В защите информации нуждаются и частные лица, и государственные учреждения, и компании различного типа и размера. Утечка конфиденциальной информации представляет серьезную опасность – это может привести к значительному, а порой – непоправимому, ущербу. Причем это может произойти как по умыслу (например, кража данных конкурентами, для получения преимуществ), так и по неосторожности (например, по невнимательности сотрудников).
В нашей статье мы расскажем, как организации могут обезопасить себя от данной угрозы.

Как может случиться утечка важной информации?

Кража («слив») или утечка информации могут осуществляться:
 - при помощи систем связи
 - через сотрудников организации
 - методом хищения документации (в т.ч. ее копирования)
 - посредством кражи информации с устройств, на которых она хранится (персональные компьютеры, серверы и т.д.)

Современные методы защиты информации

На страже сохранности данных стоит два вида защиты:
 - Физическая защита (сюда относится – хранение документации в надежных сейфах, хранение носителей информации, пропускной режим).
 - Цифровая защита. 

Сюда относятся следующие виды:

  - криптографическая защита (шифрование),
  - технические средства (например, электронные ключи),
  - Программное обеспечение (средства). Этот вид мы рассмотрим подробнее.

Программные средства

ПО защиты призваны вовремя обнаружить потенциально опасные программы или действия сотрудников, которые угрожают безопасности компании.

Это могут быть:
- Системы контроля активности пользователей,
- SIEM (системы сбора и управления информацией о безопасности),
- Антивирусные программы,
- DLP-системы, 
- и другие. 

Системы контроля активности пользователей

Таких систем на сегодняшний день разработано достаточное количество. Для примера рассмотрим две отечественные системы.

1.    LanAgent

Это современное программное обеспечение, разработанное для улучшения эффективности работы организации и обеспечения ее информационной безопасности. 

Для реализации последней цели ЛанАгент:

 - контролирует, собирает и сохраняет всю переписку персонала (внутри компании, например, рабочих чатах, в электронной почте, мессенджерах, соцсетях и т.д.),
 - сохраняет информацию по работе сотрудников с документами (в том числе, копирование на съемные носители, печать на принтере и т.д.),
 - обнаруживает и своевременно предотвращает потенциально опасные действия работников (основываясь на определенных алгоритмах, к примеру, на ключевых фразах, и анализируя поведение),
- помогает в расследовании инцидентов, связанных с кражей конфиденциальных сведений,
 - программа способна блокировать возможные каналы утечки информации, потенциально опасные сайты, приложения и т.д.,
 - ЛанАгент имеет возможность перехвата нажатия клавиш при работе в конкретных программах,
 - сохраняет копии файлов, выгруженных пользователем в Интернет,
 -  перехватывает голосовые сообщения в Skype и др. приложениях,
 - ведет мониторинг шифрованного сетевого трафика,
 -  имеет механизм «семафоров» для обозначения компьютеров с нарушениями в консоли специалиста ИБ,
 -  совершает "теневое" копирование файлов, копируемых на USB-устройства ,
 - запись с камер, подключенных к ПК сотрудника, аудиозапись, снятие скриншотов экранов с определенной периодичностью,
 - составляет список разрешенных USB устройств (подключение всех остальных будут блокироваться) и т.д.,

Система устанавливается на ПК работника совершенно легально. В идеале, если сотрудник заранее предупрежден об использовании системы контроля. Тогда, зная, что каждый его шаг находится под контролем системы, он с меньшей вероятностью решится на причинение ущерба компании. Разработчик предоставляет своим клиентам комплект необходимых документов, позволяющий вести контроль на законных основаниях.

К тому же важно сказать, что все спорные моменты можно всегда уточнить, используя записи камер, данные кейлоггера и других инструментов.

2. StaffCop

Эта отечественная система контроля активности пользователей помогает решить множество задач, связанных с информационной безопасностью:
 - выявление инцидентов утечки конфиденциальной информации, их расследование на основании имеющейся информации,
 - контроль поведения пользователей для снижения рисков утечки конфиденциальных сведений,
 - мониторинг пк удаленных пользователей, имеющих доступ к важной информации,
 - своевременно выявляет переписку с конкурентами в любой из программ,
 - устанавливает запрет на открытие определенных сайтов, запуск приложений, угрожающих безопасности компании,
 - контролирует работу с файлами, печать документов на принтере, 
 - выявит попытки подключения к базе данных по сети,
 - блокирует съемные носители, запись на них важных сведений и т.д.

SIEM-системы

Эти системы анализируют события информационной безопасности, собирают информацию и управляют ей. То есть прямой задачи защиты у систем нет, но они могут предупреждать о подозрительных действиях пользователей ПК руководство или службу безопасности.

IBM QRadar Security Intelligence

Платформа своевременно обнаруживает угрозы сетевой безопасности, оценивая их. 
IBM QRadar Security Intelligence является комплексной системой.

