Перейти к содержанию
broker

Утечки информации, методы поиска.

Recommended Posts

broker
Еще раз, кто-то должен иметь администраторские права для администрирования системы, без этого никак. А вот у этого сотрудника будет масса способов обойти любую систему защиты, в простейшем случае ее снять. Может установить любую программу для съема информации - ведь для обработки она должна присутствовать в открытом ввиде - с монитора, при вводе с клавиатуры и т.д. Может использовать возможности межпроцессного взаимодействия (их десятки) и т.д. и т.п.

несомненно, но речь немного о другом.

Действительно заветной целью любого взломщика являются рутовые права на систему и спорить с тем, что максимальными возможностями для взлома абсолютно законно наделены администраторы тоже никто не будет.

О чём же речь!? речь о том, что при определённом построении инфраструктуры и разделении ролей можно существенно повысить защищенность.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
А.Щеглов
несомненно, но речь немного о другом.

Действительно заветной целью любого взломщика являются рутовые права на систему и спорить с тем, что максимальными возможностями для взлома абсолютно законно наделены администраторы тоже никто не будет.

О чём же речь!? речь о том, что при определённом построении инфраструктуры и разделении ролей можно существенно повысить защищенность.

Именно об этом я и пытался сказать. Есть администраторы, которые отвечают "за все" и говорить о защите от них бесполезно - это системные администраторы. Есть администраторы приложений, БД и т.д., с ними, действительно проще, их угрозы можно минимизировать.

В продолжение разговора. Основная проблема, с которой, по крайней мере, мы часто сталкиваемся, это как разделить права (в Вашей терминологии "роли", что одно и то же) между системным администратором ИТ и администратором ИБ. По сути их надо наделить обоих наделить системными правами. Вот здесь и начинаются коллизии. Кто, и какое подразделение тогда реально отвечает за ИБ, по-сути, полу3чаем коллективную ответственность. На мой взгляд, технически данная задача опять же неразрешима. Если усечь права системному администратору ИТ, это скажется на эксплуатации системы, если наделить соответствующими правами в полном объеме - на ИБ (он сможет изменять настройки средства защиты, отключать механизмы, подчищать аудит, отключать контентный контроль и т.д. и т.п.). Вот и "пошло разрастание" угрозы, причем, на мой взгляд, катастрофическое, т.к. это совершенно различные подразделения, с совершенно различными требованиями к сотрудникам во всех отношениях.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
nremezov
Еще раз, кто-то должен иметь администраторские права для администрирования системы, без этого никак. А вот у этого сотрудника будет масса способов обойти любую систему защиты, в простейшем случае ее снять.

Схема разделяемого секрета.

В простейшем виде - кусок пароля у офицера ИБ и кусок пароля у администратора. Действия по настройке\обновлению проводятся под наблюдением.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
broker
Схема разделяемого секрета.

да, но такая схема подходит для случая, когда административные действия можно разделить по рангу и действия наивысших рангов случаются не часто. Например в системе СуперАдмин создаёт Админа и Админа ИБ с раздельными полномочиями. При этом пароль на СуперАдмина разделяется между Админом и Админом ИБ.

В случае АD не прокатит

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
А.Щеглов
Схема разделяемого секрета.

В простейшем виде - кусок пароля у офицера ИБ и кусок пароля у администратора. Действия по настройке\обновлению проводятся под наблюдением.

Это делается проще, чем "куски паролей", достаточно, чтобы офицер ИБ обеспечивал допуск системного администратора к настройкам под своим контролем. Однако, вопрос в другом. Что мы имеем на практике. Офицер ИБ обладает необходимым доверием руководства, но, как правило, не обладает необходимой квалификацией для системного администрирования. Системный администратор, наоборот. Не может в силу этих причин офицер ИБ контролировать действия системного администратора, а на системного администратора нельзя возлагать задачи по администрированию средств защиты. Вот оно неразрешимое противоречие! Если же есть администратор, обладает и доверием, и квалификацией, то он должен совмещать в себе обе функции администрирования. Возможно, когда-нибудь, так и будет.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
broker
Если же есть администратор, обладает и доверием, и квалификацией, то он должен совмещать в себе обе функции администрирования. Возможно, когда-нибудь, так и будет.

