Pull to refresh

Comments 78

Ещё бы графу с перечнем языков, с которыми умеет работать лингвистический анализ.
Посмотрел видео. Напрягся после неоднократного напоминания о том, что программа работает по запатентованным алгоритмам.
UFO just landed and posted this here
расскажите про скайп поподробнее (видео не могу посмотреть за полярным кругом нахожусь), исходяшие наверно кейлогером собираются, а входящие как? они же в зашифрованном виде передаются.
В видео видно и входящие и исходящие Skype сообщения, думаю фоновая программа грабит содержимое окна переписки через Windows API.
UFO just landed and posted this here
UFO just landed and posted this here
Пока что происходит непростой процесс выбора. К сожалению, очень ограничен бюджет на внедрение, поэтому цена системы, к сожалению, сыграет очень значительную роль при выборе. Частично из-за этого в анализ не вошли другие вендоры, разрабатывающие DLP. Хотя если хабрасообществу интересно, могу покопать информацию и по ним.
Задам вопрос по вот этому — «Контроль HTTPS — Да». Правильно ли я понимаю, что когда я подключаюсь к своему аккаунту gmail по https и отправляю сообщения, ОБ может их читать?
Чтение траффика HTTPS возможно только при наличии модуля, выполняющего функцию SSL Intercept. Без этого модуля никак.
Данную информацию (о необходимости модуля), на мой взгляд, необходимо указывать в Примечаниях к таблице.
при этом это можно будет заметить, просмотрев получаемый сертификат.
Безусловно можно.
Желательно в таких случаях подписывать сертификат имеющемся в инфраструктуре центром сертификации, чтобы у пользователя каждый раз не появлялось сообщение о том, что сертификат сайта является недоверенным.
Пусть простит автор статьи, но выбор DLP-системы по данным таблицам будет непростым:
— упущены несколько довольно сильных игроков рынка DLP-систем: McAfee, Websense, TrendMicro, RSA…
— подбирать DLP желательно под конкретные задачи, учитывая особенности инфраструктуры. Данные в таблице не дадут полного представления о всех контролируемых каналах, и в каком месте эти каналы контролируются.
зашел написать этот коммент. Анализ довольно поверхностен, выбор вендоров для анализа странен.
Данные в таблице дадут вообще извращенное представление о функциональности систем. На бумаге многие слабые игроки с фичами вроде «лингвистического анализа» выглядят сильнее лидеров, а на деле… Поверьте личному опыту.
Согласен.
Только по таблицам (даже если они будут содержать информацию о всех DLP-системах) трудно подобрать продукт. Если стоит задача не просто потратить деньги, а подобрать хороший продукт (подходящий под поставленные задачи), то желательно проведение пилота.
Ладно бы это была сравнительная таблица троянских программ. Не нарушают ли все эти комплексы права человека и конституцию? 23.2 «Каждый имеет право на тайну переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений. Ограничение этого права допускается только на основании судебного решения.»
Это относится к частной жизни, и к должностным обязанностям, которые регулируются трудовым законодательством, это никак не относится. Так же, в трудовом договоре «оговорено иное», а следовательно, требоать соблюдения этих прав уже нельзя. И это логично.
Нет, если договор противоречит конституции, то он признаётся недействительным, как минимум по этим пунктам. У сотрудников есть обед, во время которого они становятся обычными гражданами, тупящими на хабре. И тут то волшебная система и прочитает тайные инбоксы!
А кто заставляет сотрудников во время обеда пользоваться служебным компьютером? Доставай свой планшет и вперед — никто ничего не прочтет. С тем же успехом можно обвинить работодателя не предоставляющего сотрудникам доступ в интернет на рабочем месте в нарушении п. 4 ст. 29 «Каждый имеет право свободно искать, получать, передавать, производить и распространять информацию любым законным способом. ...»
А вот если сотрудников не предупреждают о такой слежке, вот тогда конституция нарушается…
Нет не нарушает. Дома сотрудник в праве делать всё что угодно. Писать хоть террористам. А на приёме на работу он подписал NDA.
Я понимаю логическую сторону, но с моральной тут хреново. Хотя глядя как наш народ сидит во вконтактике. Но тут моральнее блокировать доступ, а не читать личное.
Хм, а я даже не знал о подобных программных комплексах…
Я на 100% уверен в невозможности защиты данных от похищения в условиях сколь-либо полномочных сотрудников. Можно защититься от кассира, от сотрудника склада, от офис-менеджера… Но как вы собираетесь защищаться от разработчика, решившего унести себе локальную копию гита? Или админа, который решил, что база клиентов — ценная прибавка к выходному пособию, которое ему не заплатили?
Слежка за высокопоставленными сотрудниками решит эту проблему, хотя и не на 100%. Зато о якобы неконституционности DLP можно будет уже не беспокоиться, проблемы посерьезнее возникнут…
Не «высокопоставленными», а просто имеющими сложноформализуемые обязанности.

