Pull to refresh

Comments 48

ИМХО, стоило назвать статью «как мы триальные версии некоторых DLP решений тестировали», так как ни одного лидера рынка в обзоре нет. Причину вы указали, но все же

Мы бы были рады протестировать всех. Видимо вендорам есть, что прятать раз достать версии на тестирование это целая история.

Эм… при выборе решения вы руководствовались наличием триала на сайте. Эммм… весь ваш отдел за такое уволить нужно, без обид. Это подход в стиле потыкаемся и неразобравшись примем решение.

Эм… при выборе решения вы руководствовались наличием триала на сайте. Эммм… весь ваш отдел за такое уволить нужно, без обид. Это подход в стиле потыкаемся и неразобравшись примем решение.

Согласен. Если вендоры считают приемлемым тратить время своих инженеров на т.н. «пилот», вместо того, чтобы дать триальный ключ (кстати, я не уверен, что Вы спрашивали, в статье об этом ни слова), пусть приезжают и делают, выделить огороженную виртуалку не проблема. А так у Вас выпали несколько потенциально интересных систем.

PS: А скилл как послать на#уй сказать нет продажнику по нынешним временам должен быть прокачан у любого айтишника.
вы работаете в DLP вендоре?
вы работаете в DLP вендоре?

Нет, мы «конечники», в терминах менеджеров по продажам.
а кто у нас лидер рынка?
DeviceLock был на хабре. Из интересного — они якобы изобрели хеш, который позволяет находить пароли в копируемом тексте.

Алгоритм крутой и секретный (см. тут).

А другой статье (буквально в декабре) я их просил раскрыть подробности алгоритма, и мне даже пообещали. Однако статья ушла в черновики, а компания ушла с хабра.

Думаю, этих данных уже достаточно, чтобы оценить данное поделие.

Вы бы не позорились со своими комментариями, любой стойкий криптографический хэш с солью обеспечит то, о чем вы тут пишите.

Вау, опишите формулу, пожалуйста?

Дано: текст. Например, это роман Война и Мир.
Вопрос: какой хеш с солью для пароля вы выберете, чтобы проверить, содержится ли пароль в романе?

Еще раз: вам надо не проверить просто пароль на корректность. Вам надо найти, есть ли в огромной строке подстрока с шифром.

Уважаемый Hard_Stas,


  • Ваш документ — это рекламная статья очередного DLP решения. Там можно Schedule a Demo, однако нет формул.
  • Если Вам не сложно, не могли бы вы перестать говорить надменно "Вы бы не позорились со своими комментариями" и пытаться поучать нас здесь?
  • Еще раз повторю вопрос: напишите, пожалуйста, формулу (или идею алгоритма), чтобы с одной стороны хранить строго только криптостойкий хеш пароля (а не сам пароль), а с другой стороны — чтобы найти вхождение пароля в документ.

Всё дело в том, что требуется решить по сути две задачи:


  • Криптостойкое хранение пароля подразумевает невозможность взлома с помощью подготовленных радужных таблиц или списка готовых паролей. То есть пароли должны храниться так, чтобы их нельзя было взломать словарем.
  • Система должна уметь быстро проверять наличие пароля в тексте. Другими словами: она должна уведомлять кого-то о том, что в большом файле находится пароль. Или перефразируя словами: система должна уметь восстановить пароль (т.е. доказать его вхождение) в любом тексте, в том числе и в списке готовых паролей из предыдущего пункта.

Однако Вы, наверное, или ответите "Вы бы не позорились со своими комментариями" или пришлете еще один материал от маркетологов с заявлениями "всё хорошо", верно? И чтобы помочь Вам, я опишу идею атаки.


Сначала чуть более технически, потом более в стиле литературного рассказа (который может быть более понятен менеджменту).


Технически:
Есть есть система, которая может найти вхождение элемента в множество, то за логарифм от числа элементов в множестве можно найти этот самый элемент, пользуясь дихотомией. Или другими словами: злоумышленник может легко взломать пароль в случае, если пароль был в списке частовстречающихся (а их уже можно найти в интернете).
Кстати, если хеш пароля был соленый SHA512, то для проверки нахождения его в документе необходимо сделать O(N*M) хеширований, где N — максимальная длина пароля, а M — число символов в документе.


