Антон Дедков
Руководитель проектов в SearchInform
  • Видео
  • Аудио
  • Файлы
  • Тезисы
  • Видео
  • Аудио
  • Файлы
Код ИБ 2020 | Ростов-на-Дону
13 февраля 2020, Ростов-на-Дону, Россия
Код ИБ 2020 | Ростов-на-Дону
Запросить Q&A
Видеозапись
Найти и защитить: наводим порядок в файловой системе
Доступно
В корзине
Бесплатно
Бесплатно
Бесплатно
Бесплатно
Бесплатно
Бесплатно
В избранное
6
Мне понравилось 0
Мне не понравилось 0
Доступно
В корзине
Бесплатно
Бесплатно
Бесплатно
Бесплатно
Бесплатно
Бесплатно
  • Описание
  • Расшифровка
  • Обсуждение

О спикере

Антон Дедков
Руководитель проектов в SearchInform

О докладе

Тематика: Информационная безопасность

Необходимость защищаться от внешних и внутренних угроз – это маст хэв для любой компании в любом секторе экономики. Помимо инсайдерских рисков и происков конкурентов, есть еще одна проблема, которую не всегда рассматривают в разрезе информационной безопасности.

На внутренних серверах, сетевых хранилищах и ПК организаций хранятся большие объемы информации. Часто даже специалисты в ИБ и ИТ не всегда знают, какие это данные, каков их объем и где они находятся – в открытом доступе или в общей сетевой папке. Беспорядок в файловой системе приводит к утечкам.

Как навести порядок? Какие инструменты можно для этого использовать? К чему может привести хранение ценного документа «не в том месте»? Поговорим о возможном решении проблемы и обсудим кейсы.

Краткий конспект выступления:

1. Что компании уже используют для защиты информации от утечек изнутри?
2. Какие документы важно защитить в первую очередь?
3. Что представляют собой DCAP-решения? Какие задачи они решают?
4. Как устроен «СёрчИнформ FileAuditor» (принцип работы, технические «фишки», интерфейс, основные функции, разбор кейсов)?
5. Можно ли объединить DCAP и DLP?
6. Как использовать эти решения для более детального расследования инцидентов (практические примеры)?

Поделиться

речь пойдет о том что такое бардак в информационные технологии компании и как с ним бороться и каким образом это влияет на информационную безопасность тело Таким образом мы хотели бы еще раз обратить внимание на то что в информационной безопасности важен непосредственно комплексный подход и вещей которых попросту периодически сдаю быть не всем ещё раз добрый день а прежде чем начинать а Поднимите руки пожалуйста Те у кого есть на компе папка разобрать разные тому подобное Мусор да Ну все руки поднимайте

всех она есть у вас ответ на вопрос В чём реально ли кто-то из вас знает что в этой папке лежит Может там вообще завалялись пересданный ещё какие-то штуки вот об этом мы поговорим Почему Важно тебе ещё разгребать образом при помощи того что делать Наша компания это можно организовать соответственно вообще в принципе информационной безопасности важен комплексный подход то ещё я говорил в самом начале на водный дискус то есть 1 dlp-система одним всем решениям взял как правило не ограничивается Нужно копать глубже Смотреть дальше и защищаться не только при помощи этого естественно есть система

я про них уже говорил допустим частности дел пьём есть такой функционал который позволяет отслеживать данные в состоянии покоя Данное состояние передачи и данные Здесь и сейчас примеру есть функция Discovery которая позволяет вам делать Ну грубо говоря то о чём мы говорили ребята из компании свело тоже то есть по сути вы создаете слепки жесткого диска для того чтобы у вас был реально ли сделать бэкап Когда у вас компании 500 компот и у каждого есть вино 500gb но представляете объёмы которые для этого понадобится соответственно нужно знать что в каких папках

файловой системе Где у вас может храниться это может быть персональные данные это могут маркетинговые исследования это могут данные о заработной плате компромат на руководство всё что угодно тот продукт который мы разработали в прошлом году выпустили его на рынок это решение класса ДЦП То есть это решение которое позволяет вам работать в состоянии покоя который никуда не пересылаются которые лежат где-то там непонятно где в той же самой папке разные Вот и таким образом можно проводить Но скажем так некий аудит для того чтобы