такой администратор рано или поздно станет уязвимым местом.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
А.Щеглов
такой администратор рано или поздно станет уязвимым местом.

Естественно, это априори уязвимое звено, впрочем, так же, как сегодня системный администратор. Цель -то в том, чтобы минимизировать число таких "уязвимых мест", одно дело, понимать, что может украсть информацию 1000 человек на предприятии, другое дело, 1-2. Вот здесь уже вступают в силу организационные меры, мы предполагаем, что данный человек должен быть доверенным лицом, и всяческими мерами должны это обеспечить.

Дело ведь в том, что защитить информацию можно лишь на том компьютере, где она обрабатывается и то лишь при условии, что пользователь не сможет устанавливать на компьютер собственное ПО, иначе он обойдет любую Вашу защиту. От того, кто может установить ПО, защититься невозможно, следовательно, число таких сотрудников необходимо минимизировать.

P.S. В одной из своих статей относительно недавно приводил следующий пример. Купил как-то журнал "Хаккер", там автором (если не ошибаюсь, Крисом Касперски) была опубликована гневная статья на тему, что уже несколько лет не исправляется серьезная уязвимость в Windows (причем речь шла о последних версиях ОС с последними на тот момент обновлениями, в частности, XP SP2), более того, были опубликованы исходники эксплойта, позволяющего осуществлять атаку на эту уязвимость (если интересно, могу найти ссылку на этот журнал, опубликованный где-то год назад). Проверили, все верно. Это, к слову, что может сделать пользователь, имеющий возможность запустить свое ПО, а Вы о контентной фильтрации.... Вот, где основа противодействия инсайдерским атакам.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Рустэм Хайретдинов
От того, кто может установить ПО, защититься невозможно, следовательно, число таких сотрудников необходимо минимизировать.

P.S. В одной из своих статей относительно недавно приводил следующий пример. Купил как-то журнал "Хаккер", там автором (если не ошибаюсь, Крисом Касперски) была опубликована гневная статья на тему, что уже несколько лет не исправляется серьезная уязвимость в Windows (причем речь шла о последних версиях ОС с последними на тот момент обновлениями, в частности, XP SP2), более того, были опубликованы исходники эксплойта, позволяющего осуществлять атаку на эту уязвимость (если интересно, могу найти ссылку на этот журнал, опубликованный где-то год назад). Проверили, все верно. Это, к слову, что может сделать пользователь, имеющий возможность запустить свое ПО, а Вы о контентной фильтрации.... Вот, где основа противодействия инсайдерским атакам.

К слову о сотруднике с правами администратора и контентной фильтрации. Никто никогда и не предлагал бороться с привелигированными пользователями контентной фильтрацией - если у пользователя есть возможность запускать что-то, кроме офисных приложений, требуются другие меры защиты. Только таких пользователей единицы даже в большой компании, а вот рядовых пользователей - десятки тысяч, и 99,9% из них не знают слов "эксплойт" и "SP2". Зато легко могут что-то скопировать на носитель, выложить в Сеть, послать по почте и распечатать, пытаясь деформировать документ доступным им через приложения способом (переименовав, конвертировав в другой формат, поменяв расширение, сделав Copy-Paste в чистый документ, удалив слово "конфиденциально" из текста, перекодировав текст через Find-Replace и т.д.). Здесь лучше контентной фильтрации (в смысле анализа содержимого перемещаемой информации различными методами) ничего пока не придумали.

Не стоит забывать, что безопасность имеет и экономическую составляющую. Пузатый гаишник не в состоянии задержать тренированного и экипированного спецслужбой диверсанта, но это и не его работа. Если государство начнет готовить из каждого гаишника "волкодава", не выдержит бюджет и не хватит людей. Поэтому есть спецслужбы, занимающиеся непрофессиональными правонарушениями, которых (нарушений) миллионы, а есть спецслужбы, которые ловят профессионалов, совершающих сотню правонарушений в год. И нельзя сказать, что непрофессиональные нарушения менее опасны, если мерять число погибших, например.

Как и любая аналогия, эта - неполная. Я хотел этим сказать, что контентная фильтрация ловит непрофессионалов, причем возможный ущерб от предотвращенных утечек хозяева информации оценивают в миллионы долларов. Этих непрофессионалов - миллионы, практически каждый увольняющийся сотрудник любой компании. Стоимость защиты должна быть адекватна стоимости информации, к кторой эти люди имеют допуск.

