Geekly articles weekly

Implementação de um sistema DLP no exemplo do varejo

"Peço desculpas", uma voz familiar falou com firmeza, mas muito silenciosamente, da escuridão. Olhando em volta, vi a silhueta de um estranho se movendo suavemente em minha direção. "Você está atrasado?" Ele continuou. "Talvez", respondi, percorrendo rapidamente todas as opções para um possível diálogo, comparando a aparência da pessoa com as variações de seus possíveis pedidos que me vieram à mente.

Ele era um avô de cerca de setenta anos, com um bigode cinza e cabelos grisalhos balançando levemente ao vento. Ele usava óculos, um terno cinza comum a todas as pessoas dessa idade e uma camisa azul deslumbrante. Ele parecia vestido desajeitado e cativante, dado o fato de estarmos em uma das áreas de dormir de Moscou. Depois da minha resposta, ele olhou para o relógio e também com firmeza, mas já com um sorriso disse: "Então talvez eu já esteja atrasado". "Por que você?" - não entendendo completamente o que estava acontecendo, perguntei. "Mas porque não sei quanto tempo dura o seu" talvez "", respondeu o avô com um sorriso malicioso no rosto. "Tempo, tempo, não pode ser descontado, você está dizendo isso" talvez "para nós há muito tempo, estamos todos esperando", continuou ele sem sorrir. "Muitas cartas, escreva um artigo sobre Habr, os prazos estão se esgotando", disse o avô, e eu acordei ...

Como se viu, era um sonho, um sonho icônico. Para não incomodar Nikita Mikhalkov do meu sonho, eu, um jovem rapaz da LANIT Integration , escrevi um artigo sobre a introdução de um sistema DLP usando o varejo como exemplo.


1. O que é um sistema DLP


O que é um sistema DLP? Suponha que você já saiba o que é e possa escrever: "Sim, anos DLP, como um mamute", "Che diz lá?", "Isso não é novidade". Responderei imediatamente: o artigo contém uma história sobre uma parte importante da implementação do sistema - análise, porque os técnicos não sabem que informações são realmente importantes. Além disso, deve-se notar que existem muitos artigos sobre o DLP, mas como ele é implementado e por que os integradores fazem o trabalho, não. E sim, haverá uma breve excursão descritiva sobre o DLP, outras pessoas, não você, podem não saber. Maxim da LANIT cuida dos leitores. Vamos lá!

DLP (Prevenção de vazamento de dados) - Prevenção de vazamento de dados. O trabalho do sistema é analisar as informações que circulam dentro da organização e saem para fora. Ou seja, desta vez a contabilidade não enviará em massa informações sobre seu salário. Graças a conjuntos de certas regras definidas pelo sistema, é possível bloquear a transferência de informações confidenciais ou notificar que informações confidenciais podem ser transferidas para mãos erradas.


A excursão descritiva terminou, estamos seguindo em frente.

2. O que motivou a implementação


Você tem uma rede corporativa? Ele lida com informações confidenciais? Você tem medo de que alguém que não seja você use suas informações confidenciais?

SIM! Sim SIM! ”, Uma conhecida empresa de varejo respondeu a essas perguntas de maneira impulsiva e convulsiva, como Agutin apertando um botão, e não se enganou.


Nosso cliente entendeu que a ameaça de vazamento de informações confidenciais na parte esmagadora está nos atuais e antigos funcionários da empresa. Portanto, era importante reduzir o risco de um possível incidente do tipo "funcionário e seus amigos". Sim, você pode dizer: "Aceite funcionários normais" ou "Você não confia nos funcionários, por que eles deveriam confiar em você?" A resposta é simples - existe uma "manivela" com a letra "m" em todos os lugares, e sua "excentricidade" pode não aparecer imediatamente, mas isso é um risco.

Mas mesmo em uma situação ideal, não se pode ter certeza de que um funcionário confiável e profissional não cometa um erro. Para esses funcionários, o sistema funciona como um colete salva-vidas e, em algum momento, pergunta: "Talvez não?".

3. Etapas do trabalho


Três etapas principais de implementação:

  • formação de requisitos
  • concepção e instalação
  • análise e configuração do sistema.

Formação de requisitos


Antes da introdução de qualquer sistema, é necessário realizar um exame do objeto de trabalhos futuros. Portanto, nossos engenheiros e consultores de segurança da informação partem no primeiro plano para descobrir tudo sobre o cliente.


O que discutimos:

  • documentação organizacional e administrativa relacionada à segurança e classificação das informações,
  • lista de recursos de informação,
  • circuitos de rede
  • esquemas de fluxo de dados
  • estrutura organizacional.

Após o exame, nós, juntamente com o cliente, começamos a considerar todas as opções possíveis para uma futura colagem técnica. Após compilar uma lista de necessidades dos clientes, selecionamos dois fornecedores nacionais e dois estrangeiros. Ao comparar as soluções, o produto mais adequado foi selecionado. Após a aprovação da decisão, eles começaram a pilotar.

O teste piloto ocorreu dentro de um mês. Como resultado, garantimos que a solução escolhida atenda a todos os requisitos do cliente. Tendo desenvolvido e protegido o relatório, passamos à próxima etapa.