Кроме того, как слежка позволит отличить процесс слития бэкапа от рутинных операций? И не надо мне про всемогущие DLP, потому что простейшая автоматизация позволяет полностью скрыть все свои действия. Например, достаточно одного забытого ssh-коннекта с разрешённым пробросом портов, чтобы сделать «обратный коннект» и стащить всё, что нужно в те моменты, когда этого никто не ожидает.

Я уже молчу про более тонкие методы, вроде веб-консолей, стеганографии и т.д.
Как мне кажется, бэкап сливается в определённое место, а не куда попало. И бэкап, вроде, как и есть рутинная операция, поэтому будет трудно отличить, согласен.

Как это «забытого»? И при наличии на внутреннем хосте, куда идёт коннект (или откуда) DLP, как раз, позволит предотвратить утечку.

Дело в том, что у системы DLP нет моментов, когда она ничего не ожидает — всё время на чеку ))
Во многом задаче DLP-систем контролировать непреднамеренные утечки информации (статистика утечек говорит о большом проценте таких событий). Хорошо настроенная система должна с этим справляться.

А вот если специально захотеть унести конфиденциальную информацию (при наличии определенных умений и подготовки) можно практически всегда. DLP-cистемы не всемогущны, хотя наверное разработчики и стремятся к этому )))
Полностью согласен. Система защищающаяся от настраивающего ее админа это вообще оксюморон. А разработчик может просто распечатать код, снять на камеру своего телефона, передать пингами наконец…
Можно скачать с нета кучу фоток а затем написать программу которая по простому алгоритму будет вклеивать в них нужные данные, и затем выкладывать где-то. Потом дома по памяти восстановить алгоритм и вуаля.
Можно поднять свой веб-сервер, который будет логгировать все get запросы, а этими самыми запросами будут являться количество пробелов между header: value значениями.
Можно распечатать код, затем собирать самолетики и пускать их в окно — чтобы там твои друзья ловили.
Уф, если бы я там работал я бы все время только и делал что изобретал бы способа как обойти эту защиты, и совсем не смог бы сосредоточиться на работе.
Вы забываете что это не игра в которой можно пытаться до тех пор пока не получится, это жизнь. А в жизни у вас будет одна попытка. Ошибетесь — увольнение с волчьим билетом (суд, сибирь).
Против вас играет то, что вы скорее всего не знаете как настроена система, а возможно не знаете даже о ее наличии. Все действия могут подробно протоколироваться и анализироваться постфактум.

Может быть DLP системы и дырявы донельзя, но ставлю миллион против рубля, что на них вагон и малелькая тележка таких умников погорело.
На 100% защититься нельзя. Риск никогда не бывает нулевым. Всегда есть угроза. Задача DLP — по максимуму минимизировать риск утечки информации в савокупности с существующей политикой ИБ на предприятии и сопряженной с необходимыми организационно-распорядительными документами. От самой DLP толку нет. А Вот если она органично вписана в формальные рамки административного характера — тогда можно говорить о какой-то деле безопасности и защищенности.

