
CISCO UMBRELLA — ПЕРВАЯ ЛИНИЯ ЗАЩИТЫ
Umbrella останавливает фишинговые атаки и заражение вредоносным ПО на ранних стадиях, быстро обнаруживает уже зараженные устройства и предотвращает утечку данных.
Umbrella останавливает фишинговые атаки и заражение вредоносным ПО на ранних стадиях, быстро обнаруживает уже зараженные устройства и предотвращает утечку данных.
Cisco 802.11ac с технологией High Density Experience (HDX) — это первоклассное решение для перегруженной среды, внутренних служб определения местоположения и видимости приложений.
Точка имеет два радиоканала и поддерживает каналы до 80 МГц и технологию 3×3 MIMO, обеспечивает пропускную способность до 867 мегабит/сек.
Теперь сеть помогает нам действовать правильно и оперативно. Высвобождая ресурсы для созидания, инноваций и дальнейшего развития.
Упростите свою глобальную сеть и сократите время на управление и развертывание без снижения производительности и уровня безопасности всей сети.
Системы защиты от утечек информации – DLP чаще всего устанавливают банки, предприятия нефтяной отрасли, крупные ритейлеры. Однако не так важна сфера деятельности, как количество сотрудников. Обычно компании начинают интересоваться DLP-системами, когда штат превышает 50 человек. Тогда управленческий контроль становится сложнее, и руководство снаряжает технических специалистов присмотреться к тому, что предлагает рынок для автоматизации процесса. Сходу разобраться в обилии решений от разных вендоров бывает непросто. Вот краткий гайд, который поможет расставить точки над i.
Исторически системы DLP, как видно из названия (data loss prevention или data leak prevention), были направлены на защиту компании от утечек информации. Но с эволюцией программного обеспечения заказчики начали ставить перед ней несвойственные изначально задачи. Сейчас защита конфиденциальной информации — это только одна из больших функций, которые выполняет система.
Иногда компании достаточно вовремя получить сигнал и заблокировать утечку, но чаще требуется разобраться в причинах инцидента, чтобы найти виновных и понять, имел ли место недобрый умысел. Так что в идеале DLP должна не только собирать данные, но и систематизировать их для анализа и расследований зафиксированных нарушений.
Информация с компьютера сотрудника перехватывается через агентов – специальные программы, установленные на рабочих станциях. Они могут работать как в открытом режиме, так и в скрытом даже для продвинутых пользователей. Второй вариант перехвата информации – посредством сетевых платформ.
Контролировать максимум каналов информации (от веб-почты до мессенджеров) – главное требование к качеству программы. Ведущие DLP-системы отслеживают их все. Полезно, когда система обучена «ловить» нетипичные утечки, ведь конфиденциальные данные могут передаваться не только в переписке. Вариантов масса: снимки экрана, печать внутренних документов, копирование на флешку, даже устная беседа в Skype или передача файлов через Teamviewer.
DLP должна уметь контролировать информацию, переданную в сетевых сервисах с разным методом подключения. Все популярные системы (Skype, Telegram, Viber и т.д.) сегодня дают выбор, работать в веб-интерфейсе или через приложение. В ИБ-системах такие вещи должны предусматриваться, иначе нельзя говорить о полноценной защите канала.
Устанавливаемые на ПК сотрудников агенты не должны перегружать систему, а сетевой DLP-компонент не должен приводить к задержкам коммуникации: DLP будет скомпрометирована, а руководитель всегда выберет бесперебойность бизнес-процессов, а не безопасность.
Часто система, которая хорошо работает на 200 машинах, не показывает результат на 1000. Поэтому важно разворачивать тестирование на максимально большом парке машин. Так можно оценить реальную нагрузку на инфраструктуру и технические возможности программы.
Убедитесь, что агент надежно «спрятан», чтобы сотрудники не могли случайно удалить или нарушить конфигурацию ПО. Некоторые вендоры не придают этому большого значения, в результате программу обнаруживает даже рядовой пользователь, не то что продвинутый системный администратор.
«Легкость» агента как правило означает, что большинство процессов в DLP происходит на серверах. При этом нужно удостовериться, что сбои в соединении не нарушат стабильность перехвата.
