Реферат. Dlp. Сбербанк Что такое dlp система
Скачать 58.91 Kb.
|
DLP. Сбербанк Что такое DLP система? DLP-система (от англ. Data Leak Prevention) — это специализированное ПО, которое защищает организацию от утечек данных. Данная технология – это не только возможность блокировать передачу конфиденциальной информации по различным каналам, но и инструмент для наблюдения за ежедневной работой сотрудников, который позволяет найти слабые места в безопасности до наступления инцидента. Зачем нужна DLP и как она работает? Часто в компаниях больше внимание уделяют внешним угрозам: спаму и фишинг-атакам типа «отказ в обслуживании», вирусам (троянскому ПО, червям), подмене главных страниц интернет-ресурсов, шпионскому и рекламному программному обеспечению, социальному инжинирингу. Но на самом деле внутренние угрозы способны причинить компании куда более серьезный ущерб, чем злоумышленники за ее пределами. В принципе любой работник компании может являться потенциальным инсайдером и поставить информационную безопасность под угрозу. От злого умысла или банальной оплошности не застрахован никто: от низшего звена и до топ-менеджмента. Принцип работы DLP-системы прост и заключается в анализе всей информации: исходящей, входящей и циркулирующей внутри компании. Система при помощи алгоритмов анализирует, что это за информация и в случае, если она критичная и отправляется туда куда ей не положено — блокирует передачу и/или уведомляет об этом ответственного сотрудника. Основа DLP — набор правил. Они могут быть любой сложности и касаться разных аспектов работы. Если кто-то их нарушает, то ответственные лица получают уведомление. Так, например, в компании Х выявили сотрудника, который занимался майнингом криптовалют. Это было обнаружено при использовании модуля активности пользователей – отчёт показал, что рабочая станция не отключалась на ночь. После просмотра запущенных процессов выяснилось, что сотрудник перед уходом запускал процесс майнинга. Что такое dlp-система? Система отслеживает не только время работы и активные программы на компьютере, но и любую другую работу с информацией, — ввод данных с клавиатуры, переписку и передачу файлов по почте, в соцсетях и мессенджерах, отправляемые на печать документы, время простоя, SIP-телефонию, активность на сайтах и многое другое. Способы перехвата данных Для того, чтобы анализировать данные — DLP-система сперва должна их получить. Есть два основных способа перехвата — серверный и агентский. В первом случае система контролирует сетевой траффик на сервере, через который компьютеры «общаются» с внешним миром. Во втором случае специальные небольшие программы — агенты — устанавливаются на все компьютеры организации и передают с каждой машины данные для анализа. Агентский перехват является более распространённым, ведь с его помощью можно получить гораздо больше данных из различных каналов коммуникации, а значит и надежнее предотвратить возможные утечки DLP в Сбербанке В Сбербанк в 2022 внедрена DLP-система Solar Dozor. Solar Dozor Solar Dozor — система для предотвращения утечек конфиденциальной информации (Data Leak Prevention, DLP). Ее возможности обеспечивают контроль коммуникаций сотрудников, блокировку или изменение нежелательных сообщений, выявление и мониторинг групп риска, а также ретроспективный анализ архива коммуникаций для проведения расследований. Кроме этого, Solar Dozor может анализировать поведение пользователей (User Behavior Analytics), что позволяет выявлять аномалии поведения, круг общения и приватные контакты сотрудников, а также профилировать их на основе 19 устойчивых паттернов поведения. В Solar Dozor реализована современная концепция обеспечения внутренней безопасности организации — People-Centric Security. В ее основе — концентрация внимания службы безопасности не на движении информации, а на сотрудниках, их связях и поведении. Такой подход значительно снижает количество ложных срабатываний и отвлекающих уведомлений. В результате офицеры безопасности могут сосредоточиться на расследовании и профилактике критических инцидентов. Если организация состоит из нескольких дочерних зависимых обществ или территориально-распределенных филиалов, инсталляции Solar Dozor могут работать как единое целое (функции модуля MultiDozor). Это дает возможность: в режиме реального времени получать и обрабатывать данные по всей компании или отдельным подразделениям; контролировать деятельность всех