Литературно:
Начаться всё может с того, что бухгалтер Валентина упустила ноутбук с удаленным доступом в кафе. Точнее, какой-то вор украл его. Как честная гражданка, она сначала пошла в полицию написать заявление на розык. Там она пробыла до вечера, попутно надеясь, что не надо будет сообщать на работу, так как начальство может вычесть стоимость ноутбука из заработной платы. А на следующий день она взяла больничный, ведомая тем же страхом финансовой кары.
Параллельно с этим вор передал аппарат подозрительному человеку. Последний (а точнее — его скрипт) начал делать странные действия от имени Валентины (ноутбук, к сожалению, не успел разлогинить её). Сначала был отправлен email с файлом с 1 млрд паролей. Естесственно, в списке был один, который от сервера с Главной Базой Данных, а потому электронное письмо было заблокировано. Тогда злоумышленник (а точнее — его скрипт) отправил только первую половину из списка паролей. Система пропустила email, значит там нет пароля, который был бы важен Компании. То есть пароль во второй половине, которая и была отправлена следующей. Злоумышленник отправлял и отправлял уменьшающийся список, пока система не заблокировала email в парольной фразой. Таким образом, благодаря стараниями Hard_Stas, организация скомпрометировала действительно важный пароль от базы.

А Вы статью-то читали? Последний абзац второй части:


However, regardless of the copy-prevention technology
chosen, users must ultimately have access to the unencrypted data
somehow—otherwise they cannot use it—and as discussed in Section
1, it seems to be nearly a natural law that digital content is
copied.

Я говорю Вам то же самое: Вы не можете сделать криптостойкий хеш на сервере, который будет находить подстроку в строке.


Я же Вам выше расписал алгоритм взлома, даже постарался расписать его без технических деталей.


А так мы и так знаем, что с помощью алгоритма Рабина Карпа можно довольно быстро найти подстроку в строке. Я для Device Lock его же и привел как пример хеширования. И оно не является криптостойким.


Кстати, Вы выше сказали "любой стойкий криптографический хэш с солью". Вы же видете по Вашей же статье, что вы не правы, верно?

Автор видимо ожидал reatime работу по анализу, да еще и на низкопроизводительном железе.
Анализ DLP контента (особенно в сканах документов) требует больших мощностей оборудования, и то скорее всего надо будет все это откладывать в некую песочницу с очередью заданий на анализ и как следствие серьезная задержка на отправку. Представьте, что это происходит при работе пользователя в с веб-ресурсом. Вывод такой — чудес не бывает. Операторской работы никто не отменял. И правила составлять надо, и отсматривать «улов». При попытке ставить такую систему «в разрыв» бизнес сразу по голове настучит.

Учитывая, что большинство DLP для работы со сканами юзают сторонний OCR, вы видимо про большие мощности прочитали в рекламе DLP.
Безопасность — это процесс. Не думаю, что принцип «настроил и забыл» будет эффективен.

Согласен с Вами. Хорошо, если этот процесс по максимому автоматизирован.

Добрый день! Можно ли узнать как тестировался FalconGaze на момент перехвата содержимого? В 2016 году провели похожее тестирование 6 DLP (большая часть вендоров присутствует в статье). И конкретно у FalconeGaze была возможно блокировки сообщений, (правила с регулярными выражениями), как минимум в социальных сетях.

Тестировался FalconGaze так же, как и остальные, методика тестирования одна была.


На самом деле мы и в статье указали, что немного есть — "о блокировке речь практически не идёт (кроме HTTP, SMTP и MAPI)". Но сделано это весьма своеобразно, поэтому в качестве выводов приняли, что это невозможно назвать нормальной блокировкой.


Ну есть нечто типа конструктора блокировок, там можно задать параметры для блокировки SMTP, MAPI и HTTP — для последнего это свойства веб-поля, дата-день, ip/порт, текст. Но регулярные выражения? Ну нет. Этим тут не пахнет совсем. Условно, с натяжкой — по метаданным.


