Главная страница
Навигация по странице:

  • Зачем нужна DLP и как она работает

  • Что такое dlp-система

  • Способы перехвата данных

  • Можно подробнее

  • Стол руководителя

  • События в системе

  • Тепловая карта.

  • Цитатки великих

  • Реферат. Dlp. Сбербанк Что такое dlp система


    Скачать 58.91 Kb.
    НазваниеDlp. Сбербанк Что такое dlp система
    АнкорРеферат
    Дата03.04.2023
    Размер58.91 Kb.
    Формат файлаdocx
    Имя файлаDLP.docx
    ТипДокументы
    #1035350

    DLP. Сбербанк

    Что такое DLP система?

    DLP-система (от англ. Data Leak Prevention) — это специализированное ПО, которое защищает организацию от утечек данных. Данная технология – это не только возможность блокировать передачу конфиденциальной информации по различным каналам, но и инструмент для наблюдения за ежедневной работой сотрудников, который позволяет найти слабые места в безопасности до наступления инцидента.

    Зачем нужна DLP и как она работает?

    Часто в компаниях больше внимание уделяют внешним угрозам: спаму и фишинг-атакам типа «отказ в обслуживании», вирусам (троянскому ПО, червям), подмене главных страниц интернет-ресурсов, шпионскому и рекламному программному обеспечению, социальному инжинирингу. Но на самом деле внутренние угрозы способны причинить компании куда более серьезный ущерб, чем злоумышленники за ее пределами.

    В принципе любой работник компании может являться потенциальным инсайдером и поставить информационную безопасность под угрозу. От злого умысла или банальной оплошности не застрахован никто: от низшего звена и до топ-менеджмента.

    Принцип работы DLP-системы прост и заключается в анализе всей информации: исходящей, входящей и циркулирующей внутри компании. Система при помощи алгоритмов анализирует, что это за информация и в случае, если она критичная и отправляется туда куда ей не положено — блокирует передачу и/или уведомляет об этом ответственного сотрудника.

    Основа DLP — набор правил. Они могут быть любой сложности и касаться разных аспектов работы. Если кто-то их нарушает, то ответственные лица получают уведомление.



    Так, например, в компании Х выявили сотрудника, который занимался майнингом криптовалют. Это было обнаружено при использовании модуля активности пользователей – отчёт показал, что рабочая станция не отключалась на ночь. После просмотра запущенных процессов выяснилось, что сотрудник перед уходом запускал процесс майнинга.

    Что такое dlp-система?

    Система отслеживает не только время работы и активные программы на компьютере, но и любую другую работу с информацией, — ввод данных с клавиатуры, переписку и передачу файлов по почте, в соцсетях и мессенджерах, отправляемые на печать документы, время простоя, SIP-телефонию, активность на сайтах и многое другое.

    Способы перехвата данных

    Для того, чтобы анализировать данные — DLP-система сперва должна их получить.

    Есть два основных способа перехвата — серверный и агентский. В первом случае система контролирует сетевой траффик на сервере, через который компьютеры «общаются» с внешним миром. Во втором случае специальные небольшие программы — агенты — устанавливаются на все компьютеры организации и передают с каждой машины данные для анализа.

    Агентский перехват является более распространённым, ведь с его помощью можно получить гораздо больше данных из различных каналов коммуникации, а значит и надежнее предотвратить возможные утечки

    DLP в Сбербанке

    В Сбербанк в 2022 внедрена DLP-система Solar Dozor.

    Solar Dozor

    Solar Dozor — система для предотвращения утечек конфиденциальной информации (Data Leak Prevention, DLP). Ее возможности обеспечивают контроль коммуникаций сотрудников, блокировку или изменение нежелательных сообщений, выявление и мониторинг групп риска, а также ретроспективный анализ архива коммуникаций для проведения расследований. Кроме этого, Solar Dozor может анализировать поведение пользователей (User Behavior Analytics), что позволяет выявлять аномалии поведения, круг общения и приватные контакты сотрудников, а также профилировать их на основе 19 устойчивых паттернов поведения.

    В Solar Dozor реализована современная концепция обеспечения внутренней безопасности организации — People-Centric Security. В ее основе — концентрация внимания службы безопасности не на движении информации, а на сотрудниках, их связях и поведении. Такой подход значительно снижает количество ложных срабатываний и отвлекающих уведомлений. В результате офицеры безопасности могут сосредоточиться на расследовании и профилактике критических инцидентов.