Вендоры по-разному решают этот вопрос, и нужно найти наиболее надежное решение. Например, наши агенты при отсутствии связи с сервером архивируют собранные данные – ничего не теряется. Как только подключение восстанавливается, данные передаются на дальнейший анализ.
Правила «хорошего тона» для DLP таковы, что софт должен максимально «разгружать» ИБ-специалистов, выполняя основные задачи по структурированию инцидентов. Сегодня система должна уметь выявлять не только утечки, но и неспецифические угрозы:
Но полная автоматизация контроля – это все-таки утопическая задача, и сотрудникам службы ИБ все равно приходится перепроверять результаты некоторых «сработок» вручную. Для нивелирования этого фактора DLP-системы движутся к тому, чтобы вести профилактику нарушений, анализируя пользовательское поведение. Одно из направлений – UEBA, но здесь не появилось работающих инструментов.
Мы решаем этот вопрос через автоматизированный профайлинг. Он позволяет анализировать получаемую из DLP информацию и определять личностные качества сотрудников и динамику их изменений. Это позволяет существенно сузить круг поиска инцидентов и находить их там, где нарушитель не оставляет следов.
DLP обычно собирается как конструктор, поэтому удобно масштабируется и легко разворачивается даже в компаниях с очень разветвленной структурой. Но из-за этого сложно рассчитать цену внедрения навскидку.
Чаще всего цена состоит из таких переменных:
Чем более сильные аналитические возможности заложены в DLP, тем ниже стоимость владения системой. Для анализа ситуации в компании с помощью хорошей DLP-системы на 2000 сотрудников бывает достаточно одного ИБ-специалиста. Один из наших клиентов контролировал 25 тысяч машин в компании силами всего 7 сотрудников.
Эти затраты имеет смысл рассматривать как инвестиции со сроком возврата 3-5 лет, хотя на практике часто выходит быстрее. В нашей практике только выявление боковых схем с помощью DLP отыгрывало затраты на ее покупку за полгода.
Весомый аргумент «за» или «против» того или иного предложения – его автор. При выборе DLP, как и любого другого продукта, нужно составить представление о его производителе: насколько это опытный и надежный вендор. Сложность в том, что со стороны, при первом знакомстве со сферой, оценить это можно только по косвенным признакам: количество офисов, штат технического персонала, число клиентов и разнообразие представляемых ими сфер.
Также для DLP является обязательным наличие сертификация ФСТЭК на систему. Это говорит о безопасности продукта, гарантирует отсутствие не декларируемых возможностей, дает право системе работать с конфиденциальными группами данных. Крайне желательно, чтобы у самой компании-разработчика была лицензия ФСБ. Это будет говорить о квалификации и надежности вендора, официально подтверждать его право на разработку средств ИБ.
Но не верьте тому, что сам вендор говорит о себе, ставьте программу на триал и проверяйте его слова об опыте на практике. Мы, например, отдаем систему на тестирование в полном функционале бесплатно, советуем дать на ПО предельную нагрузку по максимальному числу каналов. Так можно оценить, насколько полезна и надежна система. Вот еще советы, как на старте определиться, не подведет ли вас вендор:
И последнее. Чтобы взглянуть на ПО без «розовых очков», попросите разработчика познакомить вас с действующим клиентом. Задайте ему вопросы о стабильности работы системы, возможностях контроля, плюсах и минусах работы ПО.
Статья взята с ресурса www.computerra.ru. Автор: СёрчИнформ
Одна из крупнейших вертикально-интегрированных металлургических и горнодобывающих компаний мира.
Входит в число крупнейших мировых производителей стали и занимает лидирующие позиции среди предприятий черной металлургии России.
Одна из крупнейших в мире вертикально интегрированных сталелитейных и горнодобывающих компаний c активами в России, Белоруссии, Украине, Латвии, Польше, Италии и Либерии.
Благодарность за успешную реализацию проекта
по созданию отказоустойчивого интернет-сегмента
локальной вычислительной сети банка.
Основной деятельностью компании является разработка и производство телекоммуникационного оборудования для построения сетей связи. Основные направления разработки – оборудование GPON, Ethernet-коммутаторы, VoIP-шлюзы, MSAN, Softswitch & IMS, медиацентры.