Компания Verizon недавно опубликовала свой очередной и очень востребованный отчет  Data Breach Investigations Report. Этот документ, который включает в себя анализ более 47 тыс. известных инцидентов в области безопасности и 621 подтвержденных случаев утечек данных, содержит в себе очень интересную статистику и показывает тренды, связанные с кибер-безопасностью. Что наиболее важно, он указывает на факт, что системы реагирования на инциденты и обеспечения сетевого надзора должны играть значительно большую роль в стратегии безопасности организаций. Компания Lancope проанализировала этот документ.

Инсайдерские угрозы и APT (Advanced Persistent Threats)

Отчет говорит о том, что 14% нарушений были совершены инсайдерами и 19% были связаны с группировками, спонсируемыми государствами. Эти два типа атак наиболее трудно обнаружить обычными системами контроля безопасности на уровне периметра или базирующихся на анализе сигнатур. Инсайдеры уже имеют разрешенный доступ к сети и им не требуется проходить любые традиционные средства защиты, чтобы  начать воровать информацию или вредить вашей инфраструктуре. В свою очередь преступники второго типа (которые, в основном, ответственны за APT) известны тем, что создают специальные скрытные методы для проникновения за периметр внутрь сети без использования ПО, которое может быть обнаружено обычными средствами защиты. И действительно 76% проникновений, проанализированных Verizon, использовали украденные или легко определяемые аутентификационные данные для получения доступа в сеть, а 29% использовали тактику социальной инженерии. Кроме того, более 95% спонсируемых государствами фактов кибер-шпионажа использовали фишинг как средство инфильтрации в целевую систему. Единственный метод защиты от таких,  все чаще встречающихся, атак (инсайдеры и APT) - это знать, что происходит в вашей сети и быть способным определить подозрительное поведение, которое может повысить риск.

Значение отклика на инциденты

Как сказано в отчете Verizon, "предотвращение атаки очень важно, и мы всегда будем обращать внимание на эту цель. Но мы должны принять тот факт, что нет непреодолимых барьеров и обнаружение инцидентов и реакция на них является сегодня важнейшей линией обороны".
Verizon также отдельно отмечает NetFlow, как "очень полезный ресурс для исследований". Путем сбора и анализа NetFlow и других типов потоковых данных, Lancope StealthWatch, в частности, позволяет получить полную картину сетевой активности для обнаружения угроз из-за инсайдеров в сети, а также проводить аналитические исследования для того, чтобы не допустить скрытых современных атак.

Обеспечение прозрачности сети - это ключ к сохранению безопасности

Forrester, в свою очередь, также указал на этот пункт в своем анализе отчета Verizon, называя провайдеров систем обеспечения сетевой прозрачности, таких как Lancope, ключевым компонентом в идентификации большинства звеньев сложных "убийственных цепочек", создаваемых кибернетическими преступниками. Аналитик Forrester Рик Холланд указывает, что "анализ трафика и обеспечение прозрачности всех процессов должны быть внедрены в вашей сетевой среде. Когда подводит превентивный контроль, и мы знаем, что это наверняка произойдет, нам необходима сильная система исследования сети. Такие решения способны обнаруживать факты передачи, выполнения команд и контроля вашей инфраструктурой, также как и факт инфильтрации". Здесь он упоминает несколько производителей, включая Lancope, которые работают в этом направлении.
В целом, отчет Verizon - это очень ценный документ для любой организации. Учитывая, что 66% нарушений продолжались в течение месяцев и даже больше того, прежде чем они были обнаружены (согласно отчету), он еще раз подчеркивает важный факт, что существующее состояние систем защиты уже не может обеспечить сетевую безопасность в наши дни. Подразделение безопасности должно играть более активную роль в защите сети, внедряя такие инструменты, как мониторинг на базе потоковых технологий, который обеспечивает полную прозрачность сети и предоставляет данные для анализа безопасности.

Дополнительную информацию о том, как использовать NetFlow для противодействия современным кибер-угрозам, можно получить в документе компании Lancope "Internal Network Visibility for APTs and Insider Threats".

