Перейти к содержанию
andrey golubev

Функционал DLP решений

Recommended Posts

andrey golubev

Так как не давно занимался подбором продукта на основе которого будет построена система защиты информации от инсайдеров (http://www.anti-malware.ru/forum/index.php?showtopic=5012), то более менее изучил представленные на рынке решения. Функционал основной массы продуктов вызвал некоторое удивление и желание его (функционал) обсудить. А тут как раз и тему подняли в соседней ветке (http://www.anti-malware.ru/forum/index.php?showtopic=6262).

Взял из сравнения как мне показалось список ключевых функций продуктов. Функции связанные с администрированием не брал специально, т.к. они хоть и важные, но только при прочих равных.

Для начала предлагаю свой анализ практической, а не маркетинговой полезности приведенного функционала. И напоминаю (на всякий случай) - мы говорим о защите информации от кражи персоналом и утечке.

1.Разграничение доступа по типу устройств (+)

Пример применения: флешку запрещаем, токен разрешаем.

2.Разграничение доступа по портам (+)

Пример применения: отключение лишних портов гарантирует от подключения запрещенных устройств.

3.Разграничение доступа по производителям устройства (-)

Зачем ? На флешке кингстон коммерческую тайну воровать можно, а на флешке трансцент нельзя ?

Приведите пожалуйста пример использования.

4.Разграничение доступа по серийному номеру устройства (-)

Зачем ? Допустим разрешим использовать одну определенную флешку, от чего это спасает ? Что помешает скопировать файл на эту флешку, а потом с нее куда угодно (на нетбук принесенный из дома например)

Приведите пожалуйста пример использования.

5.Блокировка подключений через WiFi или Модем когда подключен к LAN (+)

Предотвращение организации скрытой точки доступа к сети.

6.Блокировка автозапука (+)

Это понятно без комментариев.

7.Блокировка USB keyloggers, Блокировка PS/2 keyloggers (+)

Спорный функционал, но возможно, что кому-то интересен.

8.Белые списки по моделям (-)

9.Белые списки CD/DVD (-)

10.Белые списки по серийным номерам (-)

То же, что для 3 и 4

11.Белые списки безпроводных сетей (+)

Пример: организация использует беспроводную сеть и находится в зоне покрытия какой-либо публичной сети. То же что и п5.

12.Организация теневого копирования (-)

Зачем ? Какой объем данных при этом генерируется, кто, как и главное когда будет эти архивы анализировать ?

Есть у кого из присутствующих реальный опыт использования этой функции ?

13.Принудительное шифрование (+)

Если это реализовано в виде - все копируемое на съемный носитель шифруется (как в Панцире), можно считать это защитой от не преднамеренной утечки, но не от кражи информации сотрудником.

Счет 6:7 в пользу маркетинга.

Но - функционал обеспечиваемый всеми "плюсовыми" пунктами кроме 7 и 13 обеспечивается правильной настройкой прав доступа, штатными средствами, начиная с WinXP (про win2k не знаю не смотрел).

И счет становится 2:11.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
4.Разграничение доступа по серийному номеру устройства (-)

Зачем ? Допустим разрешим использовать одну определенную флешку, от чего это спасает ? Что помешает скопировать файл на эту флешку, а потом с нее куда угодно (на нетбук принесенный из дома например)

Приведите пожалуйста пример использования.

8.Белые списки по моделям (-)

9.Белые списки CD/DVD (-)

10.Белые списки по серийным номерам (-)

То же, что для 3 и 4

Приведу примеры использования. У ваш босс берет домой документы поработать на любимой флешке, где они аккуратно шифруются (админы позаботились). Отказаться боссу в использовании флешки вы не можете, но должны запретить подключение любой другой флешки. Разрешить все флешки нельзя. Например, вдруг продажная душа уборщицы позарится на корпоративные секреты?

Выход один - разрешить только эту конкретную флешку.

Тоже самое может быть и с другими типами устройств. ИМХО функционал полезный.

