Возможности DLP-системы
Количество и масштаб утечек постоянно растут. В первой половине 2022 года произошла 2101 утечка информации ограниченного доступа, это на 93,2% больше, чем за аналогичный период 2021 года.
Ведущий инженер-технолог, занимающийся разработкой и внедрением технологических решений, договорился с конкурентами о продаже проектной документации. Переписка велась по личной почте с корпоративного ноутбука сотрудника. Потенциальный ущерб мог составить сумму более 100 млн. руб.
Злоумышленники изобретательны, особенно когда они успели поработать в компании и понять слабые места в безопасности. Важно контролировать различные каналы коммуникации, по которым могут утечь данные. Помимо автоматического анализа передаваемого текстового контента полезным будет применение реализованного в InfoWatch Traffic Monitor детектора шаблонов документов, умеющего распознавать договоры и прочие виды документов даже в виде фотографий.
Самая ликвидная информация на черном рынке — это персональные данные, особенно финансовые. По данным аналитического центра InfoWatch две из трех утечек связаны именно с воровством персональных данных.
Сотрудница отдела кадров одной государственной организации имела доступ к личным анкетам сотрудников предприятия. На USB-накопитель было скопировано порядка 1000 анкет содержащих персональные данные, психологические портреты и многие другие личные данные. В результате в сети поднялся общественный резонанс, что повлекло за собой проведение расследований профильными ведомствами.
В InfoWatch Traffic Monitor реализован мощный арсенал технологий, позволяющий выявлять в информационных потоках клиентские и персональные данные. Например: детектор текстовых объектов позволит выявить шаблонные данные (номера телефонов или паспортов, ИНН и т.д.), детектор графических объектов выявит отсканированные страницы паспорта, а детектор выгрузок из баз данных выявит фрагменты (строки или столбцы) баз данных с клиентскими или персональными данными.
По данным Аналитического центра InfoWatch, в мировых масштабах средняя стоимость инцидента информационной безопасности, в котором виноват злоумышленник внутри компании, составляет $608 тыс. долларов. А затраты на устранение таких инцидентов в среднем за год достигают 2,99 млн. долларов.
Один из менеджеров отдела закупок в торговой компании подделывал товарные накладные и получал на складе готовую продукцию в обход кассы. Эта мошенническая схема была обнаружена при проверке заполненных форм накладных. В результате InfoWatch Traffic Monitor предотвратил ущерб на сумму более 5 млн. рублей.
Отличительная особенность InfoWatch Traffic Monitor — анализ корреспонденции на лету с блокировкой подозрительных сообщений. Применение детектора заполненных бланков помогает выявлять мошенничество и предотвращать нанесение финансового ущерба, а не фиксировать нарушение постфактум. При этом InfoWatch Traffic Monitor ведет журнал инцидентов, который можно использовать в качестве доказательной базы при расследовании.
Основная задача мошенника — завоевать доверие жертвы и манипулировать ей для достижения корыстных целей. Выявить такого преступника — задача не из простых, особенно если это работник компании.
В административном аппарате города N работала одна предприимчивая сотрудница, муж которой руководил собственной строительной фирмой. Ему она и передавала конфиденциальную информацию для проведения подставных тендеров по строительству и реконструкции города.
Главная сложность при выявлении сговоров — обнаружить подозрительную переписку, выявить сомнительное использование служебных документов и совместить эти два факта. InfoWatch Traffic Monitor позволяет настроить базы контентной фильтрации под конкретного заказчика с учетом терминологии, принятой в той или иной сфере, включая профессиональный жаргон. Важным дополнением здесь будут детекторы печатей и бланков, умеющие работать даже со сканами и фотографиями документов.
В двух из трех случаев утечка информации происходит по вине сотрудников компании, а в каждом третьем случае виновником оказывается рядовой сотрудник.
