SearchInform

SearchInform
SearchInform

понедельник, 25 июля 2016 г.

Перестаньте откладывать на потом информационную безопасность

У вас нет времени читать об информационной безопасности? Сомневаетесь в достоверности найденных данных? С какой стороны взяться за задачу размером с Великую Китайскую стену?
Мы подобрали пять популярных записей вебинаров, в которых эксперты просто и доступно объясняют основы ИБ и отвечают на распространенные вопросы.

Взлом, подкуп, шантаж – приемы социальной инженерии, которые используют злоумышленники для получения конфиденциальных данных у «доверчивых» сотрудников. Посмотрите запись вебинара, чтобы узнать:
  • какие техники социальной инженерии известны;
  • как распознать действия социальных инженеров;
  • как предупредить атаки.

Вы узнаете о тенденциях в компьютерных преступлениях и трудностях расследований. Эксперты Group-IB и SearchInform рассказывают, какие продукты и сервисы подходят для предотвращения атак:
  • DLP и SIEM-системы;
  • IDS\IPS;
  • антивирусное ПО;
  • системы слежения;
  • мониторинг сети.

Защита корпоративной информации требует финансовых затрат, которые необходимо грамотно обосновать владельцу бизнеса. На вебинаре эксперты показывают прикладные методики подсчета возврата инвестиций в ИБ:
  • оценка возможного ущерба от инцидента;
  • затраты на лицензирование ПО и модернизацию «железа»;
  • стоимость внедрения DLP-системы.

Управление сотрудниками разделяют на три вектора: мотивация, процессы и управление рисками. Последнее лежит в области личностной и поведенческой психологии, поэтому для поиска потенциальных угроз со стороны персонала используют приемы психотехнологий. Эксперт по экономической и кадровой безопасности рассказывает:
  • как поведение, внешность и даже почерк сотрудника сигнализируют о возможных проблемах;
  • как устроена система управления рисками;
  • на чем основана система управления поведением.

Из вебинара вы узнаете, почему люди и программно-технические средства – это равноценные звенья в цепи защиты информации. Сотрудник службы безопасности без доверия к себе со стороны персонала может лишиться оперативных сведений и не предотвратить ряд инцидентов. Как заставить людей вам доверять? И извлекать выгоду из общения? Вам помогут приемы аттракции:
  • «имя собственное»;
  • «зеркало отношений»;
  • «золотые слова» и др.


понедельник, 20 июня 2016 г.

Вебинар о современных схемах компьютерных преступлений


Уже в эту среду 22 июня в 11.00 (МСК) компания SearchInform совместно с Group-IB проведет вебинар «Компьютерные преступления. Как расследовать инциденты с помощью DLP и без?»

В рамках вебинара вы узнаете про тенденции компьютерных преступлений, а также, как эволюционировали целенаправленные атаки на компании. Эксперт Group-IB расскажет о:
  • Современных тенденциях и трудностях расследования компьютерных преступлений.
  • Корпоративных расследованиях с применением систем слежения и мониторинга активности в сети организации (DLP, IDS\IPS, антивирусного ПО, SIEM-системы и т.д.).
  • Успешных расследованиях с участием компании Group-IB. О продуктах и сервисах Group-IB по предотвращению компьютерных преступлений.

Спикер: Артём Артёмов, ведущий специалист по компьютерной криминалистике компании Group-IB.

Регистрация по ссылке. Участие бесплатное!


понедельник, 6 июня 2016 г.

TimeInformer – новое имя «младшего» продукта SearchInform

6 июня 2016 года компания SearchInform объявила о смене названия системы учета рабочего времени WorkTime Monitor на TimeInformer (ТаймИнформер).

Решение сменить имя системы вызвано двумя причинами. Первая: WorkTime – название, которое уже используют несколько компаний, в том числе зарубежных. Вторая причина – новое название легче воспринимается и запоминается, а также лучше отражает задачи, которые помогает решать программа.

TimeInformer – система для контроля действий сотрудников за ПК. Программа показывает, на что и как именно расходуется рабочее время персонала, и помогает оценить эффективность работы каждого специалиста.

Ренейминг системы прокомментировал Председатель совета директоров группы компаний SearchInform Лев Матвеев: «Мы не хотим лишних и тем более ложных ассоциаций в сознании потенциальных клиентов и партнеров с другими продуктами. Мы вывели систему учета рабочего времени на рынок в прошлом году, и она уже зарекомендовала себя, как надежный и современный инструмент для контроля работы персонала».

