SOT

SOT

SOAR
Security Orchestration, Automation and Response

Автоматизация реагирования на инциденты информационной безопасности при помощи динамических плейбуков с применением СЗИ, выстраиванием цепочки атаки и объектно-ориентированным подходом

NG SOAR
Next Generation SOAR

Автоматизация реагирования на инциденты ИБ со встроенной базовой корреляцией, сбором сырых событий непосредственно с СЗИ, динамическими плейбуками, выстраиванием цепочки атаки и объектно-ориентированным подходом

AM
Asset Management

Описание ИТ-ландшафта, обнаружение новых объектов в сети, категорирование активов, инвентаризации и управления жизненным циклом оборудования и ПО на АРМ и серверах организаций

VM
Vulnerability Management

Выстраивание процесса обнаружения и устранения технических уязвимостей, сбор информации с имеющихся сканеров защищённости, платформ управления обновлениями, экспертных внешних сервисов и других решений

ГосСОПКА
Государственная Система Обнаружения Предупреждения и Ликвидации Последствий Компьютерных Атак

Двустороннее взаимодействие с Национальным координационным центром по компьютерным инцидентам (НКЦКИ), а именно передача информации об инцидентах и получение оперативных уведомлений/бюллетеней от регулятора

FinCERT
Financial Computer Emergency Response Team

Двустороннее взаимодействие с Центральным Банком (ЦБ РФ, ЦБ РБ и др.), а именно передача информации об инцидентах и получение оперативных уведомлений/бюллетеней от регулятора

Напишите нам на sales@securityvision.ru или закажите демонстрацию

GRC

GRC

КИИ
Критическая Информационная Инфраструктура

Аудит и исполнение требований ФЗ-187 «О безопасности критической информационной инфраструктуры Российской Федерации» и других нормативных документов

RM
Risk Management

Формирование реестра рисков, угроз, мер защиты и других параметров контроля, оценка по выбранной методике, формирование перечня дополнительных мер для изменения уровня риска, контроль исполнения, периодическая переоценка

ORM
Operational Risk Management

Учёт и фиксация событий операционных рисков (СОР), мониторинг ключевых индикаторов рисков (КИР) и проведение самооценки /контроля согласно положению №716-П ЦБ РФ

CM
Compliance Management

Аудит соответствия и комплаенса различным методологиям и стандартам

BCP
Business Continuity Plan

Автоматизация процесса обеспечения непрерывности и восстановления деятельности (ОНиВД) после наступления чрезвычайных ситуаций

Напишите нам на sales@securityvision.ru или закажите демонстрацию

Каналы утечки информации. Часть 1

Каналы утечки информации. Часть 1
11.03.2024

  |  Слушать на Google Podcasts  |   Слушать на Mave  |   Слушать на Яндекс Музыке  |  



Руслан Рахметов, Security Vision

 

Мы наблюдаем разные типы информации вокруг нас: часть её носит информативный и образовательный характер (статьи на Википедии, видеокурсы для обучения новой профессии), другая часть – развлекательный (просмотр кино и сериалов онлайн, музыкальные сервисы), третья часть – бытовой (покупка продуктов в онлайн-магазине, инструкции к лекарствам). Примеров можно привести ещё очень много, но в общем случае нас окружает очень много данных, о нежелательной утечке которых пойдёт речь в этой статье.

 

Полезные данные в сети не просто где-то лежат, но постоянно изменяются и двигаются. Иногда перемещение данных необходимо для их функционирования: резервное копирование, скачивание музыки для прослушивания в поездке без выхода в интернет, отправка сканов документов на корпоративную почту банка для оформления ипотеки и т.д. Но иногда перемещение (или кража, как частный случай такого перемещения) – нежелательно и может быть наказуемо.

