Конференция "Код ИБ 2017". Тбилиси

1. НЕСТАНДАРТНЫЕ МЕТОДЫ
ПРИМЕНЕНИЯ DLP-СИСТЕМ
В БИЗНЕСЕ
18 МАЯ 2017
ТБИЛИСИ
#CODEIB
СЕРГЕЙ АНАНИЧ
Руководитель отдела продаж SearchInform
ТЕЛЕФОН: +7 (495) 721-84-06, доб.116
EMAIL: s.ananich@searchinform.ru

2. Офисы во всех ФО России, а также
в Казахстане, Украине и Беларуси.
Более 1700
клиентов в 12
странах мира
11 лет на рынке
DLP, 21 год в IT
Более
1 000 000 ПК
под контролем
«КИБ СёрчИнформ»
10 уголовных дел
выиграно клиентами
против инсайдеров
«СЁРЧИНФОРМ» СЕГОДНЯ
«КИБ СёрчИнформ»
включен в Реестр
отечественного ПО
В 2017 году
«КИБ СёрчИнформ»
вошел в «магический
квадрант» Gartner

3. DLP
SearchInform
#CODEIB

4. Сегодня систему защиты информации используют не только для
борьбы с инсайдерами, но и для решения других проблем бизнеса:
обнаружение нарушителей, мошенников и бездельников;
выявление неформальных лидеров, нелояльных сотрудников;
расследование случаев, влияющих на репутацию компании
(негативные отзывы о компании);
формирование группы риска;
контроль «гостей»;
управление поведением инсайдеров.
DLP уже не просто DLP
#CODEIB

5. 1. Выявление нелояльных сотрудников
▪ Вбросьте «дезу» (оформите
приказ, который
потенциально вызовет
возмущение сотрудников).
▪ Настройте политики
безопасности на слова-
маркеры.
▪ Проанализируйте трафик за
прошедший день.
▪ Возьмите «на контроль»
негативно настроенных
сотрудников.
Как выявить?
#CODEIB

6. LiveView и LiveSound
Сотрудники
обсуждают спорные
моменты в кабинетах
и высказывают свою
точку зрения.
Запись звука и видео с монитора также подходит для
выборочного контроля сотрудников и последующего анализа.
#CODEIB

7. Распознавание речи
и поиск по видео
Процедура
распознавания
полностью локальна:
данные не покидают
сети, внешние сервисы
типа Yandex SpeechKit и
Google Speech не
используются.
Любые аудиоданные могут быть распознаны и переведены
в текст. Это позволяет решить задачи, которые ранее могли
быть выполнены только через прослушивание.
Новое в «КИБ СёрчИнформ»
Расширенные возможности поиска по видео упростили
процесс анализа информации. Теперь ИБ-специалисту
достаточно выбрать активность, в рамках которой
действия сотрудников могут нести потенциальную угрозу
(запуск TeamViewer, работа в 1С и т.д.) – и начать
просмотр записи с конкретного фрагмента.
Теперь, для того чтобы
найти и просмотреть
конкретный фрагмент,
не нужно отсматривать
записи полностью.

8. Неформальный лидер
может быть не только
полезен, но и вреден для
компании – все зависит от
его настроя. В любом
случае его важно и нужно
знать в лицо.
2. Поиск неформальных лидеров в коллективе
#CODEIB

9. Возможность убедиться в хороших (или плохих) намерениях гостей, пришедших к
вам в офис, – ценное подспорье для любого руководителя.
3. Контроль «гостей» и бесплатный wi-fi
В нашей практике есть история, когда служба
безопасности уличила аудиторов в попытке установить
программы слежения на ПК фирмы.
А так же кейс специалиста по безопасности, который
использовал бесплатный wi-fi в курилке, как источник
дополнительной информации.
#CODEIB

10. Предупреждать инциденты, не дожидаясь, пока они произойдут – это ли не цель
любого ИБ-специалиста? Работа по формированию «группы риска» – как раз то, что
для этого нужно.
4. Работа «на опережение»: группы риска
Кто может входить?
▪ Азартные игроки, наркозависимые люди.
▪ Сотрудники с долгами и кредитами.
▪ Люди нетрадиционной ориентации.
▪ Сотрудники, посещающие специфичные сайты, имеющие секреты и
интересы, которыми их можно шантажировать и т.д.
#CODEIB