Основатель SearchInform так же отметил, что спрос на программу учета рабочего времени стабильно растет, продукт активно развивается, и компания планирует выводить его на зарубежные рынки. 

Инженер из США обвиняется в хищении коммерческих секретов своих работодателей

Уголовное дело против инженера, который обвиняется в хищении коммерческих секретов двух своих работодателей с целью создания фирмы в Китае, является еще одним напоминанием о необходимости защиты интеллектуальной собственности и контроля каналов передачи данных.
Большое жюри федерального суда выдвинуло обвинительное заключение, согласно которому инженер из г. Ирвайн, Венфенг Лу (43 года) обвиняется по 12 пунктам в хищении и хранении коммерческих секретов двух своих бывших работодателей, которые занимаются разработкой и производством медицинской аппаратуры для лечения сердечно-сосудистых заболеваний. Лу работал в данных компаниях с января 2009 г. до момента своего ареста в 2012 г.
В течение этого периода, Лу несколько раз ездил в КНР – иногда сразу после предполагаемой загрузки конфиденциальных данных с компьютера работодателя на свой почтовый ящик. Согласно материалам дела, Лу был арестован в ноябре 2012 г. перед посадкой в самолет, направляющийся в КНР. Судя по письменному показанию агента ФБР, в это время Лу вместе с рядом других лиц занимался открытием компании по производству медицинской аппаратуры.  
«Хищение интеллектуальной собственности представляет собой большую угрозу для компаний и сотрудников, чье благосостояние зависит от данных компаний, – отметила прокурор США, Эйлин М. Декер. – Кроме того, если похищенные материалы предназначены для использования в иностранных организациях, которые намерены конкурировать с американскими компаниями, как в данном случае, хищение интеллектуальной собственности также угрожает безопасности нашей страны. Это является одно из причин того, что Прокуратура США, а именно Подразделение Национально Безопасности, занимается сейчас преступлениями, связанными с хищением интеллектуальной собственности».
Максимальное наказание по каждому из 12 пунктов обвинения по данному уголовному преступлению предполагает лишение свободы на 10 лет с отбыванием срока в федеральной тюрьме, а также штраф в размере до 5 млн. долл. США.

Оригинал новости по ссылке   

среда, 25 мая 2016 г.

Как узнать о DLP всё: от А до Я?

DLP-системы – это не только настройка политик безопасности и выявление инцидентов. Чтобы предотвращать утечки информации необходим комплексный подход: от оценки рисков и последствий инсайдерской деятельности, до сбора доказательной базы и доведения дела до суда. Такая обширная экспертиза требует постоянного изучения и совершенствования. Именно комплексному подходу к борьбе с ИБ-инцидентами посвящен учебный курс «DLP от А до Я».

Программа курса разработана специально для руководителей и сотрудников служб информационной безопасности различных предприятий и организаций. Курс создан и будет проводиться специалистами сразу трёх компаний: SearchInform, GlobalTrust и Group-IB. Представитель каждой из них поделится экспертными знаниями в своей области. Слушатели курса узнают о:

·         Оценке, анализе и управлении рисками информационной безопасности;
·         Расчете возврата инвестиций в информационную безопасность на примере DLP-системы;
·         Использовании DLP-систем для предотвращения инцидентов до их наступления;
·         Сборе доказательной базы для правового преследования нарушителей политик безопасности компании;
·         Проведении корпоративных расследований на реальных примерах утечек данных.

Полная программа доступна на сайте. Традиционно, главный упор сделан на практическую составляющую и разбор реальных ситуаций. Каждому участнику предоставляется персональное рабочее место с подготовленным софтом. Во время занятий представители компаний полностью раскроют вопросы, связанные с внедрением, эксплуатацией и проведением расследований с помощью DLP-систем.


Кстати, предварять курс будут 2 вебинара. Первый состоится 8 июня и будет посвящён ROI DLP. Ведущий: Александр Астахов, основатель компании GlobalTrust, портала iso27000.ru. Автор книги "Искусство управления информационными рисками". Регистрация на вебинар уже открыта.

четверг, 12 мая 2016 г.

Защита данных в компьютерной сети


Туговиков В.Б.  к.ф.-м.н., Советник по информационной безопасности ДЗР АД ЗАО «РГМ Б.В.».
Сытник Г. Л. – Начальник отдела по работе с корпоративными клиентами SearchInform.