Источник: http://web-control.livejournal.com/25748.html

Угрозы инсайдеров становятся все более серьезными. За последние несколько лет мы видим постоянный поток сообщений об инцидентах, связанных с нарушением своих обязательств и прав авторизованными пользователями, которые намеренно саботируют свою компанию и передают информацию конкурентам. Одновременно изменяется и бизнес-среда, которая все больше полагается на аутсорсинг, подрядные компании и сторонние технологические платформы, что приводит к тому, что ценная бизнес-информация становится доступной все большему количеству людей. В случае инсайдерских утечек контроль доступа и защита периметра не помогут, вредитель уже находится внутри периметра. Нужно что-то другое...
Вот пять шагов, которые необходимо предпринять для противодействия подобным угрозам:

• Разработать детальный процесс закрытия доступа в сеть сотруднику. Это кажется простым и очевидным вопросом, но множество организаций имеют "дыры" в этом процессе, что мешает закрыть определенные аккаунты или обнаружить и "обрубить" активное соединение в то время, когда сотрудник покидает организацию.
• Создать систему "сдержек и противовесов" для системных и сетевых администраторов. Административный доступ ко всем системам и устройствам следует предоставить более, чем одному человеку, но необходимо исключить совместное использование одних и тех же логинов и паролей, поскольку совместно используемый аккаунт сложно контролировать и аннулировать.
• Работать совместно с руководителями для идентификации недовольных сотрудников. IT-мониторинг и обнаружение нарушений должны рассматриваться как "воздушная поддержка" для усилий менеджмента "на земле" по идентификации людей, кто чем-то недоволен или уже занимается мошенничеством. Неправильное использование компьютерных ресурсов очень часто может быть связано с другим "странным" поведением на работе.
• Обратить внимание на аудит доступа к системам и сетевую активность перед увольнением сотрудника. Большая часть активности инсайдеров происходит в то время, когда сотрудник находится уже на пороге увольнения, и эта активность часто определяется путем проверки информации логов, включая традиционный Syslog, а также NetFlow и другие аналогичные технологии.
• IT не должны решать проблемы инсайдерских угроз в одиночку. Это междепартаментная проблема, которая требует взаимодействия между IT, HR, юристами и управлением компании. Только так можно идентифицировать "потенциально опасных" сотрудников, не нарушая при этом права людей на приватность.

С точки зрения технологий единственный путь предотвращения такого рода атак, это иметь возможность "видеть", что инсайдеры делают в сети, т.е. контролировать нестандартное сетевое поведение. Такое, как необычно большой объем передачи данных или попытки доступа в зоны ограниченного доступа. Более подробную информацию на эту тему можно получить здесь: http://www.lancope.com/solutions/security-operations/.

1. Собрать расширенную команду заинтересованных лиц. - Необходимо определить всех тех, кто заинтересован в предотвращении утечек информации. В больших организациях, кроме специалистов по информационной безопасности,  это могут быть сотрудники из IT, службы безопасности, кадров, юридического  и финансового отделов и т.п.
2. Разработать процесс уведомления о нарушении. - Знаете ли вы, как поступать в случае возникновения нарушения правил работы с информацией? Кого необходимо информировать? Готовы ваши юридический и кадровый отдел  решать проблемы, которые возникают в этом случае? Соберите сотрудников этих подразделений и вместе с ними напишите бизнес-процесс для такой ситуации. Обязательно продумайте, что будете делать, если ваши данные будут утеряны и будут нарушены законы или отраслевые регламенты.
3. Зафиксировать неработающие бизнес-процессы (например, автоматизированная передача  данных). - Допустим, вы обнаружили нарушение бизнес-процессов, например, когда файлы передаются партнерам в виде обычных текстов через Интернет, а не в зашифрованном виде через защищенную линию. Вам потребуется много времени, чтобы это исправить. Очень часто работникам службы информационной безопасности нужен кто-то "корпоративно сильный", чтобы заставить другие подразделения IT предпринять меры для решения этой проблемы. Займитесь этим в первую очередь.
4. Разработать план действий в случае обнаружения инсайдерского хищения.-  Обсудите с HR меры, которые необходимо принять в случае обнаружения инсайдера. Дайте возможность кадровикам самим подумать и включите их в команду. Инсайдер может быть и из числа топ-менеджеров, поэтому учтите эту возможность.
5. Сформировать команду по работе с инцидентами и определить ее рабочие процессы. - Разработайте план в виде графика бизнес-процесса. Кто должен входить в такую команду? В больших организациях это могут быть: руководитель высокого уровня, IT, сотрудники службы безопасности, юридического и кадрового подразделений. Определитесь с конкретными людьми.
6. Определить  SLA для процесса разрешения инцидента. - Определите цели, чтобы быть уверенным в решении проблемы в нужные сроки. Мы советуем определить SLA для:
   • Ознакомление руководства со всеми инцидентами за ХХ времени.
   • Разрешение важных инцидентов за YY времени.
   • Закрытие всех инцидентов за ZZ времени.
7. Определить правила отчетности и автоматизировать этот процесс. - Как вы собираетесь отслеживать процесс работы с инцидентами? Определитесь, какие отчеты вам нужны и кто конкретно будет их делать. Определите периодичность  создания отчетов, чтобы вы были в курсе того, что происходит и что ваша команда работает в соответствии с определенными ранее SLA. Отчеты должны включать:
   • Новые инциденты
   • Закрытые инциденты
   • Статус открытых инцидентов - сроки, важность,  владелец
   • Отчет по инцидентам, отсортированных по типу данных или корпоративных политик, которые были нарушены
   • Обобщенная информация для руководства
8. Планировать этапы свертывания действий. - Важно планировать свертывание процессов, вместо того, чтобы стараться "вскипятить океан".
   1. Определить данные и политики, которые будут поэтапно контролироваться: сначала клиентские данные, затем контрактная информация и т.п.
   2. Проверьте политики контроля в режиме мониторинга, чтобы определить "линию отсчета". Но вы должны быть готовы к тому, что увидите массу нарушений.  После этого продумайте, как вам аккуратно с этим справиться.
   3. Определитесь, когда вам надо принять решение о предупреждении пользователя и что вы ожидаете от этого. Используйте это для обучения пользователей правилам соблюдения корпоративных политик в сфере работы с информацией. Вы заметите, как количество инцидентов начнет уменьшаться по мере того, как пользователи будут предупреждаться по каждому случаю нарушения.

