Перейти к содержанию
Сергей Ильин

DLP на базе цифровых отпечатков

Recommended Posts

Сергей Ильин

Сейчас многие вендоры активно используют в своих продуктах технологии цифровых отпечатков (Digital Fingerprints) и продвигают их на рынке. Из представленных в России вендоров решения на базе отпечатков имеются у Websense и Symantec.

Часто отпечатки преподносятся как венец развития DLP и панацея от утечек. Так давай разберемся в сильных и слабых сторонах этой технологии.

Попрошу высказываться ЗА и ПРОТИВ :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Александр Шабанов

По этому поводу кое-что уже высказывал Михаил Прибочий, еще в 2007 здесь.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Андрей-001
решения на базе отпечатков...

разберемся в сильных и слабых сторонах этой технологии.

На ноутбуках есть уже у многих вендоров.

Пальцепечаток не сработает, если палец загрязнился краской, химреагентом, кремом, получил травму или был утерян.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Кирилл Керценбаум

Плюсы:

1. Возможность контроля попыток передачи информации с установленным процентом смысловой составляющей от исходной.

2. Возможность контроля попыток передачи информации в любом формате отличном от исходного.

3. Возможность контроля попыток передачи информации с измененными буквами, словами, разбавленной другой информацией, перемешанной и др.

4. Возможность контроля попыток передачи информации, созданной на базе защищаемой совокупности.

5. Возможность контроля попыток передачи информации из БД с установлеными сочетаниями столбцов.

Минусы:

1. Информация становится защищаемой только после того, как на ней отработает механизм снятия цифровых отпечатков.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

К плюсам еще бы отнес минимальные затраты при внедрении DLP продукта на базе цифровых отпечатков, так как нужно всего лишь "скорпить" ему конфиденциальные файлы и пожинать плоды. С той же лингвистикой при внедрении придется повозиться побольше.

К минусам отнес бы еще снижение эффективности работы со временем. Через какое-то время секретными могут стать большинство файлов, так как информация имеет свойство постоянно мигрировать. Поэтому при обходе конечных точек поисковый робот будет каждый раз снимать все новые и новые отпечатки, увеличивая их общую базу данных.

Кроме этого, факт защиты только известной информации делает технологию цифровых отпечатков практически бессильной против умышленных утечек.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Кирилл Керценбаум

Сергей, хорошие дополнения

Кроме этого, факт защиты только известной информации делает технологию цифровых отпечатков практически бессильной против умышленных утечек.

К сожалению, против умышленных четко спланированных утечек ни одна технология DLP практически не в силах помочь

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

Еще к бесспорным плюсам отпечатков можно отнести то, что клиент знает, где хранятся его конфиденциальные данные. А дальше в умелых руках знание превращается в уменьшение рисков. Можно систематизировать хранение данных, зашифровать их или дать по рукам нерадивым пользователям.

Правда эта сильная сторона теряет важность, если в компании закрыт периметр, а все мобильные носители принудительно шифруются.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
andrey golubev

Как поведет себя подобная система если в ней есть отпечаток строки "совершенно секретно", а на вход ей попадет строка "с1о2в3е4р5ш6е7н8н9о с9е8к7р6е5т4н3о" ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Кирилл Керценбаум
Как поведет себя подобная система если в ней есть отпечаток строки "совершенно секретно", а на вход ей попадет строка "с1о2в3е4р5ш6е7н8н9о с9е8к7р6е5т4н3о" ?

Очень просто - символов было 18, после разбавления текстом (цифрами) стало 34, то есть исходный текст занимает примерно 52 процента. Минимальный уровень детекта по цифровым отпечаткам - примерно 10 процентов, поэтому этот документ будет остановлен по совпадению примерно 50 процентов от исходного

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
nones
Возможность контроля попыток передачи информации с установленным процентом смысловой составляющей от исходной.

