Рис. 31. Хронология событий.

Результат: В результате обработки правила обнаружено 2 инцидента безопасности.

4. Создание правила контроля по цифровым отпечаткам

Алгоритм действий

4.1Открываем Консоль администратора SecureTower.

Рис. 32. Консоль администратора.

21

4.2 Выбираем вкладку Центральный сервер на боковой панели главного окна программы, переходим на вкладку Цифровые отпечатки и

нажимаем Файлы и папки.

Рис. 33. Вкладка “Центральный сервер”.

Рис. 34. Вкладка “Цифровые отпечатки”.

22

4.2.1Вводим имя банка Мой банк и нажимаем Добавить файл в окне настройке банка.

4.2.2В открывшемся окне выбора файла, указываем путь к файлу, для которого создается отпечаток C:\Users\Student\Desktop\CustomerDatabase.xlsx.

Нажимаем Создать для добавления банка данных в базу цифровых отпечатков.

Рис. 35. Выбор файла для банка.

Рис. 36. Настройка банка данных.

4.2.3Нажимаем Сохранить.

23

Результат: Имя банка отображается в списке цифровых отпечатков.

Рис. 34. Банк успешно создан.

4.3Переходим в Консоль пользователя, выполняем переподключение

ксерверу и переходим в окно Центр обеспечения безопасности.

4.4Создаем правило поиска по цифровым отпечаткам, выбрав соответствующий пункт в меню Добавить.

Рис. 35. Создание правила поиска по цифровым отпечаткам.

4.5Вводим название правила "Утечка клиентской базы".

24

Рис. 36. Настройка правила для поиска по цифровым отпечаткам.

4.6Выбираем Мой банк из списка поля Банк данных.

4.7Применяем правило ко всем ранее перехваченным данным.

4.8Нажимаем ОК для сохранения настроек.

4.9Дважды кликаем по имени правила после завершения обработки и изучаем полученные результаты срабатывания правила.

25

Рис. 37. Правило поиска по цифровым отпечаткам создано и обработано.

Результат: В результате обработки правила обнаружено 2 инцидента безопасности.

Рис. 38. Карточка инцидента (Поиск по цифровым отпечаткам).

4.10Закрываем окно Клиентской консоли.

26

Ответы на контрольные вопросы

1: Какие способы используются в системе SecureTower для оповещения о сетевых событиях, нарушающих политику безопасности?

Модуль Политики безопасности предназначен для настройки системы оповещения уполномоченных лиц о случаях нарушения правил безопасности.

Перехваченные данные анализируются в автоматическом режиме на основании заданного списка правил. При обнаружении каких-либо данных, отвечающих требованиям такого списка, модуль автоматически отправляет уведомления по указанному адресу электронной почты и одновременно сохраняет уведомление в Консоли пользователя.

2: Какие виды правил безопасности доступны в Центре обеспечения безопасности?

В системе различаются четыре типа правил безопасности в зависимости от применяемого типа анализа данных перехвата.

●Обычное поисковое правило используется для уведомлений о действиях, связанных с каким-либо пользователем, IP-адресом, или включающих определенный текст.

●Правило контроля по словарю предназначено для автоматического поиска документов, содержащих слова или выражения из различных тематических словарей.

●Статистическое правило позволяет уведомлять о сетевых событиях, количество которых ниже или выше указанного числа за определенный промежуток времени, по каждому пользователю или по сети в целом. Например, служба безопасности может получать уведомления о разговорах, если за один рабочий день каким-либо пользователем было отправлено больше 10 сообщений, или об электронных письмах, если в течение 4 часов каким-либо пользователем было отправлено менее 5 писем (например, в компании, занимающейся прямой почтовой рассылкой).

●Поисковое правило по цифровым отпечаткам позволяет настроить отправку уведомлений в случае совпадения информации из пересылаемого пользователем документа и конфиденциального документа, для которого был предварительно создан цифровой отпечаток.

27

Одним из методов обнаружения утечек конфиденциальных данных в SecureTower является сравнение данных с оригиналами документов, имеющих важное значение в рамках информационной безопасности организации.

Процедура сравнения базируется на технологии цифровых отпечатков. Цифровой отпечаток однозначно позволяет выявить содержимое документа в перехваченных данных.

Использование цифровых отпечатков позволяет обнаруживать не только оригиналы документов, но и фрагменты текста, комбинации полей таблиц баз данных, в том числе и частично измененные документы и их фрагменты.

3: Для каких источников данных доступна возможность создания цифровых отпечатков?

SecureTower поддерживает работу с тремя видами цифровых отпечатков:

1.по файлам и папкам;

2.по записям баз данных;

3.по CSV-файлам

4:В чем основные отличия контроля по тексту, по словарю от контроля за событиями безопасности по цифровым отпечаткам?

Опираясь на сказанное выше (пункт 2), контроль по тексту отслеживает действия, связанные с определенным IP-адресом, либо же ищет совпадения по заданным критериям, используя широчайший спектр выбора типа поиска (но совпадений может быть множество, что не даст должного эффекта: как вариант при попытке пересылки важного документа, злоумышленники могут с помощью скрипта создать сотни ненастоящих сообщений или файлов от разных пользователей, что не даст четкого понимания, какая карточка инцидента нужная)

Контроль по словарю используется для автоматического поиска документов, содержащих слова или выражения из различных тематических словарей. Можно выбрать словарей 10, но будут найдены инциденты, использующие данный набор слов или словосочетаний (которые стремятся к бесконечности)

Поисковое правило по цифровым отпечаткам позволяет настроить отправку уведомлений в случае совпадения информации из пересылаемого пользователем документа и конфиденциального документа, для которого был предварительно создан цифровой отпечаток.

28

Одним из методов обнаружения утечек конфиденциальных данных в SecureTower является сравнение данных с оригиналами документов, имеющих важное значение в рамках информационной безопасности организации.

Использование цифровых отпечатков позволяет обнаруживать не только оригиналы документов, но и фрагменты текста, комбинации полей таблиц баз данных, в том числе и частично измененные документы и их фрагменты Поисковое правило по цифровым отпечаткам позволяет настроить отправку уведомлений в случае совпадения информации из пересылаемого пользователем документа и конфиденциального документа, для которого был предварительно создан цифровой отпечаток.

То есть, в данном случае мы опираемся на сравнения оригинала и файла, который передается. Учитывается всё: начиная от полей и заканчивая измененным куском текста. Таким образом можно защитить самые важные файлы, и поиск инцидента утечки будет ускорен в разы, по сравнению с предыдущими методами.

29