И в заключении - шутка о квалификации сотрудников. Один наш заказчик любит приговаривать "Если во время аттестации сотрудник на вопрос "Как снять зависший процесс в Windows?" отвечает не "Позвонить в службу поддержки", а начинает ответ со слов "Нажать CTRL+ALT+DEL..." его уже нельзя пускать к конфиденциальной информации".

Всех с праздниками и длинными выходными.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
broker
Я хотел этим сказать, что контентная фильтрация ловит непрофессионалов, причем возможный ущерб от предотвращенных утечек хозяева информации оценивают в миллионы долларов. Этих непрофессионалов - миллионы, практически каждый увольняющийся сотрудник любой компании.

Рустэм, Вы указали модель нарушителя, не могли бы Вы точнее сформулировать от каких типов нарушителей защищает технология применяемая в Вашем решении.

А.Щеглов, не могли бы Вы так же указать модели нарушителя, защита от которых реализуется в Ваших технологиях (насколько я знаю, у Вас всё согласно спецификациям)

Я думаю, после получения моделей нарушителей можно легко сделать вывод о применимости решений в конкретных ситуациях.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
А.Щеглов
Рустэм, Вы указали модель нарушителя, не могли бы Вы точнее сформулировать от каких типов нарушителей защищает технология применяемая в Вашем решении.

А.Щеглов, не могли бы Вы так же указать модели нарушителя, защита от которых реализуется в Ваших технологиях (насколько я знаю, у Вас всё согласно спецификациям)

Я думаю, после получения моделей нарушителей можно легко сделать вывод о применимости решений в конкретных ситуациях.

В части спецификаций. Никогда никакая спецификация "не поспеет" за реальной жизнью. Как известно, любой стандарт имеет два жизненных этапа. На втором (завершающем) он начинает тормозить развитие, что приводит к разработке нового стандарта.

На мой взгляд, в общем случае можно говорить о модели нарушителя (кто он, и почему он это делает, например, сотрудник, у которого маленькая зарплата) и о модели угроз (как он это делает, например, использует сервисы олицетворения). О чем речь?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
broker
На мой взгляд, в общем случае можно говорить о модели нарушителя (кто он, и почему он это делает, например, сотрудник, у которого маленькая зарплата) и о модели угроз (как он это делает, например, использует сервисы олицетворения). О чем речь?

Можно пойти двумя путями - указать модели угроз -> указать модели нарушителей -> указать средства реализации угроз или наоборот :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Рустэм Хайретдинов
Рустэм, Вы указали модель нарушителя, не могли бы Вы точнее сформулировать от каких типов нарушителей защищает технология применяемая в Вашем решении.

Я думаю, после получения моделей нарушителей можно легко сделать вывод о применимости решений в конкретных ситуациях.

Попробую, заранее прошу прощения за возможную нестрогость описания ввиду его краткости. Все нижеописанное относится ко любым DLP-решениям, которых считают таковыми IDC и Forrester (например системы контроля доступа к портам компьютера, DRM-системы, системы защищенного документооборота или URL-фильтры системами DLP не считаются, хотя от этого не становятся менее полезными). Итак:

Персона (нарушитель): Легальный пользователь системы, по служебной необходимости имеющий доступ к конфиденциальной информации, а также ввиду этой служебной необходмости имеющий возможность использовать каналы выноса информации за пределы системы (электронная почта, постинги в web, другие Интернет-каналы, сменные носители и печать). Мотивация в этом посте не рассматривается, анализ психологического портрета нарушителя вне темы этого форума, это уже не ware.

Системный ландшафт: отсутствуют права локального администратора, отсутствуют права на установку и запуск программ, дающих возможность обойти контролируемые каналы (т.е. выйти в интернет по сотовому телефону, подключить локальный принтер и т.д.) и программ, усложняющих анализ контейнера и его содержимого при пересечении периметра (шифрование, редакторы музыки, видео и изображений, неконтролируемые администратором файловые менеджеры).