11. В список «грехов» сотрудников можно внести использование ресурсов компании в
личных целях, работу «для вида», мошенничество, попытки «унести то, что плохо
лежит» при увольнении. Как с этим бороться?
5. Поиск нарушителей и мошенников
Фриланс на
рабочем месте
Кейсы
Подделка
документов
Фирмы-
Боковики
Махинации с
деньгами фирмы
Лоббирование интересов
близких людей
#CODEIB

12. Анализ изображений
и выявление подделок
РАСШИРЕННЫЕ
ВОЗМОЖНОСТИ
АНАЛИЗА
ИЗОБРАЖЕНИЙ
СПОСОБСТВУЮТ
ПРЕДОТВРАЩЕНИЮ
ВНУТРЕННЕГО
МОШЕННИЧЕСТВА.
Возможности анализа изображений КИБ SearchInform
стали еще шире: теперь система проверяет файлы
формата jpeg, используя 1 базовый и 8 экспертных
алгоритмов, и выявляет, где именно редактировался
файл.
Это может быть фотография паспорта с
фальсифицированными данными, скан договора с
измененной стоимостью или фото автомобиля с
поддельным номером.
Новое в «КИБ СёрчИнформ»
#CODEIB

13. Технологии оптического
распознавания текстов (OCR) от ABBYY МОДУЛЬ
КЛАССИФИКАЦИИ ABBYY
ПОМОГАЕТ ОПРЕДЕЛИТЬ
ЛЮБЫЕ ДОКУМЕНТЫ
УСТАНОВЛЕННЫХ
ОБРАЗЦОВ: ПАСПОРТА,
КРЕДИТНЫЕ КАРТЫ И
Т.Д.
Качество и скорость распознавания изображений в КИБ
вышли на новый уровень. Появился инструмент, который
самостоятельно классифицирует файлы и выделяет среди них
персональные данные, циркулирующие внутри компании.
Технологии распознавания и алгоритмы классификации
изображений уменьшают необходимость ручной обработки
за счет автоматического определения типов персональных
данных.
#CODEIB
Новое в «КИБ СёрчИнформ»

14. Поиск по печатям КОМПОНЕНТ
ДОСТУПЕН ВСЕМ
КЛИЕНТАМ
«СЁРЧИНФОРМ» БЕЗ
ДОПОЛНИТЕЛЬНОЙ
ПЛАТЫ.
Новая разработка позволяет отслеживать
передачу отсканированных документов по
эталонным образцам печати.
Детектор печатей встроен в систему по
умолчанию и не требует использования
дополнительных технологий.
#CODEIB
Новое в «КИБ СёрчИнформ»

15. Анализ продуктивности сотрудников
В «КИБ СЁРЧИНФОРМ»
ВОЗМОЖНА НАСТРОЙКА
ПРАВИЛ И СПИСКА
ПРОДУКТИВНОСТИ.
Отчет «Продуктивность пользователей» – отображает
продуктивное/непродуктивное использование
процессов/сайтов пользователями.
«Детальная продуктивность пользователей» –
показывает суммарное время активности пользователя
по процессам/сайтам и уточняет активность в каждом
из них; детализирует продуктивность по дням.
#CODEIB
Новое в «КИБ СёрчИнформ»

16. DLP-система может облегчить задачу по отслеживанию съёмного «железа» и
устанавливаемых программ. Подменить оперативную память ноутбука на меньшую,
установить нелицензионное ПО, грозящее штрафом организации – этим грешат многие
сотрудники компаний.
6. Инвентаризация ПО и оборудования
▪ Агенты DLP-системы регулярно фиксируют установку, удаление и наличие ПО
на компьютерах сотрудников, а также установку и снятие используемого
оборудования (в том числе съемных устройств).
▪ Система выдает отчеты, в которых наглядно отображаются все действия
работников в отношении ПО и оборудования.
Как решить проблему?
#CODEIB