 

Часть полезной информации, которую нужно беречь – ваши персональные данные (ПД, или ПДн), которые все сервисы, описанные выше, используют, чтобы лучше вас понимать, запомнить и вовремя предложить свои услуги. Под персональными данными понимают сведения, позволяющие описать и определить их владельца (субъект, согласно 152-ФЗ). Это, например, имя и фамилия, номер телефона, адрес места проживания, возраст, история болезней, номер банковской карты и т.д. Такие данные не всегда критичны по отдельности, но в комбинации их утечка точно может нанести много вреда.

 

Помимо ПДн, существуют и другие разновидности конфиденциальной информации, которую разрешено перемещать только внутри компании (или её отдела), или вообще запрещено передавать любыми способами, кроме нескольких, контролируемых средствами защиты информации. Мы будем приводить примеры различных каналов утечки данных (способов, форматов перемещения) и рассказывать про меры защиты, которые можно использовать в каждом случае.

 

У разных каналов утечки информации может быть несколько форм, поэтому мы будем приводить примеры как случайных потерь, так и умышленных краж данных. В текущей статье мы рассмотрим различные каналы в двух категориях: использование физических носителей и сетей.

1.1 Утечка с физическими носителями

Давайте представим ситуацию, когда сотрудник забыл вынести документы с чувствительной информацией из переговорной комнаты или просто оставил их в открытом доступе на своём рабочем столе. Если мимо будет проходить злоумышленник, он сможет получить доступ, запомнить или просто выкрасть документы. Помимо случайного доступа, бумажные данные необходимо правильно утилизировать.

 

Для защиты от таких случаев или хотя бы для поиска злоумышленников можно организовать видеонаблюдение и внедрение правила «чистого стола». Также поможет применение шредеров и другие способы уничтожения данных.

 

Флешку с важными данными можно забыть в типографии, выронить на улице или оставить в кафе, а злоумышленник может использовать периферийное устройство для заражения компьютера и кражи данных при помощи вируса.

 

Для защиты внедряют: политики (правила) использования внешних устройств, например, запрет всех флешек (кроме тех, что находятся в «белом списке»), контроль использования USB-устройств, применение системы предотвращения утечек данных, информирование сотрудников о рисках.

 

Помимо мобильных накопителей, данные могут содержаться и внутри более крупных устройств. Например, если при утилизации списанного с баланса ПК из него не извлечь жёсткий диск, а при выбрасывании старого принтера оставить в нем внутренний накопитель с копиями данных, отправленных на печать, – можно также потерять конфиденциальные данные.

 

Для защиты в таких случаях помогут организационные меры: безопасная утилизация устройств, удаление данных перед продажей или утилизацией. Данные на жёстких дисках можно также удалять безопасно с перезатиранием. При этом можно обеспечить мониторинг состава железа с применением средств AM и/или EM.

 

Мобильные устройства (смартфоны, планшеты и ноутбуки) также могут стать причиной утечки данных. Так, например, потеря смартфона с контактами клиентов и партнёров и другими сведениями или использование незащищённых мессенджеров для отправки конфиденциальных данных – частые нарушения, от которых трудно защититься.

 

Тем не менее, для защиты можно либо запретить применять мобильные устройства на работе, либо ввести политику разграничения личных и рабочих данных через контейнеры или специальные пространства от создателей устройств.

1.2 Утечка через сеть

Злоумышленник может получить доступ снаружи к корпоративной сети через недостаточно защищённые сетевые порты или внедрённые в периметр вредоносы, а случайная утечка может произойти, например, при использовании такого компьютера. Для защиты внедряют брандмауэры, антивирусы, VPN или другие способы построения безопасной сети.

 

Существует также вариант утечки, когда данные фактически становятся недоступными для штатной работы. Так, например, в случае DDoS-атаки злоумышленник может добиться временной недоступности серверов (вызвать сбои в работе государственных систем, интернет-магазинов или других сервисов, доступность которых очень важна). Возможные ошибки в нормальном функционировании можно использовать и для кражи. В таких случаях применяют защиты от DDoS-атак и резервирование каналов связи.