выявлять потенциальные точки в которых у вас в один прекрасный момент может произойти различные нехорошая вещь Каким образом это вещь работает а работает очень просто у вас компании должна естественно быть прежде всего ограничение Что является документами коммерческой Тайны гостайна если вы с ней работаете любая А там девочка которая касается организации работы вашей компании и когда люди с которыми Допустим мы работаем говорят там что-то у нас всё хорошо у нас защищать ничего у нас в компании люди белые Ну в 99 процентах случаев

из 9 в периоде это не так соответственно В любой компании есть то что необходимо защищать и вот о чём я говорю дата-центре audit and Production это новый класс продуктов который вышел на рынок соответственно довольно-таки недавно Он позволяет эти данные в состоянии покоя защищать наш продукт называется searchinform файл как я уже говорил появился он в октябре прошлого года Естественно разрабатывался он о сотрудничестве с нашими клиентами и соответственно предназначена непосредственно для решения задачи которых я говорил раньше в чём главная фишка

данного продукта в том что он может работать одинаково и на конечных устройств пользователей То есть это Рабочая станция прудников либо файловый сервер а так в принципе и работа по сети то есть для того чтобы вам отследить скажем так файлы которые где могут находиться во мне всего лишь Дима запустить соответствующую службу всё что работаю протокол smb Можно будет увидеть Соответственно по задачам во-первых классификация документов Есть ли у вас когда-нибудь произойдет в случае когда вам необходимо будет решать вопросы скажем так защиты конфиденциальной

информации в судебном порядке прежде всего Что сделать с проверяющая структура Когда придёт к вам она спросит у вас разграничение прав доступа к информации на сколько у вас эта информация категорированных и 1 задача которую решает Вот в данный инструмент файл аудитор это дефекация информации например того к какому разряду относится производственно коммерческая тайна конфиденциальные документы и тому подобное Как эта штука работает по факту вы правило по которому данный инструмент проводят анализ файлов находящихся у вас в сети это может быть конкретно отдельное слово

это может быть словосочетание это может быть регулярного Когда вы не хотите искать допустим документы в которых там есть гриф Совершенно секретно или для служебного пользования вас интересует чертежи чертежи есть там свой классификатор который состоит из цифр поражение совместного только цифра буквенное выражение мы можем задавать Как раз-таки при помощи регулярного выражения либо эти два-три более параметров Вы можете комбинировать при помощи логических операторов если посмотреть на картинку выглядит это следующим образом Вот соответственно вы задаете определенные условия и

системы в автоматическом режиме поэтому слове вещица Что делать с тем более уже зависит естественно от того Каким образом у вас выстроена система работы связанные с найденной информации самое забавное будет дальше это кейсы которые реально были у наших заказчиков у которых Вот это всё дело скажем так была развернута кампания когда разрабатывался файл аудиторы тесно бета-версии его тестировали солнечные на клиентах и в процессе этого бета-теста были найдены довольно-таки занятное случае так например один кейс это когда у компании первозданная лежали попросту

в отдельные папки на файловом сервере то есть об этом как бы никто не сдал они там лежат и лежат Ну по-хорошему конечно dlp-система которая стояла у них они быстро сделать передачу данных Да плохо что можно сказать регулятор Однако сам факт того что у компании есть бесконтрольный доступ у сотрудников к возможности пересылки конфиденциальной информации которым относятся в том числе персональные данные Ну скажем так вызывает вызывает Сомнения с точки зрения адекватности службы информационной безопасности вот таким образом 2 Keys которому приходим это

Почему необходимо настраивать права доступа к различного рода информации в зависимости этой категории и есть Очень интересный довольно-таки большая компания заказала март исследование маркетинговой цели штуку недешевое речь шла О ну вроде там 100000 долларов что было дальше А через неделю после того как это маркетинговое исследование компании Антон был обнаружен в даркнете естественно За сумму уже далеко не в сто млн в них 100000 долларов а гораздо дешевле начали смотреть Откуда же могла произойти это потенциал

