Перейти к содержанию
Рустэм Хайретдинов

DLP-case

Recommended Posts

Рустэм Хайретдинов

Коллеги, два живых кейса.

Кейс 1, попроще. DLP-система приостанавливает электронное письмо, т.к. в приложении находится детализация операций по счету клиента. Чтобы решить, досылать его или нет, нужна информация, есть ли именно этот почтовый адрес в клиентской записи именно этого клиента. Имя клиента и его клиентский номер находятся в тексте приложения к письму. Т.е. нужно определить их и почтовый адрес получателя и обратиться к АБС, без этого принять решение невозможно. Т.к. есть вероятность заблокировать рабочую транзакцию, пока клиент все подряд пропускает, но страдает от этого, поскольку клерки иногда отправляют не то не туда. Пока клиенту предложен простой коннектор, который через регулярные промежутки или по запросу загружает в статические правила DLP-системы базу соответствий имен и номеров клиентов и адресов получателей.

Кейс 2, посложнее. Та же фигня, только в телекоме с детализацией счетов, и смотреть надо не клиентские записи (статику), а запросы на высылку детализации в CRM-части биллинговой системы. Т.е. клиент после авторизации в коллцентре может попросить выслать ему детализацию на произвольный адрес. Тут регулярной загрузкой статики не обойдешься, после запроса клиента письмо формируется за несколько секунд. Пока предложено сформировать логфайл CRM-системы с запросами и лазить в него при обнаружении детализации.

Внимание, вопрос...

Могут ли DLP-системы решать такие, в общем-то очевидные задачи или это не к нам? С одной стороны - классическое предотвращение утечек, в большинстве своем неосторожных, а с другой - в рамках одной DLP-системы информации для принятия решения недостаточно, нужно интегрироваться с бизнес-приложениями... Поскольку ИБ-шники не в силах заставить бизнес (АБС или биллинг) работать по-другому, они искренне считают, что мы им в этом поможем. Мы-то поможем, не вопрос, но в каждой компании свои системы и бизнес-сценарии, а хочется задачу решить системно.

Есть ли у уважаемых компаний коннекторы хотя бы к распространенным бизнес-приложениям? Кейсы обеспечены деньгами, так что вопрос не праздный. По почте клиентские отчеты отправляют все банки и телеком-операторы, а уж если в отчете будут персональные данные...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти

  • Сообщения

    • PR55.RP55
      Demkd А насколько верно uVS работает с ЭЦП тема: https://forum.esetnod32.ru/forum6/topic15013/ Обычно на V.T.  можно видеть:  Signature verification Signed file, verified signature А здесь мы видим только запись:  Trusted Source И FRST  не пишет, что это Microsoft Corporation а только ( )
    • demkd
      пожалуй стоит добавить команде OFFSGNSAVE функционала - выгрузка пользовательской базы сигнатур на время исполнения скрипта во избежании проблем.
    • santy
      а товарищ в теме, похоже имеет отношение к этой теме. https://xakep.ru/2010/12/09/54255/   LOIC (Low Orbit Ion Cannon) — приложение, разработанное
      хакерской группой 4Chan, созданное для организации DDoS атак на веб-сайты с
      участием тысяч анонимных пользователей, пользующихся программой. Атаки
      производятся на такие сайты как, например,  
    • santy
      вообще-то это со слов юзера, не факт что было именно так.   chklst & delvir автоматически не добавляются, если количество сигнатур задействованных при детектировании равно нулю. в данном случае была одна сигнатурка (потому и вышел chklst&delvir), скорее всего фолс на чистом файле, которая не была исключена, но она не попала в скрипт за счет автоматического hide file. hide %SystemDrive%\PROGRAM FILES (X86)\COMMON FILES\XCPCSYNC.OEM\SYNCSDK.209.604\TRANSLATORS\MSOL\PROFMAN64.DLL
    • PR55.RP55
      " что там у пользователя уже в базе есть никто не знает." Мало вероятно, что в базе у пользователя что есть... v4.1.7z (1.03 МБ)  Но  автоматически добавлять команду:  delvir и т.д. не стоит. Пока остаюсь при своём мнении.
×