Geekly articles weekly

Mise en place d'un système DLP sur l'exemple du retail

"Je m'excuse," dit une voix familière fermement, mais très doucement, de l'obscurité. En regardant autour de moi, j'ai vu la silhouette d'un étranger se déplacer doucement dans ma direction. "Vous êtes en retard?", Poursuivit-il. "Peut-être," répondis-je, faisant défiler rapidement toutes les options pour un dialogue potentiel, comparant l'apparence de la personne avec les variations de ses éventuelles demandes qui lui venaient à l'esprit.

Il était un grand-père d'environ soixante-dix ans, avec une moustache grise bien nette et des cheveux gris se balançant légèrement au vent. Il portait des lunettes, un costume gris commun à toutes les personnes de cet âge et une chemise bleu éclatante. Il semblait habillé maladroit et accrocheur, étant donné que nous étions dans l'une des zones de couchage de Moscou. Après ma réponse, il a jeté un coup d'œil à sa montre et aussi fermement, mais déjà avec un sourire a dit: "Alors j'ai peut-être déjà été en retard." "Pourquoi toi?" - ne comprenant pas complètement ce qui se passait, ai-je demandé. "Mais parce que, je ne sais pas combien de temps dure" peut-être "", a répondu Grand-père avec un sourire narquois sur le visage. "Du temps, du temps, on ne peut pas l'escompter, vous nous dites" peut-être "depuis longtemps, nous attendons tous", a-t-il poursuivi sans sourire. "Beaucoup de lettres, écrivez un article sur Habr, les délais sont épuisés", a expliqué le grand-père, et je me suis réveillé ...

Il s'est avéré que c'était un rêve, un rêve iconique. Afin de ne pas ennuyer Nikita Mikhalkov de mon rêve, moi, un jeune homme de LANIT Integration , j'ai écrit un article sur l'introduction d'un système DLP utilisant la vente au détail comme exemple.


1. Qu'est-ce qu'un système DLP


Qu'est-ce qu'un système DLP? Supposons que vous sachiez déjà de quoi il s'agit et que vous pouvez écrire: "Oui, les années DLP, comme un mammouth", "Che dis là?", "Ce n'est pas une nouvelle." Je vais répondre tout de suite: l'article contient une histoire sur une partie importante de la mise en œuvre du système - l'analyse, car les techniciens ne savent pas quelles informations sont vraiment importantes. En outre, il convient de noter qu'il existe de nombreux articles sur DLP, mais comment il est mis en œuvre et pourquoi les intégrateurs font le travail, non. Et oui, il y aura une brève description de DLP, d'autres personnes, pas vous, peuvent ne pas savoir. Maxim de LANIT s'occupe des lecteurs. C'est parti!

DLP (Data Leak Prevention) - Prévention des fuites de données. Le travail du système consiste à analyser les informations circulant au sein de l'organisation et sortant. Autrement dit, cette fois, la comptabilité ne fera pas de publipostage de masse sur votre salaire. Grâce à des ensembles de certaines règles définies par le système, il est possible de bloquer le transfert d'informations confidentielles ou de signaler que des informations confidentielles peuvent être transférées entre de mauvaises mains.


L'excursion descriptive est terminée, nous allons de l'avant.

2. Ce qui a motivé la mise en œuvre


Avez-vous un réseau d'entreprise? Traite-t-il des informations sensibles? Avez-vous peur que quelqu'un d'autre que vous utilise vos informations confidentielles?

«OUI! Oui! OUI! », Une entreprise de vente au détail bien connue a répondu à ces questions impulsivement et convulsivement, comme Agutin frapper un bouton, et ne s'est pas trompée.


Notre client a compris que la menace de fuite d'informations confidentielles dans la très grande partie réside dans les employés actuels et anciens de l'entreprise. Il était donc important de réduire le risque d'incident potentiel du type «employé et ses amis». Oui, vous pouvez dire: «Prenez des employés normaux» ou «Vous ne faites pas confiance aux employés, pourquoi devraient-ils vous faire confiance?» La réponse est simple - il y a une "manivelle" avec la lettre "m" partout, et son "excentricité" peut ne pas apparaître immédiatement, mais c'est un risque.

Mais même dans une situation idéale, on ne peut être sûr qu'un employé fiable et professionnel ne fera pas d'erreur. Pour ces employés, le système fonctionne comme un gilet de sauvetage et à un moment donné demande: «Peut-être pas?».

3. Étapes du travail


Trois étapes de mise en œuvre majeures:

  • formation des exigences
  • conception et installation
  • analyse et configuration du système.

Formation des exigences


Avant l'introduction de tout système, il est nécessaire de procéder à un examen de l'objet des travaux futurs. Par conséquent, nos ingénieurs et consultants en sécurité de l'information sont partis dans le premier avion pour tout savoir sur le client.


Ce que nous avons discuté:

  • documentation organisationnelle et administrative relative à la sécurité et à la classification des informations,
  • liste des ressources d'information,
  • circuits de réseau
  • schémas de flux de données
  • structure organisationnelle.

Après l'examen, nous avons commencé, avec le client, à envisager toutes les options possibles pour un futur collage technique. Après avoir compilé une liste des besoins des clients, nous avons sélectionné deux fournisseurs nationaux et deux fournisseurs étrangers. En comparant les solutions, le produit le plus approprié a été sélectionné. Après approbation de la décision, ils ont commencé le pilotage.

Les essais pilotes ont eu lieu dans un délai d'un mois. En conséquence, nous nous sommes assurés que la solution choisie couvre toutes les exigences du client. Après avoir élaboré et protégé le rapport, nous sommes passés à l'étape suivante.