Бизнес-процессы сегодня уверенно перемещаются в виртуальную среду: компании давно ведут электронный документооборот и все чаще внедряют новые технологии для управления. Отсюда – необходимость защиты данных в виртуальной среде, которая признана на законодательном уровне. Но если процесс обеспечения конфиденциальности печатных документов управленцам знаком и понятен, то безопасность компьютерных систем, обеспечение конфиденциальности компьютерной информации – отнюдь. Скажем больше, из обсуждений на «круглых столах» понятно, что компании до сих пребывают в заблуждениях на этот счет. И вот несколько мифов:

Миф №1: Чтобы защитить информацию в компьютерной сети, достаточно поставить задачу сисадмину или начальнику отдела IT.

В основе этого мифа – простая житейская логика: если речь о компьютерах, то заниматься этим должен компьютерщик. Во многих организациях так и происходит: один отдел занимается и администрированием, и безопасностью. Но это неправильно, ведь те, кто обеспечивает сервис, не должны контролировать. Это все равно, что совместить ГИБДД с таксопарком!

Миф №2: Режим конфиденциальности – убийца информационных технологий.

Этот миф вытекает из первого. Когда системные администраторы знакомятся с правилами построения системы управления информационной безопасностью, возникает вопрос: «как работать, когда все под контролем и ничего нельзя?!».

Миф №3: Чтобы обеспечить конфиденциальность информации, достаточно купить системы защиты и установить их там, где порекомендуют консультанты.

При этом обычно игнорируется организационные мероприятия, и системы защиты используются специалистами не в полной мере, а с течением времени и вовсе выключаются из работы. Причина банальная – отсутствие навыков работы с программно-аппаратным комплексом. Ситуация складывалась бы иначе, если бы управление системой входило в должностные обязанности обученного работника.

На самом же деле обеспечение безопасности виртуальных данных во многом схоже с методами защиты информации на бумажных носителях. Между ними даже можно провести аналогию. И разница лишь в том, что в случае с компьютерными системами нужно использовать специальный программный комплекс – DLP-систему.

Общие принципы защиты документов на бумажных носителях и в электронном виде

a. Строгое разделение ресурсов на конфиденциальные и не конфиденциальные
Прежде всего нужно определить, что защищать, для этого, в первую очередь, необходим перечень сведений, составляющих конфиденциальную информацию. Когда перечень есть, можно определить, какие документы, папки, файлы такую информацию содержат, и требуют защиты. Следует задаться вопросом: конфиденциальная информация будет храниться только с сетевых папках или не исключено её нахождение на компьютерах, USB-носителях и т.д.? 

b. Предотвращение свободного доступа к конфиденциальной информации
Чтобы выполнить этот принцип в случае с бумажными носителями, нужен сейф, куда ответственный сотрудник будет складывать документы. Защитить же информацию в компьютерной сети помогут:
  • Средства криптозащиты (шифрование файлов документов при передаче конфиденциальной информации).
  • Операционные системы (разграничение доступа к информации через наложение ограничений на пользовательские учетные записи).
  • DLP-система (полное или частичное ограничение, а также контроль доступа для учётных записей и компьютеров к устройствам хранения информации, сетевым папкам, процессам, и т.д.)


Рис 1. Настройки по разграничению доступа к периферийным устройствам
компьютера, подключаемым через USB


Рис 2. Настройки по разграничению доступа к сетевым папкам

При этом с DLP можно задавать гораздо более гибкие настройки, чем позволяют операционные системы, дополняя их, например, выставлять ограничения не только для всего канала целиком, но и для определённого типа данных (только офисные документы, только чертежи и т.д.).

Кроме того, доступ можно поставить на контроль. Представьте ситуацию: ИТ-службе поставлена задача ограничить доступ к определённой сетевой папке. Сотрудники докладывают об успешном выполнении: доступ открыт только доверенным лицам. Но так ли это? Можно ли перепроверить? В случае КИБ SearchInform можно. Для этого в системе есть модуль AlertCenter, отвечающий за автоматизацию проверок согласно заданным политикам. Система оповестит, если обнаружит, что кто-либо кроме доверенных лиц (условие С) совершил в определённой папке (условие B) любую операцию (чтение, запись, копирование, удаление и т.д.) с любым файлом (условие А).


Рис 3. Логика политики безопасности, представленная с помощью логических операторов: (A and B) and not C


      с. Контроль перемещения носителей (документов, файлов), содержащих конфиденциальную информацию

Решить эту задачу можно с помощью модуля DLP-системы DeviceSniffer, который позволяет ограничить использование всех носителей (например, флэш-карт) за исключением доверенных. Для этого выставляется ограничение для всех устройств хранения, а доверенные устройства вносятся в белый список по уникальному признаку.