Авторитетные издания из стран Ближнего Востока - Computer News Middle East (CNME) и Arabian Computer News - по результатам своих исследований назвали компанию Blue Coat лучшим провайдером решений по безопасности в 2010 году и компанией, оказывающей лучшую поддержку корпоративным пользователям, соответственно.
За этот год компания Blue Coat представила на ближневосточном рынке несколько инновационных продуктов и услуг, первое решения класса Secure Web Gateway для IPv6, обеспечивающее плавную и безопасную миграцию приложений, сервисов и данных между IPv4- и IPv6-средами. Другие продукты, которые обратили на себя внимание в этом регионе, это устройства Blue Coat Data Loss Prevention (DLP), обеспечивающие надежную защиту от утечек данных, и системы Blue Coat CacheFlow, позволяющие сервис-провайдерами справляться с задачами, которые несет за собой быстро растущее потребление полосы пропускания.
Что касается сервисной стороны Blue Coat объявила о начале действия сервисной программы Blue Touch для партнеров, позволяющей реселлерам значительно увеличить свои предложения в сфере поддержки и профессионального сервиса для заказчиков.
 

Недавно аналитическая компания Gartner опубликовала исследование "Магический квадрант систем предотвращения утечек данных" за 2010 год (2010 Magic Quadrant for Content-Aware Data Loss Prevention).
Среди нескольких лидеров этого рынка была отмечена и компания Code Green Networks со своим продуктом TrueDLP, в первую очередь за простоту использования, низкую стоимость и надежность работы. "Его очень легко внедрить и использовать в организациях до 50 тыс. пользователей, что делает его очень привлекательным для корпоративных клиентов, внимательно подходящим к затратам на ИТ" (полное исследование можно получить на сайте Gartner Group).
Мы надеемся, что рекомендации Gartner и других аналитических организаций могут быть очень полезными, чтобы сделать правильный выбор продукта, защищающего от утечек информации, среди массы конкурентов.
Ключевая тема доклада Gartner в этом году - легкость использования или, говоря другими словами, простота. Хотя решения по защите информации от утечек (data loss prevention, DLP) существуют уже достаточно давно, они, как правило, очень сложно внедряются и управляются, и во многих случаях являются просто дополнительной системой, "прикручиваемой" к другим решениям для расширения продуктовой линейки. Поскольку DLP для компании Code Green Networks - это единственный бизнес, то разработчики этого решения являются большими специалистами в этом направлении и сфокусировали свои силы на простоте использования: легко настраивать, легко внедрять, легко управлять. Потребители, выбирающие Code Green TrueDLP в большинстве случаев получают полноценное DLP-решение в едином устройстве, в то время как подобное решение других вендоров может включать в себя до семи отдельных устройств.
Более сложные решения как правило требуют отдельного администратора, все свое время затрачивающего на управление им. И напротив, большинство пользователей TrueDLP тратят на администрирование всего около часа в неделю.
Хотя ценовые параметры не являются темой доклада Gartner, продукт Code Green TrueDLP продолжает лидировать по этому параметру, как корпоративное решение с самой малой общей стоимостью владения (TCO), обеспечивающее полную функциональность без какиих либо затрат на лицензии. Потребители могут увеличивать емкость просто добавляя такие же устройства модульным образом.
В России системы предотвращения утечек информации (Data Loss Prevention, DLP) Code Green Networks продаются компанией Web Control, а также ее партнерами - ведущими российскими системными интеграторами.
 