 

Другая разновидность утечки по сети – это отправка конфиденциальной информации по электронной почте. Такая утечка может быть случайной (например, сотрудник сделал ошибку в адресе получателя) или умышленной, когда злоумышленники используют методы социальной инженерии и фишинговые письма, призывающие предоставить личные данные.

 

Для защиты в первом случае применяют системы предупреждения о конфиденциальных данных, специальные метки на данные и DLP-системы, а в случае фишинговой атаки – обучение сотрудников о техниках социальной инженерии, применение политики проверки подлинности и системы защиты почты.

 

Необходимость совместной работы с файлами создала потребность в применении облачных технологий хранения, которые также могут стать крупным каналом утечки. Например, при случайной выдаче доступа или компрометации учётной записи – любой в сети может получить нужные сведения.

 

Для защиты данных в облаке следует применять шифрование (самый простой способ – архивирование с паролями, но бывают и другие способы) и установить политику сильных паролей для учётных записей.

 

Отдельного внимания заслуживают утечки информации через социальные сети. В последние годы было немало случаев, когда фотографии с конференции или просто в окружении рабочего стола, будучи опубликованными в сети, содержали в себе либо документы, не предназначенные для общественности, либо стикеры с паролями, которые злоумышленник может использовать для доступа к данным.

 

Для защиты от таких утечек можно применять политики запрета мобильных устройств (см. раздел с физическими носителями выше), ограничение сетевого доступа к профилям в социальных сетях и обучение сотрудников основам безопасности в сети.

 

Многообразие каналов утечек конфиденциальных данных не ограничивается перечисленными примерами. В общем случае можно применять различные СЗИ (см. обзор тут , тут и тут) с применением средств оркестрации и управления инцидентами, а также вводить различные политики защиты на организационном уровне.

СЗИ ИБ для начинающих Оргмеры ИБ Подкасты ИБ

Рекомендуем

Принципы информационной безопасности
Принципы информационной безопасности
Обзор публикации NIST SP 800-61 "Computer Security Incident Handling Guide". Часть 2
Обзор публикации NIST SP 800-61 "Computer Security Incident Handling Guide". Часть 2
Ситуационная осведомленность в кибербезопасности
Ситуационная осведомленность в кибербезопасности
Нормативные документы по ИБ. Часть 14. Обзор российского законодательства в области ИБ финансовых организаций - продолжение
Нормативные документы по ИБ. Часть 14. Обзор российского законодательства в области ИБ финансовых организаций - продолжение
Тренды информационной безопасности. Часть 3
Тренды информационной безопасности. Часть 3
Защита веб-приложений: анти-DDoS
Защита веб-приложений: анти-DDoS
Защита веб-приложений: WAF
Защита веб-приложений: WAF
Новые подходы и новые возможности по мониторингу сетевой инфраструктуры
Новые подходы и новые возможности по мониторингу сетевой инфраструктуры
Геймификация SOC
Геймификация SOC
Нормативные документы по ИБ. Часть 5. Обзор российского и международного законодательства в области защиты персональных данных
Нормативные документы по ИБ. Часть 5. Обзор российского и международного законодательства в области защиты персональных данных
Основы риск- и бизнес-ориентированной информационной безопасности. Часть 4. Основные понятия и парадигма - продолжение
Основы риск- и бизнес-ориентированной информационной безопасности. Часть 4. Основные понятия и парадигма - продолжение
Измерение эффективности процессов кибербезопасности. Метрики ИБ. Часть 2
Измерение эффективности процессов кибербезопасности. Метрики ИБ. Часть 2

