Перейти к содержанию
andrey golubev

Функционал DLP решений

Recommended Posts

andrey golubev

Так как не давно занимался подбором продукта на основе которого будет построена система защиты информации от инсайдеров (http://www.anti-malware.ru/forum/index.php?showtopic=5012), то более менее изучил представленные на рынке решения. Функционал основной массы продуктов вызвал некоторое удивление и желание его (функционал) обсудить. А тут как раз и тему подняли в соседней ветке (http://www.anti-malware.ru/forum/index.php?showtopic=6262).

Взял из сравнения как мне показалось список ключевых функций продуктов. Функции связанные с администрированием не брал специально, т.к. они хоть и важные, но только при прочих равных.

Для начала предлагаю свой анализ практической, а не маркетинговой полезности приведенного функционала. И напоминаю (на всякий случай) - мы говорим о защите информации от кражи персоналом и утечке.

1.Разграничение доступа по типу устройств (+)

Пример применения: флешку запрещаем, токен разрешаем.

2.Разграничение доступа по портам (+)

Пример применения: отключение лишних портов гарантирует от подключения запрещенных устройств.

3.Разграничение доступа по производителям устройства (-)

Зачем ? На флешке кингстон коммерческую тайну воровать можно, а на флешке трансцент нельзя ?

Приведите пожалуйста пример использования.

4.Разграничение доступа по серийному номеру устройства (-)

Зачем ? Допустим разрешим использовать одну определенную флешку, от чего это спасает ? Что помешает скопировать файл на эту флешку, а потом с нее куда угодно (на нетбук принесенный из дома например)

Приведите пожалуйста пример использования.

5.Блокировка подключений через WiFi или Модем когда подключен к LAN (+)

Предотвращение организации скрытой точки доступа к сети.

6.Блокировка автозапука (+)

Это понятно без комментариев.

7.Блокировка USB keyloggers, Блокировка PS/2 keyloggers (+)

Спорный функционал, но возможно, что кому-то интересен.

8.Белые списки по моделям (-)

9.Белые списки CD/DVD (-)

10.Белые списки по серийным номерам (-)

То же, что для 3 и 4

11.Белые списки безпроводных сетей (+)

Пример: организация использует беспроводную сеть и находится в зоне покрытия какой-либо публичной сети. То же что и п5.

12.Организация теневого копирования (-)

Зачем ? Какой объем данных при этом генерируется, кто, как и главное когда будет эти архивы анализировать ?

Есть у кого из присутствующих реальный опыт использования этой функции ?

13.Принудительное шифрование (+)

Если это реализовано в виде - все копируемое на съемный носитель шифруется (как в Панцире), можно считать это защитой от не преднамеренной утечки, но не от кражи информации сотрудником.

Счет 6:7 в пользу маркетинга.

Но - функционал обеспечиваемый всеми "плюсовыми" пунктами кроме 7 и 13 обеспечивается правильной настройкой прав доступа, штатными средствами, начиная с WinXP (про win2k не знаю не смотрел).

И счет становится 2:11.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
4.Разграничение доступа по серийному номеру устройства (-)

Зачем ? Допустим разрешим использовать одну определенную флешку, от чего это спасает ? Что помешает скопировать файл на эту флешку, а потом с нее куда угодно (на нетбук принесенный из дома например)

Приведите пожалуйста пример использования.

8.Белые списки по моделям (-)

9.Белые списки CD/DVD (-)

10.Белые списки по серийным номерам (-)

То же, что для 3 и 4

Приведу примеры использования. У ваш босс берет домой документы поработать на любимой флешке, где они аккуратно шифруются (админы позаботились). Отказаться боссу в использовании флешки вы не можете, но должны запретить подключение любой другой флешки. Разрешить все флешки нельзя. Например, вдруг продажная душа уборщицы позарится на корпоративные секреты?

Выход один - разрешить только эту конкретную флешку.

Тоже самое может быть и с другими типами устройств. ИМХО функционал полезный.

12.Организация теневого копирования (-)

Зачем ? Какой объем данных при этом генерируется, кто, как и главное когда будет эти архивы анализировать ?

Есть у кого из присутствующих реальный опыт использования этой функции ?

