`

СПЕЦИАЛЬНЫЕ
ПАРТНЕРЫ
ПРОЕКТА

Архив номеров

Как изменилось финансирование ИТ-направления в вашей организации?

Best CIO

Определение наиболее профессиональных ИТ-управленцев, лидеров и экспертов в своих отраслях

Человек года

Кто внес наибольший вклад в развитие украинского ИТ-рынка.

Продукт года

Награды «Продукт года» еженедельника «Компьютерное обозрение» за наиболее выдающиеся ИТ-товары

 

Алексей Дрозд

Работа на опережение

+44
голоса

Что бы там ни говорили, но у большинства компаний работа службы (или отдела - как его ни назови, суть всё та же) информационной безопасности построена на расследовании уже произошедших инцидентов. В то же время, вряд ли кто-то будет спорить с тем, что это не совсем, скажем прямо, правильный подход к этому делу, и что безопасник должен уделять профилактике инцидентов столько же, если не больше, времени, чем их расследованию.

Работа на опережение

Если расследовать инциденты без DLP-системы ещё худо-бедно можно (поднимать логи серверов и делать прочую работу, которая выводит из себя не только безопасника, но и помогающего ему сисадмина), то с профилактикой без DLP вообще полный абзац. Потому что основа профилактики - это работа с подозрительными работниками, которые потенциально могут стать виновниками утечек информации. Но чтобы подозревать, нужны какие-то данные, которые расскажут о поведении работника в Сети, да и на рабочем месте, в принципе, тоже. Где взять такие данные, как не с помощью DLP-системы?

Впрочем, DLP-системы тоже бывают разными, и не все они, скажем прямо, одинаково полезны. Потому что если DLP-система не может анализировать связи между адресатами и строить графы, то безопаснику достаточно сложно определить, кто из сотрудников общался с тем, кто общался с конкурентами. А если DLP-система не умеет отслеживать появление конфиденциальных документов на рабочих станциях сотрудников, то безопаснику сложно узнать, что-то кто-то уже приготовился "слить" базу поставщиков деталей, которую заблаговременно скопировал себе на винчестер...

Это я всё к чему? К тому, что хорошая DLP-система - та, которая заточена на работу на опережение. А та система, которая на первое место ставит свои возможности по ведению архива инцидентов - она, как бы вам сказать... Всё-таки, отдел информационной безопасности при живом бизнесе - это что-то вроде иммунной системы, и когда она может разбираться со всеми только постфактум, болезнь не заставит себя ждать.

Работа на опережение

+44
голоса

Напечатать Отправить другу

Читайте также

А вся эта ваша пежня - не мешает работникам выполнять их рабочую работу? Я бы, например, зная о постоянной слежке, работал исключительно на своём ноутбуке и через свой интернет. Я,кстати,на анализаторы речи в IVR - тоже неоднозначно реагирую - слишком это "скользко" с морально-этической точки зрения. Как-то мерзко ощущать себя субъектом чужого бизнеса. К DLP это,кстати - тоже относится.

Наш ключевой посыл в отношении DLP-систем - чем меньше людей о ней знают, тем лучше. Очевидно, что при постановке сотрудников перед фактом "за вами следят и следят так, так и так", компания поимеет уйму проблем, начиная от снижения лояльности, до намеренного саботажа "против режима".

Именно поэтому "КИБ" не видно и не слышно в системе. А "чтоб никто не догадался" (почему операцию назвали "Ы"), данные мониторинга можно отправлять не в реальном времени, а по расписанию. К примеру в обед или ночью с 1 до 3.

Обходы DLP "навскидку":1. Ноутбук (не тот, что вы подумали)- обычный блокнот и ручка. 2. Копир без сетевого подключения + минимальный сетевой инжениринг с соседями. 3. Фотографирование экрана - фотоаппаратом, на ЛЮБОМ рабочем месте. 4. Умышленное повреждение шрёдеров + экспроприация выкинутых документов.
Основная идея такова, что: если у сотрудника есть умысел на вынос ДВП информации - этот сотрудник найдёт способ её вынести. И никто, никак - не помешает ему в этом. А все способы по "поиску ведьм" - действенны только против дилетантов и ротозеев. Та же GoPro или другой, гораздо более дешёвый её аналог, установленная на съёмку "нужного" монитора (кодовых замков и сейфов)- рушат всю идею систем DLP, ибо - пишут ещё и разговоры в помещении.

