Роман Подкопаев
Генеральный директор в Makves
  • Видео
  • Аудио
  • Тезисы
  • Видео
  • Аудио
Код ИБ 2020 | Санкт-Петербург
22 октября 2020, Санкт-Петербург, Россия
Код ИБ 2020 | Санкт-Петербург
Запросить Q&A
Видеозапись
Как провести аудит и управлять информационными ресурсами компании
Доступно
В корзине
Бесплатно
Бесплатно
Бесплатно
Бесплатно
Бесплатно
Бесплатно
В избранное
16
Мне понравилось 0
Мне не понравилось 0
Доступно
В корзине
Бесплатно
Бесплатно
Бесплатно
Бесплатно
Бесплатно
Бесплатно
  • Описание
  • Расшифровка
  • Обсуждение

Спасибо Ольга здравствуйте Коллеги и поставлю с Роман копаев компания Макс времени много поэтому я наверное больше постараюсь рассказать о проблематике которую мы занимаемся и которая на самом деле на нашем рынке пока очень скажем так представлена не много вот Ну что такое Чем вообще занимаешься да аудит информационных ресурсов очень абстрактно А я вот попрошу мне в принципе зал Видно там буду задавать вопросы поднимайте руки а знаком ли термин неструктурированные данные подними трубка на знаком немножко

есть Да она что-то собственно говоря не структурированными данными аудитом и управления неструктурированных данных мы и занимаемся Ну что такое неструктурированные данные по сути это все наши файловые помойки то есть всё что не является базой данных а является не структурированными данными то есть врд Excel PowerPoint и всё-всё-всё что лежит на сетевых хранилищах на локальных дисках всё это неструктурированные данные по сути это обычный файлы в любой организации вот есть две сущности Да пользователя и каким-то образом одно с другим

связано то использовать или файлы обрабатывают имеет доступа сдают Их перемещают и так далее удаляют и в общем-то статистика такая что объективно не айтишники не безопасники на самом деле не знаю так тоже каким файлом имеет доступ И что же с ними Они делают вот структурированным данным есть там мировая статистика до того же гарднера вот и считается что 80% вообще всех данных является на структурированными Вот 60 этих данных это просто мусор то есть водка наши отправьте от 40

до 60% От данных любого хранилище в любой организации можно спокойно просить потому что это либо копии либо какие-то старые файлы либо не деловой контента есть фирмы музыка и так далее Вот и ежегодный прирост объема этих данных порядка 30 40% Вот То есть в принципе когда Наши все любимая технике заказывать себе новые жесткие диски полки хранилище так далее а то вот ну минимум там 40% 30 можно спокойно удалять Да Вопрос в другом Да где же всё лежит то есть кто может сказать сколько копий допустим скан паспорта лежит у вас по различным сетевым папкам или локальным хранилищем

сколько копий в презентации новогоднего корпоратива позапрошлого года согласовали осталось где-то там В недрах наших хранилищ собственно говоря вот ну ты идём тогда как раз проблемам Какие проблемы проблема в том что неизвестно где какие файлы лежат и объективно кто Какое имеет к ним доступ легитимный негативные у кого превышения прав доступа А кому я доступа вообще не нужен у кого доступ есть а он не пользуется где лежат например копии конфиденциальных файлов в папках

stance доступа нагревали Да и вообще какие из файлов в организации например относится к персональным данным Да потому что ну провести в ручную аудит скажем там ну 50 КПК хранилище на предмет того где конкретно лежат вот персональные данные или там корпоративные какие-то конфиденциальные данные Она фактически невозможно также как Невозможно определить например пользователи к файлам то есть У пользователя нет доступа не группе не в папке в которую которой лежат файлы но при этом у него каким-то образом есть прямой доступ к

Ну давай так Поднимите руки Кто считает что в организацию вас настройки доступа к файлам соответствует бумажную политиками опасность один-в-один прям точно есть такие Ну слава богу нет нет ни у кого иллюзии что нет нигде нарушений прав доступа внутри организма по факту по нашей статистике в любой организации есть нарушение прав везде есть какие-то включённые права там к папкам и доступа и часто в эти попадают данные персональные которые должны храниться обрабатываю обрабатывают с определенным образом вот собственно

а этим и занимается наш продукт Max sdk это новый такой класс решение на российском рынке он российскими решениями практически не представлен там до прошлого года было несколько американских решений Но вообще очень такая скажем так у нас все привыкли смотреть чтобы там не дай Бог периметр наружу Не пересекли вот ставят там различные системы и чтобы никто снаружи внутри не попал да там различные Firewall и так далее вот а когда внутри организации сотрудников доступ к конфиденциальным