Это нужно в качестве доказательной базы, например, на случай судебного разбирательства. Что вам даст простое знание того, что Вася Пупкин скопировал на флешку из сети файл "Совершенно_секретный_отчет.doc"? Ничего не даст, мало ли что там было. Без возможности посмотреть сам файл это все вилами на воде писано.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
andrey golubev
Приведу примеры использования. У ваш босс берет домой документы поработать на любимой флешке, где они аккуратно шифруются (админы позаботились). Отказаться боссу в использовании флешки вы не можете, но должны запретить подключение любой другой флешки. Разрешить все флешки нельзя. Например, вдруг продажная душа уборщицы позарится на корпоративные секреты?

Выход один - разрешить только эту конкретную флешку.

Тоже самое может быть и с другими типами устройств. ИМХО функционал полезный.

Для флэшки согласен, можно считать защитой от утери носителя, но ни в коем случае ни от кражи информации имеющим к ней доступ сотрудником.

Кстати, подобный функционал есть в Висте. Забесплатно.

Это нужно в качестве доказательной базы, например, на случай судебного разбирательства. Что вам даст простое знание того, что Вася Пупкин скопировал на флешку из сети файл "Совершенно_секретный_отчет.doc"? Ничего не даст, мало ли что там было. Без возможности посмотреть сам файл это все вилами на воде писано.

А что даст знание содержимого документа ? Он его скопировал для работы дома и вообще не он скопировал, а Петя подсмотрев пароль. Я был на семинаре "Информзащиты", там рассматривалась похожая задача и решалась она установкой скрытой камеры на рабочем месте подозреваемого. Так что боюсь не будет это доказательной базой.

А если файл "Совершенно_секретный_отчет.doc" сотрудник заархивирует с паролем и опцией шифровать имена файлов и папок ?

А если сотрудников имеющих доступ к секретам и флешкам много и флешки они используют активно, какой это даст трафик, нагрузку на сеть и сколько потребует места в БД, если хранить инфу хотя бы три месяца ? А если инфа об утечке всплывет через три месяца и один день (что чаще всего и бывает) ? Думаю, вероятность, когда эта технология даст эффект настолько мала, что затраты на организацию архива будут не приемлимо велики.

Кстати, пример реального судебного разбирательства с использованием подобной доказательной базы в природе существует ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
Кстати, подобный функционал есть в Висте. Забесплатно.

Ну и хорошо, кому-то этого достаточно, в Висте нет много другого, что было описано в первом посте. Покупая продукт для контроля портов, покупаешь некий набор возможностей. Явно неудобно было бы прописывать одни настройки из одной программы, а другие - из другой.

А что даст знание содержимого документа ? Он его скопировал для работы дома и вообще не он скопировал, а Петя подсмотрев пароль. Я был на семинаре "Информзащиты", там рассматривалась похожая задача и решалась она установкой скрытой камеры на рабочем месте подозреваемого. Так что боюсь не будет это доказательной базой.

Это будет одним из элементом доказательной базы, естественно не единственным. С Информзащитой согласен, докательство того, что именно этот человек сидел за компом в момент кражи является самым сложным. Даже камеры не дадут гарантии. Вспомните историю про "человека, похожего на генерального прокурора" :)

А если файл "Совершенно_секретный_отчет.doc" сотрудник заархивирует с паролем и опцией шифровать имена файлов и папок ?

Тогда доказательная база будет меньше :) Если, конечно, архивчик не сломают, на этом не одна компания живет. Например, у Elcomsoft есть решения, которые как раз для таких хитрых случаев используют при судебных расследованиях. Так что на каждую хитрую жопу ...

Кстати, пример реального судебного разбирательства с использованием подобной доказательной базы в природе существует ?

На западе существует и не один. Так компьютерная форензика очень неплохо развита, есть традиции. У нас публичных расследований не припомню, но это не значит, что безопасники в крупных компаниях это не используют.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
andrey golubev
Ну и хорошо, кому-то этого достаточно, в Висте нет много другого, что было описано в первом посте. Покупая продукт для контроля портов, покупаешь некий набор возможностей. Явно неудобно было бы прописывать одни настройки из одной программы, а другие - из другой.

Не согласен. Задачу надо решать не продуктом, а комплексно. Сначала применяются штатные средства, про которые не корректно говорить, что это "другая программа", так как имеено ими создается рабочее окружение и ни одна внешняя программа их полностью не заменит. А тут речь пошла о дублировании функций ОС навесной системой. У этого подхода куча недостатков - начиная от неоправданного усложнения кода, что влечет ошибки, тормоза, несовместимость и заканчивая сложностью настроек, которые пользователю придется изучить.