12.Организация теневого копирования (-)

Зачем ? Какой объем данных при этом генерируется, кто, как и главное когда будет эти архивы анализировать ?

Есть у кого из присутствующих реальный опыт использования этой функции ?

Это нужно в качестве доказательной базы, например, на случай судебного разбирательства. Что вам даст простое знание того, что Вася Пупкин скопировал на флешку из сети файл "Совершенно_секретный_отчет.doc"? Ничего не даст, мало ли что там было. Без возможности посмотреть сам файл это все вилами на воде писано.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
andrey golubev
Приведу примеры использования. У ваш босс берет домой документы поработать на любимой флешке, где они аккуратно шифруются (админы позаботились). Отказаться боссу в использовании флешки вы не можете, но должны запретить подключение любой другой флешки. Разрешить все флешки нельзя. Например, вдруг продажная душа уборщицы позарится на корпоративные секреты?

Выход один - разрешить только эту конкретную флешку.

Тоже самое может быть и с другими типами устройств. ИМХО функционал полезный.

Для флэшки согласен, можно считать защитой от утери носителя, но ни в коем случае ни от кражи информации имеющим к ней доступ сотрудником.

Кстати, подобный функционал есть в Висте. Забесплатно.

Это нужно в качестве доказательной базы, например, на случай судебного разбирательства. Что вам даст простое знание того, что Вася Пупкин скопировал на флешку из сети файл "Совершенно_секретный_отчет.doc"? Ничего не даст, мало ли что там было. Без возможности посмотреть сам файл это все вилами на воде писано.

А что даст знание содержимого документа ? Он его скопировал для работы дома и вообще не он скопировал, а Петя подсмотрев пароль. Я был на семинаре "Информзащиты", там рассматривалась похожая задача и решалась она установкой скрытой камеры на рабочем месте подозреваемого. Так что боюсь не будет это доказательной базой.

А если файл "Совершенно_секретный_отчет.doc" сотрудник заархивирует с паролем и опцией шифровать имена файлов и папок ?

А если сотрудников имеющих доступ к секретам и флешкам много и флешки они используют активно, какой это даст трафик, нагрузку на сеть и сколько потребует места в БД, если хранить инфу хотя бы три месяца ? А если инфа об утечке всплывет через три месяца и один день (что чаще всего и бывает) ? Думаю, вероятность, когда эта технология даст эффект настолько мала, что затраты на организацию архива будут не приемлимо велики.

Кстати, пример реального судебного разбирательства с использованием подобной доказательной базы в природе существует ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
Кстати, подобный функционал есть в Висте. Забесплатно.

Ну и хорошо, кому-то этого достаточно, в Висте нет много другого, что было описано в первом посте. Покупая продукт для контроля портов, покупаешь некий набор возможностей. Явно неудобно было бы прописывать одни настройки из одной программы, а другие - из другой.

А что даст знание содержимого документа ? Он его скопировал для работы дома и вообще не он скопировал, а Петя подсмотрев пароль. Я был на семинаре "Информзащиты", там рассматривалась похожая задача и решалась она установкой скрытой камеры на рабочем месте подозреваемого. Так что боюсь не будет это доказательной базой.

Это будет одним из элементом доказательной базы, естественно не единственным. С Информзащитой согласен, докательство того, что именно этот человек сидел за компом в момент кражи является самым сложным. Даже камеры не дадут гарантии. Вспомните историю про "человека, похожего на генерального прокурора" :)

А если файл "Совершенно_секретный_отчет.doc" сотрудник заархивирует с паролем и опцией шифровать имена файлов и папок ?

Тогда доказательная база будет меньше :) Если, конечно, архивчик не сломают, на этом не одна компания живет. Например, у Elcomsoft есть решения, которые как раз для таких хитрых случаев используют при судебных расследованиях. Так что на каждую хитрую жопу ...

Кстати, пример реального судебного разбирательства с использованием подобной доказательной базы в природе существует ?