Я бы здесь попридирался к "смысловой составляющей" .. весь смысл текста может, например, содержаться в 1% от его буквенно-цифрового наполнения или, например, одинаковый смысл могут иметь два совершенно различных текста - просто написанных на разных языках. Здесь нужна более точная формулировка.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
andrey golubev
Очень просто - символов было 18, после разбавления текстом (цифрами) стало 34, то есть исходный текст занимает примерно 52 процента. Минимальный уровень детекта по цифровым отпечаткам - примерно 10 процентов, поэтому этот документ будет остановлен по совпадению примерно 50 процентов от исходного

т.е. если буквы сдвинуть (аналог шифра цезаря), то фраза распознана не будет ?

а можно тормознуть документ, на том основании, что содержащийся в нем текст не является текстом ? т.е наборы букв не соответствуют словам языка ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
а можно тормознуть документ, на том основании, что содержащийся в нем текст не является текстом ? т.е наборы букв не соответствуют словам языка ?

Это уже чистая лингвистика пошла :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Кирилл Керценбаум
т.е. если буквы сдвинуть (аналог шифра цезаря), то фраза распознана не будет ?

а можно тормознуть документ, на том основании, что содержащийся в нем текст не является текстом ? т.е наборы букв не соответствуют словам языка ?

а можно поподробнее по обоим вариантам?

Это уже чистая лингвистика пошла

В общем да, но это вполне можно описать с помощью RegEx

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Андрей-001
т.е наборы букв не соответствуют словам языка

Правильнее сказать: не соответствуют словарным нормам языка.

Для статистики - этот топик 7000-й, юбилейный.

Поздравляю создателей! Растёшь, АМ! :)

rating_5.gif

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
andrey golubev
Это уже чистая лингвистика пошла :)

А какая разница лингвистика или нет ? Мы же говорим о системе защиты, а раз так, то она должна уметь защищаться от попыток ее обхода.

Вот я и пытаюсь понять - на какого инсайдера эта технология расчитана.

Если честно, складывается впечатление, что многие DLP продукты создаются без анализа условий применения. Анализируется потребность рынка (читай мода), которую достаточно легко создать искусственно. И как результат даже специалисты сравнивают списки функций, а не применимость при решении практических задач.

а можно поподробнее по обоим вариантам?

сдвиг текста на 1

с->т

о->п

в->г

е->ё

р->с

ш->щ

е->ё

н->о

н->о

о->п

вместо "совершенно" будет "тпгёсщёооп", которое в принципе можно задержать так как оно не является словом русского языка

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

andrey golubev, технология отпечатком по своей сути не может быть эффективной против умешленных утечек. Можно придумать тысячу способов на коленке ее обойти, даже париться не нужно особо. Поэтому можно сворачивать дискуссию на тему простейшего кодирования контента, понятно, что это прокатит. Точно также прокатит и текст на "хакерском языке" и многое другое.

Технология цифровых отпечатков в DLP нацелена на предотвращение случайных утечек, а таких очень большая часть.

Для статистики - этот топик 7000-й, юбилейный.

Да, я тоже заметил, спасибо! :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Андрей-001
на предотвращение случайных утечек, а таких очень большая часть.

А есть ли список всех осознанных DLP-разработчиками случайных утечек?

Чтобы понять насколько он параноидный и насколько продуманный...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
А есть ли список всех осознанных DLP-разработчиками случайных утечек?

Список может получить очень большой. Все они попадают под емкое определение "халатность". Перечислю основные варианты случайных утечек:

1. Потери ноутбуков.

2. Потери мобильных носителей (флешки, диски и т.п.)

3. Потери архивных носителей.

4. Случайная публикация данных в открытом доступе (например, на вебсайте)

5. Случайная отправка по e-mail неверному адресату.

6. Треп по аське на конфиденциальные рабочие темы.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Андрей-001
Список может получиться очень большой.

Я бы от себя добавил ещё кое-что относящееся к той или иной халатности:

7. Неквалифицированное удаление конфиденциальной информации с носителей.

8. Передача ПК (или HDD и др. носителей) на ремонт постороннему (недоверенному) лицу.

