

2 сервер.jpg


Благодаря подобной архитектуре можно контролировать разные пути передачи данных, от удалённого подключения через VPN и терминальные сессии, до организации DMZ и копирования данных через устройства, подключённые физически. Мы проанализировали решения различных вендоров и составили общий список каналов передачи данных, которые им удаётся эффективно защищать.


Данные при передаче (Data in motion):

·  Сетевой траффик HTTP, FTP, SMB;
·  Почтовый трафик POP3, IMAP4, SMTP;
·  Печать документов через локальные или сетевые принтеры;
·  Передача на внешние устройства USB, MTP и другие.


Данные в покое (Data at rest):

·  Документы и файлы на рабочих станциях;
·  Данные на серверах и в БД.

Данные во время использования (Data in use):

· Запуск приложений;
· Передача данных через приложения;
· Ввод текста с клавиатуры и вставка из буфера обмена.




3.jpg



Чаще всего DLP работает на защиту определенной зоны, например периметра вашей компании, но благодаря интеграциям защиту можно вывести на новый уровень – за пределы периметра. Текущий обзор мы завершим способами выхода за пределы возможностей DLP «из коробки».


1) Можно анализировать открытые публикации в социальных сетях («Крибрум», https://www.kribrum.ru/technology/) на предмет наличия в них конфиденциальных данных, которые не должны быть опубликованы;

2) Можно организовать анализ печатаемых на твёрдые носители документы без установки DLP-агента на рабочую станцию – централизованно с сервера управления печатью (Konica Minolta Business Solitons Russia, https://www.infowatch.ru/company/presscenter/news/17119);

3) Можно также интегрировать MDM-решения, чтобы обеспечить контроль корпоративных данных на личных мобильных устройствах (технология BYOD, https://habr.com/ru/post/281463/);

4) Даже при использовании облачных сервисов (например, Яндекс 360 или Office 365) данные внутри них можно анализировать в on-premise DLP при помощи интеграций или нативно (Google, https://cloud.google.com/dlp).


Технически, почти любой канал передачи данных можно направить на анализ в DLP, для этого используются:

·  встроенные возможности систем (из списка выше);
·  средства разработки коннекторов SDK API;
·  low-code инструменты для интеграции.


Существующие DLP-системы могут организовать мониторинг и блокировку передачи данных за пределы организации, для этого ПО устанавливается на сетевые узлы и рабочие станции сотрудников. А возможности «из коробки» расширяются за счёт интеграций и могут быть выведены за пределы привычного защищаемого периметра.

Подкасты ИБ DLP СЗИ Оргмеры ИБ Практика ИБ

Рекомендуем

SOC (Security Operation Center): что это такое и зачем используется? Центры мониторинга информационной безопасности
SOC (Security Operation Center): что это такое и зачем используется? Центры мониторинга информационной безопасности
КИИ - что это? Безопасность объектов критической информационной инфраструктуры
КИИ - что это? Безопасность объектов критической информационной инфраструктуры
Кейлоггер для кибербезопасности и оптимизации
Кейлоггер для кибербезопасности и оптимизации
Информационная  безопасность (ИБ) - что это такое. Виды защиты информации.
Информационная безопасность (ИБ) - что это такое. Виды защиты информации.
Что такое IRP, где используется и как внедряется
Что такое IRP, где используется и как внедряется
SIEM системы (Security Information and Event Management) - что это и зачем нужно?
SIEM системы (Security Information and Event Management) - что это и зачем нужно?
Управление рисками информационной безопасности. Часть 1. Основные понятия и методология оценки рисков
Управление рисками информационной безопасности. Часть 1. Основные понятия и методология оценки рисков
Управление рисками информационной безопасности (конспект лекции)
Управление рисками информационной безопасности (конспект лекции)
Федеральный закон № 161-ФЗ «О национальной платежной системе»
Федеральный закон № 161-ФЗ «О национальной платежной системе»
Категорирование объектов критической информационной инфраструктуры в рамках 187-ФЗ. Постановление Правительства РФ № 127
Категорирование объектов критической информационной инфраструктуры в рамках 187-ФЗ. Постановление Правительства РФ № 127
Практика ИБ. Централизованный сбор логов с Windows-устройств
Практика ИБ. Централизованный сбор логов с Windows-устройств
Обеспечение безопасности значимых объектов критической информационной инфраструктуры в рамках 187-ФЗ. Приказы ФСТЭК России №235 и 239
Обеспечение безопасности значимых объектов критической информационной инфраструктуры в рамках 187-ФЗ. Приказы ФСТЭК России №235 и 239