Среди преимуществ софта можно выделить:

 - широкие возможности в анализе сетевой активности пользователей,
 - единая архитектура анализа событий, угров и т.д.,
 - система создает список потенциально вредоносных IP-адресов, в том числе - адреса компьютеров с вредоносным ПО,
 - ПО предоставляет подробные отчеты по доступу к данным и действиям пользователей,
 - постоянно анализирует действия пользователей и запущенных приложений,
 - обнаруживает необычное использование приложений или облачных сервисов,
 - ведет мониторинг пользователей, обнаруживая неправильное использование приложений, 
 - способно обнаружить факты внутреннего мошенничества,
 - ведет отображение событий практически в режиме реального времени и т.д.

Splunk Enterprise Security

Программное обеспечение, служащее для аналитики информационной безопасности в организациях. Важным преимуществом системы является ориентированность на новые современные угрозы, которые появляются в сети достаточно быстро. Обнаружив угрозу софт своевременно уведомляет службу безопасности. 

Среди преимуществ можно выделить:
 - определение взаимосвязей между различными событиями и выявление угроз.
 - контроль угроз в реальном времени.
 - помощь в расследовании инцидентов,
 - мониторинг сетевых ресурсов, пользователей, программ,
 - своевременное обнаружение внутренних угроз предприятия, в том числе тех, что касаются злонамеренных действий со стороны сотрудников,
 - выявление угроз в режиме реального времени и другие.

DLP-системы

Это программное обеспечение, защищающее важную корпоративную информацию от кражи и утечек. Эти системы дают возможность отслеживать активность сотрудников, используя современные технологии. При этом DLP-системы используют технологии блокировки передачи конфиденциальной информации. 

1.SearchInform

Система призвана вести мониторинг большинство каналов утечки информации. В нее встроены эффективные инструменты для аналитики корпоративной сети.

Также функционал программы включает:
 - блокировка передачи информации на внешние носители,
 - мониторинг персонала в режиме реального времени,
 - архивирование всех действий работников компании за ПК.
 - сохранение факта о «сливе» или передаче важной информации,
 - обнаружение угроз по заданным фразам и словам.
- программа исследует содержимое всех отправлений и переписок,
 - ПО работает на двух уровнях: во-первых, контролирует данные, которые уходят в Сеть, во-вторых - следит за тем, что происходит на ПК персонала компании,
 - защищает информацию даже когда сотрудники отправляются в командировки или работают из дома и т.д.

2. InfoWatch Traffic Monitor

Сервис, оснащенный искуственным интеллектом, предотвращающий утечку конфиденциальных данных.

Возможности:
 - ПО собирает информацию, анализирует и сигнализирует о нестандартном или угрожающем безопасности поведении пользователей.
- перехватывает HTTP(S)-трафика на рабочей станции,
- предотвращает утечку информации за пределы информационных систем компании,
 - служит, как средство профилактики инцидентов, создает отчеты для проведения расследований инцидентов,
 - дает возможность выявить мошенничество, воровство и коррупцию, сговоры, шантаж, злоумышленников, лиц, промышляющих промышленным шпионажем, а также круг причастных лиц,
- управляет доступом персонала к цифровым ресурсам,
 - выявляет риски кражи информации.
 - контролирует движение данных на всех этапах: от аудита и хранения информации до контроля распространения секретной информации с помощью DLP-системы и настроенных политик информационной безопасности,
- перехватывает теневые копии файлов, копируемых на USB-устройства,
- блокирует утечку конфиденциальной информации на рабочих станциях и т.д.

Корпоративные антивирусы

На страже безопасности организации стоят также и антивирусные программы. Они защитят от кибер-атак, вредоносного ПО, вирусных угроз, способных уничтожить или украсть важную информацию. В качестве примера рассмотрим 2 программы.

1.Kaspersky Small Office Security

ПО подходит как небольшим, так и крупным организациям. Имеет высокий уровень защиты от потенциальных угроз и довольно быстрое обновление. Большим преимуществом является широкий функционал, затрагивающий множество аспектов цифрового взаимодействия организации с внешними сетями.

Инструменты программы:
 - веб-антивирус,
 - файловый антивирус,
 - имеется фильтр активности пользователей ПК,
 - защита от копирования и сбора информации,
 - защита финансовых данных,
 - мониторинг обновления программ,
 - шифрование конфиденциальной информации.

2. McAfee Endpoint Protection Essential

Еще один не менее популярный антивирус, обеспечивающий надежную защиту от сетевых угроз. Отличается простотой управления и настройки. Имеет отличный набор инструментов для противодействия краже или утечке информации.

Функционал ПО включает:
 - сетевую защиту компьютеров,
 - брандмауэр, 
 - мониторинг веб-трафика,
 - автоматическая реакция на возможные угрозы для информации,
 - защита от вирусов-вымогателей,
 - контроль ПК в режиме реального времени.

Резюме

Системы контроля активности пользователей и DLP-системы ведут мониторинг деятельности сотрудников за ПК, совершают контроль обмена данными, исключая их кражу, SIEM-системы отслеживают информацию, анализируют ее, ищут угрозы, осуществляют защиту, антивирусы препятствуют вирусным угрозам и кибер-атакам.

Каждая по отдельности из перечисленных программ способна стоять на страже безопасности любой компании, а все вместе эти системы представляют максимально надежный тыл для конфиденциальной информации, пробить который практически невозможно!