На западе существует и не один. Так компьютерная форензика очень неплохо развита, есть традиции. У нас публичных расследований не припомню, но это не значит, что безопасники в крупных компаниях это не используют.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
andrey golubev
Ну и хорошо, кому-то этого достаточно, в Висте нет много другого, что было описано в первом посте. Покупая продукт для контроля портов, покупаешь некий набор возможностей. Явно неудобно было бы прописывать одни настройки из одной программы, а другие - из другой.

Не согласен. Задачу надо решать не продуктом, а комплексно. Сначала применяются штатные средства, про которые не корректно говорить, что это "другая программа", так как имеено ими создается рабочее окружение и ни одна внешняя программа их полностью не заменит. А тут речь пошла о дублировании функций ОС навесной системой. У этого подхода куча недостатков - начиная от неоправданного усложнения кода, что влечет ошибки, тормоза, несовместимость и заканчивая сложностью настроек, которые пользователю придется изучить.

Тогда доказательная база будет меньше :) Если, конечно, архивчик не сломают, на этом не одна компания живет. Например, у Elcomsoft есть решения, которые как раз для таких хитрых случаев используют при судебных расследованиях. Так что на каждую хитрую жопу ...

При проектировании системы защиты расчитывать на тупость нападающего нельзя. А нормальные алгоритмы со сложными пароли не ломаются. По крайней мере для бизнеса.

На западе существует и не один. Так компьютерная форензика очень неплохо развита, есть традиции. У нас публичных расследований не припомню, но это не значит, что безопасники в крупных компаниях это не используют.

Дык сейчас вон говорят и астрологов для решения бизнес проблем привлекают, в связи с кризисом :) Вопрос в соразмерности затрат и эффективности.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
А тут речь пошла о дублировании функций ОС навесной системой. У этого подхода куча недостатков - начиная от неоправданного усложнения кода, что влечет ошибки, тормоза, несовместимость и заканчивая сложностью настроек, которые пользователю придется изучить.

Если бы все так думали, то у Microsoft уже не было бы конкурентов никаких и, например, их Windows OneCare Live уже бы поработил бы антивирусный рынок, про Media Player и Internet Explorer я уже молчу. ;)

При проектировании системы защиты расчитывать на тупость нападающего нельзя. А нормальные алгоритмы со сложными пароли не ломаются. По крайней мере для бизнеса.

Какие именно алгоритмы не ломаются, можно поинтересоваться?

Потом никто не говорит о 100% защите от утечки, ее не может быть в принципе, лучше сразу выбросить эту мысль из головы. Всегда будет N-методов, которые можно использовать для обхода DLP-продукта.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
andrey golubev
Если бы все так думали, то у Microsoft уже не было бы конкурентов никаких и, например, их Windows OneCare Live уже бы поработил бы антивирусный рынок, про Media Player и Internet Explorer я уже молчу. ;)

Windows OneCare Live не является механизмом ОС. Это как раз навесная защита, реализующая дополнительный (например сигнатурный анализ) функционал. Что касается MP и IE то это вообще пользовательский (персональный) софт.

Конечно нельзя запретить дублирование функционала ОС в навесных защитах. Но если вендор дублирует функцию, то как минимум он должен объяснить преимущества своей реализации, а не просто расширять список функций продукта, как это в большинстве своем происходит, и с моей точки зрения является банальным развесом маркетинговой лапши.

Какие именно алгоритмы не ломаются, можно поинтересоваться?

3DES, IDEA, Blowfish, Cast-128, Rijndael

при желании можно еще наверное указать (гост например:))

ну и winrar как инструмент

Потом никто не говорит о 100% защите от утечки, ее не может быть в принципе, лучше сразу выбросить эту мысль из головы. Всегда будет N-методов, которые можно использовать для обхода DLP-продукта.

Вопрос в эффективности средства. Одно дело когда устраняется N-1 угроза, а другое когда 1.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
Но если вендор дублирует функцию, то как минимум он должен объяснить преимущества своей реализации, а не просто расширять список функций продукта, как это в большинстве своем происходит, и с моей точки зрения является банальным развесом маркетинговой лапши.

