+44 голоса |
Что бы там ни говорили, но у большинства компаний работа службы (или отдела - как его ни назови, суть всё та же) информационной безопасности построена на расследовании уже произошедших инцидентов. В то же время, вряд ли кто-то будет спорить с тем, что это не совсем, скажем прямо, правильный подход к этому делу, и что безопасник должен уделять профилактике инцидентов столько же, если не больше, времени, чем их расследованию.
Если расследовать инциденты без DLP-системы ещё худо-бедно можно (поднимать логи серверов и делать прочую работу, которая выводит из себя не только безопасника, но и помогающего ему сисадмина), то с профилактикой без DLP вообще полный абзац. Потому что основа профилактики - это работа с подозрительными работниками, которые потенциально могут стать виновниками утечек информации. Но чтобы подозревать, нужны какие-то данные, которые расскажут о поведении работника в Сети, да и на рабочем месте, в принципе, тоже. Где взять такие данные, как не с помощью DLP-системы?
Впрочем, DLP-системы тоже бывают разными, и не все они, скажем прямо, одинаково полезны. Потому что если DLP-система не может анализировать связи между адресатами и строить графы, то безопаснику достаточно сложно определить, кто из сотрудников общался с тем, кто общался с конкурентами. А если DLP-система не умеет отслеживать появление конфиденциальных документов на рабочих станциях сотрудников, то безопаснику сложно узнать, что-то кто-то уже приготовился "слить" базу поставщиков деталей, которую заблаговременно скопировал себе на винчестер...
Это я всё к чему? К тому, что хорошая DLP-система - та, которая заточена на работу на опережение. А та система, которая на первое место ставит свои возможности по ведению архива инцидентов - она, как бы вам сказать... Всё-таки, отдел информационной безопасности при живом бизнесе - это что-то вроде иммунной системы, и когда она может разбираться со всеми только постфактум, болезнь не заставит себя ждать.
Ready, set, buy! Посібник для початківців - як придбати Copilot для Microsoft 365
+44 голоса |
А вся эта ваша пежня - не мешает работникам выполнять их рабочую работу? Я бы, например, зная о постоянной слежке, работал исключительно на своём ноутбуке и через свой интернет. Я,кстати,на анализаторы речи в IVR - тоже неоднозначно реагирую - слишком это "скользко" с морально-этической точки зрения. Как-то мерзко ощущать себя субъектом чужого бизнеса. К DLP это,кстати - тоже относится.
Наш ключевой посыл в отношении DLP-систем - чем меньше людей о ней знают, тем лучше. Очевидно, что при постановке сотрудников перед фактом "за вами следят и следят так, так и так", компания поимеет уйму проблем, начиная от снижения лояльности, до намеренного саботажа "против режима".
Именно поэтому "КИБ" не видно и не слышно в системе. А "чтоб никто не догадался" (почему операцию назвали "Ы"), данные мониторинга можно отправлять не в реальном времени, а по расписанию. К примеру в обед или ночью с 1 до 3.
Обходы DLP "навскидку":1. Ноутбук (не тот, что вы подумали)- обычный блокнот и ручка. 2. Копир без сетевого подключения + минимальный сетевой инжениринг с соседями. 3. Фотографирование экрана - фотоаппаратом, на ЛЮБОМ рабочем месте. 4. Умышленное повреждение шрёдеров + экспроприация выкинутых документов.
Основная идея такова, что: если у сотрудника есть умысел на вынос ДВП информации - этот сотрудник найдёт способ её вынести. И никто, никак - не помешает ему в этом. А все способы по "поиску ведьм" - действенны только против дилетантов и ротозеев. Та же GoPro или другой, гораздо более дешёвый её аналог, установленная на съёмку "нужного" монитора (кодовых замков и сейфов)- рушат всю идею систем DLP, ибо - пишут ещё и разговоры в помещении.
Подобные системы можно обойти сотней различных способов. При этом не всегда надо даже извращаться. Отправьте зашифрованный многотомный архив и всё. Функционала брутфорса паролей у DLP нет :)
Всё это возвращает нас к комментарию выше - чем меньше людей "в курсе дел", тем лучше. Как показывает практика, большинство пойдёт по пути наименьшего сопротивления и будут пересылать документы через почту, скайп или просто выносить их на флешках.
Неужели ещё можно встретить людей, которые не понимают,что - их прослушивают, просматривают и перлюстрируют постоянно?
Конечно. Даже в нашей компании года 2 назад некоторые с удивлением обнаружили, что их деятельность мониторят нашим же софтом. Такой открытие было!
Профилактика техническими средствами ИТ и ИБ не имеет успеха. Нигде.
Алексей, вы никогда, похоже, не работали в серьезных организациях _внутри_.
Профилактика - это занятие, на которое забили практически все спецслужбы мира. Все настроено на как можно более быстрое реагирование на инцидент. И время реакции-то как раз и зависит от используемых инструментов и соответственной подготовки соответствующих граждан и гражданок.
Есть достаточно обширная история проигранных компаниями исков, когда кого-то увольняли или притесняли "по подозрению". Юридически предъявить можно только факт инцидента. А изменение профиля поведения (что собственно по-максимуму и может дать DLP, не более) - только повод запустить совсем другие механизмы.
Кстати, иммунная система как раз "работает" на инцидент, а не профилактику :)
Я это к чему - современные DLP системы, не обладающие нейронным ИИ не пригодны для опережающего профилирования изменения поведения пользователей. Ну а те, кто хоть раз обучал нейронную сеть знает, насколько бывают неожиданными эффекты обучения...
Ну а нейрокомпьютерные DLP стоят столько, что стопиццот раз подумаешь, прежде чем подумать о внедрении таких монстров.
Но ведь что-то и на опережение пытаются делать. К примеру не "пустить козла в огород". Когда перед приёмом на работу сотрудника "пробивают" по своим каналам, по соцсетям и т.д. Разве это не игра на опережение? Брать того, кто заведомо несёт для компании угрозу, никто не захочет. Даже если в распоряжении фирмы средства для быстрого реагирования на инцидент.
И всё же в некоторых (а не во всех) ситуациях действовать можно. Реально работающий у наших клиентов кейс - намерения сотрудника уволится. Можно узнать заранее по косвенным признакам: посещение сайтов по трудоустройству, составление или отсылка резюме, получение на некорпоративную почту предложений пройти интервью\собеседование...
Я не утверждаю, что все критерии должны сработать сразу. Но даже если СБ получит сигнал хотя бы по одному из них, внимание обратить на человека однозначно стоит.
И при чем тут DLP? Обыкновенной Policy достаточно :)
Ну а работа по соцсетям в СБ и HR - это уже давно общее место.
Есть правда и более извращенные инструменты. Одна Altaanalytics чего стоила в свое время :)
К DLP, на мой взгляд, этот функционал "бонусом" в некотором роде получился.
Плюс ко всему, считаю, что он достаточно удобен. Комбинация автоматического выявления факта + возможность в пару кликов вывести статистику по этим фактам. Поясню мысль.
Есть задача отследить кто злоупотребляет посещением сайтов казино. Делаем политику с перечислением самых популярных из них. А через некоторое время смотрим не сами инциденты (толку в них, там будет только ссылка на сайт), а распределение инцидентов по людям. В итоге наказываем тех, кто злоупотреблям. А тех, кто раз-два случайно зашёл, не трогаем.
Для этого решения DLP не нужен.