Лекция 7

1. Системы противодействия утечке данных

2.

3. ПОИСК, ПРОСМОТР И АНАЛИЗ
ПЕРЕХВАЧЕННЫХ ДАННЫХ
3.1. Поиск по перехваченным документам при
помощи Search Inform Client

3.

Основные функции
1
Мониторинг информации записываемой в
индексы
2
Быстрый поиск по тексту перехваченных
сообщений и вложенных файлов
3
Атрибутный поиск по перехваченным
сообщениям

4.

Основные функции
4
Просмотр истории переписки с
возможностью визуализации активности по
пользователям
5
Фильтрация результатов поиска по
заданным атрибутам
6
Экспорт найденных поисковым клиентом
документов

5.

Виды поиска
Текстовый
Обнаружение документов, содержащих
ключевые слова
Опции поиска
Поиск с
морфологией
Идентифицируются все возможные словоформы. Для
слова «автомобиль» возможные словоформы –
«автомобиль», «автомобили», «автомобилей» и т.д.
Точное
совпадение
Обнаруживаются только заданные словоформы

6.

Опции поиска
Начинающиеся
со слов
Содержащие
слова
Оканчивающиеся
на слова
Фразовый
поиск
Обнаруживаются словоформы, начинающиеся с
заданной пользователем комбинации символов
Идентифицирует слова, содержащие сочетание
символов запроса. Удобно использовать для нахождения
документов, содержащих однокоренные слова
Поиск всех словоформ, оканчивающихся на заданное
пользователем сочетание символов. При запросе
«электростанция» обнаруживаются словоформы
«теплоэлектростанция», «гидроэлектростанция»
Представляет собой поиск внутри одного предложения
и является частным случаем текстового поиска, при
котором можно зафиксировать порядок следования слов
и выражений запроса

7.

Виды поиска
Поиск по
словарю
Поиск по тематическим словарям позволяет
отыскать документы, относящиеся к
определенной тематике
Поиск
«похожих»
Данный вид поиска позволяет отслеживать
конфиденциальные данные даже в том случае,
если текст документа был предварительно
отредактирован (используются фрагменты или
документы целиком)

8.

Ограничения результатов поиска
Дата перехвата
Время перехвата
Размер документа
Домен пользователя
Использование SSL
...

9.

10.

3.2. Автоматический мониторинг
информационных потоков при помощи Alert
Center

11.

Цель
автоматический мониторинг информационных
потоков с возможностью уведомления
сотрудника СБ о случаях нарушения политик ИБ в
отношении передаваемых данных.
Устанавливается на выделенный сервер

12.

Принцип работы
1
По заданному расписанию или по команде
производит поиск по индексам,
сформированным в результате перехвата
информационных потоков
2
Индексы формируются сервером
индексации SoftInform Search Server, от
которого Alert Center получает список
ссылок на имеющиеся индексы
3
В клиентском модуле Alert Center создаются
и настраиваются политики безопасности,
применяемые к перехваченной
информации, а также (при необходимости)
политики карантина

13.

Принцип работы
4
В случае нарушения политик безопасности,
происходит оповещение сотрудника СБ, на
рабочей станции которого находится
клиентская часть Alert Center
5
Сотрудник СБ производит расследование
инцидента с использованием поисковых
клиентов КИБ
6
На основании настроенных политик карантина
подозрительные сообщения электронной почты
попадают в карантин. Решение по отправке
задержанных сообщений адресату принимается
сотрудником СБ

14.

15.

3.3. Формирование отчетов об активности
пользователей и инцидентах при помощи
Report Center

16.

Цель
Используется для подключения к базам и
индексам, обработки информации по
статистике инцидентов, активности
пользователей и генерации отчетов в
удобной для сотрудников СБ форме
Формы представления отчетов
Таблица
Диаграмма
Временной график
Граф отношений

17.

Схема работы Report Center

18.

Принцип работы
Серверная
часть
1. Получает статистику инцидентов из баз
Alert Center, данные по установке агентов и
программного обеспечения из баз Endpoint
Sniffer и статистику перехвата из индексов
(Device, FTP, HTTP, IM, Mail, Print, Skype).
2. Cоотносит статистику со списком
пользователей каталога Active Directory и
записывает полученную статистику в базу
данных
Клиентская
часть
1. Подключается к базе Report Center;
2. Интерпретирует статистические данные и
формирует отчеты в формате таблиц,
диаграмм, графика, а также в виде
интерактивного графа отношений

19.

Настройка списков отчетов

20.

Отображение отчетов (диаграмма)

21.

Отображение отчетов (граф отношений)

22.

Отображение отчетов (детальная информация)

23.

Отображение отчетов (отсутствующие сотрудники)

24.

Отображение отчетов (нарушение рабочего режима)

25.

26.

3.4. Ведение полноформатного расследования
в рамках консоли Incident Center

27.

Цель
Ведение сотрудником СБ полноформатного
расследования инцидентов в одной
консоли

28.

Функции Incident Center
Работа с папками
Добавление дел
Добавление файлов к делам
Работа с архивом дел
Работа со списком фигурантов по делам
Настройка категорий файлов
Просмотр истории изменений
Настройка списка допусков

29.

Работа с папками
Создание
Удаление
Перетаскивание
Дела из удаленных папок перемещаются в
архив
В другие папки (drag and drop)

30.

Добавление дела
К созданным делам можно прикреплять файлы

31.

Работа с архивом дел (просмотр)

32.

Работа с архивом дел (просмотр фигурантов дела)