9. Малообученность работников средствам хранения, шифрования и удаления информации.

10. Взятие работы надом с одним из предыдущих исходов - см. мои предыдущие пункты 7,8,9.

11. Навешивание на одного человека различных должностных обязанностей.

12. Пользование одним компьютером разных должностных лиц.

13. Распространённая незащищённость рабочего компьютера от внешних угроз.

14. Распространённая доступность секретарского компьютера и др. офисной техники.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
andrey golubev
andrey golubev, технология отпечатком по своей сути не может быть эффективной против умешленных утечек. Можно придумать тысячу способов на коленке ее обойти, даже париться не нужно особо. Поэтому можно сворачивать дискуссию на тему простейшего кодирования контента, понятно, что это прокатит. Точно также прокатит и текст на "хакерском языке" и многое другое.

Тогда в качестве минуса технологии цифровых отпечатков (чтобы от темы топика не уходить) - необходимость использования еще и средства защиты от кражи. А продукты реализующие эту технологию использовать не как средство защиты, а как средство автоматической классификации информации.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
Тогда в качестве минуса технологии цифровых отпечатков (чтобы от темы топика не уходить) - необходимость использования еще и средства защиты от кражи.

Имеется ввиду контроль портов или что-то еще? Если да, то это есть во всех приличных DLP, технология цифровых отпечатков - это другое, тут именно защита от утечек по легитимным каналам по сети.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
andrey golubev
Имеется ввиду контроль портов или что-то еще? Если да, то это есть во всех приличных DLP, технология цифровых отпечатков - это другое, тут именно защита от утечек по легитимным каналам по сети.

имел в виду защиту от кражи "по легитимным каналам по сети"

для кражи информации ведь необязательно использовать исключительно подключаемые устройства. почта или интернет тоже вполне подходящий канал. и средства защиты портов этот канал не закрывают (порты имеются в виду не сетевые, а хардварные - com, usb и т.п.)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Александр Белявский
Очень просто - символов было 18, после разбавления текстом (цифрами) стало 34, то есть исходный текст занимает примерно 52 процента. Минимальный уровень детекта по цифровым отпечаткам - примерно 10 процентов, поэтому этот документ будет остановлен по совпадению примерно 50 процентов от исходного

Кирилл, меня очень заинтересовал Ваш ответ.

1. Разве подпись документа не основана на предварительном выделении слов (применении к ним стеминга, морфологии), а потом уже вычислении некоторой хеш-функции по словам или их последовательностям? Если мое предположение об этом верно, то не будет найдено ничего.

2. Если исходить из Вашего предположения, что хеш вычисляется для каждой буквы, то какой смысл в этом отпечатке, если его размер равен или больше исходного документа? Тогда уж проще разбить исходный документ на слова и искать их в «подозрительном». Такой подход аналогичен поиску по словарю или в более хитром варианте методу Байеса.

3. Если же применяется алгоритм типа супершингирования, то поиск точно не сработает, т.к. последовательность символов изменилась.

Расскажите подробнее, каким образом будет распознан указанный отпечаток, потому что мне представляется сомнительным, что он будет распознан с помощью технологии цифровых отпечатков.

Буду благодарен Вам за ссылки на статьи и исследования по этой теме.

Плюсы:

1. Возможность контроля попыток передачи информации с установленным процентом смысловой составляющей от исходной.

2. Возможность контроля попыток передачи информации в любом формате отличном от исходного.

3. Возможность контроля попыток передачи информации с измененными буквами, словами, разбавленной другой информацией, перемешанной и др.

4. Возможность контроля попыток передачи информации, созданной на базе защищаемой совокупности.

5. Возможность контроля попыток передачи информации из БД с установлеными сочетаниями столбцов.

По п.2: Так ли уж в ”любой”? А если текст сконвертировать в bmp-файл?

по п.3: Расскажите, на какой основе работает это «с измененными буквами» или, что Вы имели в виду?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Рустэм Хайретдинов

Коллеги, хотел бы внести свежую струю.