Полностью согласен, если в стороннем ПО функции дублируются со встроенными в ОС, то у первом должны быть серьезные преимущества.

Вопрос в эффективности средства. Одно дело когда устраняется N-1 угроза, а другое когда 1.

Именно, вопрос стоит в минимизации рисков, а для этого нужно их определить для конкретного случая (бизнеса).

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти

  • Сообщения

    • Moraband
      Компьютеры легко защитить антивирусами, а вот как защитить свою страницу в ВК, например, очень мало кто знает. Сам недавно повергался взлому, мало того что потерял страницу, так еще и у друзей мошенники выдурили деньги. Потому, что касается защиты и безопасности далеко не везде она так очевидна и понятна многим пользователям. Что точно знаю, так это то, что защитить аккаунт можно с помощью информации из этой статьи по защите аккаунта  ,  мне очень помогло, теперь хоть могу спать спокойно, что никто уже не взломает, ведь в ВК есть все возможности для защиты, но многие люди не знают об этом. 
    • Moraband
      Лучше бы за взломы в ВК сажали, но увы максимум это блокировка страницы взломщика, а чаще всего вообще никаких санкций нет, при том что владельцы ВК теперь представители мэйл ру, лояльные к правительству. Потому советую людям самим задумываться о своей безопасности в ВК, потому что это сейчас одна из самых актуальных проблем, взломщики активизировались из-за кризиса, деньги всем нужны, потому берут взламывают и клянчат у друзей взломанного пользователя деньги. Всем советую изучить статью по защите от взломов в ВК , чтоб хоть как-то защитить себя . Вот это куда более важное дело, что переживать из-за нецензурной лексики пользователей, но у нас же как всегда борются с тем что не надо, игнорируя важную проблему. 
    • Moraband
      Маил ру, увы, сейчас постепенно захватывает все соц. сети, при этом принося ворох проблем. Последнее время в Вконтакте активизировались мошенники-взломщики, с которыми соц. сеть почему то борется очень слабенько, почти ничего не делая. Если бы блокировали по айпи адресу взломщиков, было бы куда лучше, но увы, этого скорее всего никогда не будет. Потому пользователям надо научиться защищать самостоятельно свой аккаунт и благо способы есть. Мне друг посоветовал статью по защите страницы в ВК от взломов , благодаря которой я могу узнать про различные виды взломов и как им противостоять в этих непростых условиях, всем советую ознакомиться, надеюсь, что сумел кому-то помочь. 
    • Moraband
      А сейчас все чаще практикуют совсем другие взломы, взломы Вконтакте. Вот у меня такое совсем недавно было, взламывали мою страницу. Сейчас еще пошел новый тренд  по мошенническим схемам. Начали просить денег, а друг поверил, что это я и скинул денег. Вообще основная проблема этих взломов, что люди думают, дескать их никогда не взломают, а на деле  это очень даже возможно, особенно если страница достаточно популярна и ее легко найти в поиске. Потому будьте осторожнее и лучше изучите статью, как защитить свой аккаунт Вконтакте   , тут очень хорошо написано, как эффективно бороться с мошенническими схемами, взломщиками и мошенниками, которые уже заполонили просторы ВК. Надеюсь, что взломанных станет хоть чуточку меньше =)
    • Moraband
      Ой, столько мошенников развелось сейчас в интернете, пруд пруди. Недавно столкнулся с новым веянием взломов в Вконтакте и вымогательства денег у друзей пользователя. Сам на такое и попал, а мой друг доверчивый и поверил в бредни, которые рассказывал взломщик, перевел ему 5к руб. От такого никто не застрахован, а причиной большого количества взломов выступает отсутствие знаний у простых пользователей. Потому, вот тут смотрите как защитить свой аккаунт от взлома , это очень полезно и реально даст возможность спать спокойно спать и быть точно уверенным, что в этот момент кто-то не вытягивает последние кровные из ваших друзей. 
×