SOT

SOT

SOAR
Security Orchestration, Automation and Response

Автоматизация реагирования на инциденты информационной безопасности при помощи динамических плейбуков с применением СЗИ, выстраиванием цепочки атаки и объектно-ориентированным подходом

NG SOAR
Next Generation SOAR

Автоматизация реагирования на инциденты ИБ со встроенной базовой корреляцией, сбором сырых событий непосредственно с СЗИ, динамическими плейбуками, выстраиванием цепочки атаки и объектно-ориентированным подходом

AM
Asset Management

Описание ИТ-ландшафта, обнаружение новых объектов в сети, категорирование активов, инвентаризации и управления жизненным циклом оборудования и ПО на АРМ и серверах организаций

VM
Vulnerability Management

Выстраивание процесса обнаружения и устранения технических уязвимостей, сбор информации с имеющихся сканеров защищённости, платформ управления обновлениями, экспертных внешних сервисов и других решений

ГосСОПКА
Государственная Система Обнаружения Предупреждения и Ликвидации Последствий Компьютерных Атак

Двустороннее взаимодействие с Национальным координационным центром по компьютерным инцидентам (НКЦКИ), а именно передача информации об инцидентах и получение оперативных уведомлений/бюллетеней от регулятора

FinCERT
Financial Computer Emergency Response Team

Двустороннее взаимодействие с Центральным Банком (ЦБ РФ, ЦБ РБ и др.), а именно передача информации об инцидентах и получение оперативных уведомлений/бюллетеней от регулятора

Напишите нам на sales@securityvision.ru или закажите демонстрацию

GRC

GRC

КИИ
Критическая Информационная Инфраструктура

Аудит и исполнение требований ФЗ-187 «О безопасности критической информационной инфраструктуры Российской Федерации» и других нормативных документов

RM
Risk Management

Формирование реестра рисков, угроз, мер защиты и других параметров контроля, оценка по выбранной методике, формирование перечня дополнительных мер для изменения уровня риска, контроль исполнения, периодическая переоценка

ORM
Operational Risk Management

Учёт и фиксация событий операционных рисков (СОР), мониторинг ключевых индикаторов рисков (КИР) и проведение самооценки /контроля согласно положению №716-П ЦБ РФ

CM
Compliance Management

Аудит соответствия и комплаенса различным методологиям и стандартам

BCP
Business Continuity Plan

Автоматизация процесса обеспечения непрерывности и восстановления деятельности (ОНиВД) после наступления чрезвычайных ситуаций

Напишите нам на sales@securityvision.ru или закажите демонстрацию

Как система защиты данных от утечек понимает, что защищать

Как система защиты данных от утечек понимает, что защищать
29.08.2022

  |  Слушать на Google Podcasts  |   Слушать на Mave  |   Слушать на Яндекс Музыке  |  



Руслан Рахметов, Security Vision


Передача данных важна для стабильной работы компании, поэтому при защите конфиденциальных данных очень важно, чтобы DLP-система вмешивалась только в тот трафик, утечка которого может привести к проблемам. Копирование презентации на flash-накопители, отправка электронного письма подрядчику, совместная работа над документом прямо в облаке – это примеры привычных бизнес-процессов, которые не должны быть нарушены, если они полностью легитимны. Поэтому продолжение нашего знакомства с работой DLP-систем посвящена возможностям анализа трафика: как система защиты от утечки данных определяет необходимость блокировки действий сотрудников.


После того как данные с контролируемых каналов попадают в ядро DLP-системы, они подвергаются процессу анализа и сравнения с теми шаблонами данных, которые ваша компания выбрала защищать. По результату анализа система в нужный момент запускает процессы блокировки, которые могут быть связаны с работой программ, драйверов и действиями пользователей.


1.png


В зависимости от типа данных сами процессы отличаются, поэтому для детального разбора попробуем классифицировать их:

1)  архивы (например, 7z, bzip, tar, rar, zip);
2)  базы данных (ace, mdb, accdb, dmp, mxl, vcs, full и др.);
3)  файлы мультимедиа (mov, flac, wmv, mp3, wav, avi, gif и др.);
4)  документы (ppt, pptx, odp, xls, xlsx, ods, doc, docx, odt, pdf, txt, json, xps, djvu и др.);
5)  исполняемые файлы, библиотеки, конструкторские файлы и другие типы данных.

Обработка сигнатур

Это первый механизм, который анализирует файлы на пример соответствия определённым сигнатурам (форматам). Как таковой анализ содержимого ещё не запускается, но, согласно политикам ИБ, передача данных определённого формата может быть заблокирована и без анализа (например, передача архивов или файлов конструкторской документации).


Это самая первая технология, которая появилась в DLP-решениях, но, несмотря на свой возраст, сигнатурный анализ не устареет никогда, потому что некоторые типы данных просто невозможно проанализировать другими способами.