    Если организация состоит из нескольких дочерних зависимых обществ или территориально-распределенных филиалов, инсталляции Solar Dozor могут работать как единое целое (функции модуля MultiDozor). Это дает возможность:

    • в режиме реального времени получать и обрабатывать данные по всей компании или отдельным подразделениям;

    • контролировать деятельность всех пользователей DLP-системы;

    • выполнять централизованный мониторинг групп особого контроля;

    • проводить сквозные расследования в масштабе компании;

    • централизованно управлять системой и распространять политику безопасности в филиалы.

    Можно подробнее??

    Как и любая информационная система, Dozor старается балансировать между мощью и простотой. Да так, чтобы обе составляющих выкрутить на максимум. Вот только возможно ли это?

    Стол руководителя

    Встречает нас простота – дашборд. Всё красиво, наглядно, в картинках. Дашборд руководителя – вообще сказка – тренды по нарушениям, ТОП нарушителей, оценка нагрузки на команду. Но что за этим стоит, откуда весь этот контент?

    КАРТИНКИ ТУТ -> https://habr.com/ru/company/softline/blog/431548/

    В основе всего лежит принцип оперирования информационными объектами. И вот он, момент, где функционал вытесняет наглядность. Может потребоваваться куча времени, слайдов и фломастеров, чтобы понять, что же здесь творится. Если коротко и упрощая, система при помощи политики, состоящей из правил, оперирующих информационными объектами, заданными критериями с возможностью использования шаблонов, создаёт из сообщений события, имеющие возможность стать инцидентами.

    События в системе

    Самое главное, что из потока информации система создаёт «события» – уведомления о том, что вероятно что-то не в порядке. А дальше снова красота. У события есть красивая карточка, где кратко описано, кто, что и каким способом натворил. Для простоты карточки ранжируются по критичности и типу действий (снова магия). Остаётся внимательно на неё посмотреть и проверить, правильно ли заклинание сработало.

    КАРТИНКА

    В один клик отдаём неправильное нашему чародею на «допил», а правильное фиксируем как инцидент. Зафиксировали? Кричим в соседний кабинет: «Коллеги, примите в работу!». А нет, система просит назначить ответственного. Назначаем – самый ответственный получает уведомление. В итоге у каждого события есть статус, а у каждого инцидента – ответственный. Ничего не потеряли. Статусы система учла и считает те самые тренды. Красота.

    На что ещё способна эта магия? Прерывать процесс передачи данных, если они классифицированы как информационный объект. Выдавать предупреждения о потенциальном нарушении (по тому же принципу). Приостанавливать почту в карантин (и сразу же уведомлять об этом на дашборде). Модифицировать письма, убирая критичные объекты. Распределять нарушителей в группы особого контроля.

    Умный поиск

    С основной рутиной разобрались. Дальше – заглянуть в прошлое – поиск. И снова нас встречает красота – простой поиск. Привычными движениями «гуглим» информацию в строке поиска. Не хватает? Переходим в режим расширенного поиска. И снова наглядность нас покидает. Множество доступных для поиска атрибутов – хорошо, но попробуйте сходу отличить «отправитель» от «персона» или «источник» или даже «персона-источник». Так ещё логические операции выполняются в не самом очевидном порядке. Сложно. А вот умный поиск хорош – позволяет найти похожие файлы среди всех коммуникаций – всего пара кнопок, а какой простор для творчества.

    Досье. Снова красота. Вся информация по персоне так ещё и вся статистика по нарушениям (снова магия информационных объектов). Граф связей в комплекте, правда, ни красотой, ни мощью не отличается.

    Отчеты. Выбор, конечно, не богат. Но вот «Тепловая карта коммуникаций» – очень полезная штука. Мало кто сходу сможет сказать, в каких подразделениях какая информация обрабатывается. А зачастую сложно даже определить, где какими каналами коммуникаций пользуются. Вот здесь и поможет тепловая карта. Вся активность выбранной группы сотрудников будет распределена по категориям, а дальше делаем выводы: какие действия норма, а какие – аномалия.

    Тепловая карта. Полезно на старте настройки, пригодится и в дальнейшей работе. Остальные отчеты скорее для возможности передать коллегам/руководству всё то, что мы сами видим в различных разделах системы.

    Цитатки великих

    Внедрение Solar Dozor, кстати, произошло в достаточно сжатые сроки — за полгода. Директор Департамента кибербезопасности Сбербанка Сергей Лебедь комментирует:

    «Влияние DLP-системы удалось распространить на весь банк — от Калининграда до Камчатки. В результате мы смогли обеспечить тотальный контроль передаваемой информации. В нашей стране нет аналогичных внедрений подобных решений, работающих в инфраструктурах такого масштаба — с петабайтами данных и терабайтами оперативной памяти».


    написать администратору сайта