Skip to main content

Наше большое семейство. Часть первая, флагманская

В рубрике
5 votes

Привет всем полуночникам!

Для начала объясню, почему посты у нас появляются каждый день...а точнее, каждую ночь)Совсем скоро на сайте запустится игра - я так поняла, новый Триатлон, но только немножко в другом формате. Никаких секретов пока не выдаю, Рита и Стас расскажут вам об этом лучше.
Так вот, первое задание, как собственно и второе, и третье, будет от компании InfoWatch...ну, и ПРО компанию InfoWatch - как бы это ни казалось вам нескромным) Ну так вот, сейчас я вам предлагаю всю информацию, которая очень пригодится в первом туре. А если участвовать вы не планируете, то она тогда FYI) Не стесняемся, проходим, читаем, задаем вопросы)

Этим постом я открываю продуктовую серию материалов. Следующие несколько дней я буду рассказывать о наших продуктах, а их у нас вдруг стало много)

Итак, самый главное наше решение -это InfoWatch Traffic Monitor Enterprise. Собственно, это то, что кормит сегодня всю компанию. Дорогой, тяжелый, сложный, многомодульный, интересный и имеющий дополнительные интересные возможности продукт. Здесь писать много о деталях я не буду - не всем интересны технические подробности, но особо заинтересованным, а также будущим игрокам нового Триатлона я советую ознакомиться с обзором портала Anti-Malware.ru, а также с листовкой по продукту.

Начнем с конца. О каких дополнительных возможностях я говорила. Давайте сюда руку, я углубляюсь в проблему, а вы за мной - след в след!

Ежедневно в любой компании генерится огромное количество информации, она хаотично гуляет по сотрудникам, никто толком и не знает, является ли она конфиденциальной или нет, никто не знает, что можно с ней делать, а что нельзя и пр. В итоге, кто-нибудь специально или ненарочно сливает инфу куда не надо - паника, убытки, увольнения и растраченные нервы=)

aut

Traffic Monitor умеет категоризировать информацию и определять, какая "бумажка" конфиденциальная, а какая нет. Процесс этот осуществляется благодаря обучаемой под ту или иную отрасль специальный лингвистический движок. Подробней о технологиях, используемых в DLP, я расскажу вам в следующем посте.

sv
После того, как наша система научилась понимать, что надо защищать, а что нет, она сканирует все действия пользователей в корпоративной сети. Traffic Monitor стоит по периметру организации, детектируя все исходящие данные. Вариантов работы системы несколько: в разрыв, то есть когда все подозрительные действия блокируются системой, и не в разрыв, когда все сообщения пропускаются, однако те, которые кажутся системе нелигетимными помечаются в консоли офицера безопасности красным флажком...

tm

Интересный факт
: в разрыв систему не использует практически никто. Система не застрахована от ложных срабатываний, и бизнес-процессы в компании могут просто остановиться.

Подчеркну тот факт, что все действия пользователей складываются в одно большое хранилище Forensic Storage, в случае каких-либо разбирательств информацию оттуда можно всегда извлечь и увидеть, кто явился виновником утечки.

+ на каждом компьютере устанавливается агент InfoWatch Device Monitor, который контролирует действия сотрудников на их рабочих компьютерах: что они копировали на флешки, о чем говорили в Skype и пр. Инциденты с DM точно также попадают в хранилище, где лежат до восстребования.

Естественно, что при обучении системы возможно (и необходимо) осуществить интеграцию с Active Directory для настройки политик пользования: что разрешено одному сотрудднику, то запрещено другому. Если, скажем, директор по маркетингу имеет право пересылать Road Map (список фич на ближайшие версии продукта), то стажеру это делать необязательно - и такое действие обязательно будет помечено красным флажком.

Так, InfoWatch предлагает комплексную защиту от потенциальных утечек...Конечно, всегда остаются способы обойти систему - человек безграничен в своих фантазиях, как кого-нибудь обмануть. Поэтому мы никогда не гарантируем 100% защиту информации, мы обещаем защитить от всех случайных инцидентов (например, не по тому адресу отправлено письмо) и от части умышленных, когда инсайдеры не приложили достаточно усилий, чтобы скрыть свои следы.

А мне вот интересно,а каким путем обманули бы вы подобную систему, если бы вам предложили золотые реки за корпоративную тайну?)

Аватар пользователя kirill_zhelyabin

Сфотографировать экран на камеру мобильного телефона) по-моему самое простое что можно сделать.

Аватар пользователя Tamara Nikiforova

а повсюду стоящие камеры слежения?)представим, что одну из камер так неудачно расположили, что она снимает прям твое рабочее место...
Кстати говоря, практика видеосъемки рабочих мест практикуется на особо секретных предприятиях.

