Уроки кройки и шитья от разработчиков DLP

Уроки кройки и шитья от разработчиков DLP

Рано или поздно многие компании приходят к выводу, что нуждаются в надежной охране своей информации и разработок. Одним из способов эффективной защиты данных является внедрение в корпоративную сеть организации DLP-системы. Обычно при принятии такого решения компания руководствуется двумя основными аргументами: DLP-системы обеспечивают надежную и качественную защиту конфиденциальных данных и позволяют соответствовать требованиям регулирующих органов.

Но DLP-система, как и дорогой костюм должна идеально сидеть. Поэтому, без предварительных примерок на корпоративную сеть и на соответствие нуждам компании никак не обойтись. Такой примеркой является внедрение пилотного проекта. Только после того, как заказчик наденет костюм с иголочки, и увидит, насколько изящно смотрится ансамбль, он сможет в полной мере оценить элегантность и качество обновки. И пускай все разработчики DLP заявляют об обеспечении сохранности информации и соответствии требованиям регуляторов, только качественная DLP-система способна «сесть идеально». Ведь вместе с функционалом для защиты информации заказчик получает дополнительные преимущества, которые не являются очевидными с первого взгляда.

На основе анкет, заполненных компаниями, которые используют систему SecureTower, аналитический отдел компании Falcongaze решил описать, какие дополнительные возможности раскрываются перед организациями при работе с функционалом DLP. Кроме этого, на основе опыта специалистов компании в исследовании было решено очертить круг сложностей, с которыми чаще всего сталкиваются предприятия на этапе внедрения систем для защиты информации.

Если говорить о дополнительных возможностях, раскрывающихся перед пользователем DLP, практически все опрошенные аналитическим отделом отметили, что дополнительные инструменты системы для защиты информации оказались не менее полезными, чем основной функционал продукта.

«Сотрудники начали больше работать»

Как оказалось, большинство специалистов из опрошенных компаний отметили, что с установкой DLP-системы и после должного оповещения персонала, сотрудники стали более плодотворно работать и меньше отвлекаться на посторонние дела. По словам многих пользователей, DLP-система в некотором роде выступает как незримый стимул, ненавязчиво подстегивающий сотрудников уделять больше времени непосредственно рабочему процессу и меньше отвлекаться на посторонние дела.

«HR-менеджеры получили классный инструмент»

Также достаточно большое количество компаний отметили, что функционал DLP-системы оказался удобным инструментом, позволяющим повысить эффективность работы менеджеров по персоналу. HR-менеджеры многих предприятий отмечали, что благодаря системе SecureTower стало возможным улучшить общий социальный климат в компании, а также выявить людей и группы нелояльных сотрудников, которые неблагоприятно влияли на атмосферу доверия в организации и часто срывали рабочий процесс.

«Удобно, когда вся деловая переписка под рукой»

По мнению многих опрошенных, DLP-система оказывается крайне полезной в случаях, когда надо быстро просмотреть деловую переписку с тем или иным человеком, или найти необходимый отосланный ранее документ. За счет того, что наиболее качественные системы, предназначенные для защиты информации, перехватывают весь трафик и способны хранить его сколь угодно долго, стало возможным не тратить много времени на поиск нужных файлов. Помимо этого сотрудники отделов безопасности отметили, что система в несколько раз уменьшает время, необходимое для расследования того или иного инцидента, связанного с потенциальной утечкой данных.

«Спам-бот detected»

Иногда даже сами разработчики не догадываются о полезности разработанного продукта, а точнее о той сфере, в которой он может быть использован. Некоторые компании заострили внимание на том факте, что система SecureTower позволила им выявить компьютеры, с которых производилась вредоносная спам-рассылка. Вот такая макро-история о небезызвестном напитке, содержащем кофеин и пузырьки углекислого газа, на новый лад: хотели изобрести лекарство, а получился всенародно любимый напиток.

Однако многочисленные преимущества DLP-систем могут сопровождаться определенными затруднениями, которые способны стать серьезным камнем преткновения, если о них не позаботиться заранее. Далее сотрудники аналитического центра приводят список наиболее распространенных сложностей, с которыми сталкивались компании на этапе подготовки к внедрению системы для защиты информации.

«DLP-это замечательно, но стоит дорого»

В умах руководителей многих компаний укоренился стереотип, что DLP-система - это близкий родственник антивируса. Такая позиция порой сильно мешает увидеть главное: ведь, по сути, DLP-система представляет собой комплексный инструмент, служащий для обеспечения экономической безопасности компании. Поэтому мнение о том, что DLP-решение должно стоить как простой антивирус – абсолютно ошибочно. Хоть зачастую от организаций и приходится слышать, что DLP – это слишком дорого, но как показывает практика, решение решению рознь и цены на DLP могут быть весьма демократичными, да и утечка информации обойдется в разы дороже.

«Хочется установить DLP, но возможности не позволяют»

Еще один момент, на котором заострили внимание некоторые компании, - это препятствия, которые возникают по причине неподготовленности компании к внедрению DLP-системы. А именно, порой в организации просто не оказывается отдела или сотрудника, ответственного за обеспечение информационной безопасности. В принципе, ничего фатального в этом нет, и нужного человека практически всегда удается найти, тем не менее, подобная ситуация может на какое-то время отодвинуть начало процесса по внедрению продукта для защиты информации.