Действия пользователей:

1. Халатные - не меняют отсылаемую информацию, но пытаются вынести информацию за пределы системы (ошибаются адресом, забывают удалить "хвост" письма, копируют документы или посылают их себе на открытый ящик для того, чтобы поработать дома и т.д.)

2. Злонамеренные - пытаются изменить информацию доступными им способами (удаление аттрибутных грифов и/или ключевых слов, copy/paste в незащищенный контейнер, Save As в другой формат, переименование файла и его расширения, PrintScreen с последующим сохранением в незащищенном документе, кодирование с заменой одних символов на другие и т.д.).

Технологии, отсекающие такие нарушения, базируются на двух принципах - контроль контейнера и контроль содержимого. Их достоинства и недостатки уже обсуждались в этом форуме. Замечу, что все эти технологии практически со 100% вероятностью ловят халатных пользователей и конкурируют, в основном, количеством вариантов обнаруживаемых попыток себя обойти с помощью упомянутых выше приемов.

Сравнение разных классов систем идет от трудностей перевода: Data Leakage Protection в западном понимании - более узкое понятие, чем, российское "борьба с утечками" - в России добавляется и контроль привелигированных пользователей, и подробный контроль за действиями пользователя, вплоть до перехвата управления, и шифрование носителей, в т.ч. и резервного хранения, и системы защищенного оборота документов и т.д.

И еще терминологическое различие - McAfee DLP расшифровывается как Data Loss Protection, а не Leakage :^).

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
А.Щеглов
Попробую, заранее прошу прощения за возможную нестрогость описания ввиду его краткости. Все нижеописанное относится ко любым DLP-решениям, которых считают таковыми IDC и Forrester (например системы контроля доступа к портам компьютера, DRM-системы, системы защищенного документооборота или URL-фильтры системами DLP не считаются, хотя от этого не становятся менее полезными). Итак:

Персона (нарушитель): Легальный пользователь системы, по служебной необходимости имеющий доступ к конфиденциальной информации, а также ввиду этой служебной необходмости имеющий возможность использовать каналы выноса информации за пределы системы (электронная почта, постинги в web, другие Интернет-каналы, сменные носители и печать). Мотивация в этом посте не рассматривается, анализ психологического портрета нарушителя вне темы этого форума, это уже не ware.

Системный ландшафт: отсутствуют права локального администратора, отсутствуют права на установку и запуск программ, дающих возможность обойти контролируемые каналы (т.е. выйти в интернет по сотовому телефону, подключить локальный принтер и т.д.) и программ, усложняющих анализ контейнера и его содержимого при пересечении периметра (шифрование, редакторы музыки, видео и изображений, неконтролируемые администратором файловые менеджеры).

И еще терминологическое различие - McAfee DLP расшифровывается как Data Loss Protection, а не Leakage :^).

Рустэм, похоже, мы начали приходить к взаимопониманию. Ваш системный ландшафт я могу серьезно дополнить, но речь не о том. Речь о том, что Вы априори считаете систему эффективно защищенной от НСД, а в дополнение к этому (в той части, где по каким-то причинам не могут применяться механизмы защиты от НСД) использовать контентный контроль. По аналогии с криптографией - не дать украсть механизмами защиты от НСД, где это невозможно (отчуждаемые накопители и каналы связи), применяется криптография. С такой позицией я полностью согласен, но с некими оговорками. Вы не рассмотрели вопрос применения механизмов защиты от НСД для фильтрации исходящего трафика на защищаемом компьютере. Ваш посыл отчасти корректен в том случае, когда пользователю, обрабатывающему конфиденциальную информацию, необходимо обеспечить неограниченный доступ во внешнюю сеть. Если трафик фильтруется - разрешается взаимодействие лишь с конкретными корпоративными хостами и рабочими станциями, контентная фильтрация не требуется. Более того, как я ранее утверждал, реализовав на защищенном компьютере разделительную политику доступа к ресурсам (различные режимы обработки открытой и конфиденциальной информации, в том числе, и с различными правами доступа во внешнюю сеть), можно предотвратить сам факт утечки конфиденциальных данных - контролировать станет нечего. Другими словами, на мой взгляд, данная задача защиты может быть решена механизмами защиты от НСД в полном объеме, но средство защиты от НСД должно позволять решение этих задач. Вы же исходите из позиции, что защита от НСД должна быть, но она какая-то "слабенькая". Наверное, такая позиция обоснована, если для защиты от НСД использовать встроенные в ОС механизмы защиты, не ориентированные на решение подобных задач защиты информации.