Обработка архивов

Обычно, DLP-системы анализируют не сами архивы, а данные, которые находятся внутри. Поэтому первый набор технологий посвящён распаковке архивов (и их вложений, если требуется), а анализ их содержимого запускается следующим этапом.


Тем не менее, встречаются архивы защищённые паролем (и тем самым зашифрованные), поэтому запускаются дополнительные процессы: классически, DLP-системы не занимаются перебором паролей, на это требуются дополнительные вычислительные мощности, поэтому для эффективной защиты к процессу подключаются аналитики в ручном режиме или организационные меры (например, для отправки подобного архива за пределы периметра компании формируется письмо с указанием необходимости этой отправки и пароля, чтобы сотрудник ИБ подразделения смог принять взвешенное решение и запретить отправку если необходимо).


Обработка баз данных

Для защиты содержимого БД и таблиц обычно применяют технологию цифровых отпечатков. Для работы этой технологии в ядро DLP загружаются фрагменты БД, которые нужно защищать от утечки, а данные из трафика сравниваются с образцами. В случае полного или частичного совпадения (согласно политикам ИБ) запускаются процессы блокировки трафика.


Обработка видео

Современные DLP-системы пока ещё не умеют анализировать видеофайлы «на лету», однако точечный мониторинг можно осуществить на основе сигнатурного анализа, а для других типов медиафайлов существуют отдельные инструменты (см. ниже).


Обработка аудио

Аудиофайлы могут переводиться в текст при помощи специальных движков голосового анализа (Google speech-to-text, решения ГК ЦРТ и др.), далее производится анализ полученного текста. Немногие DLP-системы могут похвастаться встроенными возможностями для анализа, или интеграциями со сторонними решениями. Поэтому подобные интеграции часто приходится разрабатывать уже на месте, с применением, например, возможностей SOAR - платформ или с привлечением дополнительных разработчиков со стороны вендоров DLP-систем.


Так, например, при использовании IP-телефонии, совместимой с распознаванием голоса, можно передавать текстовые расшифровки звонков на анализ в DLP.


Обработка изображений

Картинки могут быть важны сами по себе или из-за текста, который они содержат. Для анализа картинок современные DLP используют возможности машинного обучения (например, обучение с учителем), в таком случае изначально в ядро анализа загружается набор картинок, передача которых будет мониториться с особой тщательностью. Это могут быть чертежи (черные линии на белом фоне), изображения людей (при помощи поиска лиц на фото), паспорта и кредитные карты (по набору значков банков и других элементов) и т.д.


Дополнительно к анализу картинок подключается технология оптического распознавания текста (ABBYY OCR в продукте Fine Reader, Google Cloud Vision в продукте Tesseract), которая извлекает текст из изображения и передаёт его в модули анализа текста (см. ниже).


Так, например, при использовании корпоративной Google DLP при передаче фотографий кредитных карт через GMail, картинка может распознаваться автоматически, а цифры на ней закрашиваться для всех получателей.


Обработка текста

Многие DLP-решения используют технологию регулярных выражений, которая позволяет описать важные фрагменты текста при помощи формул (например, ^((8|\+7)[\- ]?)?(\(?\d{3}\)?[\- ]?)?[\d\- ]{7,10}$ для поиска в тексте номеров мобильных телефонов). Таким способом можно защищать заранее понятные комбинации в номерах паспортов, кредитных карт, водительских удостоверений, СНИЛС и др. документов.


Более того, с применением различных словарей и машинного обучения для поиска похожих текстов можно детектировать передачу документов, посвящённых определенной тематике (бухгалтерия, коммерция, поиск работы, отраслевые тексты и др.).


2.png


Таким образом, в зависимости от продвинутости DLP-системы и применяемых в ней технологий можно в автоматическом режиме понять содержимое многих файлов, чтобы обеспечить их безопасность. Это может быть полезно не только для защиты от злоумышленников, которые «сливают» базы данных клиентов или коммерческую тайну, но и от случайных событий, ведь, наверное, каждый из вас уже хотя бы раз в жизни отправлял письмо не тому получателю.