утечка и был выявлен очень интересный случай того что вместо того как это было сделано по бумажкам что доступ вот это вот маркетинговые исследования компании был там грубо говоря 100 человек реально что доступ к этому маркетинговые исследования был более чем у 300 людей кто его съел куда его слил Каким образом но это уже естественно никто не рассказывал 1 факт Почему необходимо работать с социалкой очень аккуратно Как говорится налицо следующий кессон связан с тем как говорится Зачем необходимо в компании документы сохранять

сделать копии тому подобное То есть тут Почём принципе коллеги предыдущем докладе говорили тот же вирус шифровальщик тот же недобросовестный коллега который умышленно не умышленно либо по незнанию взял из него файл с годовым отчетом Ну наверное у каждого в принципе в жизни такая штука была рано или поздно каждая этим сталкивается Дело в том что в этом продукте есть функционал который позволяет вам дело до 100 копий документа ну скажем так в зависимости от их версионности соответственно если у вас где-то происходит какой-то инцидент связанный с удалением Да есть возможность

эту штуку поднять очень актуально Когда у вас есть человек ну назовём его системный администратор с которым вы не договорились допустим платье Что делает человек он уходит в компании сносит базу данных услышали наверное всё-таки есть в этом случае есть не маленький шанс того что эту базу можно при помощи файлового гитара поднять в чем поднять её можно там как говорится как месяц назад так и пару дней назад зависимости от настроек которые вы задавали для этой системы Rogue вот таким образом можно посмотреть любую версию этого файла Как

видно на данной картинке Вот они все здесь присутствуют и ещё самыми важными на нюанс в том что в системе реализована функция данных то есть ли у вас 100 сотрудников обращались к одному и тому же документов без его изменения у вас будет храниться всего лишь одна копия данного документа в качестве резервной то есть нет необходимости раздувать объемы за счёт того что там много людей работают с одним и тем же фонариком соответственно есть еще немаловажный одна из задач это возможность отслеживания кто когда какому документу обращался Какие функции выполнял

соответственно данный продукт закрывают данное решение Потому что есть возможность посмотреть полный Лог то есть любую исполняемый операцию которую выполнял пользователь поднять из архива посмотреть Соответственно что он сделал с тем более если есть бесшовная интеграция с ДВП в том числе с нашей можно поднять воду что посмотреть видеозапись действия этого сотрудника можно посмотреть скриншоты и тому подобное Ну я подчеркиваю это если есть соответствующий инструментарий потому что в базе естественно нет такого функционала точно также можно отслеживать появление

информации на облачных ресурсах если у вас допустим есть доступ То есть он настраивается данную службу на просмотра файлов в интернете через облако и если допустим там кто-то из сотрудников Ну умышленно неумышленно опять же тут как говорится значение не имеет просто звонил на это облако информацию содержащую те же самые надомная Всегда есть возможность посмотреть насколько это соответствует действительности а также кто это сделал Ну с целью того скажем так насколько сильно нужно давать сотруднику по рукам Потому что если он просто сохрани информацию на облаке это одна ситуация если

он сотового копирует информацию третьим лицам но тут уже как говорится факт утечки на лицо и необходимость данным сотрудником чего-нибудь тяжесть последствий завис говорится того как у вас быстро информационная безопасность компании есть ещё интересная штука которая позволяет вам оставить в конкретной маршрут то есть посмотреть кто когда открывал данный документ копировал ибо дело с ним любой другой операцию но также посмотреть историю происхождения данного документа куда и По каким каналам Он переписывался но это очень удобно во-первых с точки зрения проведения так называемого

ретроспективного расследования если у вас уже произошёл какой-то инцидент в сфере информационной безопасности и Вам необходимо полную картинку и второе естественно проследить допустим кто еще имел доступ к данному документу известь которая доступ к этому документу естественно иметь не должны а ты очень интересно кисми нём говорили на нашей конференции рок-шоу в прошлом году это соответственно на Кие связанные с утечкой так называю так называемых внутренних Когда у вас есть сотрудник он пользуется внутренних целей компании и данные прайс должен соответственно

