Знание и сила

Поговорим о соотношении пассивных и активных методов в борьбе с утечками. Деление на пассивные и активные присутствует на всех уровнях и этапах: при проектировании, внедрении, эксплуатации, в документах, компьютерах, сетях, людях. Что лучше: тащить или не пущать?

Думаю, нельзя ставить вопрос "или—или". Обязательно требуется оба вида. Даже когда некоторые наши сверхосторожные клиенты ставят DLP-систему в пассивный режим, у них активные действия всё равно присутствуют. Потому что на поступающие алерты надо как-то реагировать. Если не блокированием трафика и опечатыванием разъёмов, то вдумчивой беседой с пользователем, с компьютера которого пришёл сигнал.

Такие задушевные беседы в качестве метода реагирования любил мой знакомый начальник отдела ИБ, ныне покойный, отставной кагебешник. Он много сетовал, что в советские времена его ведомство знало всё про всех. И даже немного больше, чем человек знал про себя сам. Все враги режима, недоброжелатели и просто сомневающиеся у них были учтены, к каждому приставлены "освещатели". Но методы практиковались исключительно пассивные, а потому советскую власть благополучно ликвидировали под скрупулёзным наблюдением тех, кто был поставлен её защищать. Этот герой постоянно ссылался на данную ошибку молодости, строил версии альтернативной истории, а также требовал от подчинённых активных действий, не позволял им ограничиваться лишь сбором алертов и архивированием трафика.

Наша DLP-система у него работала в пассивном режиме, ежедневно клала в БД десяток гигабайтов логов и теневых копий. Доступ к "Одноклассникам" он не блокировал, зато HTTPS перехватывал. И за всю свою службу начальником ИБ не уволил ни одного нарушителя режима, не отобрал ни одной флешки, даже выговора никому не объявил. Беседами ограничивался. И постоянно об ошибках советской власти вспоминал.

Монотеистические религии обычно наделяют бога двумя качествами – всемогуществом и всеведением. У бога всё идеально, включая их баланс. А вот у земных правителей бывает, что ведение ослабляет могущество.

Telegram AMПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.

RSS: Новое в блогах на Anti-Malware.ru Новое в блогах