Другими словами, на мо

Что-то сломалось, продолжу.

Другими словами, на мой взгляд, либо эффективная защита от НСД, предотвращающая факт возможности утечки конфиденциальных данных (частично, как я говорил, криптография), либо "слабенькая" защита встроенными в ОС механизмами, и дополнительный контроль контента.

Вы согласны с подобным позиционированием области применения рассматриваемых нами альтернативных способов решения задачи защиты от утечек?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Рустэм Хайретдинов
Вы же исходите из позиции, что защита от НСД должна быть, но она какая-то "слабенькая". Наверное, такая позиция обоснована, если для защиты от НСД использовать встроенные в ОС механизмы защиты, не ориентированные на решение подобных задач защиты информации.

На мой взгляд, либо эффективная защита от НСД, предотвращающая факт возможности утечки конфиденциальных данных (частично, как я говорил, криптография), либо "слабенькая" защита встроенными в ОС механизмами, и дополнительный контроль контента.

Вы согласны с подобным позиционированием области применения рассматриваемых нами альтернативных способов решения задачи защиты от утечек?

Согласен - DLP подразумевает, что защита от НСД уже существует и отталкивается от этого. Никто никогда не утверждал, что DLP - это все, что вам нужно для борьбы с утечками. DLP-продукты появились тогда, когда проблемы НСД были уже решены на достаточном уровне, и на первый план по статистике вышли утечки, организованные легальными пользователями по легальным каналам.

Здесь есть две парадигмы защиты - контроль действий пользователя (профили) и контроль перемещаемой информации (контейнер или контент). Анализ информации организационно проще, поскольку пользователь, если он не почтовый робот, генерирует в день до 30 передвижений контента (наша статистика), а вот действий при этом производит тысячи. DLP-подход - контролировать какая информация уходит от кого, по какому каналу и куда, и из анализа этих четырех параметров делается вывод, можно разрешать передвижение информации или нет. Например, главбух отправляет квартальный отчет по электронной почте в налоговую - разрешенный вариант, если изменить один параметр: канал (на USB, через web-почту), отправителя (сисадмин, рядовой бухгалтер), получателя (незнакомый адрес) - неразрешенный вариант. Такие решения дают быстрый эффект (из семи десятков пилотных проектов по внедрению DLP-систем за последние три года только один не показал критического нарушения перемещения контента в первую же неделю), отсекают халатные и непрфессиональные злонамеренные утечки, иногда с огромным возможным ущербом.

Достоинства - быстрое внедрение и масштабируемость (при увеличении кол-ва пользователей ничего, кроме мощности анализирующих серверов не меняется), недостатки - непривычная для ИБ эффективность (около 80%, против привычной 99.9%). Это понимают все производители и потребители, и никто из них не абсолютизирует один какой-нибудь способ защиты. Кстати, в отличие от журналистов, которые пишут на темы ИБ и служащих PR-отделов компаний (типичный бред - "Сенсация, компания X защитила от утечек корпорацию Y!").

Иногда полезно прежде чем спорить, синхронизировать терминологию :).

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
А.Щеглов
Согласен - DLP подразумевает, что защита от НСД уже существует и отталкивается от этого. Никто никогда не утверждал, что DLP - это все, что вам нужно для борьбы с утечками. DLP-продукты появились тогда, когда проблемы НСД были уже решены на достаточном уровне, и на первый план по статистике вышли утечки, организованные легальными пользователями по легальным каналам.

С этим тезисом "... когда проблемы НСД были уже решены на достаточном уровне..." я не согласен категорически. На мой взгляд, как раз, наоборот. Средства для борьбы с утечками и многие иные частные решения, появились как раз ввиду нерешенности проблем защиты от НСД. Посмотрите, что нам предлагается большинством средств защиты от НСД. Разграничение доступа к ресурсам между пользователями.