«Следить за сотрудниками – это нехорошо»

Еще одним контраргументом может послужить этическая сторона вопроса. Некоторые компании отказываются от DLP-систем, мотивируя это тем, что они доверяют своим сотрудникам и не хотят следить за ними. С одной стороны такая позиция может показаться благородной и похвальной, однако, как уже неоднократно говорилось, большое количество утечек происходит по неосторожности, да и наличие DLP-системы вовсе не обязывает читать личную переписку секретарши Леночки с программистом Лешей. Да и к тому же система для защиты информации изначально создана не для слежки за сотрудниками, а для контроля информации и выявления инцидентов, связанных с утечками, поэтому сравнивать DLP с бессовестным шпионом это сродни тому, как думать, что хорошие костюмы носят только мафиози.

«Не такие уж и эффективные эти DLP-системы»

Бытует мнение, что любая DLP-система является неэффективной и не способна защитить информацию компании от утечек. Чаще всего такое можно услышать в случае недостаточного понимания того, как функционируют системы для обеспечения информационной безопасности. Но, тем не менее, человека, который мыслит в подобном ключе переубедить на словах достаточно сложно, если не невозможно, поэтому лучше просто один раз показать, как система работает на практике. Ведь ничего более эффективного, чем наглядная демонстрация в этом мире еще не придумали. Однако и говорить о том, что DLP-система является 100% панацеей от всех проблем компании тоже не верно. Любой продукт DLP - это в первую очередь инструмент, который при внедрении должного комплекса организационных мер внутри компании, а также настройке и правильном использовании может значительно повысить уровень информационной и экономической безопасности предприятия.

«Придется перестраивать всю сеть, чтобы уберечь информацию»

Как и в случае с ценами на DLP, многие компании уверены в том, что для внедрения системы придется переоборудовать всю корпоративную сеть. На самом деле, по-настоящему качественное решение в любой среде никогда не будет требовать замены всего оборудования и сможет максимально просто интегрироваться в любую сеть. Поэтому, беспокойства о том, что для защиты информации придется устроить глобальное переустройство сети компании, являются безосновательными.

Если разработчик заботится о своем клиенте и действительно его уважает, и ценит, то, как и хороший портной, он не заставит его выкидывать весь старый гардероб в угоду одной единственной обновке.

Взвешивать все «за» и «против» можно до бесконечности, также как и разводить теоретические баталии по любому возникающему вопросу. Поэтому вместо многочасовых размышлений, лучше смело подойти к порогу швейного ателье, толкнуть дверь и попросить портного сшить костюмчик «по фигуре».

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

WAF-защиту Azure, Cloudflare, Google Cloud можно обойти 1207 способами

Команда исследователей из Северо-Восточного университета и Дартмутского колледжа разработала новый метод обхода фильтров WAF, который использует различия в парсинге HTTP-запросов на файрволах и защищаемых веб-серверах.

Традиционные способы обхода WAF полагаются на обфускацию вредоносной полезной нагрузки. Авторы PoC-атаки WAFFLED не стали трогать пейлоад и сосредоточились на невинных элементах контента — заголовках, сегментах тела запроса.

Для манипуляций были выбраны три широко используемых типа содержимого: multipart/form-data, application/xml и application/json.

Экспериментаторы изменяли набор символов для составного контента, значения параметров boundary и namespace, XML-схемы, декларации DOCTYPE, разделы CDATA, форматирование и вложенные структуры в JSON-объектах, стараясь ввести в заблуждение WAF, но так, чтобы атакуемый сервер при этом смог распарсить пробивший фильтры вредоносный запрос без проблем.

Всего в ходе исследования было обнаружено 1207 вариантов обхода WAF, с помощью которого злоумышленник может получить доступ к конфиденциальным данным. Подобные атаки известны как HTTP request smuggling (HRS).

 

Как оказалось, обход по методу WAFFLED составляет угрозу для четырех из пяти испытанных защитных продуктов (AWS WAF, Microsoft Azure WAF, Google Cloud Armor, Cloudflare WAF и ModSecurity, встроенный в nginx).

Тестирование проводилось в комбинации с веб-приложениями на основе популярных фреймворков, таких как Flask, FastAPI, Gin, Express, Spring Boot, Laravel. Проверка в полевых условиях показала: HRS из-за разницы в интерпретации HTTP-запросов актуален для 90% сайтов.

 

Ознакомившись с результатами исследования, Google признала наличие проблемы, заявила, что будет решать ее в приоритетном порядке, и выплатила вознаграждение. В Cloudflare тоже готовят фикс, Microsoft и ModSecurity-сообщество обновили наборы правил.

По мнению университетских исследователей, от таких уязвимостей избавиться не так уж сложно, главное — неукоснительно следовать рекомендациям RFC. В подтверждение своих слов авторы WAFFLED создали опенсорсный инструмент-прокси, который тщательно проверяет HTTP-запросы и приводит их в соответствие текущим стандартам RFC до передачи на WAF.

Тестирование HTTP-Normalizer показало, что он способен блокировать попытки обхода по методу WAFFLED с эффективностью 100%. Накладные расходы при этом ничтожны.

Тем, кто не в состоянии развернуть дополнительный прокси, советуют установить новейшие наборы правил (Azure DRS 2.1, ModSecurity CRS 3.3), по возможности исключить экзотические типы содержимого и ужесточить проверку заголовков Content-Type, Content-Length и Transfer-Encoding на уровне WAF и приложений.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru