как компонент SOC”остоевский/24 мая... · Публикации в...
Transcript of как компонент SOC”остоевский/24 мая... · Публикации в...
DLP как компонент SOC
Алексей Раевский
Генеральный директор Zecurion
К.т.н., MBA
Firewall
Antivirus
IDS/IPS
ApplicationsFiles
WAF
DLP
ТИПИЧНЫЕ ИСТОЧНИКИ SOC
DLP AS A SERVICE – ПЛЮСЫ
Легкая масштабируемость
Ускоренное внедрение
Отсутствие капитальных затрат
«Сетевой» эффект
Постоянная защита и мониторинг
Отсутствие необходимости в квалифицированных специалистах
DLP AS A SERVICE – МИНУСЫ
Меньшая гибкость при внедрении
Меньшая гибкость при использовании
Риск компрометации конфиденциальной информации
Сложности при создании правил – низы не могут, а верхи не хотят
ТИПИЧНЫЕ ПОЛЬЗОВАТЕЛИ DLPaaS
Пользователи облачных сервисов
Малый и средний бизнес
Государственные и правительственные организации
Компании, входящие в холдинг
КАК РАБОТАЕТ DLPaaS
DLP сервис
Администратор(аудитор)
Рабочие местасотрудников
Политики и настройки
Инциденты
Политики и настройки
Отчетыи уведомления
СЕТЕВОЙ DLPaaS
Администратор(аудитор)
Рабочие местасотрудников
SMTP, HTTP, HTTPS, … Отчеты и уведомления
Mail RelayWeb Proxy
DLP Server
Интернет
ENDPOINT DLPaaS
Администратор(аудитор)
Агенты на рабочих местах
Файлы, инциденты, …
Отчеты и уведомленияDLP Server
Установка, настройка, распространение политик
ИЗВЕСТНЫЕ ПРОБЛЕМЫ SIEM
Аналитические возможности ограничены той информацией, которую он собрал
Негибкие правила анализа в изменяющейся среде
«Нормальное поведение» для разных пользователей может различаться
Большой объем логов – большое количество ложных срабатываний
Ограниченный набор источников данных (отсутствие данных от части или всех конечных точек)
ПРЕИМУЩЕСТВА DLP
Анализ контента
Возможность сопоставления инцидентов с правилами и политиками
Поведенческий анализ пользователей
Расследование инцидентов
Построение типовых профилей для пользователя/роли/группы
Выявление отклонений и аномалий
Детектирование угроз на ранних стадиях
Диаграммы и цепочки связей
ПОВЕДЕНЧЕСКИЙ АНАЛИЗ (UBA)
ДИАГРАММА СВЯЗЕЙ
ПОВЕДЕНЧЕСКИЙ АНАЛИЗ
КАНАЛЫ УТЕЧКИ
СЕРВЕР УСТАНОВОК
Информация со шлюза сети:
Посещаемые ресурсы
Публикации в интернете, общение в социальных сетях и на форумах
Переписка в мессенджерах
Поисковые запросы
Трафик и файлы
DLP – ИСТОЧНИК ИНФОРМАЦИИ
Информация с рабочих станций:
Что копируется на флешки и другие носители
Что распечатывается на принтерах
Журналирование нажатий клавиатуры
Запись действий пользователей
DLP – ИСТОЧНИК ИНФОРМАЦИИ
Места хранения данных:
Сервера и хранилища
Рабочие станции
Ресурсы с общим доступом
DLP – ИСТОЧНИК ИНФОРМАЦИИ
Сведения о пользователях:
Профили пользователей
Чем занимаются
Активность (время, распределение, etc)
Эффективность, продуктивность
Шаблоны поведения
DLP – ИСТОЧНИК ИНФОРМАЦИИ
Уникальная информация, которую может поставить только DLP-система
DLP закрывает часть задач SOC, включая реагирование на инциденты и предотвращение нарушений
DLP помогает выстраивать процесс, является мостиком от инструмента к процессам и результату
Контроль облачных сервисов
Солидарное выполнение требований законодательных актов
DLP – НЕОТЪЕМЛЕМЫЙ КОМПОНЕНТ SOC
ПРЕИМУЩЕСТВА ИНТЕГРАЦИИ
Более полная информация об инцидентах ИБ
Более быстрая реакция на инциденты
Комбинирование информации о внешних и внутренних угрозах
Более эффективная стратегия борьбы с угрозами
Настройка политик DLP на основе аналитики, полученной от SIEM
Роберт ФельдштейнВице-президент по развитию бизнеса
AMD
Обвинялся в краже 150 ТЫС.конфиденциальных документов при переходе в конкурирующую Nvidia в 2012 году
Расследование длилось 6 МЕСЯЦЕВ и основным аргументом истца было совпадение имен файлов
Обвиняемый скопировал строго конфиденциальные документы, содержащие производственные know-how, условия договоров и сообщения электронной почты
ПРЕИМУЩЕСТВА ИНТЕГРАЦИИ
DLP – инструмент расследований
DLP инвентаризирует информационные ресурсы
ИНТЕГРАЦИЯ DLP И ГосСОПКА
*Изображение с сайта Anti-Malware.Ru
Инсайдер
DLPСопкаВедомственыйцентр DLP
Данные UBA
Активность администраторов(внутренние логи)
Архив переписки и всех данных
Инциденты внутренних
угроз
DLPСопка
Спасибо за внимание!
www.zecurion.ru
+7 495 221-21-60