Подобные системы можно обойти сотней различных способов. При этом не всегда надо даже извращаться. Отправьте зашифрованный многотомный архив и всё. Функционала брутфорса паролей у DLP нет :)

Всё это возвращает нас к комментарию выше - чем меньше людей "в курсе дел", тем лучше. Как показывает практика, большинство пойдёт по пути наименьшего сопротивления и будут пересылать документы через почту, скайп или просто выносить их на флешках.

Неужели ещё можно встретить людей, которые не понимают,что - их прослушивают, просматривают и перлюстрируют постоянно?

Конечно. Даже в нашей компании года 2 назад некоторые с удивлением обнаружили, что их деятельность мониторят нашим же софтом. Такой открытие было!

Профилактика техническими средствами ИТ и ИБ не имеет успеха. Нигде.

Алексей, вы никогда, похоже, не работали в серьезных организациях _внутри_.

Профилактика - это занятие, на которое забили практически все спецслужбы мира. Все настроено на как можно более быстрое реагирование на инцидент. И время реакции-то как раз и зависит от используемых инструментов и соответственной подготовки соответствующих граждан и гражданок.

Есть достаточно обширная история проигранных компаниями исков, когда кого-то увольняли или притесняли "по подозрению". Юридически предъявить можно только факт инцидента. А изменение профиля поведения (что собственно по-максимуму и может дать DLP, не более) - только повод запустить совсем другие механизмы.

Кстати, иммунная система как раз "работает" на инцидент, а не профилактику :)

Я это к чему - современные DLP системы, не обладающие нейронным ИИ не пригодны для опережающего профилирования изменения поведения пользователей. Ну а те, кто хоть раз обучал нейронную сеть знает, насколько бывают неожиданными эффекты обучения...

Ну а нейрокомпьютерные DLP стоят столько, что стопиццот раз подумаешь, прежде чем подумать о внедрении таких монстров.

Но ведь что-то и на опережение пытаются делать. К примеру не "пустить козла в огород". Когда перед приёмом на работу сотрудника "пробивают" по своим каналам, по соцсетям и т.д. Разве это не игра на опережение? Брать того, кто заведомо несёт для компании угрозу, никто не захочет. Даже если в распоряжении фирмы средства для быстрого реагирования на инцидент.

И всё же в некоторых (а не во всех) ситуациях действовать можно. Реально работающий у наших клиентов кейс - намерения сотрудника уволится. Можно узнать заранее по косвенным признакам: посещение сайтов по трудоустройству, составление или отсылка резюме, получение на некорпоративную почту предложений пройти интервью\собеседование...

Я не утверждаю, что все критерии должны сработать сразу. Но даже если СБ получит сигнал хотя бы по одному из них, внимание обратить на человека однозначно стоит.

И при чем тут DLP? Обыкновенной Policy достаточно :)
Ну а работа по соцсетям в СБ и HR - это уже давно общее место.
Есть правда и более извращенные инструменты. Одна Altaanalytics чего стоила в свое время :)

К DLP, на мой взгляд, этот функционал "бонусом" в некотором роде получился.

Плюс ко всему, считаю, что он достаточно удобен. Комбинация автоматического выявления факта + возможность в пару кликов вывести статистику по этим фактам. Поясню мысль.

Есть задача отследить кто злоупотребляет посещением сайтов казино. Делаем политику с перечислением самых популярных из них. А через некоторое время смотрим не сами инциденты (толку в них, там будет только ссылка на сайт), а распределение инцидентов по людям. В итоге наказываем тех, кто злоупотреблям. А тех, кто раз-два случайно зашёл, не трогаем.

Для этого решения DLP не нужен.

 
 
IDC
Реклама

  •  Home  •  Рынок  •  ИТ-директор  •  CloudComputing  •  Hard  •  Soft  •  Сети  •  Безопасность  •  Наука  •  IoT