Документ описывает симбиоз технологий DLP и SIEM для повышения уровня информационной безопасности. Приведены примеры успешного применения данных технологий в кейсах предотвращения утечек и анализа поведения пользователей. Также упоминается об успешных расследованиях инцидентов и поддержке контроля за активностью сотрудников.

1. Симбиоз DLP и SIEM. Комплексный подход к
обеспечению информационной безопасности
Заместитель коммерческого
директора SearchInform
ЕВГЕНИЙ МАТЮШЁНОК

2. Офисы во всех ФО России, а также
в Казахстане и Беларуси.
Более 1700
клиентов в 12
странах мира
11 лет на рынке
DLP, 21 год в IT
Более
1 000 000 ПК
под контролем
«КИБ
СёрчИнформ»
10 уголовных дел
выиграно клиентами
против инсайдеров
«СЁРЧИНФОРМ» СЕГОДНЯ
«КИБ
СёрчИнформ»
включен в Реестр
отечественного ПО
В 2017 году
«КИБ СёрчИнформ»
вошел в «магический
квадрант» Gartner

3. КОМПАНИЙ СТОЛКНУЛИСЬ С
УТЕЧКАМИ КОНФИДЕНЦИАЛЬНЫХ
ДАННЫХ С НАЧАЛА 2017 ГОДА
24%
ОРГАНИЗАЦИЙ СМОГЛИ ПРЕСЕЧЬ
ПОПЫТКИ КРАЖИ ДАННЫХ
38%
РЕЗУЛЬТАТЫ ИССЛЕДОВАНИЯ В КРЕДИТНО-ФИНАНСОВОЙ СФЕРЕ.
Данные были получены в ходе серии конференций Road Show SearchInform
2017 «DLP будущего», в которой приняли участие 1806 ИБ-специалистов и
экспертов.
УТЕЧКИ И ПОПЫТКИ КРАЖИ ИНФОРМАЦИИ:

4. КИБ СЕРЧИНФОРМ СЁРЧИНФОРМ SIEMTIMEINFORMER
ИНСТРУМЕНТЫ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ДЛЯ
КОМПЛЕКСНОЙ ЗАЩИТЫ
Предотвращение утечек Контроль рабочего времени Выявление угроз в режиме
онлайн

5. ШАГ 1
ШАГ 2
ШАГ 3
ШАГ 4
СЛОЖНЫЙ МЕХАНИЗМ РАБОТЫ SIEM СВОДИТСЯ К АЛГОРИТМУ
Анализ
данных и
выявление
угроз.
Приведение
разнородных
данных к
общему виду.
Сбор событий из
различных систем
(сетевое оборудование,
программное
обеспечение, средства
защиты, ОС).
Фиксация
инцидентов и
оповещение
в реальном
времени.

6. Antivirus
SysLog
Exchange
FireWall
Active Directory
Data Loss Prevention
Источники
событий
СЁРЧИНФОРМ
SIEM

7. КИБ состоит из модулей, каждый
из которых контролирует свой
канал передачи информации.
Система показывает, какой путь
проходят данные, и делает
прозрачными все коммуникации.
DLP-система
«КИБ СёрчИнформ»

8. Возможности :
 Выбор области индексации: компьютер, диск, папка в сети.
 Поиск новой или измененной информации для переиндексации.
 Поиск по содержимому удаленных файлов в индексе.
КОНТРОЛЬ ФАЙЛОВЫХ ХРАНИЛИЩ
Система отслеживает наличие конфиденциальной
информации на рабочих станциях, в местах общего
хранения и в облаках.

9. ВИДЫ ПОИСКА

10.  установить неформальных лидеров;
 выявить круги общения;
 найти неочевидные связи с внешним миром.
Отслеживание связей сотрудников позволяет:
ПОВЕДЕНИЕ ПОЛЬЗОВАТЕЛЕЙ
«Несколько встроенных отчетов, а также отчет о связях
пользователей (user relations chart) упрощают не только
контроль за перемещением контента, но и позволяют увидеть
контекст», – отчет Gartner.

11. Программа показывает отношения
между пользователями внутри
корпоративной сети, а также контакты
сотрудников с внешними адресатами.
Наглядно представлены количество
сообщений между ними и все каналы
коммуникации (почта, Skype, ICQ,
Viber).
ПОВЕДЕНИЕ ПОЛЬЗОВАТЕЛЕЙ

12. КОНТРОЛЬ ПРИВИЛЕГИРОВАННЫХ ПОЛЬЗОВАТЕЛЕЙ
АУДИТ ДЕЙСТВИЙ ПОЛЬЗОВАТЕЛЕЙ
РАЗГРАНИЧЕНИЕ ПРАВ ДОСТУПА
КОНТРОЛЬ ПОДКЛЮЧЕНИЯ USB-УСТРОЙСТВ С
ПОДДЕРЖКОЙ ШИФРОВАНИЯ

13. MicrophoneController
 Непрерывная запись.
 Запись при запуске определенных программ/процессов.
 Запись при обнаружении речи.
 Вещание в режиме онлайн.
MonitorController
 Делает снимки экранов рабочих компьютеров по
расписанию или событию (запуск программы/процесса и
др.).
 Отображает рабочие столы в режиме реального времени.
 Записывает видео происходящего на экране.
КОНТРОЛЬ ПРИВИЛЕГИРОВАННЫХ ПОЛЬЗОВАТЕЛЕЙ

14. SIEM И DLP: НЕ ВМЕСТО, А ВМЕСТЕ
Совместное использование DLP и SIEM позволяет вывести расследования
инцидентов на новый уровень:
 уникальные технологии контентного анализа;
 неопровержимые доказательства нарушений;
 архив перехваченной информации;
 контроль в реальном времени;
 прозрачность связей внутри компании и за ее пределами;
 полная картина активности;
 контроль содержимого ПК и сетевых ресурсов;
 отчеты по программному обеспечению и оборудованию.
КИБ оценивает
содержимое всех
коммуникаций
SIEM выявляет аномальное
поведение и определяет способ
получения доступа к информации

15. ПРАКТИКА
ПРИМЕНЕНИЯ
SIEM+DLP
Пример 1
ПРЕДОТВРАЩЕНИЕ ПЕРЕДАЧИ
ИНФОРМАЦИИ КОНКУРЕНТАМ
Правило «Активность вне рабочего времени»
[РЕАЛЬНЫЕ КЕЙСЫ]

16. Правило «Активность одной учетной записи на
нескольких ПК»
Пример 2
ПРЕДОТВРАЩЕНИЕ РЕПУТАЦИОННЫХ И
ФИНАНСОВЫХ ПОТЕРЬПРАКТИКА
ПРИМЕНЕНИЯ
SIEM+DLP
[РЕАЛЬНЫЕ КЕЙСЫ]

17. Правило «Создание временной учетной записи»
Пример 3
РАЗОБЛАЧЕНИЕ НЕДОБРОСОВЕСТНЫХ
СОТРУДНИКОВ
ПРАКТИКА
ПРИМЕНЕНИЯ
SIEM+DLP
[РЕАЛЬНЫЕ КЕЙСЫ]

18. Сохранность
конфиденциальных данных
вашей компании зависит от вас!
Евгений Матюшёнок
searchinform.ru