Рекомендуем

Принципы информационной безопасности
Принципы информационной безопасности
Обзор публикации NIST SP 800-61 "Computer Security Incident Handling Guide". Часть 2
Обзор публикации NIST SP 800-61 "Computer Security Incident Handling Guide". Часть 2
Ситуационная осведомленность в кибербезопасности
Ситуационная осведомленность в кибербезопасности
Нормативные документы по ИБ. Часть 14. Обзор российского законодательства в области ИБ финансовых организаций - продолжение
Нормативные документы по ИБ. Часть 14. Обзор российского законодательства в области ИБ финансовых организаций - продолжение
Тренды информационной безопасности. Часть 3
Тренды информационной безопасности. Часть 3
Защита веб-приложений: анти-DDoS
Защита веб-приложений: анти-DDoS
Защита веб-приложений: WAF
Защита веб-приложений: WAF
Новые подходы и новые возможности по мониторингу сетевой инфраструктуры
Новые подходы и новые возможности по мониторингу сетевой инфраструктуры
Геймификация SOC
Геймификация SOC
Нормативные документы по ИБ. Часть 5. Обзор российского и международного законодательства в области защиты персональных данных
Нормативные документы по ИБ. Часть 5. Обзор российского и международного законодательства в области защиты персональных данных
Основы риск- и бизнес-ориентированной информационной безопасности. Часть 4. Основные понятия и парадигма - продолжение
Основы риск- и бизнес-ориентированной информационной безопасности. Часть 4. Основные понятия и парадигма - продолжение
Измерение эффективности процессов кибербезопасности. Метрики ИБ. Часть 2
Измерение эффективности процессов кибербезопасности. Метрики ИБ. Часть 2

Похожие статьи

Процессы управления ИБ (конспект лекции)
Процессы управления ИБ (конспект лекции)
Как научиться выстраивать килчейн
Как научиться выстраивать килчейн
Зачем и как отображать информацию: конструктор объектов
Зачем и как отображать информацию: конструктор объектов
Управление рисками информационной безопасности (конспект лекции)
Управление рисками информационной безопасности (конспект лекции)
Нормативные документы по ИБ. Часть 9. Обзор российского законодательства в области защиты критической информационной инфраструктуры - продолжение
Нормативные документы по ИБ. Часть 9. Обзор российского законодательства в области защиты критической информационной инфраструктуры - продолжение
Нормативные документы по ИБ. Часть 13. Обзор российского законодательства в области ИБ финансовых организаций – продолжение
Нормативные документы по ИБ. Часть 13. Обзор российского законодательства в области ИБ финансовых организаций – продолжение
Обзор публикаций NIST SP 800-213 "IoT Device Cybersecurity Guidance for the Federal Government: Establishing IoT Device Cybersecurity Requirements"
Обзор публикаций NIST SP 800-213 "IoT Device Cybersecurity Guidance for the Federal Government: Establishing IoT Device Cybersecurity Requirements"
«Фишки» Security Vision: отчеты и аналитика
«Фишки» Security Vision: отчеты и аналитика
Защита персональных данных (конспект лекции)
Защита персональных данных (конспект лекции)

Похожие статьи

Процессы управления ИБ (конспект лекции)
Процессы управления ИБ (конспект лекции)
Как научиться выстраивать килчейн
Как научиться выстраивать килчейн
Зачем и как отображать информацию: конструктор объектов
Зачем и как отображать информацию: конструктор объектов
Управление рисками информационной безопасности (конспект лекции)
Управление рисками информационной безопасности (конспект лекции)
Нормативные документы по ИБ. Часть 9. Обзор российского законодательства в области защиты критической информационной инфраструктуры - продолжение
Нормативные документы по ИБ. Часть 9. Обзор российского законодательства в области защиты критической информационной инфраструктуры - продолжение
Нормативные документы по ИБ. Часть 13. Обзор российского законодательства в области ИБ финансовых организаций – продолжение
Нормативные документы по ИБ. Часть 13. Обзор российского законодательства в области ИБ финансовых организаций – продолжение
Обзор публикаций NIST SP 800-213 "IoT Device Cybersecurity Guidance for the Federal Government: Establishing IoT Device Cybersecurity Requirements"
Обзор публикаций NIST SP 800-213 "IoT Device Cybersecurity Guidance for the Federal Government: Establishing IoT Device Cybersecurity Requirements"
«Фишки» Security Vision: отчеты и аналитика
«Фишки» Security Vision: отчеты и аналитика
Защита персональных данных (конспект лекции)
Защита персональных данных (конспект лекции)