Рекомендуем

SOC (Security Operation Center): что это такое и зачем используется? Центры мониторинга информационной безопасности
SOC (Security Operation Center): что это такое и зачем используется? Центры мониторинга информационной безопасности
КИИ - что это? Безопасность объектов критической информационной инфраструктуры
КИИ - что это? Безопасность объектов критической информационной инфраструктуры
Кейлоггер для кибербезопасности и оптимизации
Кейлоггер для кибербезопасности и оптимизации
Информационная безопасность (ИБ) - что это такое. Виды защиты информации.
Информационная  безопасность (ИБ) - что это такое. Виды защиты информации.
Что такое IRP, где используется и как внедряется
Что такое IRP, где используется и как внедряется
SIEM системы (Security Information and Event Management) - что это и зачем нужно?
SIEM системы (Security Information and Event Management) - что это и зачем нужно?
Управление рисками информационной безопасности. Часть 1. Основные понятия и методология оценки рисков
Управление рисками информационной безопасности. Часть 1. Основные понятия и методология оценки рисков
Управление рисками информационной безопасности (конспект лекции)
Управление рисками информационной безопасности (конспект лекции)
Федеральный закон № 161-ФЗ «О национальной платежной системе»
Федеральный закон № 161-ФЗ «О национальной платежной системе»
Категорирование объектов критической информационной инфраструктуры в рамках 187-ФЗ. Постановление Правительства РФ № 127
Категорирование объектов критической информационной инфраструктуры в рамках 187-ФЗ. Постановление Правительства РФ № 127
Практика ИБ. Централизованный сбор логов с Windows-устройств
Практика ИБ. Централизованный сбор логов с Windows-устройств
Обеспечение безопасности значимых объектов критической информационной инфраструктуры в рамках 187-ФЗ. Приказы ФСТЭК России №235 и 239
Обеспечение безопасности значимых объектов критической информационной инфраструктуры в рамках 187-ФЗ. Приказы ФСТЭК России №235 и 239

Похожие статьи

Технология SOAR и ее место в SOC
Технология SOAR и ее место в SOC
Живее всех живых: непрерывность бизнеса
Живее всех живых: непрерывность бизнеса
Что такое системы анализа трафика (Network Traffic Analysis, NTA), их отличие от NDR и IDS
Что такое системы анализа трафика (Network Traffic Analysis, NTA), их отличие от NDR и IDS
Анатомия визуализации. Часть первая: от задачи к исполнению
Анатомия визуализации. Часть первая: от задачи к исполнению
Что такое аутентификация Kerberos (Керберос), что такое NTLM и как они работают
Что такое аутентификация Kerberos (Керберос), что такое NTLM и как они работают
Open software supply chain attack reference (OSC&R)
Open software supply chain attack reference (OSC&R)
Применение утилиты Sysmon для повышения уровня кибербезопасности
Применение утилиты Sysmon для повышения уровня кибербезопасности
Фантастический TI и где он обитает
Фантастический TI и где он обитает
Что такое шлюзы безопасности и какие функции они выполняют
Что такое шлюзы безопасности и какие функции они выполняют

Похожие статьи

Технология SOAR и ее место в SOC
Технология SOAR и ее место в SOC
Живее всех живых: непрерывность бизнеса
Живее всех живых: непрерывность бизнеса
Что такое системы анализа трафика (Network Traffic Analysis, NTA), их отличие от NDR и IDS
Что такое системы анализа трафика (Network Traffic Analysis, NTA), их отличие от NDR и IDS
Анатомия визуализации. Часть первая: от задачи к исполнению
Анатомия визуализации. Часть первая: от задачи к исполнению
Что такое аутентификация Kerberos (Керберос), что такое NTLM и как они работают
Что такое аутентификация Kerberos (Керберос), что такое NTLM и как они работают
Open software supply chain attack reference (OSC&R)
Open software supply chain attack reference (OSC&R)
Применение утилиты Sysmon для повышения уровня кибербезопасности
Применение утилиты Sysmon для повышения уровня кибербезопасности
Фантастический TI и где он обитает
Фантастический TI и где он обитает
Что такое шлюзы безопасности и какие функции они выполняют
Что такое шлюзы безопасности и какие функции они выполняют