Отпечатки - технология, котору нужно уметь правильно использовать. Поскольку производители решений не в состоянии взять на себя роль пользователя, многое зависит от пользователя.

К недостаткам отпечатков я бы отнес, прежде всего, - неготовность компаний-заказчиков их использовать. Отпечаткам, как и меткам, нужны образцы - документы, которые компанией-пользователем признаны конфиденциальными. Таких документов у большинства компаний просто нет. Максимум что есть у заказчика - перечень категорий информации, которая имеет ограниченное хождение.

Пилоты по внедрению решений на отпечатках проходят "на ура" - отличный уровень детекта, хорошая производительность, простота добавления. Но поддерживать такие решения компании не в состоянии - по оценкам самих компаний, около 10% документов меняются ежедневно. В компании нет человека, который мог бы оценить конфиденциальность любого нового и входящего документа, поэтому нужно вводить ответственного по категориям (производство, финансы, R&D и т.д.). Большинство компаний возлагают ответственность за метку (отпечаток) документа на автора, а это против инсайдеров не помогает.

Получается, что вслед за внедрением простого решения, для его эффективного использования приходится внедрять управление жизненным циклом документов, а к этому, по меньшей мере в России, никто пока не готов. Если смотреть на пользователей решений на отпечатках в мире, то, прежде всего, это финансовые компании, здравохранение и страховые компании, т.е. компании с налаженным оборотом информации, где решение о конфиденциальности того или иного документа принимается по форме документа, а не по содержанию. Например, если это заполненная форма заявления на получения кредита - это конфиденциально, независимо от того, что-то осмысленное написано в форме или вместо данных стоят крестики.

В России до этого пока не дошли, поэтому начинают внедрять отпечатки as is, не предоставив никаких форм. Это все равно, что внедрять ERP, не наладив бухучет - работать будет, но совсем не так, как ожидалось.

Область, где отпечатки работают на "отлично" - статические архивы информации - электронные библиотеки, хранилища музыкального и видео-контента - все звукозаписывающие компании и голивудские студии защищают свои хранилища отпечатками. Если информация не меняется - защита на высоте. Не помню кто на конференции DLP-Expert сравнивал отпечатки с сигнатурами известных вирусов - это только один из способов детектирования информации. По аналогии - надо бы еще использовать и поведенческие алгоритмы, и репутационные кореляции и т.д.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Ashot
Американские ученые предложили новый способ идентификации

"Казалось бы при чем тут Лужков" (с) Доренко ;)

digital fingerprints и fingerprints (а далее по цепочке ассоциаций - "биометрия") это не одно и тоже ;)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • Ego Dekker
      Антивирусы для macOS были обновлены до версии 6.10.700.
    • ForetFR
      CLIMB Hearsay from Earth - https://mebonus.ru
      Google №Wet

      Palestinians scoot as Israel bombards haunts from style, swell and sod!!!

      Google Hearsay

      People in Gaza fled their homes carrying crying children and valued possessions as Israeli forces pounded the vicinage from aura, adrift and land on Friday.
      The escalating controversy triggered furious protests in the occupied West Bank, where seven Palestinians were killed by way of Israeli army fire, and moreover fury between Arabs and Jews in Israel.
      Hamas praised the clashes between stone-throwing youths and Israeli soldiers in the West Bank grevorgАЛИdVhower , m‚tier on Palestinians to “set the ground ablaze under the feet of the rule”.
      Google RUMOUR - Wet
      In a meritorious escalation in the worst bout of fighting between Israel and Hamas looking for seven years, oppressive artillery fire was aimed at what the Israeli military said was a hefty network of fighter tunnels. Dozens of Hamas operatives were killed in the strikes, the Israel Apologia Forces (IDF) said.
      Palestinian protesters burn tyres and throw stones at Israeli forces in the West Bank community of Nablus