Conception et installation


Après le pilote, nous avons commencé la mise en œuvre. La première chose que nous avons commencée a été la création d'une architecture système couvrant tous les départements, divisions et succursales. Vient ensuite l'approbation du plan de mise en œuvre. Cela ressemble à une bouteille cassée sur un navire. Nous devions expliquer à tous les employés ce que nous mettons en œuvre, comment cela fonctionne, quels objectifs nous poursuivons. Grâce aux séances d'information tenues sur le système DLP et son objectif, nous avons acquis la compréhension du personnel et étions prêts à continuer de respecter notre plan.

L'étape suivante consistait à implémenter Iron, à configurer des logiciels et à développer des politiques.

Vous pouvez dépenser des millions pour la livraison et la mise en œuvre du système, mais sans sa configuration appropriée, le résultat ne sera pas atteint. Le système DLP prêt à l'emploi n'est pas efficace et ne fonctionne pas correctement.


Analyse et réglage du système


Après l'installation et le déploiement, nous devions comprendre clairement ce que nous protégerions et comment configurer notre DLP selon les politiques nécessaires. Souvent, l'entreprise n'a aucune idée des informations confidentielles. Une personne ne dira jamais quelles informations sont confidentielles pour toute l'entreprise, d'ailleurs, dans notre cas, nous parlons d'une organisation internationale avec des milliers d'employés.

Par conséquent, il est nécessaire de mener des entretiens. En outre, des entretiens devraient être organisés avec les principaux détenteurs d'informations, à savoir avec des personnes ayant certaines compétences et une compréhension des informations confidentielles dans leur domaine, car ce sont les chefs de service qui sont des consommateurs professionnels de la fonctionnalité DLP. Des informations sur la fuite après traitement par l'agent de sécurité sont envoyées au responsable, qui prend une décision supplémentaire sur ce qu'il faut faire de cet incident.

Source

Pour déterminer les propriétaires des informations dont nous avons besoin, nous avons étudié la structure organisationnelle, des consultants expérimentés ont fait une proposition et la personne responsable a finalement déterminé la liste des personnes interrogées. Il convient de noter qu'un entretien ne peut être utile que si le chef de département comprend parfaitement ce qui fonctionne et comment il fonctionne. La direction supérieure ne peut pas deviner les subtilités de telle ou telle sphère.

À partir de l'entretien, il nous est apparu clairement quelles informations sont confidentielles pour l'entreprise. De chaque département, vous pouvez obtenir tous les types d'informations confidentielles, qui ne devraient trouver qu'un destinataire spécifique.

Pour une personnalisation plus poussée, nous avions besoin d'exemples de documents contenant les informations protégées. L'intimé nous a indiqué où il est stocké et de quelle manière il est transmis. Nous avons besoin de toutes ces subtilités analytiques pour configurer certaines règles système et comprendre comment protéger ces informations.

Après cela, les politiques ont été rédigées et convenues sous une forme pratique pour le transfert vers le système.

En règle générale, un système DLP fonctionne selon l'algorithme suivant:

  1. interception d'informations (le système capture le fichier - reçu, envoyé, ouvert, etc.);
  2. analyse des informations (le système détermine où le document est envoyé et, à l'aide des étiquettes configurées, détermine la nature des informations qu'il contient, comprend de quel type de document il s'agit);
  3. blocage ou notification d'un incident (le système détermine la légitimité de l'opération sur le document (traitement selon les politiques configurées)).


Comment apprendre au système à analyser les informations qu'il reçoit?

Voici quelques types d'analyses de documentation de confidentialité:

  1. Détecteur de formulaire / vierge

    Vous permet de détecter les formulaires / formulaires contenant des informations confidentielles telles que les formulaires fiscaux, médicaux, d'assurance, etc.
  2. Empreintes digitales numériques

    Applique des méthodes de prise d'empreintes digitales pour détecter les informations confidentielles stockées dans des données non structurées, y compris les documents Microsoft Office, les fichiers PDF; et des fichiers binaires tels que JPEG, CAD et fichiers multimédias. IDM détecte également le contenu «dérivé», tel que le texte copié d'un document source vers un autre fichier.
  3. Cartographie

    Détecte le contenu en identifiant les sources de données structurées, notamment les bases de données, les serveurs de catalogue ou d'autres fichiers de données structurées.
    Nous avons prescrit les politiques nécessaires, nous avons dû réaliser les activités finales avant la livraison des travaux.

4. Résumé


Après la mise en service, nous avons commencé à effectuer des tests préliminaires:

  • Tests DLP d'opérabilité et de conformité aux exigences formulées;
  • dépannage et modification de la documentation.

À la réception des données, le nombre de faux positifs, ne dépassant pas 30%, est considéré comme un système DLP idéalement réglé. L'explication réside dans le fait que plus de 100 000 événements peuvent se produire par jour, car ce pourcentage est acceptable. Mais même avec une quantité initialement énorme de LPS (faux taux de réponse), il y avait aussi des événements nécessitant l'attention du responsable de la sécurité.

Le rôle de l'intégrateur est:

  • en sélectionnant soigneusement un système pour des tâches spécifiques, en comparant toutes les options possibles,
  • formation du personnel
  • analyse des informations traitées,
  • configuration du système
  • approche individuelle
  • expertise.

Bien que ce ne soit pas tous les points, il est déjà clair en quoi l'achat de fer avec câblage diffère de l'achat ciblé d'équipement et de ses paramètres pour des tâches spécifiques.

Intégrez avec amour.
LANIT


P.S. Voiture vendue))

Qui sont les postes vacants?

Source: https://habr.com/ru/post/fr458704/

More articles:


All Articles