Сегодня же актуальны совсем иные задачи защиты от НСД собственно в своей постановке. Разграничение нужно для чего - чтобы ограничить права того субъекта, которому мы не доверяем. Например, не доверяем мы процессам (приложениям) - это ошибки программирования в приложениях, макро-вирусы, после выполнения которых программа может работать как угодно, трояны и шпионские программы и т.д. Что получаем - необходимость разграничения доступа для процессов. Далее. На рабочей станции работает один пользователь (какое разграничение между пользователями?). Но он обрабатывает информацию различных уровней конфиденциальности, как следствие, ему должны предоставляться различные возможности ее обработки, хранения, передачи - опять же необходима разграничительная политика доступа к ресурсам, но разграничиваться должны сессии (режимы обработки) информации различных уровней конфиденциальности. И т.д. На мой взгляд, именно то, что большинство средств защиты от НСД строится "по старинке", т.е. не может решить актуальных сегодня задач защиты информации от НСД (кстати говоря, теория здесь очень отстает от практики - от реальной жизни), и приводит к появлению средств контроля, использование которых априори предполагает, что задача защиты от НСД не решена (если украсть невозможно, то, что контролировать?).

В остальном с Вами согласен. Однако, Ваша позиция, состоящая в том, что и производитель, и потребитель средства защиты, исходно предполагают, что проконтролировать возможно лишь до 80% трафика (т.е. исходят из того, что 20% войдут в утечки), да еще, что контроль ориентирован на не подготовленную атаку (в предположении, что атака осуществлена на любительском уровне), лично меня, настораживает!

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Рустэм Хайретдинов
С этим тезисом "... когда проблемы НСД были уже решены на достаточном уровне..." я не согласен категорически. На мой взгляд, как раз, наоборот. Средства для борьбы с утечками и многие иные частные решения, появились как раз ввиду нерешенности проблем защиты от НСД. Посмотрите, что нам предлагается большинством средств защиты от НСД. Разграничение доступа к ресурсам между пользователями.

Сегодня же актуальны совсем иные задачи защиты от НСД собственно в своей постановке. Разграничение нужно для чего - чтобы ограничить права того субъекта, которому мы не доверяем. Например, не доверяем мы процессам (приложениям) - это ошибки программирования в приложениях, макро-вирусы, после выполнения которых программа может работать как угодно, трояны и шпионские программы и т.д. Что получаем - необходимость разграничения доступа для процессов. Далее. На рабочей станции работает один пользователь (какое разграничение между пользователями?). Но он обрабатывает информацию различных уровней конфиденциальности, как следствие, ему должны предоставляться различные возможности ее обработки, хранения, передачи - опять же необходима разграничительная политика доступа к ресурсам, но разграничиваться должны сессии (режимы обработки) информации различных уровней конфиденциальности. И т.д. На мой взгляд, именно то, что большинство средств защиты от НСД строится "по старинке", т.е. не может решить актуальных сегодня задач защиты информации от НСД (кстати говоря, теория здесь очень отстает от практики - от реальной жизни), и приводит к появлению средств контроля, использование которых априори предполагает, что задача защиты от НСД не решена (если украсть невозможно, то, что контролировать?).

В остальном с Вами согласен. Однако, Ваша позиция, состоящая в том, что и производитель, и потребитель средства защиты, исходно предполагают, что проконтролировать возможно лишь до 80% трафика (т.е. исходят из того, что 20% войдут в утечки), да еще, что контроль ориентирован на не подготовленную атаку (в предположении, что атака осуществлена на любительском уровне), лично меня, настораживает!

Про защиту от НСД с вами трудно спорить, слишком различен уровень компетенции. Уверен, что вы в этом специалист.

Попробую еще раз рассказать про насторожившие вас 80%. Мы говорим о технологии анализа контента, реальные продукты используют комбинацию технологий, реальная эффективность около 90%, при том, что никто не отменял неэлектронный вынос информации - в памяти, переписанный на бумажку и т.д.,. Главное - не обманывать заказчика. Если заказчик понимает, что эти 10-20% есть, он будет их уменьшать другими средствами, в том числе и другими технологиями. Наши интеграторы так и делают - закрывают слабые места одних технологий использованием других. Да мы и сами используем другие технологии - шифрование, управление доступом к ресурсам и т.д., чтобы эту цифру уменьшить. Один из наших заказчиков утверждает, что имеет 7% ложных срабатываний и это его более чем устраивает.