Projeto e Instalação


Após o piloto, iniciamos a implementação. A primeira coisa que começamos foi a criação de uma arquitetura de sistema cobrindo todos os departamentos, divisões e filiais. A seguir, é a aprovação do plano de implementação. Parece uma garrafa quebrada em um navio. Precisávamos explicar a todos os funcionários o que estamos implementando, como funciona, quais objetivos buscamos. Graças aos briefings realizados sobre o sistema DLP e seu objetivo, obtivemos entendimento da equipe e estávamos prontos para continuar cumprindo nosso plano.

O próximo passo foi implementar o ferro, configurar o software e desenvolver políticas.

Você pode gastar milhões na entrega e implementação do sistema, mas sem a configuração adequada, o resultado não será alcançado. O sistema DLP pronto para uso não é eficiente e não funciona corretamente.


Análise e ajuste do sistema


Após a instalação e implantação, precisávamos entender claramente o que protegeríamos e como configurar nosso DLP de acordo com as políticas necessárias. Muitas vezes, a empresa não tem idéia sobre informações confidenciais. Uma pessoa nunca dirá quais informações são confidenciais para toda a empresa. Além disso, no nosso caso, estamos falando de uma organização internacional com milhares de funcionários.

Portanto, é necessário realizar entrevistas. Além disso, as entrevistas devem ser realizadas com os principais detentores de informações, ou seja, com pessoas com determinadas competências e um entendimento de quais informações são confidenciais em seus campos, porque são os chefes de departamentos que são consumidores comerciais da funcionalidade DLP. As informações sobre o vazamento após o processamento pelo agente de segurança são enviadas ao gerente, que toma uma decisão adicional sobre o que fazer com esse incidente.

Fonte

Para determinar os proprietários das informações de que precisamos, estudamos a estrutura organizacional, consultores experientes fizeram uma proposta e a pessoa responsável finalmente determinou a lista de entrevistados. Vale a pena notar que uma entrevista só pode ser útil se o chefe do departamento entender completamente o que e como está funcionando em seu departamento. A alta gerência não consegue adivinhar sutilezas desta ou daquela esfera.

A partir da entrevista, ficou claro para nós quais informações são confidenciais para a empresa. Em cada departamento, você pode obter todos os tipos de informações confidenciais, que devem encontrar apenas um destinatário específico.

Para personalização adicional, precisávamos de documentos de amostra contendo as informações protegidas. O entrevistado nos indicou onde está armazenado e de que maneira é transmitido. Precisamos de todas essas sutilezas analíticas para configurar determinadas regras do sistema e entender como proteger essas informações.

Depois disso, as políticas foram escritas e acordadas de forma conveniente para a transferência para o sistema.

Normalmente, um sistema DLP opera de acordo com o seguinte algoritmo:

  1. interceptação de informações (o sistema captura o arquivo - recebido, enviado, aberto etc.);
  2. análise de informações (o sistema determina para onde o documento é enviado e, usando as etiquetas configuradas, determina a natureza das informações contidas nele, entende que tipo de documento é);
  3. bloqueio ou notificação de um incidente (o sistema determina a legitimidade da operação no documento (processamento de acordo com as políticas configuradas)).


Como ensinar o sistema a analisar as informações que recebe?

Aqui estão alguns tipos de análise de documentação de privacidade:

  1. Detector de formulário / espaço em branco

    Permite detectar formulários / formulários que contêm informações confidenciais como impostos, médicos, formulários de seguros, etc.
  2. Impressões digitais

    Aplica métodos de impressão digital para detectar informações confidenciais armazenadas em dados não estruturados, incluindo documentos do Microsoft Office, arquivos PDF; e arquivos binários como JPEG, CAD e arquivos multimídia. O IDM também detecta conteúdo "derivado", como texto copiado de um documento de origem para outro arquivo.
  3. Mapeamento

    Detecta conteúdo identificando fontes de dados estruturados, incluindo bancos de dados, servidores de catálogos ou outros arquivos de dados estruturados.
    Nós prescrevemos as políticas necessárias, tivemos que realizar as atividades finais antes da entrega do trabalho.

4. Resumo


Após o comissionamento, começamos a realizar testes preliminares:

  • Testes DLP para operacionalidade e conformidade com os requisitos formulados;
  • solução de problemas e alterações na documentação.

Após o recebimento dos dados, o número de falsos positivos, que não excede 30%, é considerado um sistema DLP idealmente ajustado. A explicação está no fato de que mais de 100.000 eventos podem ocorrer por dia, porque esse percentual é aceitável. Mas mesmo com uma quantidade inicialmente enorme de LPS (taxa de respostas falsas), também houve eventos que exigiam atenção do oficial de segurança.

O papel do integrador é:

  • na seleção cuidadosa de um sistema para tarefas específicas, comparando todas as opções possíveis,
  • treinamento de pessoal
  • análise da informação processada,
  • configuração do sistema
  • abordagem individual
  • perícia.

Embora esse não seja o ponto principal, já está claro como a compra de ferro com fiação difere da compra direcionada de equipamento e de suas configurações para tarefas específicas.

Integre-se com o amor.
LANIT


P.S. Carro vendido))

Quem são as vagas?

Source: https://habr.com/ru/post/pt458704/

More articles:


All Articles