Рис 4. Внесение доверенного устройства в белый список по
уникальному признаку – серийному номеру

Так, задача решается с минимальным ущербом для комфорта сотрудников: корпоративные флешки работают, а прочие носители нет. Работники также смогут подключить свой мобильный к компьютеру для зарядки, но открыть устройство для копирования будет нельзя, и проникновение «вирусов» с телефона в компьютерную сеть, также исключено.

К тому же за счёт возможности шифрования информации, записанной на носитель, минимизируются риски, в случае его потери либо кражи или попытки передачи третьей стороне. Если компьютер не включен в список доверенных, информация просто не будет читаться.

      d. Контроль каналов передачи информации

   В случае с бумажным документом достаточной мерой станет запечатанный конверт, отправленный со спецкурьером. Но в компьютерной сети все сложнее: нужно обеспечить защиту всех ресурсов, где хранится информация, и всех каналов, по которым она курсирует (беспроводные соединения, электронная почта, сетевые файловые ресурсы, FTP, облачные сервисы Internet и пр.). Полноценно решить эту задачу может только DLP. При этом система:
  • Должна контролировать максимальное число каналов, которые используются в организации. Неконтролируемые каналы, если это возможно, лучше закрыть.
  • Должна быть грамотно настроена, обученными специалистами. Иначе какой смысл контролировать передачу конфиденциальной информации по электронной почте, если половина писем «потеряется»?
  • Должна обеспечивать эффективный поиск и автоматизировать его, чтобы освободить специалиста по безопасности от монотонной и рутинной обработки «логов» событий информационных и операционных систем при расследовании обнаруженных инцидентов.
  • Должна быть простой и понятной в управлении, чтобы не вынуждать сотрудника, использующего в работе DLP, постоянно обращаться к администратору или разработчику.
  • Должна быть оперативной, чтобы обнаруживать негативные инциденты еще на стадии планирования и помогать отделу безопасности своевременно предотвращать утечки.

      e. Работа с персоналом, имеющим доступ к конфиденциальной информации

Здесь, вряд ли можно придумать что-то принципиально новое: создайте инструкции по обращению с техникой, системами, где обрабатывается конфиденциальная информация, и средствами ее защиты. Выполнение работниками инструкций должно проверяться и поощряться, нарушители должны наказываться.
Кроме того, стоит сообщить коллективу о внедрении системы и даже провести «показательные учения»: вероятность «сливов» уменьшается, когда сотрудники знают, что инструмент позволяет специалисту легко восстановить путь прохождения любого документа по корпоративной сети.
Кстати, если изначально под понятием «Prevention» в DLP-системах подразумевалось предотвращение утечек информации путём её остановки на виртуальном периметре. То сегодня в это слово закладывается смысл «предотвращение намерений». То есть лучший инцидент – тот, который так и не случился.




 

четверг, 21 апреля 2016 г.

Исследование: 48% людей подключают к компьютеру случайно найденные флeшки

Недавно было опубликовано любопытное исследование, которое мы перевели, чтобы поделиться его результатами с широкой публикой. Надеемся, что они покажутся интересным и вам.

При посещении любой конференции по безопасности, вы неизбежно услышите, как «белые» хакеры хвастаются, что могут взломать систему безопасности любой компании, разбросав флешек с вредоносным кодом на парковке этой компании. Эта история является настолько популярной, что была экранизирована в 6-м эпизоде сериала Mr Robot. Невольно на ум приходят мысли – подобная атака на самом деле работает или это просто миф? 

Для того, чтобы протестировать данную атаку, мы разбросали около 300 флешек на территории Иллинойского Университета в г. Шампейн-Урбана и подсчитали сколько человек подсоединили их к компьютерам. Мы обнаружили, что пользователи поднимали, подсоединяли и кликали по файлам 48% флешек разбросанных нами. Причем делали они это быстро: первую флешку подняли менее чем через 6 минут.