пользователей DLP-системы; выполнять централизованный мониторинг групп особого контроля; проводить сквозные расследования в масштабе компании; централизованно управлять системой и распространять политику безопасности в филиалы. Можно подробнее?? Как и любая информационная система, Dozor старается балансировать между мощью и простотой. Да так, чтобы обе составляющих выкрутить на максимум. Вот только возможно ли это? Стол руководителя Встречает нас простота – дашборд. Всё красиво, наглядно, в картинках. Дашборд руководителя – вообще сказка – тренды по нарушениям, ТОП нарушителей, оценка нагрузки на команду. Но что за этим стоит, откуда весь этот контент? КАРТИНКИ ТУТ -> https://habr.com/ru/company/softline/blog/431548/ В основе всего лежит принцип оперирования информационными объектами. И вот он, момент, где функционал вытесняет наглядность. Может потребоваваться куча времени, слайдов и фломастеров, чтобы понять, что же здесь творится. Если коротко и упрощая, система при помощи политики, состоящей из правил, оперирующих информационными объектами, заданными критериями с возможностью использования шаблонов, создаёт из сообщений события, имеющие возможность стать инцидентами. События в системе Самое главное, что из потока информации система создаёт «события» – уведомления о том, что вероятно что-то не в порядке. А дальше снова красота. У события есть красивая карточка, где кратко описано, кто, что и каким способом натворил. Для простоты карточки ранжируются по критичности и типу действий (снова магия). Остаётся внимательно на неё посмотреть и проверить, правильно ли заклинание сработало. КАРТИНКА В один клик отдаём неправильное нашему чародею на «допил», а правильное фиксируем как инцидент. Зафиксировали? Кричим в соседний кабинет: «Коллеги, примите в работу!». А нет, система просит назначить ответственного. Назначаем – самый ответственный получает уведомление. В итоге у каждого события есть статус, а у каждого инцидента – ответственный. Ничего не потеряли. Статусы система учла и считает те самые тренды. Красота. На что ещё способна эта магия? Прерывать процесс передачи данных, если они классифицированы как информационный объект. Выдавать предупреждения о потенциальном нарушении (по тому же принципу). Приостанавливать почту в карантин (и сразу же уведомлять об этом на дашборде). Модифицировать письма, убирая критичные объекты. Распределять нарушителей в группы особого контроля. Умный поиск С основной рутиной разобрались. Дальше – заглянуть в прошлое – поиск. И снова нас встречает красота – простой поиск. Привычными движениями «гуглим» информацию в строке поиска. Не хватает? Переходим в режим расширенного поиска. И снова наглядность нас покидает. Множество доступных для поиска атрибутов – хорошо, но попробуйте сходу отличить «отправитель» от «персона» или «источник» или даже «персона-источник». Так ещё логические операции выполняются в не самом очевидном порядке. Сложно. А вот умный поиск хорош – позволяет найти похожие файлы среди всех коммуникаций – всего пара кнопок, а какой простор для творчества. Досье. Снова красота. Вся информация по персоне так ещё и вся статистика по нарушениям (снова магия информационных объектов). Граф связей в комплекте, правда, ни красотой, ни мощью не отличается. Отчеты. Выбор, конечно, не богат. Но вот «Тепловая карта коммуникаций» – очень полезная штука. Мало кто сходу сможет сказать, в каких подразделениях какая информация обрабатывается. А зачастую сложно даже определить, где какими каналами коммуникаций пользуются. Вот здесь и поможет тепловая карта. Вся активность выбранной группы сотрудников будет распределена по категориям, а дальше делаем выводы: какие действия норма, а какие – аномалия. Тепловая карта. Полезно на старте настройки, пригодится и в дальнейшей работе. Остальные отчеты скорее для возможности передать коллегам/руководству всё то, что мы сами видим в различных разделах системы. Цитатки великих Внедрение Solar Dozor, кстати, произошло в достаточно сжатые сроки — за полгода. Директор Департамента кибербезопасности Сбербанка Сергей Лебедь комментирует: «Влияние DLP-системы удалось распространить на весь банк — от Калининграда до Камчатки. В результате мы смогли обеспечить тотальный контроль передаваемой информации. В нашей стране нет аналогичных внедрений подобных решений, работающих в инфраструктурах такого масштаба — с петабайтами данных и терабайтами оперативной памяти». |