Почему?

1. Потому что даже 80% много больше 0% и это однозначно показывают первые дни внедрения.

2. Потому что даже 80% четко отделяют "дураков" от "врагов", т.е. оставшиеся 20% - злонамеренные утечки, за которые, когда поймают, будут бить ногами.

3. Потому что поймают обязательно, если и не сразу, то потом. Контент, пересекший периметр, сохраняется и доступен для анализа более глубокого, чем on-line. Зная, что их рано или поздно вычислят, похищать информацию могут только "внедренные" нарушители, за которыми стоит, как минимум, компания такого же размера или спецслужба.

Налицо баланс ожиданий, платежеспособного спроса и результата использования. Этот рынок растет на 100% в год, а рынок не может ошибаться - он платит живые деньги, которые мог бы потратить на что-то другое. То, что такие решения сейчас появились у крупнейших компаний в области ИБ (Cisco, Symantec, Trend Micro, RSA, McAfee), говорит о двух вещах. Первая - на этом можно заработать серьезные деньги и, а вторая, что не менее важно - это один из способов защиты, ДОПОЛНЯЮЩИЙ уже имеющиеся в их арсенале технологии. Технологии анализа контента сейчас находятся на кривой завышенных ожиданий (по Гарднеру) и за этим неизбежно будет спад, после которого останутся сильнейшие производители.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
А.Щеглов
Этот рынок растет на 100% в год, а рынок не может ошибаться - он платит живые деньги, которые мог бы потратить на что-то другое. То, что такие решения сейчас появились у крупнейших компаний в области ИБ (Cisco, Symantec, Trend Micro, RSA, McAfee), говорит о двух вещах. Первая - на этом можно заработать серьезные деньги и, а вторая, что не менее важно - это один из способов защиты, ДОПОЛНЯЮЩИЙ уже имеющиеся в их арсенале технологии. Технологии анализа контента сейчас находятся на кривой завышенных ожиданий (по Гарднеру) и за этим неизбежно будет спад, после которого останутся сильнейшие производители.

Готов полностью с Вами согласиться. НО!

Вопрос в том, понимают ли Ваши потребители, что технологии анализа контента - это один из способов защиты, ДОПОЛНЯЮЩИЙ уже имеющиеся.

Вот результаты одного исследования, опубликованные на сайте Cnews:

"Около половины компаний серьезно обеспокоены доступностью опытного и тренированного персонала, как в области ИТ (51%), так и в сфере информационной безопасности (46%). Эти причины возглавляют составленный аналитическим агентством Ernst & Young список основных факторов, сдерживающих развитие отрасли ИБ в мире.

В предыдущие годы пальма первенства принадлежала беспечности пользователей (2004) и бюджетным ограничениям (2003), а нехватка специалистов стояла только на третьем месте...".

Как реально позиционирует Ваши средства потребитель, как "панацею" решения всех его проблема ИБ, либо так же, как и Вы.

Из Вашего опыта?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
1. Потому что даже 80% много больше 0% и это однозначно показывают первые дни внедрения.

2. Потому что даже 80% четко отделяют "дураков" от "врагов", т.е. оставшиеся 20% - злонамеренные утечки, за которые, когда поймают, будут бить ногами.

3. Потому что поймают обязательно, если и не сразу, то потом. Контент, пересекший периметр, сохраняется и доступен для анализа более глубокого, чем on-line. Зная, что их рано или поздно вычислят, похищать информацию могут только "внедренные" нарушители, за которыми стоит, как минимум, компания такого же размера или спецслужба.

ИМХО в таком деле 80% - это очень высокая цифра, я бы даже поставил ее под сомнение. Так как получается, что в оставшиеся 20% входят такие банальные и безотказные методы, например, как фотографии экрана с мобильника. И об этом слепке контента не будет следов, если внедрение DLP-решений не поддерживается оффлайн при помощи запрета использования электронный устройств и установкой видеокамер на рабочих местах :-)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
broker
Персона (нарушитель): Легальный пользователь системы, по служебной необходимости имеющий доступ к конфиденциальной информации, а также ввиду этой служебной необходмости имеющий возможность использовать каналы выноса информации за пределы системы (электронная почта, постинги в web, другие Интернет-каналы, сменные носители и печать).