17. Flash-карты: шифрование
и анализ данных
ВОСПОЛЬЗОВАТЬСЯ
ИНФОРМАЦИЕЙ ЗА
ПРЕДЕЛАМИ
ОРГАНИЗАЦИИ
НЕВОЗМОЖНО.I. Шифрование позволяет защитить информацию путем
шифрования всех важных данных, записываемых на
носитель. Шифрование незаметно для пользователя и
никак не влияет на бизнес-процессы.
II. Система копирует не только информацию,
записываемую на Flash, но и прочее содержимое
накопителя. У служб ИБ появилась возможность аудита
всех файлов, хранимых на носителе.
ЭТО УПРОЩАЕТ КОНТРОЛЬ
РАСПРОСТРАНЕНИЯ
ДАННЫХ, ПОЗВОЛЯЕТ
«СЧИТЫВАТЬ» КАРТУ
ИНТЕРЕСОВ СОТРУДНИКОВ
И СВОЕВРЕМЕННО
ПРЕСЕКАТЬ НАРУШЕНИЯ.
Новое в «КИБ СёрчИнформ»

18. Защита локальных
ресурсов
РАЗГРАНИЧЕНИЕ
ДОСТУПА к ресурсам
(папкам и дискам)
производится только
на уровне DLP и НЕ
МОЖЕТ БЫТЬ
ОТМЕНЕНО НИ НА
УРОВНЕ СИСТЕМЫ,
НИ НА УРОВНЕ
ДОМЕНА.
Позволяет регулировать доступ к критичным
данным: скрывает/закрывает папки топ-
менеджмента, запрещает доступ к информации даже
привилегированным пользователям (системным
администраторам, техническим специалистам и т.д.)
#CODEIB
Новое в «КИБ СёрчИнформ»

19. Агент для «КИБ СЁРЧИНФОРМ»
ВНЕСЕН В ЕДИНЫЙ
РЕЕСТР
ОТЕЧЕСТВЕННОГО ПО
И РЕКОМЕНДОВАН
ДЛЯ ЗАКУПКИ
ГОСУДАРСТВЕННЫМИ
ОРГАНИЗАЦИЯМИ.
«КИБ СёрчИнформ» интегрирован с отечественной ОС
специального назначения Astra Linux.
DLP-система «СёрчИнформ» гармонично вписывается в
эко-структуру Astra Linux и позволяет закрыть вопросы,
связанные с внутренней информационной
безопасностью.
#CODEIB
Новое в «КИБ СёрчИнформ»

20. SIEM и DLP: не вместо, а вместе
Совместное использование DLP и SIEM позволяет вывести расследования инцидентов
на новый уровень. Системы дополняют друг друга и могут выступать как источником
информации, так и средством для ее анализа.
«СёрчИнформ SIEM» – это не «очередная SIEM», которая идет по пути, проложенному
другими вендорами. Мы видим проблемы и действуем «в мире клиента», а не
«представляем простое сложным» в собственных интересах.
«СёрчИнформ SIEM» работает по принципу «берем практические задачи и решаем их с
помощью SIEM». Мы собрали мнение, практику и потребности клиентов «СёрчИнформ»
и оформили их в виде готовых политик. Развиваться система будет аналогично: с
добавлением поддержки новых источников данных, клиент получает предустановленный
набор правил.
#CODEIB

21. Обучение проводят как
специалисты SearchInform,
так и приглашенные эксперты.
5 программ обучения уже
реализованы УЦ, 2 –
находятся в разработке.
Учебный центр и Отдел внедрения SearchInform
SearchInform имеет собственный Учебный центр и ведет образовательную деятельность в
двух направлениях: с 2010 года это работа с вузами, с 2013-го – с клиентами.
1100+ клиентов
прошли программы
переподготовки в УЦ*
*По состоянию на сентябрь 2016
Отдел внедрения ведет более 1700 клиентов и аккумулирует опыт
использования DLP на практике.
▪ Обучаем работе с продуктом;
▪ Помогаем настроить необходимые политики
безопасности;
▪ Предлагаем оптимальное решение задач
клиентов;
▪ Консультируем по вопросам анализа
перехваченной информации;
▪ Разъясняем возможности новых версий
продукта.

22. 18 МАЯ 2017
ТБИЛИСИ
#CODEIB
СЕРГЕЙ АНАНИЧ
Руководитель отдела продаж SearchInform
ТЕЛЕФОН: +7 (495) 721-84-06, доб.116
EMAIL: s.ananich@searchinform.ru