Сотрудник службы безопасности в одной компании распространял наркотики внутри своей организации, пользуясь популярными мессенджерами. Кодовым словом, обозначающим наркотическое вещество, было слово «Герань»
Сложно настроить фильтр на все возможные кодовые слова, которыми могут пользоваться злоумышленники. А вот активное общение сотрудника службы безопасности с коллегами из других подразделений выглядит по меньшей мере подозрительно. Выявить нетипичную переписку коллег, не связанных служебными обязанностями, помогает InfoWatch Vision. Этот модуль InfoWatch Traffic Monitor наглядно показывает коммуникацию сотрудников компании между собой и со внешними контактами и сигнализирует об отклонениях в привычном поведении персонала.
Люди в среднем прокрастинируют три часа в день. В сумме с выходными, праздничными днями и отпуском это дает 205 рабочих дней. По сути, неэффективные сотрудники не работают больше полугода.
В одной компании сотрудники регулярно использовали принтеры для печати личных документов, не выключали компьютеры перед уходом, устанавливали на компьютерах игры и другое ПО, не предназначенное для выполнения рабочих обязанностей. В результате компания регулярно несла дополнительные расходы на материалы, замену и обслуживание печатных устройств, электричество.
InfoWatch Traffic Monitor позволяет блокировать подключаемые устройства (принтеры, 3G модемы и т.д.) и запуск приложений, не требующихся для выполнения должностных обязанностей.
Например, производительность технологии «Детектор выгрузок из баз данных» составляет 54 млн записей в секунду, что позволяет защищать большие объемы клиентских баз данных. Заполненные формы анализируются со скоростью 12,7 млн знаков в секунду (в условиях анализа одновременно 150-ти анкет). Это позволяет защищать большой объем персональных данных, содержащихся в опросниках, анкетах, бланках и т.д. Мы постоянно совершенствуем наши технологии, чтобы они соответствовали растущей скорости изменений, происходящих в бизнесе.
Комбинированные объекты защиты позволяют совмещать технологии для защиты документов, одновременно соответствующих сразу нескольким условиям. Например, классифицировать отсканированные договора, заверенные печатью. Такой подход позволяет точно детектировать коммерческую тайну в потоке трафика и снижать ложные срабатывания.
Эффективно работает в структурах даже с численностью более 300 000 человек. Подходит для крупных организаций с большим объемом анализируемого трафика и территориально распределенной структурой.
Все события хранятся в единой базе, которая может служить юридически значимой базой при расследовании инцидентов. Специальные инструменты проведения расследований – граф связей, карточки сотрудников и досье – позволяют выявлять угрозы на ранней стадии и привлекать нарушителей к ответственности.
Управлять настройками и политиками, строить и просматривать отчеты можно с любой рабочей станции, независимо от используемой операционной системы (Windows, РЕД ОС, Astra Linux, ALT Linux). Ежедневную работу с событиями и расследованиями инцидентов удобно вести в интерактивной консоли InfoWatch Vision.
Вовлечение всех бизнес-подразделений компании в управление безопасностью корпоративных данных: HR-служба, юридический департамент, маркетинг, менеджмент – могут определять, кто из сотрудников требует более плотного контроля и какая информация – особой защиты.
Готовые базы контентной фильтрации, которые учитывают отрасль работы и особенности бизнес-процессов компаний – более 290 отраслевых и тематических БКФ.
Состав продукта определяется потребностями бизнеса. Функциональные возможности InfoWatch Traffic Monitor можно расширять последовательно, по мере появления соответствующих задач ИБ.
Полностью отвечает требованиям импортозамещения, поддерживает:
- Российские операционные системы (РЕД ОС, Astra Linux, ALT Linux)
- Базы данных (PostgreSQL, PostgreSQL Pro)
- Службы каталогов (Samba DC, ALD Pro, FreeIPA)
InfoWatch Traffic Monitor включен в реестр отечественного ПО и обеспечивает соответствие ряду требований регуляторов:
- №152-ФЗ «О персональных данных», приказ ФСТЭК №21, пп1119, GDPR, 395-ФЗ ст.26, 224-ФЗ
- Государственные информационные системы—149-ФЗ, приказ ФСТЭК№17, пп211
- №93-ФЗ «Коммерческая тайна»
- Аккредитация ЦБ РФ
- Сертификат ФСТЭК России
- Лицензия ФСБ РФ
- НДВ4, НДВ2 Министерства обороны РФ
- 5 класс защищённости СВТ5