Можно уточнить, входит ли в служебные обязанности легального пользователя отсылать конфиденциальную информацию за пределы системы (по указанным каналам) или всё-таки организационными методами ему запрещено отсылать конфиденциальную информацию за пределы системы (т.е. имеется объект контроля)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Рустэм Хайретдинов
Готов полностью с Вами согласиться. НО!

Вопрос в том, понимают ли Ваши потребители, что технологии анализа контента - это один из способов защиты, ДОПОЛНЯЮЩИЙ уже имеющиеся.

Вот результаты одного исследования, опубликованные на сайте Cnews:

"Около половины компаний серьезно обеспокоены доступностью опытного и тренированного персонала, как в области ИТ (51%), так и в сфере информационной безопасности (46%). Эти причины возглавляют составленный аналитическим агентством Ernst & Young список основных факторов, сдерживающих развитие отрасли ИБ в мире.

В предыдущие годы пальма первенства принадлежала беспечности пользователей (2004) и бюджетным ограничениям (2003), а нехватка специалистов стояла только на третьем месте...".

Как реально позиционирует Ваши средства потребитель, как "панацею" решения всех его проблема ИБ, либо так же, как и Вы.

Из Вашего опыта?

Никто "панацеей" контентную фильтрацию не считает, по меньшей мере, профессиональные сотрудники ИБ. Их мало, согласен, часть из них пришло из ИТ, а чать - из спецслужб, каждый своим опытом. Те, кто прошел через спецслужбы, не по наслышке знают, что такое информационные системы, сертифицированные для работы с гостайной, т.е. абсолютно защищенные в технологическом смысле системы. Они понимают, что бизнес настолько негибкие, тяжелые в администрировании и дорогие системы не примет, поэтому ищут "золотую середину". Для каждого типа угроз выбирается один-два вендора и с ними ищут оптимальное соотношение эффективность/цена.

КФ работает в уже упоминавшихся ограничениях - пользователь может изменять информацию в пределах использования офисных программ и корпоративных приложений. В этой нише КФ хорошо справляется со своими задачами, не более и не менее. Примеров предотвращенных утечек - море. Заказчиков при этом устраивает баланс эффективности, цены и добавленной стоимости при внедрении и администрировании.

Из тех, кто платит деньги, давно никто не ведется на слоганы "найдено средство от утечек нового поколения!!!!" Если почитать статистику утечек, нанесшую ущерб, то видно, что больше половины - потерянные ноутбуки и носители, здесь вообще бы все решило прозрачное шифрование, а никакая не КФ.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Рустэм Хайретдинов
ИМХО в таком деле 80% - это очень высокая цифра, я бы даже поставил ее под сомнение. Так как получается, что в оставшиеся 20% входят такие банальные и безотказные методы, например, как фотографии экрана с мобильника. И об этом слепке контента не будет следов, если внедрение DLP-решений не поддерживается оффлайн при помощи запрета использования электронный устройств и установкой видеокамер на рабочих местах :-)

Сергей, в посте имелось ввиду 80% от заранее данной модели нарушения, а не от всех видов утечек (количество инцидентов, которые вообще могли бы привести к утечкам, в том числе и упомянутые вами, исчислению не поддаются).

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • Ego Dekker
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • PR55.RP55
      .xml  файлы taskschd.msc Могут быть подписаны  цифровой подписью. Думаю будет нелишним, если uVS будет это фиксировать. т.е. проверять не только подпись целевого файла, но и подпись самого файла\задачи. и писать в ИНфО .  
    • demkd
      ---------------------------------------------------------
       4.15.2
      ---------------------------------------------------------
       o Исправлена ошибка при работе с образом автозапуска.
         Для некоторых процессов команда unload не добавлялась в скрипт при нажатии кнопки "принять изменения".  o Добавлена плашка окна на таскбаре для окна удаленного рабочего стола.
         (при работе с удаленной системой) -----------------------------------------------------------
      Есть проблема с локализацией глюка в редких случаях приводящему к аварийному завершению uVS при активном флаге "Проверять весь HKCR".
      На основе дампов его найти не получается, нужна копия реестра системы с такой проблемой, если кому-то попадется такая проблема, то присылайте архив с копией реестра системы мне на почту.  
×