Сам занимался, и до сих пор занимаюсь, обеспечением ИБ. Нам подошла связка МакКафи DLP + WebSence. Естественно все это сопровождалось переделом дтрудовых договоров, должностных инструкций и штатных расписаний. Очень много административных дел.

А Автору ыя советую сначала создать модель угроз, проанализировать существующие ОРД (провести аудит ИБ) а уже потом выбирать ПО для защиты.
UFO just landed and posted this here
Вспоминается история расказанная одним знакомым. Он работал в среднеразмерной компании писавшей софт по зарубежным заказам. В этой компании практиковали использование DLP, о чем программистов заранее предупреждали и давали подписывать нужные бумажки.
Однажды нашелся умник который непременно хотел умыкнуть исходники, он нашел дыру, написал специальную программу и все-же добился желаемого. Не знаю на чем он прокололся, но когда он на следующий день пришел на работу, его компьютер был опечатан и его ждали безопасники вместе со следователем из отдела К. Не знаю какие там были перспективы по уголовному преследованию, но пообщавшись за закрытыми дверями договорились на следующих условиях: чел немедленно увольняется по собственному желанию, они вместе с безопасниками едут к нему домой, устраивают там обыск и уничтожают ВСЕ найденные носители информации, и чел остается должен 300 тысяч рублей компенсации безопасникам и кашнику за их работу по его поимке. А за это его не будут садить.
UFO just landed and posted this here
Не факт что удалось бы посадить, а так чел порядком запуган, и если где-нибудь остались копии, врядли рискнет ими воспользоваться. Другие сотрудники тоже запуганы инцидентом и строгостью принятых мер, и повторять его подвиг не рискнут. По-моему отличный результат.
Хм, то есть безопасники сами уничтожили все улики, а потом занялись вымогательством, за которое их фактически могли бы посадить?
Такова жизнь, в ней многое решается неофициально. Я даже не уверен что мент был настоящий, а не безопасник с фальшивой ксивой.
Я не к тому, что решилось неофициально, хотя то, что безопасники взяли 300к рублей себе уже должно насторожить руководство компании, так как их фактически подкупили, причем весьма недорого.
Я сказал это к тому, что против того человека улик то теперь нет, а факт вымогательства есть и при определенном стечении обстоятельств безопасники могли получить свою компенсацию мечеными купюрами.
Они вроде как получили компенсацию машиной, у чела не было денег.
Ну сделки с машиной отследить еще проще.
Сомневаюсь. У них в СБ все бывшие менты, а начальник бывший КГБшник, соответственно связи имеются.
Связи, связи… Что лишний раз доказывает, что менты и КГБшники в этой стране приравниваются к бандитам )
Ой жесть какая! Расскажите название компании, чтобы все знали, куда НЕ ИДТИ работать НИКОГДА и НИКОМУ. Если такие уроды руководят программистами, это же человеческого отношения к себе не жди!
Я очень хочу посмотреть на мандатные метки и прочий Крутой Ынтырпрайз при указании signle в опциях груба. Низзя? А массивы и FS как чинить?

Каждый раз, когда мне говорят слово с "-ся", я понимаю, что разговор ни о чём. Действия не «журналируются», а их журналирует приложение. А дальше вопрос техники и желания.

Невозможно защитить систему от создателей и мейнтейнеров. точка. остальное — это разговоры в пользу антивирусов и прочих видов компьютерного шаманства.
Ну ясно же, что всё это годится только для тех, кто своим сотрудникам доступ к компам обрезает. Там рута не будет, не то что сингл. С программистами такое могут делать вообще только уроды полнейшие.
Это DLP — как мне кажется — просто средства для развода умниками лохов^W^W технически не очень компетентных людей технически компетентными на деньги c целью создания у тех мнимого ощущения безопасности. Достаточно посмотреть на нарисованные от балды цены к примеру. Или на их ролик, где их продукт храбро отлавливает отправляемые плейнтекстом сотрудниками резюме (какое отношение это имеет к безопасности, правда, не очень понятно).