Тогда доказательная база будет меньше :) Если, конечно, архивчик не сломают, на этом не одна компания живет. Например, у Elcomsoft есть решения, которые как раз для таких хитрых случаев используют при судебных расследованиях. Так что на каждую хитрую жопу ...

При проектировании системы защиты расчитывать на тупость нападающего нельзя. А нормальные алгоритмы со сложными пароли не ломаются. По крайней мере для бизнеса.

На западе существует и не один. Так компьютерная форензика очень неплохо развита, есть традиции. У нас публичных расследований не припомню, но это не значит, что безопасники в крупных компаниях это не используют.

Дык сейчас вон говорят и астрологов для решения бизнес проблем привлекают, в связи с кризисом :) Вопрос в соразмерности затрат и эффективности.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
А тут речь пошла о дублировании функций ОС навесной системой. У этого подхода куча недостатков - начиная от неоправданного усложнения кода, что влечет ошибки, тормоза, несовместимость и заканчивая сложностью настроек, которые пользователю придется изучить.

Если бы все так думали, то у Microsoft уже не было бы конкурентов никаких и, например, их Windows OneCare Live уже бы поработил бы антивирусный рынок, про Media Player и Internet Explorer я уже молчу. ;)

При проектировании системы защиты расчитывать на тупость нападающего нельзя. А нормальные алгоритмы со сложными пароли не ломаются. По крайней мере для бизнеса.

Какие именно алгоритмы не ломаются, можно поинтересоваться?

Потом никто не говорит о 100% защите от утечки, ее не может быть в принципе, лучше сразу выбросить эту мысль из головы. Всегда будет N-методов, которые можно использовать для обхода DLP-продукта.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
andrey golubev
Если бы все так думали, то у Microsoft уже не было бы конкурентов никаких и, например, их Windows OneCare Live уже бы поработил бы антивирусный рынок, про Media Player и Internet Explorer я уже молчу. ;)

Windows OneCare Live не является механизмом ОС. Это как раз навесная защита, реализующая дополнительный (например сигнатурный анализ) функционал. Что касается MP и IE то это вообще пользовательский (персональный) софт.

Конечно нельзя запретить дублирование функционала ОС в навесных защитах. Но если вендор дублирует функцию, то как минимум он должен объяснить преимущества своей реализации, а не просто расширять список функций продукта, как это в большинстве своем происходит, и с моей точки зрения является банальным развесом маркетинговой лапши.

Какие именно алгоритмы не ломаются, можно поинтересоваться?

3DES, IDEA, Blowfish, Cast-128, Rijndael

при желании можно еще наверное указать (гост например:))

ну и winrar как инструмент

Потом никто не говорит о 100% защите от утечки, ее не может быть в принципе, лучше сразу выбросить эту мысль из головы. Всегда будет N-методов, которые можно использовать для обхода DLP-продукта.

Вопрос в эффективности средства. Одно дело когда устраняется N-1 угроза, а другое когда 1.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
Но если вендор дублирует функцию, то как минимум он должен объяснить преимущества своей реализации, а не просто расширять список функций продукта, как это в большинстве своем происходит, и с моей точки зрения является банальным развесом маркетинговой лапши.

Полностью согласен, если в стороннем ПО функции дублируются со встроенными в ОС, то у первом должны быть серьезные преимущества.

Вопрос в эффективности средства. Одно дело когда устраняется N-1 угроза, а другое когда 1.

Именно, вопрос стоит в минимизации рисков, а для этого нужно их определить для конкретного случая (бизнеса).

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • Ego Dekker
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • PR55.RP55
      .xml  файлы taskschd.msc Могут быть подписаны  цифровой подписью. Думаю будет нелишним, если uVS будет это фиксировать. т.е. проверять не только подпись целевого файла, но и подпись самого файла\задачи. и писать в ИНфО .  
    • demkd
      ---------------------------------------------------------
       4.15.2
      ---------------------------------------------------------
       o Исправлена ошибка при работе с образом автозапуска.
         Для некоторых процессов команда unload не добавлялась в скрипт при нажатии кнопки "принять изменения".  o Добавлена плашка окна на таскбаре для окна удаленного рабочего стола.
         (при работе с удаленной системой) -----------------------------------------------------------
      Есть проблема с локализацией глюка в редких случаях приводящему к аварийному завершению uVS при активном флаге "Проверять весь HKCR".
      На основе дампов его найти не получается, нужна копия реестра системы с такой проблемой, если кому-то попадется такая проблема, то присылайте архив с копией реестра системы мне на почту.  
×