DLP как компонент SOC

Алексей Раевский

Генеральный директор Zecurion

К.т.н., MBA

Firewall

Antivirus

IDS/IPS

ApplicationsFiles

WAF

DLP

ТИПИЧНЫЕ ИСТОЧНИКИ SOC

DLP AS A SERVICE – ПЛЮСЫ

Легкая масштабируемость

Ускоренное внедрение

Отсутствие капитальных затрат

«Сетевой» эффект

Постоянная защита и мониторинг

Отсутствие необходимости в квалифицированных специалистах

DLP AS A SERVICE – МИНУСЫ

Меньшая гибкость при внедрении

Меньшая гибкость при использовании

Риск компрометации конфиденциальной информации

Сложности при создании правил – низы не могут, а верхи не хотят

ТИПИЧНЫЕ ПОЛЬЗОВАТЕЛИ DLPaaS

Пользователи облачных сервисов

Малый и средний бизнес

Государственные и правительственные организации

Компании, входящие в холдинг

КАК РАБОТАЕТ DLPaaS

DLP сервис

Администратор(аудитор)

Рабочие местасотрудников

Политики и настройки

Инциденты

Политики и настройки

Отчетыи уведомления

СЕТЕВОЙ DLPaaS

Администратор(аудитор)

Рабочие местасотрудников

SMTP, HTTP, HTTPS, … Отчеты и уведомления

Mail RelayWeb Proxy

DLP Server

Интернет

ENDPOINT DLPaaS

Администратор(аудитор)

Агенты на рабочих местах

Файлы, инциденты, …

Отчеты и уведомленияDLP Server

Установка, настройка, распространение политик

ИЗВЕСТНЫЕ ПРОБЛЕМЫ SIEM

Аналитические возможности ограничены той информацией, которую он собрал

Негибкие правила анализа в изменяющейся среде

«Нормальное поведение» для разных пользователей может различаться

Большой объем логов – большое количество ложных срабатываний

Ограниченный набор источников данных (отсутствие данных от части или всех конечных точек)

ПРЕИМУЩЕСТВА DLP

Анализ контента

Возможность сопоставления инцидентов с правилами и политиками

Поведенческий анализ пользователей

Расследование инцидентов

Построение типовых профилей для пользователя/роли/группы

Выявление отклонений и аномалий

Детектирование угроз на ранних стадиях

Диаграммы и цепочки связей

ПОВЕДЕНЧЕСКИЙ АНАЛИЗ (UBA)

ДИАГРАММА СВЯЗЕЙ

ПОВЕДЕНЧЕСКИЙ АНАЛИЗ

КАНАЛЫ УТЕЧКИ

СЕРВЕР УСТАНОВОК

Информация со шлюза сети:

Посещаемые ресурсы

Публикации в интернете, общение в социальных сетях и на форумах

Переписка в мессенджерах

Поисковые запросы

Трафик и файлы

DLP – ИСТОЧНИК ИНФОРМАЦИИ

Информация с рабочих станций:

Что копируется на флешки и другие носители

Что распечатывается на принтерах

Журналирование нажатий клавиатуры

Запись действий пользователей

DLP – ИСТОЧНИК ИНФОРМАЦИИ

Места хранения данных:

Сервера и хранилища

Рабочие станции

Ресурсы с общим доступом

DLP – ИСТОЧНИК ИНФОРМАЦИИ

Сведения о пользователях:

Профили пользователей

Чем занимаются

Активность (время, распределение, etc)

Эффективность, продуктивность

Шаблоны поведения

DLP – ИСТОЧНИК ИНФОРМАЦИИ

Уникальная информация, которую может поставить только DLP-система

DLP закрывает часть задач SOC, включая реагирование на инциденты и предотвращение нарушений

DLP помогает выстраивать процесс, является мостиком от инструмента к процессам и результату

Контроль облачных сервисов

Солидарное выполнение требований законодательных актов

DLP – НЕОТЪЕМЛЕМЫЙ КОМПОНЕНТ SOC

ПРЕИМУЩЕСТВА ИНТЕГРАЦИИ

Более полная информация об инцидентах ИБ

Более быстрая реакция на инциденты

Комбинирование информации о внешних и внутренних угрозах

Более эффективная стратегия борьбы с угрозами

Настройка политик DLP на основе аналитики, полученной от SIEM

Роберт ФельдштейнВице-президент по развитию бизнеса

AMD

Обвинялся в краже 150 ТЫС.конфиденциальных документов при переходе в конкурирующую Nvidia в 2012 году

Расследование длилось 6 МЕСЯЦЕВ и основным аргументом истца было совпадение имен файлов

Обвиняемый скопировал строго конфиденциальные документы, содержащие производственные know-how, условия договоров и сообщения электронной почты

ПРЕИМУЩЕСТВА ИНТЕГРАЦИИ

DLP – инструмент расследований

DLP инвентаризирует информационные ресурсы

ИНТЕГРАЦИЯ DLP И ГосСОПКА

*Изображение с сайта Anti-Malware.Ru

Инсайдер

DLPСопкаВедомственыйцентр DLP

Данные UBA

Активность администраторов(внутренние логи)

Архив переписки и всех данных

Инциденты внутренних

угроз

DLPСопка

Спасибо за внимание!

www.zecurion.ru

+7 495 221-21-60

info@zecurion.com