Мне интересно, как эти DLP отреагируют, если, к примеру, открыть защищенный документ вордом, сделать copy-paste в новый, сохранить с паролем (в новых версиях офиса он надежный), заархивировать раром и снова вставить в ворд, а потом уже переслать/загрузить на rghost/скинуть в скайп с названием «образец договора для клиента.doc»/ etc. Такую вещь можно отследить только ручным анализом логов и ручным слежением через программы записи экрана.

Весь из «поиск по фразам» и «поиск по регулярным выражениям» окажется бесполезен. Он сработает только против совсем глупых попыток что-нибудь упереть.

Или возьмите пример вирусов stuxnet (использовался на иранском атомном заводе) и duqu (использвался по всему ближнему востоку). В обоих случаях заражение начиналось с получения письма с MS Office документом, эксплуатирующего zeroday уязвимость Windows. И я уверен, что ни антивирусы, ни тем более эти DLP от него не спасут.

Кстати, я сейчас подумал, считавшийся традиционно средством обеспечения безопасности firewall тоже им быть не может, так как любой уважающий себя продукт для кражи информации будет прикидываться http/https клиентом, а эти порты всегда открыты (не оставишь же работников без инета :) ).
сделать copy-paste в новый

Буфер обмена большинство DLP-систем контролировать умеют хорошо;

сохранить с паролем (в новых версиях офиса он надежный), заархивировать раром и снова вставить в ворд

Создать политику на запрет перемещения зашифрованных файлов по каналам и на внешние устройства, разрешить только те, что подлежат анализу.

скайп с названием «образец договора для клиента.doc»

DLP определяют файл не по расширению, а по сигнатурам. Причем многие системы позволяют самостоятельно добавлять неизвестные ей типы файлов.

В обоих случаях заражение начиналось с получения письма с MS Office документом, эксплуатирующего zeroday уязвимость Windows

А зачем DLP-системе от этого спасать. Пусть этим занимаются антивирусы и системы контроль траффика где-нибудь на шлюзе.

так как любой уважающий себя продукт для кражи информации будет прикидываться http/https клиентом, а эти порты всегда открыты (не оставишь же работников без инета :

Так разрешите посещение только «белого» списка сайта.
> Буфер обмена большинство DLP-систем контролировать умеют хорошо;

Так может сотрудник для рабочих целей данные копирует. Вы каждый случай фиксировать и просматривать что ли будете? Или заставите руками расчетные счета переписывать?

Ха, а хитрее? Взять Word, открыть им защищенный документ как простой текст (так что будет выглядеть как белиберда) и сохранить снова? Разбавить например текстом Библии. А потом переслать без шифрования?
>Так может сотрудник для рабочих целей данные копирует. Вы каждый случай фиксировать и >просматривать что ли будете? Или заставите руками расчетные счета переписывать?

Например, можно просто заблокировать использование буфера обмена для защищаемой информации. Или просматривать все инциденты. Случай очень частный, вариантом решения может быть несколько. Например, пусть пользователи открывают документ и редактируют.

>>Ха, а хитрее? Взять Word, открыть им защищенный документ как простой текст (так что будет >>выглядеть как белиберда)

Какой файл Вы предлагаете открыть в Word: «защищенный» (защищенный паролем) или «защищаемый» (тот который защищает DLP-система)?
> заблокировать использование буфера обмена для защищаемой информации