Аватар пользователя kirill_zhelyabin

Можно сказать : я смотрю входящие смс. Через камеры слежения практически невозможно увидеть что ты включил камеру или просматриваешь смс

Аватар пользователя InfoWatch

ок) а представь, что предприятие режимное, и сотрудники сдают все телефоны и пр. технику на входе. Это не миф и не сказка, подобные драконовские меры используются до сих (реальных историй на эту тему масса: НИИ,охрана, металлоискатель и прочие штуки)

Аватар пользователя kirill_zhelyabin

Тогда у инсайдеров должна быть хорошая визуальная память )

Аватар пользователя InfoWatch

Вот это точно) Вариант заучивать наизусть - беспроигрышный) В ИБ еще пока нет такой штуки, как была у "Людей в черном" : выходит человек с работы, а ему делают "щелк" беленькой вспышкой перед глазами, и он уже ничего не помнит из того, что ему помнить или знать не надо)

Аватар пользователя Желябин Антон

А для внеофиссных сотрудников заказчики ставят эту систему ?

Аватар пользователя InfoWatch

Периметр компании - это понятие сегодня сильно "размылось" за счет как раз вот этих внеофисных сотрудников. Однако они все равно объединены в одну сеть, которую можно защищать
Контролировать их действия сложней, но возможно DLP системами.
Я говорю конкретно о Traffic Monitor, который может контролировать пересылаемые по корпоративной почте файлы...
Сложно заставить сотрудника поставить на свой личный компьютер (для работы удаленно) какую-нибудь штуку типа Device Monitor...Есть вариант - выдавать уже защищенные ноутбуки с установленным необходимым софтом, но это не все компании могут позволить. Да и потом, бывают случаи когда никто никогда подрядчика и в глаза-то не видел, потому что он сидит на Бали и в Москву совсем не стремится.

С этим вопросом у рынка большие сложности...

Аватар пользователя Salyria

На мой взгляд, кто ищет, то всегда найдет Smile
Можно применить к файлу кучу шифров и переслать по почте, распечатать информацию для совещания, а потом незаметно унести и т.д.
Не думаю, что за информацию заплатят десятилетнюю зарплату. А иначе это того не стоит Smile Да и репутацию можно серьезно подмочить...

Аватар пользователя InfoWatch

Посыл верный) Поэтому DLP-вендоры никогда не говорят о 100% защите, по крайней мере их тех, кто адекватно смотрит на жизнь и возможности человека и компьютера)

Про "применить кучу шифров" для этого необходимо обладать специальными знаниями, очень глубокими. Не каждый финансовый директор или маркетолог сможет в них "вгрызться"
С бумажными носителями - бедаа...в век высоких технологий потери конфиденциальной информации через канал "бумажные носители" занимает чуть ли не главенствующую роль.
InfoWatch, собственно, сейчас двигается больше по пути не "защиты", а "расследования". Если кто-то распечатал - можно с легкостью узнать, кто и когда...Ну а дальше - можно найти этого человека, предъявить ему обвинения в суде за разглашение коммерческой тайны, потребовать компенсацию...

А вот то, что за информацию много не заплатят - это ты зря) Много не заработаешь на персональных данных: в Америке за одну запись персданных на черном рынке платят не больше 6-8$...Другое дело, если это коммерческая тайна или интеллектуальная собственность. Вот, кстати, есть история на эту тему...
http://www.infowatch.ru/analytics/leaks_monitoring/2722

Когда речь идет о "гигантах", и о гигантских убытках, то и сделки заключаются ой-ой-ой какие на куплю-продажу информации)

Аватар пользователя Шевченко Станислав

Спасибо за пост, за информацию, за мнение.
У меня будет, может быть немного провокационный коментарий:
На одном из мероприятий прошлого года мы обсуждали плюсы и минусы двух систем DLP:
первая это программный комплекс - все то о чем писала Тамара,
а вторая это правильная и профессиональная работа с кадрами, когда сотрудники довольны и образованы, а значит лояльны компании.
Одна и другая системы - дорогостоящие, так с чего же начать работу по охране внутреннего периметра и какая система ближе приблизится к заветным 100% защиты?

Аватар пользователя SearchInform

Ближе всего к 100% будет комплексная система, которая включает в себя и программную часть, и организационную работу с персоналом. Первая поможет максимально устранить случайные инциденты, а вторая - целенаправленные.

Аватар пользователя InfoWatch

Как верно понимают коллеги из Searchinform - с одной технологией каши не сваришь. Организационные меры, лояльность персонала - все это не менее важно.

В первую очередь надо начать с самого определения конфиденциальной информации: так что, собственно, мы, господа, защищаем? Какая информация может спокойно гулять по компании и за ее пределы, а какая -нет. Какая всю "жизнь" подчиняется одним и тем же правилам, а какая, - например, при появлении строго конфиденциальная, но через полгода - уже никому не нужная бумага...и пр. Навести порядок в неструктурированной информации очень сложно. Поэтому львиная доля затрат наших заказчиков уходит на консалтинг, на то, чтоб им помогли разобраться с этой горой и структурировать ее
Как только мы понимаем, ЧТО защищаем, мы должны понять от КОГО. Правильно прописанные политики безопасности - это сложно, но очень эффективно. Если для нормального функционирования человеку не нужен конфиденциальный стратегический план развития, то и не надо давать ему доступ к нему. Случайно отправил, случайно распечатал, случайно забыл, потерял - вот она непреднамеренная утечка...
И вот, когда разобрались с тем, ЧТО и ОТ КОГО, тогда только можно применять инструмент для автоматизированной защиты, то есть DLP