путь предназначен только для внутреннего пользования без можности его пересылке Что делает человек человек просто берёт выделяет в этом документе прайс слово внутренняя цена меняет шрифт чёрно-белый у белой на белом же естественно не видно его отправляет то есть по факту как бы нигде в документах этого нет Однако за счет того что есть возможность применять соответствующий инструментарий системе чёрный белый отошли фанаты найдёт любом случае как одна изощрение Зай да в принципе это штука периодически прокатывает но не в том случае если

есть продукты которые такие вещи может распознавать Аналогично это работает из ДВП в принципе тут значения не имеет таким образом если суммировать все вещи которых я говорил можно сделать следующую что ему что можно отнести во-первых это дедупликация данных то есть ваша база б копани разрастается за счёт того что много сотрудников работают с одним и тем же документом есть возможность искать информацию по различным критериям в том числе с использованием логических операторов Для того чтобы добиваться Как можно более полного и точного поиска без

ложноположительным сработок удобства работы системы с точки зрения того что есть агентское и без агентства платформа То есть можно работать абсолютно любых серверах будто винтовые машины либо unix обозначение не имеет и в принципе еще раз отметить это соответственно возможность Backup а только те та информация которая вам необходима нет необходимости бэкапить абсолютно всё подряд то есть о чём я говорил диски ВАЗ слепок нет необходимости делать Ну и наверное в конце хотелось бы рассказать о важности комплексного подхода то есть то о чём мы

говорили в самом начале нет универсального инструмента который бы вам закрыл Всё если кто-то из Windows говорит что вот купив наше решение Вы там на 100% себя обезопасить и нет Не верьте ему границы такого товарища в шею а на самом деле есть много различных систем если говорить применительно к нашей компании то есть мы разрабатываем систему системы и DLP и соответственно контроль рабочего времени это вам плюс отдельно мы запустили такую интересную штуку Какие бывают wording в прошлом году То есть для того чтобы компании у которых нет По штату сотрудник информационной безопасности

также могли пользоваться данным продуктами и в следующем в следующей ситуации скорее всего летом мы выпустим Database Monitor это вещь которая позволит вам отслеживать скажем так сливы непосредственно из базы данных отслеживатель запросы и тому подобное в принципе если кому-то интересно более подробно узнать о компании можете переходить в различные сорта подписываться на телеграм канал тому подобное там вечно много интересных всяких штук вы приходите к нам на стенд можем более подробно рассказать Спасибо большое

Комментарии для сайта Cackle

Купить этот доклад

Доступ к видеозаписи доклада «Найти и защитить: наводим порядок в файловой системе»
Доступно
В корзине
Бесплатно
Бесплатно
Бесплатно
Бесплатно
Бесплатно
Бесплатно

Интересуетесь тематикой «Информационная безопасность»?

Возможно, вас заинтересуют видеозаписи с этого мероприятия

21 июля 2020
Онлайн
20
154
безопасность персонала, взаимоднействие с бизнесом и командой, иб без бюджета, ибнужныпрофи, информационная безопасность, код иб, код иб профи, сервисная модель в иб, управление security operations, управление иб, управление инцидентами

Похожие доклады

Николай Варламов
Руководитель службы технической поддержки в Synology
Доступно
В корзине
Бесплатно
Бесплатно
Бесплатно
Бесплатно
Бесплатно
Бесплатно
Александр Кулик
Менеджер по работе с ключевыми клиентами в Falcongaze
Доступно
В корзине
Бесплатно
Бесплатно
Бесплатно
Бесплатно
Бесплатно
Бесплатно
Андрей Арбатский
Руководитель московского подразделения отдела продаж в StaffCop
Доступно
В корзине
Бесплатно
Бесплатно
Бесплатно
Бесплатно
Бесплатно
Бесплатно

Купить это видео

Видеозапись

Доступ к видеозаписи доклада «Найти и защитить: наводим порядок в файловой системе»
Доступно
В корзине
Бесплатно
Бесплатно
Бесплатно
Бесплатно
Бесплатно
Бесплатно