данным к чужим почтовым ящикам они там читают какие-то файлы передают их внутри сети использует в своих интересах вроде как проблемы и нет Зато есть на самом деле проблема большая есть потому что проблема в том что вот на эту проблему никто внимания не обращает вот Максим но какую-то категоризацию Тамбова 152 аудит документы оформляют что вот должно вот быть Вот так вот а в итоге сделали так и не сделали это второй вопрос вот собственно говоря есть вот ряд законов до

наших всех и стандартов любимых которые тем или иным образом описывает как об организации должны данные храниться там персональные коммерческой тайной так далее Как и кто к ним имеет доступ вот проверить например Когда у вас там полторы тысячи пользователь не везде настроено там политики через группы пользовательский Да где-то прямые права есть убедиться что все пользователи имеют соответствующий доступа все файлы лежат в соответствующих папках где должны лежать вручную практически невозможно вот собственно говоря что

мы делаем да то есть мы ждём где 2 три сущности до которых я говорил сначала то есть мы собираем информацию из активная директория о пользователях об их правах от членства в группах Ну то есть всё что там есть и прописана в свойствах там допустим каждого пользователя в А уж когда собираются все данные записываются в базу данных анализируем файловые хранилища на предмет папок и файлов где Каким файлом каких пользователей есть доступ группы пользователей и так далее одновременно

Анализируя хранилище мы проводим категоризацию данных то есть мы читаем файл открываем читаем его содержимое сверяем со словарем и у себя в базе помещаем что вот этот персональные данные тогда это там какой-то словарь банковской сферы это финансовая там данные до банковской Тайны например вот всё это пишется в нашу базу данных далее мы собираем информацию курите логоса Active directory audit активная директория файла в один вот всё это опять же записываются в базу плюс берется информация почтовых в

аудите действие с письмами соответственно Света а в Единый в консоли собираются в одну систему и дальше отобрать Понятно наглядном виде для того чтобы можно было легко Посмотреть например одним кликом Показать список всех пользователей у которых есть допустим не наследование права одним кликом все файлы которые находятся в доступе Ереван и например отфильтровать их к персональным данным то есть увидеть что есть прямое нарушение 152 ФЗ персональные данные находятся в общем доступе то есть любой

сотрудник компании может там по злому умыслу и без злого умысла не важно важно что есть возможность прочитать персональные данные соответственно при проверке это ну по сути сразу Какие штрафы вот можно легко увидеть что человек Допустим подключил договорившись там с кем-то из обменных например себе чужой почтовый ящик читает чужую почту видно как человек допустим прочитал пометил непрочитанным то есть всё это везде в принципе события логируется учитываются Вот и системы всё это дело отображает Вот

в общем-то Ну дальше несколько случаев из практики там у нас что есть да запасик небольшой вот ну никак картинка как система устроена то есть есть база данных постгрес есть в консоли есть различные сборщики над которой проходит запасов Айленд Шарм q.e.d. По почте По ексчендже По всему и загружает всё это дело в базу данных есть возможность принимать базу данных данные из других систем также как например отправлять информацию о каких-то событиях допустим в тот же seen

вот собственно говоря здесь никаких проблем дальше Всё безопасности или там какой-то it-специалист через консоль может проводить исследование видеть допустим увидеть дубликаты система определяет копии определяется их местоположение показывает что допустим есть копии файлов с разными с разными людьми доступом то есть в одной папке Есть договор к нему там допустим только групповой доступ в соседний папке есть тот же самый договор полную копию там бинарное совпадение которому есть ещё два прямых доступа Да

вещи мы умеем определять подсвечивать и сообщать о том что вот есть нарушение А вот собственно говоря отдельно мы смотрим до меня и подсвечивая все нарушения парольных политик допустим А что есть пользователей с паролями Без срока действия с какими-то просроченными что есть и сколько попыток перебора паролей так далее Вот и на основе всех этих данных в системе есть поведенческий анализ то есть мы видим например что скажем Ну пользователь модифицирует там столько-то

файлов А тут он вдруг решил увольняться Нажал кнопку удалить там всю папку и пошла массовое удаление массовой файлов об этом сразу узнаём сообщаем администратору соответственно дальше принимает решение что с этим делать Вот так же такая же работа с почтой таким же образом можно определить например вирус шифровальщик что пошла модификация файла Вот и в общем-то таким образом там несколько случаев например по дубликатом были выявлены последствия вирусов шифровальщиков потому что мы видим в системе там 2.000 дубликатов которые

называются правильными именами там договор приложение постановление и так далее вот от начинаем открывать этих видим что содержание этих файлах Здравствуйте я аптеки вирус шифровальщик Заплатите мне биткоина такой кошелёк вот таким образом вроде как атаки Нет это была когда-то давно выявлено что данные испорченных собственно вот такие моменты с дубликатом то есть удобные у них две проблемы в наличии да не просто что они Места занимают а то что во-первых дубленку ссылке есть доступ

