DLP-case - Защита от утечки информации (DLP) и шифрование - Форумы Anti-Malware.ru Перейти к содержанию
Рустэм Хайретдинов

DLP-case

Recommended Posts

Рустэм Хайретдинов

Коллеги, два живых кейса.

Кейс 1, попроще. DLP-система приостанавливает электронное письмо, т.к. в приложении находится детализация операций по счету клиента. Чтобы решить, досылать его или нет, нужна информация, есть ли именно этот почтовый адрес в клиентской записи именно этого клиента. Имя клиента и его клиентский номер находятся в тексте приложения к письму. Т.е. нужно определить их и почтовый адрес получателя и обратиться к АБС, без этого принять решение невозможно. Т.к. есть вероятность заблокировать рабочую транзакцию, пока клиент все подряд пропускает, но страдает от этого, поскольку клерки иногда отправляют не то не туда. Пока клиенту предложен простой коннектор, который через регулярные промежутки или по запросу загружает в статические правила DLP-системы базу соответствий имен и номеров клиентов и адресов получателей.

Кейс 2, посложнее. Та же фигня, только в телекоме с детализацией счетов, и смотреть надо не клиентские записи (статику), а запросы на высылку детализации в CRM-части биллинговой системы. Т.е. клиент после авторизации в коллцентре может попросить выслать ему детализацию на произвольный адрес. Тут регулярной загрузкой статики не обойдешься, после запроса клиента письмо формируется за несколько секунд. Пока предложено сформировать логфайл CRM-системы с запросами и лазить в него при обнаружении детализации.

Внимание, вопрос...

Могут ли DLP-системы решать такие, в общем-то очевидные задачи или это не к нам? С одной стороны - классическое предотвращение утечек, в большинстве своем неосторожных, а с другой - в рамках одной DLP-системы информации для принятия решения недостаточно, нужно интегрироваться с бизнес-приложениями... Поскольку ИБ-шники не в силах заставить бизнес (АБС или биллинг) работать по-другому, они искренне считают, что мы им в этом поможем. Мы-то поможем, не вопрос, но в каждой компании свои системы и бизнес-сценарии, а хочется задачу решить системно.

Есть ли у уважаемых компаний коннекторы хотя бы к распространенным бизнес-приложениям? Кейсы обеспечены деньгами, так что вопрос не праздный. По почте клиентские отчеты отправляют все банки и телеком-операторы, а уж если в отчете будут персональные данные...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • PR55.RP55
      Как вылетал uVS при попытке скопировать файл в Zoo  так и вылетает. Есть системный дамп. https://disk.yandex.ru/d/6R97oQE3_nzfiA + Такая ошибка: https://disk.yandex.ru/i/Dr2xnpoU0CFYdg Тоже может быть использована.
    • Ego Dekker
      Программа для удаления продуктов ESET обновилась до версии 9.0.8.0. Для просмотра всех команд запустите утилиту с параметром /help.
    • PR55.RP55
      И возможно добавить в Инфо. поддержку просмотра NTFS Alternate Data Streams Для получения доп. информации по файлам - автозапуска.    
    • santy
      RP55,  особого смысла в этом нет. Возможно, стоит добавить в эвристику программы добавление статуса "подозрительный" для файла размером (св. 500Мб или больше), если он  в автозапуске. Так как в некоторых случаях майнеры используют файлы больших размеров, чтобы обойти антивирусную защиту.
    • PR55.RP55
      При копировании известного файла файла uVS v5.0.RC2.v x64 [http://dsrt.dyndns.org:8888]: Windows 7 Home Basic x64 (NT v6.1 SP1) build 7601 Service Pack 1 [C:\WINDOWS] GATHERNETWORKINFO.VBS._628B6B4BF3CC7F77578CF3CCFCC587DBF9EC7E07 https://disk.yandex.ru/i/LpsxRQ6EMkF23w    
×