Эксперимент

Для проверки того, действительно ли пользователи поднимают флешки, найденные на земле, мы разбросали пять типов флешек на территории Иллинойского Университета: флешки с наклейкой «экзамены» или «конфиденциально», флешки с прицепленными к ним ключами, флешки с ключами и наклейкой с обратным адресом, а также обычные флешки без каких-либо наклеек.
На каждую флешку мы записали файлы, соответствующие наклейке на флешке:
  • личные файлы для флешек без наклеек, флешек с ключами и флешек с наклейкой с обратным адресом; 
  • файлы, относящиеся к бизнесу, для на флешек с наклейкой «конфиденциально»;
  • файлы с информацией по экзаменам для флешек с надписью «экзамены».

Все файлы на самом деле являлись HTML-файлами со встроенным изображением с нашего сервера. Это позволило нам, без выполнения какого-либо кода на компьютере пользователя, обнаружить, была ли подсоединена флешка и был ли открыт файл. Как только пользователь открывал HTML-файл, появлялся вопрос: не желает ли пользователь принять участие в исследовании, ответив на вопрос, почему он подсоединил флешку, и получить за это подарочную карту. 62 пользователя (около 20%) согласились дать ответ. 



«Вброс» зараженных флешек очень эффективен для взлома компьютера

Итак, насколько же эффективно разбрасывать USB-флешки со зловредным кодом с целью взлома компьютеров? Как оказалось, очень эффективно: 48% разбросанных флешек пользователи не только подсоединили к компьютеру, но и открыли по крайней мере один файл на каждой из них. Удивительно высокая степень результативности доказывает тот факт, что атаки путем разбрасывания флешек являются реальной угрозой, и подчеркивает необходимость обучения и информирования пользователей об опасности подсоединения непроверенных флешек.

Разбрасывание флешек с вредоносным кодом приносит плоды очень быстро

Кроме того, что многие люди подсоединяют USB флешки, делают это они очень быстро. 20% подсоединенных флешек были подсоединены в течение первого часа, а 50% флешек – в течение 7 часов, как видно из графика ниже.

Это означает, что промежуток времени на то, чтобы обнаружить атаку, очень мал. В нашем случае, первые сообщения о наличии странных флешек на территории университета начали появляться на  Reddit  примерно через сутки после первой волны, однако это не остановило людей в их стремлении подсоединять наши USB-флешки.



Определенное значение имеет то, как выглядит флешка

Как видно на диаграмме ниже, флешки с наклейками, вызывающими любопытство, чаще открывают, чем флешки без каких-либо отличительной маркировки. Что удивительно, наибольший результат дает прикрепление физических ключей – альтруистическое поведение является наиболее частой причиной просмотра флешек. Ключи с контактными данными владельца открывали реже всего по причине наличия способа найти владельца. Обратите внимание на то, что разница в частоте открывания НЕ является статистически значимой, кроме того, что флешки с обратным адресом подсоединялись менее часто.



Местоположение для открытия зараженной флешки значения не имеет

Как видно из графика ниже, частота открытия для каждого местоположения примерно одинакова. Это подтверждает тот факт, что хакеру не нужно проникать на территорию жертвы, чтобы провести атаку эффективно. Размещение флешки на парковке так же эффективно, как и в защищенном конференц-зале.



Каждый уязвим к атакам через случайно найденную флешку

Каждый является уязвимым к атаке через найденную флешку: мы не обнаружили разницы между демографическими данными, информированностью о правилах безопасности и образованием пользователей, которые подсоединяли флешки.

Почему в исследовании не наблюдается отрицательной корреляции между образованностью по части информационной безопасности и уязвимостью, думайте сами. Но неизбежно возникает вопрос об эффективности обучения информационной безопасности. Предмет, по всей видимости, стоит изучить тщательнее, чтобы обучение информационной безопасности действительно помогало людям быть более защищенными.

Мотивация пользователей

Мотивация в ответах пользователей: на вопрос почему подсоединили флешку, большинство опрошенных ответили, что сделали это из альтруистических побуждений с целью возврата флешки владельцу (68%). Как видно из диаграммы ниже, только 18% сказали, что ими двигало любопытство. 



Наблюдаемая мотивация: как видно из диаграммы ниже, мотивация в ответах пользователей не соответствуют тому, какие файлы были открыты. Например, в отношении флешек, с прикрепленными физическими ключами, пользователи чаще кликали по фото с зимнего отпуска, чем по резюме, в котором можно было бы найти контактную информацию владельца. Примечательно, что такое же поведение наблюдалось в отношении флешек с обратным адресом, но не в отношении флешек без маркировки.



Результаты данного исследования показывают, что безопасность USB является реальной проблемой, а разбрасывание USB-флешек  – дешевый и практичный инструмент для хакерской атаки.
Оригинал статьи.