Подкасты ИБ DLP СЗИ Управление ИБ Практика ИБ ИБ для начинающих

Рекомендуем

SOC (Security Operation Center): что это такое и зачем используется? Центры мониторинга информационной безопасности
SOC (Security Operation Center): что это такое и зачем используется? Центры мониторинга информационной безопасности
КИИ - что это? Безопасность объектов критической информационной инфраструктуры
КИИ - что это? Безопасность объектов критической информационной инфраструктуры
Кейлоггер для кибербезопасности и оптимизации
Кейлоггер для кибербезопасности и оптимизации
Информационная  безопасность (ИБ) - что это такое. Виды защиты информации.
Информационная безопасность (ИБ) - что это такое. Виды защиты информации.
Что такое IRP, где используется и как внедряется
Что такое IRP, где используется и как внедряется
SIEM системы (Security Information and Event Management) - что это и зачем нужно?
SIEM системы (Security Information and Event Management) - что это и зачем нужно?
Управление рисками информационной безопасности. Часть 1. Основные понятия и методология оценки рисков
Управление рисками информационной безопасности. Часть 1. Основные понятия и методология оценки рисков
Управление рисками информационной безопасности (конспект лекции)
Управление рисками информационной безопасности (конспект лекции)
Федеральный закон № 161-ФЗ «О национальной платежной системе»
Федеральный закон № 161-ФЗ «О национальной платежной системе»
Категорирование объектов критической информационной инфраструктуры в рамках 187-ФЗ. Постановление Правительства РФ № 127
Категорирование объектов критической информационной инфраструктуры в рамках 187-ФЗ. Постановление Правительства РФ № 127
Практика ИБ. Централизованный сбор логов с Windows-устройств
Практика ИБ. Централизованный сбор логов с Windows-устройств
Управление инцидентами ИБ (конспект лекции)
Управление инцидентами ИБ (конспект лекции)

Рекомендуем

SOC (Security Operation Center): что это такое и зачем используется? Центры мониторинга информационной безопасности
SOC (Security Operation Center): что это такое и зачем используется? Центры мониторинга информационной безопасности
КИИ - что это? Безопасность объектов критической информационной инфраструктуры
КИИ - что это? Безопасность объектов критической информационной инфраструктуры
Кейлоггер для кибербезопасности и оптимизации
Кейлоггер для кибербезопасности и оптимизации
Информационная безопасность (ИБ) - что это такое. Виды защиты информации.
Информационная  безопасность (ИБ) - что это такое. Виды защиты информации.
Что такое IRP, где используется и как внедряется
Что такое IRP, где используется и как внедряется
SIEM системы (Security Information and Event Management) - что это и зачем нужно?
SIEM системы (Security Information and Event Management) - что это и зачем нужно?
Управление рисками информационной безопасности. Часть 1. Основные понятия и методология оценки рисков
Управление рисками информационной безопасности. Часть 1. Основные понятия и методология оценки рисков
Управление рисками информационной безопасности (конспект лекции)
Управление рисками информационной безопасности (конспект лекции)
Федеральный закон № 161-ФЗ «О национальной платежной системе»
Федеральный закон № 161-ФЗ «О национальной платежной системе»
Категорирование объектов критической информационной инфраструктуры в рамках 187-ФЗ. Постановление Правительства РФ № 127
Категорирование объектов критической информационной инфраструктуры в рамках 187-ФЗ. Постановление Правительства РФ № 127
Практика ИБ. Централизованный сбор логов с Windows-устройств
Практика ИБ. Централизованный сбор логов с Windows-устройств
Управление инцидентами ИБ (конспект лекции)
Управление инцидентами ИБ (конспект лекции)

Похожие статьи

Darknet — что это, как им пользуются преступники, чего следует остерегаться
Darknet — что это, как им пользуются преступники, чего следует остерегаться
Разработка без кода
Разработка без кода
Польза от Pentest для постинцидента
Польза от Pentest для постинцидента
Логины, пароли и другие способы аутентификации: описание, особенности, угрозы
Логины, пароли и другие способы аутентификации: описание, особенности, угрозы
IDE для разработки средств защиты в формате no-code
IDE для разработки средств защиты в формате no-code
Взломы в информационной безопасности - что это, как они происходят и как от них защититься
Взломы в информационной безопасности - что это, как они происходят и как от них защититься
SSDL: ML для проверки кода и поведения opensource-решений
SSDL: ML для проверки кода и поведения opensource-решений
SSDL: Знай своего opensource-поставщика в лицо и не только
SSDL: Знай своего opensource-поставщика в лицо и не только
Технология SOAR и ее место в SOC
Технология SOAR и ее место в SOC

Похожие статьи

Darknet — что это, как им пользуются преступники, чего следует остерегаться
Darknet — что это, как им пользуются преступники, чего следует остерегаться
Разработка без кода
Разработка без кода
Польза от Pentest для постинцидента
Польза от Pentest для постинцидента
Логины, пароли и другие способы аутентификации: описание, особенности, угрозы
Логины, пароли и другие способы аутентификации: описание, особенности, угрозы
IDE для разработки средств защиты в формате no-code
IDE для разработки средств защиты в формате no-code
Взломы в информационной безопасности - что это, как они происходят и как от них защититься
Взломы в информационной безопасности - что это, как они происходят и как от них защититься
SSDL: ML для проверки кода и поведения opensource-решений
SSDL: ML для проверки кода и поведения opensource-решений
SSDL: Знай своего opensource-поставщика в лицо и не только
SSDL: Знай своего opensource-поставщика в лицо и не только
Технология SOAR и ее место в SOC
Технология SOAR и ее место в SOC