1. Можно ли обмануть DLP-систему?
Алексей Раевский
кандидат технических наук
генеральный директор Zecurion
2. О КОМПАНИИ ZECURION
Основана в 2001 году, прежнее название SecurIT
Фокус — защита информации от утечек (DLP)
Штаб-квартира в Москве, офис в Нью Йорке
Множество российских и международных премий
1 патент США, несколько заявок
Лицензии и сертификаты ФСБ, ФСТЭК, МО России,
Zecurion DLP в реестре российского ПО
4. 2-АЯ ВОЛНА ИНТЕРЕСА К DLP
General Data Protection Regulation (GDPR)
Поправки в закон «О персональных данных»
Обязательное уведомление об утечках
Ответственность операторов персональных данных за
утечки
Распространяется на всех, кто работает с
персональными данными граждан EU
72 часа на уведомление об утечке
Штрафы до €20 млн. или 4% годового оборота
5. КАКИЕ КАНАЛЫ КОНТРОЛИРУЕТ DLP
Сетевые
Электронная почта
Интернет-мессенджеры
Социальные сети
Сайты, форумы, блоги
Локальные
USB-накопители
Принтеры
Периферийные устройства
7. ФОТО ЭКРАНА НА ТЕЛЕФОН
Сфотографировать
конфиденциальную информацию
с экрана компьютера.
С помощью фотографий сложно украсть
большой объём информации (например, базу
данных).
8. ИЗМЕНЕНИЕ КОДИРОВКИ
Файл с конфиденциальной
информацией
пересохраняется в
нестандартной кодировке.
Распознавание кодировок,
после чего анализ текста
обычным образом.
10. ПЕЧАТЬ В ФАЙЛ
С помощью функции печати
информация выводится в
файл (например, PDF или
PostScript).
Контроль вывода
информации на печать вне
зависимости от контейнера
назначения, файл или
бумажный носитель.
11. СНИМКИ ЭКРАНА (СКРИНШОТЫ)
Пользователь делает скриншот
экрана с помощью команды «Print
screen».
Контроль буфера обмена, и
своевременное предотвращение
нарушения политик.
12. ВЛОЖЕННЫЕ АРХИВЫ
Создаётся несколько вложенных
архивов с конфиденциальными
документами.
Раскрытие всей цепочки архивов и
анализ документов внутри архива.
13. «СКЛЕИВАНИЕ» ФАЙЛОВ
К произвольному документу побитно дописывается
конфиденциальный. Например, к avi-файлу присоединяется
doc-файл. При этом операционной системой исходный файл
корректно распознаётся и открывается.
Распознавание склеенных файлов, анализ содержимого
каждого и блокировка передачи информации в случае
выявления нарушений.
14. ЗАГРУЗКА С ВНЕШНЕГО НОСИТЕЛЯ
Рабочая станция загружается
с внешнего носителя,
например, Live-USB.
Для предотвращения
несанкционированного
доступа к данным, даже при
загрузке с внешнего носителя
рекомендуется использовать
шифрование.
15. ОТКЛЮЧЕНИЕ СЛУЖБЫ
Отключение работы
служб Windows или
загрузка компьютера в
безопасном режиме
для удаления
исполняемого файла.
Лишать пользователя
прав локального
администратора.
16. КОПИРОВАНИЕ НА ВНЕШНИЕ НОСИТЕЛИ
Технология превентивного
копирования и анализа данных. Файл
не копируется на внешний носитель
до окончания процесса его анализа.
При записи конфиденциального файла
на внешний носитель DLP-система
удаляет его. При этом файл можно
восстановить с помощью
специализированных утилит.
18. ЭКОНОМИЧЕСКИЙ ЭФФЕКТ
ЭЭ = У1 ─ (У2 +ЗDLP)
ЭЭ — экономический эффект
У1 — ущерб от утечек без DLP
У2 — ущерб от утечек с DLP
ЗDLP — затраты на DLP
19. ПРЕИМУЩЕСТВАZECURION DLP
Контроль более 500 форматов файлов
Блокировка утечек по любым каналам
Интегрированное модульное решение для контроля на уровне
конечных точек и шлюза, и защиты информации во время хранения
Архив всех событий и связанных файлов
Единая консоль управления с web-интерфейсом и интерактивными
отчётами
Быстрый старт благодаря интеграции с Active Directory