Перейти к содержанию

Recommended Posts

Алексей Дрозд
Мне интересно. Появилась ли DLP или иная система мониторинга, которая бы отслеживала факт физического вытаскивания харда или загрузки с liveCD/USB с последующим копированием информации.

И да, и нет. У Контура информационной безопасности SearchInform появился новый модуль ProgrammSniffer, который, в том числе, умеет отслеживать физическое снятие\установки железа. В частности: жёсткие диски, оперативку, видеокарты, мониторы, аудиокарты, процессоры.

А вот загрузку с live-носителей, увы, пока не отследить. Агент работает на установленной ОС. Максимум что можно - контролировать пользователя, даже если он зашёл в безопасный режим. В случае же с live-носителями, система взята "с потолка". Тут надо принципиально нового агента разрабатывать, который бы, например, в BIOS или UEFI прошивался.

Вечером выключил машину, утащил жесткий. Дома подключил к компьютеру с линуксом. Слил все что было. Утром пришел, вставил обратно. Загрузил рабочий комп.

Мне надо чтоб Длп агент, как только он вгрузился в систему с принесенного обратно харда, сразу прочухал, что хард вынимали и дал алерт .

Собственно, именно эту идею мы и приследовали, когда разрабатывали ProgramSniffer.

Боюсь что в этом случае DLP не поможет. По крайней мере я таких решений не знаю, где был бы такой функционал. Возможно кто-то из коллег подскажет что-то или знает больше.

Уже поможет. Такой функционал заложили и в более "лёгкий" продукт WorktimeMonitor, и в КИБ.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dfg
А вот загрузку с live-носителей, увы, пока не отследить. Агент работает на установленной ОС. Максимум что можно - контролировать пользователя, даже если он зашёл в безопасный режим.

Посмотрите выше про контроль временных меток ntfs, только спец-дистрибутивы linux заточенные под форензику не трогают эти метки. Либо применение аппаратного блокиратора записи. Остальное можно отловить.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
mvs

неплохим дополнением - пароль на биос (для того чтобы нельзя было грузиться со всяких носителей), шифрование носителей ( в том числе ЖД), стикеры, наклейки, пломбы.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Алексей Дрозд
Посмотрите выше про контроль временных меток ntfs, только спец-дистрибутивы linux заточенные под форензику не трогают эти метки. Либо применение аппаратного блокиратора записи. Остальное можно отловить.

Согласен. Я говорил про текущее положение дел у КИБ. Не исключено, что подобные задачи поставлены на доработку и появятся в релизе в обозримом будущем.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • Ego Dekker
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • PR55.RP55
      .xml  файлы taskschd.msc Могут быть подписаны  цифровой подписью. Думаю будет нелишним, если uVS будет это фиксировать. т.е. проверять не только подпись целевого файла, но и подпись самого файла\задачи. и писать в ИНфО .  
    • demkd
      ---------------------------------------------------------
       4.15.2
      ---------------------------------------------------------
       o Исправлена ошибка при работе с образом автозапуска.
         Для некоторых процессов команда unload не добавлялась в скрипт при нажатии кнопки "принять изменения".  o Добавлена плашка окна на таскбаре для окна удаленного рабочего стола.
         (при работе с удаленной системой) -----------------------------------------------------------
      Есть проблема с локализацией глюка в редких случаях приводящему к аварийному завершению uVS при активном флаге "Проверять весь HKCR".
      На основе дампов его найти не получается, нужна копия реестра системы с такой проблемой, если кому-то попадется такая проблема, то присылайте архив с копией реестра системы мне на почту.  
×