Лаборатория Касперского. Борис Шалопин. "Тренды, проблематика и стратегия про...
DLP-система как инструмент проведения расследований инцидентов ИБ
1. Г. ЕКАТЕРИНБУРГ
03 СЕНТЯБРЯ 2015#CODEIB
АНДРЕЙ ТИМОШЕНКОВ
РУКОВОДИТЕЛЬ
НАПРАВЛЕНИЯ DOZOR,
SOLAR SECURITY
Мониторинг и выявление мошенничества
через контроль коммуникаций сотрудников
КОНТАКТЫ
ТЕЛ. +7 (499) 755-07-07
МОБ. +7 (903) 597-21-24
2. О ЧЕМ РЕЧЬ?
1 НОВЫЕ ЗАДАЧИ
DLP-СИСТЕМ
3 ПРОЦЕСС МОНИТОРИНГА
КОММУНИКАЦИЙ
4 МОНИТОРИНГ КОСВЕННЫХ
ПРИЗНАКОВ
ВИДЫ КОРПОРАТИВНОГО
МОШЕННИЧЕСТВА2 5
6
РАССЛЕДОВАНИЕ
ЧТО ЕЩЕ НУЖНО
КОНТРОЛИРОВАТЬ
Г. ЕКАТЕРИНБУРГ
03 СЕНТЯБРЯ 2015#CODEIB
3. Изменение задач DLP-систем
• Что именно произошло и почему?
• Что за человек мог так сделать?
• Кого именно можно подозревать и кто скорее всего сделал?
• Что еще мог сделать такой человек?
• Какие следующие вероятные его или ее шаги?
• Что за информацию еще нужно иметь для расследования
и какова ее точность?
• Достаточно ли доказательств?
ЧТО ИМЕННО ПРЕДПРИНЯТЬ ДАЛЕЕ?
Г. ЕКАТЕРИНБУРГ
03 СЕНТЯБРЯ 2015#CODEIB
4. ВИДЫ КОРПОРАТИВНОГО
МОШЕННИЧЕСВТА
Подделка или
фальсификаци
я документов
Передача клиентов
другим компаниям
Проведение
сделок с
подконтрольными
компаниями
Сговор или
аффилированность
с клиентами или с
поставщиками
Оплата счетов за
невыполненные работы
или непоставленные
товары
«Откаты»
Использование
подставных
поставщиков или
посредников
Искусственное
завышение цен
Использование сотрудников,
оборудования, материалов или
ресурсов компании в личных
целях
Г. ЕКАТЕРИНБУРГ
03 СЕНТЯБРЯ 2015#CODEIB
8. МОНИТОРИНГ КОСВЕННЫХ
ПРИЗНАКОВ
Мониторинг содержимого информационного
обмена, поисковых запросов, пересылки
недопустимых или несвойственных документов;
Мониторинг конкретных людей и сотрудников,
входящих в группы риска, их действий и
коммуникаций;
Мониторинг и выявление связей и отношений
между людьми, с компаниями-конкурентами,
подрядчиками или контрагентами;
Выявление аномалий в коммуникациях
сотрудников, в частности изменение тональности,
уход коммуникаций из корпоративных каналов.
Г. ЕКАТЕРИНБУРГ
03 СЕНТЯБРЯ 2015#CODEIB
9. РАССЛЕДОВАНИЕ
ИССЛЕДОВАНИЕ
КОММУНИКАЦИЙ СОТРУДНИКОВ
Ретроспективных анализ всех коммуникаций,
попавшего под подозрение сотрудника;
Поиск «вокруг» подозрительного события или
инцидента;
Выявление связей между событиями, людьми,
данными;
Построение карты связей и коммуникаций
сотрудников;
Постановка на более жесткий мониторинг
коммуникаций конкретных сотрудников.
Г. ЕКАТЕРИНБУРГ
03 СЕНТЯБРЯ 2015#CODEIB
10. ЧТО ЕЩЕ НУЖНО
КОНТРОЛИРОВАТЬ?
Проверки контрагентов и выявление связей с
внутренними сотрудниками;
Выявление мотиваторов (кредитов, займов,
расписок, частных займов, любовных историй);
Анализ областей интересов сотрудников,
пристрастий к азартным играм;
Анализ отношений между людьми, наложенный на
матрицу конфликтов интересов;
Контроль лояльности персонала.
Г. ЕКАТЕРИНБУРГ
03 СЕНТЯБРЯ 2015#CODEIB
12. ЕЩЕ ИНТЕРЕСНЫЕ
ВОЗМОЖНОСТИ DLP
ПОЛЕЗНЫЕ ИНСТРУМЕНТЫ
Досье и обогащение из внешних источников;
Связывание «непонятных» адресов с людьми;
Расчет «уровня доверия» и кармы сотрудников;
Граф связей.
Г. ЕКАТЕРИНБУРГ
03 СЕНТЯБРЯ 2015#CODEIB
14. ЧТО ЗАПУСКАЕТ РАБОТУ
СПЕЦИАЛИСТА ИБ?
Г. ЕКАТЕРИНБУРГ
03 СЕНТЯБРЯ 2015#CODEIB
Источник Оперативность
1. Оповещение по email Высокая
2. Оповещение в системе DLP Высокая
3. Оповещение по SMS Высокая
4. Информация на рабочем столе (Dashboard) Средняя
5. Информация из автоматического регулярного отчета Средняя
6. Информация из отчетов по запросу Низкая
7. Регулярный мониторинг и анализ Низкая
8. Внешняя информация об инциденте Низкая
9. Запрос со стороны руководства / заинтересованных лиц Низкая
10. «Чутье» (Подозрение на инцидент) Низкая
11. Скука / Интерес Низкая
15. СПАСИБО ЗА ВНИМАНИЕ!
Г. ЕКАТЕРИНБУРГ
03 СЕНТЯБРЯ 2015#CODEIB
АНДРЕЙ ТИМОШЕНКОВ
РУКОВОДИТЕЛЬ
НАПРАВЛЕНИЯ DOZOR,
SOLAR SECURITY
КОНТАКТЫ
ТЕЛ. +7 (499) 755-07-07
МОБ. +7 (903) 597-21-24