они попадают в папке с открытым доступом а второе это то что по дубликату можно выявить вот такие вот вещи как шифровальщики плюс мы можем определять что старые что их не открывали там за данный период времени год-два вот можем определять большие файлы можем определять владельцев истинных файлов то есть понимать кто постоянно открывает один конкретный файл например часто распространённая проблема на серверах хранят киношки музыку и так далее вот ну кто-то записал А как узнать кого наказывать вот ну можно посмотреть например по системе Кто

последний или Кто чаще всего эти файлы открывает кто их вообще записал на сервер кому в общем-то дать ушам также в общем-то по любому файлу можно смотреть статистику взаимодействия с пользователем в общем-то дальше немножко А вот у нас картиночка есть на рабочего места но на самом деле на сайте У нас есть ссылка на YouTube канал там есть видео запись работы с интерфейсом можно зайти посмотреть вот в общем-то всё довольно наглядно представлена вот ну и несколько там

случаев из практики Да там есть одну минуту нас и потому что 5 минут на вопросы а вот основная дать Типовая ситуация практически в любой организации к Лизе доступа Да но я уже говорил а это Когда настанет доступа к папке пользователя у него допустим Нет он не состоит в группе у которой есть доступ к папке но при этом есть прямой доступ к файлам из этой папке соответственно выявить такую ситуацию вручную Ну теоретически Возможно если открывать файлы и смотреть свойства и кто имеет доступ конкретно этим

автоматизировано это вы ведь нельзя Но при этом это явное нарушение прав доступа как это возникает Ну тут вопрос я думаю что вариантов Томас и нет смысла даже на тему фантазировать чужой профиль кстати говоря вот на чужой профиль с админскими правами на окне к локальной машине Да я знаю что на машину кто ты там я не знаю сосед по комнате заходит и может что-то делать и видно когда он логинился когда он там что делал Вот то есть и являюсь администратором явно это тоже нарушение

политики безопасности А так Ну про дубликат Я уже сказал в общем-то и пример привёл не буду повторяться почты Вот у нас было несколько случаев там когда перед началом пилотного проекта заказчику в явном виде не говорили что вот-вот подозреваю вот этого вот это что Они читают практически уверен доказать не можем что-нибудь читают вот поставили посмотрели прям видно когда человек какое письмо она открывается прочитал сделать непрочитанным об этом пишут в системе и

потом легко всё это дело выявляется вот интересно кстати сейчас тоже такой типа О'кей Я знаю все практически Наверняка есть Вот скажите Часто ли бывает у кого-то было наверняка бухгалтер звонить в панике говорит ой у меня файлы пропали приходит админ начинаешь разбираться выясняется что просто вот на него рука дрогнула на мышку зажал idragon тропам одну папку в другую перебросила а потом найти не может не заметила было у кого такое Поднимите руки Ну да спасибо большое практически у всех всегда

это вот любой обмен он сразу говорит что да это прямо болезнь она там отвлеклась голову повернула рукой дёрнула и потом она кричит А меня взломали хакеры украли Там наша что ты Давайте скорее меня спасаете вот и довольно сложно найти в этот момент админом каким становится слишком Юра спрашивает А там А где вот что делала Какие данные открывать душу Хотя бы примерно понять из какой вкладке в какую-то данные могли быть переброшены Ну чтобы во всех не копаться И не искать вот наш систем в этом плане легко показывает конкретно Какая папка Кто кем Когда и куда была

переписана опять-таки на самом деле все данные они есть в логах Винду можно всё вручную посмотреть но пока не встречал людей которые реально бы этим занимался потому что там такие портянки надо разбирать что общем времени никакого не хватит проще так вот про мёртвых душ это отдельно слайд там не относящийся вот несколько случаев было на тех же пилотных проектах когда находится учётная запись принятым на работу сотрудникам по которым они полгода не водились то есть сами безопасники смотрят Тогда слушай ну да ну вроде на работу приняли

А что дальше-то человек вообще где он ходит них а если ему создали другую учётку почему это осталось там про ворону так же как например есть правило что если человек увольняется учётка блокируется Вот Но они только блокируются она должна быть убрана из всех групп по которым она имеет доступ к файлам потому что ну человек может быть через полгода на другую должность остановится а доступа все остальные либо же ему чётко просто открыто кто-то включен Да и получит сразу доступ полный туда куда имеет место это учёт вот более того там сотру

как задача Да айтишники должны это делать Они отчитываются что выполняют и там получают свои там кипиай премии тогда ответом на самом деле они не делают потому что вручную у каждого вольного вычищать из всех групп довольно сложно вот и долго мы же можем это что-то сказать довольно быстро категоризацию тоже сказал То есть благодаря нашей системе вы поймете Где и в каком виде хранятся персональные данные данные относящиеся к стандартам К любым и кто доступа вот ну

