Жизнь богаче схем ( APT Cobalt на кончиках пальцев). Сергей Золотухин, Group-IB
Симбиоз DLP и SIEM. Комплексный подход к обеспечению информационной безопасности. Евгений Матюшёнок, SearchInform
1. Симбиоз DLP и SIEM. Комплексный подход к
обеспечению информационной безопасности
Заместитель коммерческого
директора SearchInform
ЕВГЕНИЙ МАТЮШЁНОК
2. Офисы во всех ФО России, а также
в Казахстане и Беларуси.
Более 1700
клиентов в 12
странах мира
11 лет на рынке
DLP, 21 год в IT
Более
1 000 000 ПК
под контролем
«КИБ
СёрчИнформ»
10 уголовных дел
выиграно клиентами
против инсайдеров
«СЁРЧИНФОРМ» СЕГОДНЯ
«КИБ
СёрчИнформ»
включен в Реестр
отечественного ПО
В 2017 году
«КИБ СёрчИнформ»
вошел в «магический
квадрант» Gartner
3. КОМПАНИЙ СТОЛКНУЛИСЬ С
УТЕЧКАМИ КОНФИДЕНЦИАЛЬНЫХ
ДАННЫХ С НАЧАЛА 2017 ГОДА
24%
ОРГАНИЗАЦИЙ СМОГЛИ ПРЕСЕЧЬ
ПОПЫТКИ КРАЖИ ДАННЫХ
38%
РЕЗУЛЬТАТЫ ИССЛЕДОВАНИЯ В КРЕДИТНО-ФИНАНСОВОЙ СФЕРЕ.
Данные были получены в ходе серии конференций Road Show SearchInform
2017 «DLP будущего», в которой приняли участие 1806 ИБ-специалистов и
экспертов.
УТЕЧКИ И ПОПЫТКИ КРАЖИ ИНФОРМАЦИИ:
4. КИБ СЕРЧИНФОРМ СЁРЧИНФОРМ SIEMTIMEINFORMER
ИНСТРУМЕНТЫ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ДЛЯ
КОМПЛЕКСНОЙ ЗАЩИТЫ
Предотвращение утечек Контроль рабочего времени Выявление угроз в режиме
онлайн
5. ШАГ 1
ШАГ 2
ШАГ 3
ШАГ 4
СЛОЖНЫЙ МЕХАНИЗМ РАБОТЫ SIEM СВОДИТСЯ К АЛГОРИТМУ
Анализ
данных и
выявление
угроз.
Приведение
разнородных
данных к
общему виду.
Сбор событий из
различных систем
(сетевое оборудование,
программное
обеспечение, средства
защиты, ОС).
Фиксация
инцидентов и
оповещение
в реальном
времени.
7. КИБ состоит из модулей, каждый
из которых контролирует свой
канал передачи информации.
Система показывает, какой путь
проходят данные, и делает
прозрачными все коммуникации.
DLP-система
«КИБ СёрчИнформ»
8. Возможности :
Выбор области индексации: компьютер, диск, папка в сети.
Поиск новой или измененной информации для переиндексации.
Поиск по содержимому удаленных файлов в индексе.
КОНТРОЛЬ ФАЙЛОВЫХ ХРАНИЛИЩ
Система отслеживает наличие конфиденциальной
информации на рабочих станциях, в местах общего
хранения и в облаках.
10. установить неформальных лидеров;
выявить круги общения;
найти неочевидные связи с внешним миром.
Отслеживание связей сотрудников позволяет:
ПОВЕДЕНИЕ ПОЛЬЗОВАТЕЛЕЙ
«Несколько встроенных отчетов, а также отчет о связях
пользователей (user relations chart) упрощают не только
контроль за перемещением контента, но и позволяют увидеть
контекст», – отчет Gartner.
11. Программа показывает отношения
между пользователями внутри
корпоративной сети, а также контакты
сотрудников с внешними адресатами.
Наглядно представлены количество
сообщений между ними и все каналы
коммуникации (почта, Skype, ICQ,
Viber).
ПОВЕДЕНИЕ ПОЛЬЗОВАТЕЛЕЙ
13. MicrophoneController
Непрерывная запись.
Запись при запуске определенных программ/процессов.
Запись при обнаружении речи.
Вещание в режиме онлайн.
MonitorController
Делает снимки экранов рабочих компьютеров по
расписанию или событию (запуск программы/процесса и
др.).
Отображает рабочие столы в режиме реального времени.
Записывает видео происходящего на экране.
КОНТРОЛЬ ПРИВИЛЕГИРОВАННЫХ ПОЛЬЗОВАТЕЛЕЙ
14. SIEM И DLP: НЕ ВМЕСТО, А ВМЕСТЕ
Совместное использование DLP и SIEM позволяет вывести расследования
инцидентов на новый уровень:
уникальные технологии контентного анализа;
неопровержимые доказательства нарушений;
архив перехваченной информации;
контроль в реальном времени;
прозрачность связей внутри компании и за ее пределами;
полная картина активности;
контроль содержимого ПК и сетевых ресурсов;
отчеты по программному обеспечению и оборудованию.
КИБ оценивает
содержимое всех
коммуникаций
SIEM выявляет аномальное
поведение и определяет способ
получения доступа к информации
16. Правило «Активность одной учетной записи на
нескольких ПК»
Пример 2
ПРЕДОТВРАЩЕНИЕ РЕПУТАЦИОННЫХ И
ФИНАНСОВЫХ ПОТЕРЬПРАКТИКА
ПРИМЕНЕНИЯ
SIEM+DLP
[РЕАЛЬНЫЕ КЕЙСЫ]
17. Правило «Создание временной учетной записи»
Пример 3
РАЗОБЛАЧЕНИЕ НЕДОБРОСОВЕСТНЫХ
СОТРУДНИКОВ
ПРАКТИКА
ПРИМЕНЕНИЯ
SIEM+DLP
[РЕАЛЬНЫЕ КЕЙСЫ]