Пакет решений Blue Coat Secure Web Gateway для защиты входящих и исходящих коммуникаций получил новый слой защиты.

Компания Blue Coat официально объявила о начале продаж нового семейства устройств Blue Coat Data Loss Prevention (DLP), которые позволяют обеспечить всестороннюю защиту от утечек данных при использовании только одного интегрированного устройства. Добавив устройства класса DLP в свое гибридное решение Secure Web Gateway, Blue Coat теперь может обеспечивать защиту как от входящих угроз, так и от потерь информации изнутри сети.

"Требования регуляторов рынка, а также существенные потери в бизнесе от утечки информации, являются причиной, по которой все больше компаний начинают внедрение систем защиты информации", - говорит Андреас Антонопулос (Andreas M. Antonopoulos), первый вице-президент и соучредитель исследовательской компании Nemertes. - Однако, многие компании очень быстро понимают, что стоимость и сложность решений класса DLP, дополняемые организационными и культурными проблемами, которые привносят с собой DLP, могут вызвать отказ от использования системы или саботаж пользователей. Успешные DLP-проекты всегда последовательные по своей природе - они начинаются с небольшого набора четко определенных целей и постепенно наращиваются для достижения успеха. При тестировании и оценке DLP-решений компании должны обращать внимание в первую очередь на легкость использования и гибкость в настройке правил, что позволит осуществить постепенное внедрение".

Устройства Blue Coat DLP интегрируют в себе функционал защиты от утечек данных, включая email и Web-контент, данные в базах данных и на серверах, с унифицированной системой управления в единой, интегрированной платформе. Система управления при этом обеспечивает администраторов систем защиты информации интуитивно понятной панелью для легкого управления и конфигурирования системы, упрощая процесс анализа и определения политик тонкой настройки.

Ввод в строй за часы, а не за недели или месяцы

Устройства Blue Coat DLP могут быть введены в строй в течение дня или даже быстрее. Причем сюда входит инсталляция и конфигурирование, тестовый мониторинг и проверка трафика, а также анализ инцидентов. Для сравнения, традиционные DLP-решения требуют недель или даже месяцев на внедрение и начало эксплуатации.

Для еще большего упрощения внедрения, система Blue Coat DLP позволяет сначала сконфигурировать только наиболее критичные функции, а дополнительную функциональность подключить позднее. Исключение необходимости полномасштабного конфигурирования решения при начальном внедрении позволяет компании начать эксплуатацию системы по графику, который является оптимальным для их бизнеса и сетевого окружения.

DLP-решение класса корпорации для всех

В дополнение к простоте внедрения и эксплуатации, устройства Blue Coat DLP предоставляют ряд продвинутых технологий в области предотвращения потерь данных, которые позволяют защитить важную, конфиденциальную или персональную информацию:
Продвинутые возможности фиксации информации (fingerprinting): система Blue Coat DLP осуществляет быструю и точную оценку структурированных и неструктурированных данных с минимальным количеством ошибок
Независимость от языка: устройство Blue Coat DLP уже сразу поддерживает наиболее применяемые языки, включая те, которые используют многобайтные символы. Для международных компаний, которые присутствуют в таких странах как Япония, Корея или Китай, поддержка многобайтных символов является принципиально важной для защиты данных во всех своих офисах.
Независимость от форматов файлов: поддерживая свыше 600 типов документов, система Blue Coat DLP может обрабатывать широкий диапазон типов файлов, включая архивы.

Интеграция с устройствами ProxySG

Устройства DLP интегрируются с Blue Coat ProxySG, используя защищенный ICAP-протокол. При подключении устройство ProxySG обеспечивает систему DLP возможностью проверять шифрованный по SSL-протоколу трафик, предоставляя ему право блокировать, перенаправлять и расшифровывать важную информацию. Кроме того, устройства ProxySG могут предоставлять системе DLP различную идентификационную информацию, что позволяет внедрять политики на уровне пользователей.

Расширение гибридного решения Secure Web Gateway

Новые DLP-устройства создают еще один дополнительный слой защиты в гибридном решении Blue Coat Secure Web Gateway. Гибридная архитектура решения включает в себя и корпоративный интернет-шлюз, и облачную защиту для анализа данных по требованию и немедленной защиты от эволюционирующих и меняющихся веб-угроз. Интеграция функционала DLP в это решение позволяет распространить политики защиты от утечек на SSL-трафик, такой как Webmail, и защитить пользователей, уже зараженных вредоносным ПО, от пересылки конфиденциальной или другой важной информации на хакерские сайты.
 

В России Blue Coat DLP можно приобрести у официального дистрибутора - компании Web Control.