про временный доступ вообще Типовая ситуация дали забыли выключить это вот там за пару-тройку лет работы в любой организации остается кучу учета которые забыли выключить время более того частые уволенные по полгода ещё там и почту читают и ходят в сеть а вот ну это вот вообще типичная Никто с этим не разбирается проблема когда на примете команду сменилась то есть новая техника в принципе не представляют Кто где Куда каким папкам имеет доступ так далее хочется заключение отметить что мы на данный момент единственной российской решение в

реестре отечественного по из системы класса DK Ну и вот да там начало прошлого года таких российских в принципе не было были американские вот сейчас там есть два с половиной решения скажем так Ну вот в реестре Ну пока единственное вот собственно говоря у меня в общем-то всё да То есть можно зайти на наш сайт можно посмотреть там материалы можно связаться заказать Audition там ну пилотный проект рза чтобы на своих данных реально увидеть в общем на пилоте уже сразу видно И нарушение прав доступа и

там дубликаты категоризацию общем всё о чём я говорил можно первичные поверхностно увидеть на результатах пилотного проекта Вот спасибо за внимание Да с удовольствием отвечу на вопросы да ну давай быстрее думай про маму слышно Аплодисменты поэтому Давайте Аплодисменты всё-таки у нас это не совсем такой классический онлайн атакой гибридный формат как это модно сейчас говорить твоих окрасов я перелистывал на этот слайд амыран Сегодня у нас была дискуссия про то как продавать безопасность бизнеса и как раз было Что делаете пилоты а делать мы пилоты потому что они сразу же

позволяют в том числе и бизнесу компании понять ну увидеть где-то какие-то слабые места возможности и возможно все-таки остановиться на том или ином решении на Ну что если вопросы к роману заедь по возможности представляете А вот микрофон Спасибо Дмитрий Макаров Северная компания строим газовой котельной вопрос простой Какая нагрузка на сервер при использовании вашего решения просто был опыт поставили похожую программу видимо американскую ты после этого можно было пользователем и программой либо файловым сервером на самом деле

нагрузка небольшая потому что мы не делаем каких-то таких тяжелых онлайн нагрузок мы первичный анализ он действительно длительное когда она первична допустим там жара там ну сколько ты там старбайт анализируем это может занять там ну скажи мы неделю и две там в зависимости от объемов Но самозагрузка следующее что по сути для сервера это то что одна один компьютер сочетает один файл Как читается следующий Тайсона одновременно вот не больше одного файла открывает Вот это можно тем более настроить по расписанию допустим только ночью и в общем бизнес

никакой такой Явный потери производительности нет да Хорошо спасибо огромное А ну что ж Спасибо роману вас отпускаем было приятно ваше выступление посимвольно Спасибо коллеги Спасибо

Комментарии для сайта Cackle

Купить этот доклад

Доступ к видеозаписи доклада «Как провести аудит и управлять информационными ресурсами компании»
Доступно
В корзине
Бесплатно
Бесплатно
Бесплатно
Бесплатно
Бесплатно
Бесплатно

Код ИБ 2020 | Санкт-Петербург

Доступ к записям всех докладов «Код ИБ 2020 | Санкт-Петербург»
Доступно
В корзине
Бесплатно
Бесплатно
Бесплатно
Бесплатно
Бесплатно
Бесплатно
Билет

Интересуетесь тематикой «Информационная безопасность»?

Возможно, вас заинтересуют видеозаписи с этого мероприятия

21 июля 2020
Онлайн
20
150
безопасность персонала, взаимоднействие с бизнесом и командой, иб без бюджета, ибнужныпрофи, информационная безопасность, код иб, код иб профи, сервисная модель в иб, управление security operations, управление иб, управление инцидентами

Похожие доклады

Сергей Петухов
Менеджер по продукту в Газинформсервис
Доступно
В корзине
Бесплатно
Бесплатно
Бесплатно
Бесплатно
Бесплатно
Бесплатно
Максим Луганский
Технический эксперт по решениям для информационной безопасности в MicroFocus
Доступно
В корзине
Бесплатно
Бесплатно
Бесплатно
Бесплатно
Бесплатно
Бесплатно
Павел Луцик
Директор по продажам и развитию бизнеса в Крипто-Про
Доступно
В корзине
Бесплатно
Бесплатно
Бесплатно
Бесплатно
Бесплатно
Бесплатно

Купить это видео

Видеозапись

Доступ к видеозаписи доклада «Как провести аудит и управлять информационными ресурсами компании»
Доступно
В корзине
Бесплатно
Бесплатно
Бесплатно
Бесплатно
Бесплатно
Бесплатно