Security Lab

DLP-Russia 2013: Обзор

DLP-Russia 2013: Обзор
Начну с выражения благодарности организаторам - конференция была выстроена на качественном уровне. Фуршет, опять же :). Стенды, возле которых не приходилось толкаться, здоровая атмосфера, вкуснейшие пироженки (съел их тьму). В общем, конференция в организационной точки зрения мне весьма и весьма понравилась. Впрочем как и с деловой.

Итак, 20 сентября, вчера, прошла конференция DLP-Russia, посвященная защите от внутренних угроз информационной безопасности и, в частности, контролю утечек информации. Пленарную часть, увы, пропустил (коллеги весьма лестно отзывались о выступлении Натальи Касперской). Крайне интересные вопросы подняли эксперты на завершающем этапе деловой части - озвучили интересные статистические результаты, привели много хороших кейсов... пожалуй, о круглом столе нужно будет написать отдельно, поэтому перейду непосредственно к интересным докладам и стендам, которые я посетил.

Что ждет нас в Traffic Monitor 5.0?
Презентацию нового релиза флагманского продукта InfoWatch провел Александр Клевцов. Знакомые с интерфейсом TM 4.0 заметят, что изменилось все. Во-первых, на смену толстому клиенту придет веб-морда. При всей моей нелюбви к веб-интерфейсам, вынужден признать морда весьма симпатичная (и ее еще можно настраивать, выбирая какие виджеты будут отображаться). Кроме того появляются политики, в которых можно прописать легитимные/нелегитимные каналы для различных видов информации. Причем на довольно простом человеческом языке, хотя меня вполне устраивала работа с известными из мат.логики операторами. В общем, новшества я пока принимаю весьма насторожено. Релиз пятерки запланирован на ноябрь - тогда и нужно будет посмотреть "невендорские"отзывы о продукте.

Веб-интерфейс и упрощение языка направлены на вовлечение большего числа сотрудников в процесс контроля утечек. Т.е. предполагается, что HR'ы будут помечать критичных пользователей (сотрудников на испытательном сроке, собирающихся увольняться), владельцы процессов будут описывать легитимные пути... в общем, сомнительно, что в реальной организации можно будет все это сбросить с плеч ибшников... Но опять же, поглядим.

Из действительно нужных вещей добавились "карточка сотрудника" (возможно, называется она и не так), в которой можно просмотреть статистику по человеку. Ну и, возможность снимать"динамические отпечатки"с больших баз данных (до 2 млн. записей) также весьма радует.

InfoWatch Kribrum
Увидел информацию об этом продукте на стенде Инфовотч - продукт очень меня заинтересовал. Но послушать о нем не получилось, а сегодня разбирая маркетинговую "макулатуру", подаренную на конференции вновь на него наткнулся. Продукт позиционируется как автоматизированная система мониторинга и анализа социальных медиа, который позволяет анализировать информацию о брендах, компаниях и отдельных личностях. В общем, создан для управления репутацией компании и в теории является отличным инструментом для конкурентной разведки. В общем, поиграть с этой штукой и посмотреть на ее возможности будет крайне интересно.

Дозор-Джет 5.0
Презентовал систему Михаил Аношин, собственно благодаря которому я и попал на DLP-Russia (за что ему большое спасибо). С новой версией DLP-системы от Jet Infosystems, которая, к слову, веб-интерфейсом обзавелась уже очень давно, мне уже довелось поработать. Система, на мой взгляд, развивается в правильном направление - появилось "досье", информация для которого вытягивается как из AD, так и может добавляться в ручную. В досье ведется статистика инцидентов...

Впрочем, информация по Дозор-Джет ждет читателей блога чуть позже, когда мы закончим пилот, поэтому сейчас расписывать все "плюшки"и "баги"не буду. Но, что касается стенда (не могу не отметить) - многие участники конференции стали счастливыми обладателями стаканов под виски с маркировкой "Дозор-Джет 5.0 Глоток безопасности" (изначально наполненных Jemeson'ом).

Взаимодействие между департаментами для обеспечения стратегии ИБ
В докладе с таким названием Михаил Рыстенко (директор по ИТ, "Альбатрос Лоджистикс";) привел интересную модель взаимодействия департаментов при защите информации от утечек, которая вызвала некоторый резонанс в рядах зрителей. Суть в том, что ответственность в наибольшей мере, согласно этой модели, за утечку информации несет ее владелец, которым является определенный сотрудник организации. Именно он должен инициировать процесс защиты от утечек конкретной информации, сообщив об этом департаментам ИБ и ИТ (т.е. владелец отвечает на вопрос: "Что нужно защищать?", оценив стоимость информации на рынке). Сотрудники ИБ должны предоставить варианты, с помощью которых можно осуществить защиту (ответить на вопрос: "Как защищать?", опираясь на свой ибшный опыт, имеющиеся в наличие СЗИ...). А вот реализовывать защиту, по мнению докладчика, должен департамент ИТ.

"Защита конфиденциальной информации, не DLP единым...
Антон Афанасьев (руководитель направления прикладных решений по ИБ, Softline), рассказал о недостаточности использования для контроля утечек только DLP-систем, приводя при этом много интересных кейсов и продуктов, снижающих остаточные, после внедрения DLP-риски. Про продукты рассказывать не буду, но вот пара кейсов, которые мне запомнились:

Обход списка белых/черных устройств. Докладчик рассказал, что с помощью "китайского usb-хаба"можно легко обойти списки разрешенных устройств (в частности, флэшек). Суть в том, что воткнув в вышеозначенный хаб "белое"устройство, оно адекватно распознается системой, но система считает белым и пушистым сам хаб, в которой теперь смело можно втыкать съемный жесткий диск и сливать всю конфиденциальную информацию.
BYOD и мимо DLP</b>. Еще один способ обхода DLP-систем, причем очень простой. Негодяй приходит в офис со своим ноутбуком, перетыкает сеть в бук, аутентифицируется под своей учеткой при доступе к общим сетевым ресурсам и заливает на свое устройство все, до чего дотянутся руки.
Alt text

Цифровые следы - ваша слабость, и хакеры это знают.

Подпишитесь и узнайте, как их замести!