Перейти к содержанию
Рустэм Хайретдинов

DLP-case

Recommended Posts

Рустэм Хайретдинов

Коллеги, два живых кейса.

Кейс 1, попроще. DLP-система приостанавливает электронное письмо, т.к. в приложении находится детализация операций по счету клиента. Чтобы решить, досылать его или нет, нужна информация, есть ли именно этот почтовый адрес в клиентской записи именно этого клиента. Имя клиента и его клиентский номер находятся в тексте приложения к письму. Т.е. нужно определить их и почтовый адрес получателя и обратиться к АБС, без этого принять решение невозможно. Т.к. есть вероятность заблокировать рабочую транзакцию, пока клиент все подряд пропускает, но страдает от этого, поскольку клерки иногда отправляют не то не туда. Пока клиенту предложен простой коннектор, который через регулярные промежутки или по запросу загружает в статические правила DLP-системы базу соответствий имен и номеров клиентов и адресов получателей.

Кейс 2, посложнее. Та же фигня, только в телекоме с детализацией счетов, и смотреть надо не клиентские записи (статику), а запросы на высылку детализации в CRM-части биллинговой системы. Т.е. клиент после авторизации в коллцентре может попросить выслать ему детализацию на произвольный адрес. Тут регулярной загрузкой статики не обойдешься, после запроса клиента письмо формируется за несколько секунд. Пока предложено сформировать логфайл CRM-системы с запросами и лазить в него при обнаружении детализации.

Внимание, вопрос...

Могут ли DLP-системы решать такие, в общем-то очевидные задачи или это не к нам? С одной стороны - классическое предотвращение утечек, в большинстве своем неосторожных, а с другой - в рамках одной DLP-системы информации для принятия решения недостаточно, нужно интегрироваться с бизнес-приложениями... Поскольку ИБ-шники не в силах заставить бизнес (АБС или биллинг) работать по-другому, они искренне считают, что мы им в этом поможем. Мы-то поможем, не вопрос, но в каждой компании свои системы и бизнес-сценарии, а хочется задачу решить системно.

Есть ли у уважаемых компаний коннекторы хотя бы к распространенным бизнес-приложениям? Кейсы обеспечены деньгами, так что вопрос не праздный. По почте клиентские отчеты отправляют все банки и телеком-операторы, а уж если в отчете будут персональные данные...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • PR55.RP55
      В Инфо. указывать не только время создания\изменения файла но и время создания... Пример:  Система Установлена 2018  > Каталог создан в 2020, а файл в каталоге  2021  
    • santy
      как только заработает функция "выполнить запрос по критерию" - все отфильтрованные объекты будут на виду у оператора, и скорее всего, помещены в отдельную категорию. Кстати, всех участников данного форума (помимо проходящих мимо спамеров) поздравляю с Новым 2021 годом!
    • PR55.RP55
      1) Добавить в settings.ini  настройку: "Выделять все неизвестные ЭЦП" Таким образом все ЭЦП которых нет в базе:  wdsl будут на виду. Это  позволит пополнять базу wdsl и сразу акцентировать внимание оператора. 2) Добавить в settings.ini  настройку: Все файлы с неизвестной ЭЦП  помечать, как подозрительные. Или создать отдельную категорию: "Неизвестные ЭЦП" 3) В Инфо. файла помещать информацию типа: Действительна, подписано CAVANAGH NETS LIMITED Найдено файлов: 1 wdsl   [ - ] --------------- Действительна, подписано Mozilla Corporation Найдено файлов: 80 wdsl   [ + ]  
    • PR55.RP55
      1) При срабатывании критерия выделять не всю строку, а только вхождение\результат. Пример: C:\USERS\HOME\APPDATA\ROAMING\MICROSOFT\ADMODNETW4B8\ADNEKMOD8B4.DLL C:\USERS\HOME\APPDATA\ROAMING\MICROSOFT\ADMODNETW4B8\ADNEKMOD8B4.DLL 2) Команду: Архивировать Zoo  добавить и  в меню файла. Если оператор работает с одним файлом - ему не нужно будет метаться по всей программе. Когда группа файлов - тогда, да удобно применить одну команду. Но когда файл один... 3) В Инфо. файла прописывать единственный это файл каталога, или нет. Примерно так: FC:  1 > ADNEKMOD8B4.DLL FC:  5 > Uninstall.exe;  Menu.exe;  MenuDLL.dll;  9z.dll;  Com.bat ; 4) При совпадении пути до файла: PROGRAM FILES ; PROGRAM FILES (X86) с одной из установленных программ. Писать в Инфо.:  C:\PROGRAM FILES (X86)\AIMP3\AIMP3.EXE Программа найдена: C:\Program Files (x86)\AIMP3\Uninstall.exe
    • PR55.RP55
      В связи с переходом угроз для: BIOS\UEFI из теории в реальность... Предлагаю создать отдельную программу для: Копирования\Восстановления; Просмотра; Просмотра info; Передачи на V.T; Расчёта SHA1 Замены прошивки на: https://www.anti-malware.ru/analytics/Market_Analysis/SDZ-MDZ-russia-market-overview и интеграцию с uVS    
×