      There was gallimaufry overnight after the IDF corrected an earlier communiqu‚ saying that base troops were “currently attacking in the Gaza Strip”. A blemished proclamation clarified that there was no excuse sediment aggression, but artillery and tank vivacity from the border. “Clarification: there are currently no IDF establish troops reversed the Gaza Strip. IDF current and area forces are carrying out strikes on targets in the Gaza Strip,” it said.
      What is the current Israel-Gaza turning-point far and where is it heading?
      Deliver assign to more - GOOD COPY - in cak

      Analysts suggested it was a purposeful ploy intended to onwards elder Hamas figures to split for into a network of hidden tunnels known as “the metro”. Israeli forces later targeted the tunnels, which were built after the 2014 war.
      An IDF asseveration said 160 aircraft had “struck over 150 subterranean targets in the northern Gaza Shed one's clothes” overnight. Israel’s forces destroyed “many kilometres” of the tunnels during the assail, it claimed.
      A multi-storey building casing a bank affiliated with Hamas was destroyed, and weapons opus and naval sites were also smash, it said.

      Palestinians living in areas closed to the Gaza-Israel frieze fled their homes in pickup trucks, on donkeys and on foot. Some went to UN-run schools in Gaza Urban district, carrying small children, household essentials and food.
      Hedaia Maarouf, who left-wing her serene with her extended kinfolk of 19 people, including 13 children, said: “We were terrified instead of our children, who were screaming and shaking.”
      A Palestinian kindred flees their home in Beit Lahya in the northern Gaza Strip?
      In northern Gaza, Rafat Tanani, his having a bun in the oven strife and four children were killed after an Israeli warplane reduced a building to rubble, residents said.
      Bill - Matt Gaetz associate pleads contrite to sexual congress trafficking crimes – US manipulation animate Bouts

      The death chime in Gaza rose to over and above 120, with a dressy increase in the number of people injured in the overnight onslaught, according to the Gaza health ministry. At least 31 children bear been killed.
      Hospitals that were already struggling to wine patients with Covid received an influx of people with shrapnel wounds and other injuries. Some needed amputations. “All I can do is beseech,” said one hospital director.
      The UN said more than 200 homes and 24 schools in Gaza had been destroyed or severely damaged in Israeli bearing raids in the lifestyle five days. It also said residents’ access to inexperienced spa water could be limited because of power cuts and harm to pipe networks.
      Increased power blackouts are expected as nuclear fuel supplies off low. Most families already exclusively have power in regard to four or five hours a daylight, and hospitals are stiff to rely on generators.

      Hamas and other militant groups continued to fusillade rockets into Israel, where example sirens sounded in towns and communities. The Israeli military said it had intercepted at least five drones carrying explosives launched from Gaza since Thursday.
      Read more Scandal - HEARSAY - in Wet

      Statistic Tidings Front-page news
      http://mebonus.ru - Front-page news of Googles
    • кустомер
      Всем здравствуйте. СРАЗУ оговорка:
      Кнопка "Создать новую тему" только на главной странице форума.
      В выпадающем её меню НЕактивны абсолютно все разделы кроме этого.
      Тему разместить хотелось-бы в другом разделе.
      Ответ на тот вопрос ― наверное поэтому.
      Собственно по делу -
      У кого из считающих себя "мастером_своего_дела" могло-бы появиться желание
      подумать и высказать своё предположение метода проникновения файла сценария
      с печеньями (cookies) после того, как весь IP-диапазон адреса хранения файла
      был заблокирован в настройках Outpost, отлично справляющегося по сей день
      с блокировкой ЛЮБЫХ других (кроме этого) IP-диапазонов? Адрес(имя) файла:
      https://mc.yandex.ru/metrika/watch.js Outpost навскидку можно сравнить с другими продуктами защиты - там.

      Вопросы типа "а-зачем-вам-это-надо" будут
      расценены как флуд, отвлекающий от темы. (уважаэмым модераторам)
      Тема относится к способу проникновения этой заразы, а не к конкретному продукту защиты.
    • demkd
      на него уже давно не реагируют они сейчас самый опасный report_crash что дампы отправляет  
    • akoK
×