Это и называется «руками копировать расчётные счета» :)
UFO just landed and posted this here
Мое мнение — для небольших компаний подходит продукт McAfee DLP Endpoint. Дешево (сам продукт 400-500 тыс.р. на 250 мест), просто, возможности довольно обширные, да и контроль устройств включен. Для начала достаточно, в дальнейшем возможно расширение сетевой частью.
Zgate еще и звук в Skype записывает, хотя понять о чем говорили сам конечно не может) Ну и установка агентов может быть скрытой через групповые политики.
Второй год пользуем Falcongaze SecureTower. Немало голов уволено за это время благодаря этой софтине. Многие уволены за занятие всякой фигнёй в рабочее время.
Falcongaze SecureTower — похож на гибрид традиционного DLP и решения слежки за пользователями по типу Spector360 или LanAgent :) Обычно DLP не контролирует производительность труда, поэтому выглядит данный продукт как-то раздуто с одной стороны и не очень удобно с другой. Хотя, опять же это дело привычки:)
UFO just landed and posted this here
Что именно из всего этого? Не могу угадать :)
UFO just landed and posted this here
Прикольная схема, не знал о такой. И что, реально существуют такие девайсы?
По сути можно включить запись скриншотов с экрана, натравить на них распознавалку текста и настроить правила безопасности на распознанный текст.
К тому же, если отправка шла по web или ftp — инфа будет перехвачена. Но тут уж от формата инфы в девайсе зависит, сработают ли автоматические правила. Если там видео — то врядле. Но факт отправки будет зафиксирован и само видео можно будет просмотреть.
UFO just landed and posted this here
Дык а чем это отличается если человек принесёт фотоаппарат или видеокамеру? Или тупо на мобилу всё запишет и отправит по 3G сразу. Нафига ещё и вышеописанные девайсы покупать?

Но бороться конечно можно.
На проходной к рабочему месту отбирать все мобильники и какие-либо левые девайсы. Ещё лучше — полный тщательный обыск каждого работника при приходе и уходе. Как в тюрьме строго режима. Что бы даже в заднем проходе иди дырке зуба ничего нельзя пронести. И поставить на всякий случай глушилки на мобильники. Интернет запретить, разрешать только по запросу на какое-то время на определённые ресурсы и под жёстким контролем надзирателя.
UFO just landed and posted this here
Также считаю, что стоит отметить свободный проект OpenDLP. Проект быстро развивается, не сложен в освоении и с поддержкой сообщества.
Уважаемые специалисты по ДЛП-системам, скажите, пожалуйста, если я свой рабочий комп с лайф-сд убунты загружу с выдернутым езернет-шнурком и после этого с локального диска на флешку всё что нужно скину--что ваша система сможет мне противопоставить? там на уровне БИОСа защита?
Хм — просто у компов нет приводов. А USB-порты, равно как и системный блок — опечатаны. И да — на БИОСе таки стоит пароль.
В нашей компании тоже сейчас стоит вопрос внедрять/не внедрять DLP. Меня сильно смущает, что можно сорвать пломбу с ПК, сбросить пароль с BIOS, загрузиться с LiveCD, Flash и используя доменные учетные данные слить нужные файлы. Как можно защититься от такого варианта?
Видеонаблюдение? Спецтехника реагирующая на вскрытие сисблока и отправляющая тревожный сигнал? Хотя — самый простой вариант — тонкий клиент имхо. И никаких носителей.
Используем очень тяжелый софт Autodesk (3ds max, AutoCAD, Revit), который на терминалах не работает и виртуализируется с большими трудностями и затратами. Можете подсказать примеры спец. техники, реагирующие на вскрытие?
Да — такой сотф по терминалу не пойдет.По поводу вскрытия — idmatic.ru/soft-antiinsider/132-zaschitaotinsaiderov/189-zaschitaotinsaiderov вот что нашел Гугл. Честно говоря я аналогичные устройства последний раз щупал лет 8 назад — и делала их какая то московская контора — но название счас не упомню — толи БИТ толи как то так. ВЕрней не делали — а были офф. дистрибьютором вещиц типа Аккорд-М, Соболь и тд.
UFO just landed and posted this here
А плату соболя можно выдернуть из компьютера и загрузиться без нее?
UFO just landed and posted this here
Sign up to leave a comment.

Articles