Социальные сети в плане блокировок можно рассматривать только через создание наворотов в этом конструкторе в рамках HTTP. Но что там блокировать по тексту? Фамилии сотрудников или начальства выявлять и блочить? Тут как раз по меньшей мере регулярные выражения и нужны, хоть персданные отловить.


При этом раздел Социальные сети — для настройки параметров перехвата на теневые копии — в этой системе есть (аж 4 штуки).


А для блокировки — нет такого же раздела. Увы.


http://saveimg.ru/pictures/19-02-19/8cd43677b0bd3fdd897a88e7c3300ee9.png

В регулярках использовали шаблоны и номера и карт, ПДн и т.д. При этом указывали правила для протокола. Тестили на vk ). Там все работало.

Это все http-протокол получается.


А мессенджеры как?

HTTPS. В месседжерах не тестировали, так как, по политикам в компании все было заблокировано.
( to All, disclaimer: возникла одна «теория», но есть шанс, что я пессимист,
поэтому будет серия вопросов с очевидными, для практиков, ответами)
Проверялись: отправка на... MAPI;
Т.е. MS Exchange ( или аналог) у вас есть, но при этом актуален вопрос:
интернет-каналов... запретить SMTP для всех пользователей — или разрешить
можно ли это понимать так: на сегодняшний день всем/большинству разрешены исходящие на port 25 на любой IP в Интернете?
McAfee и DeviceLock DLP. В остальных случаях просто не было смысла
Появились ли в ходе инсталляции ПО на контроллерах домена, скажем так, дополнительные файлы?
Политики задаются не по пользователям, а по машинам — это неприемлемо.
У вас не развёрнуто ПО класса CheckPoint или MS TMG/ISA Server, способное различать пользователей терминальных серверов?

( to ALL: про «своеобразный ход» MS со своим ключевым продуктом я в курсе,
здесь акцент на «ПО класса», т.е. функциональные возможности)
Но ведь сотрудник может сфотографировать любой документ своим личным смартфоном. Как у вас решается эта проблема?

Пока никак. Но есть опыт коллег, установивших камеры видеонаблюдения. По слухам, в некоторых организациях (вроде в Лукойл) пронос телефонов и фотоаппаратов запрещен.

До Хабра работал в компании, где нельзя было иметь телефоны с камерой — приятного в этом было очень мало )(

Я бы из таких контор бежал бы сверкая пятками...

Тут есть такие варианты:
1) Отбирать у всех сотрудников телефон на входе. Разрешить только древние аппараты без камер.
2) Использовать одноразовые наклейки-пломбы для камер. Каждая такая наклейка имеет номер, который вахтер записывает в журнал и после рабочего дня сверяет с телефоном. Вроде как наклейку невозможно отклеить не повредив при этом.

Ну и не забываем про административные меры с подписыванием NDA, AUP и регулярными тренингами на которых рассказывается как плохо такая попытка может закончиться.
2) Сотрудник сдаёт для наклейки телефон, а второй проносит в сумке, не показывая.

Защита от фотографирования монитора это только грамотная внутренняя нормативная документация и одна–две показательные порки. Технических средств защиты от такого канала утечки ещё не придумали и они даже не приходят в голову. Если человек захочет — он вынесет информацию. Так что нужно убедить людей, что им это не нужно, полностью согласен.

Ой. С ценами все тоже не просто. Их скрывают не хуже пробных версий ПО.

С ценами все тоже не просто. Их скрывают не хуже пробных версий ПО.

Возможно Вы меня сейчас опровергните, но мне показалось, что Вы сознательно или нет избегаете самой важной работы информационного безопасника — РАЗГОВАРИВАТЬ С ЛЮДЬМИ. Разве сложно снять трубку и сказать «дайте нам триал и сделайте КП на 300 АРМ», а потом «пройдите прочь, Вы нам не подходите»?

А как у Вас поставлена разъяснительная работа с персоналом? Вызываете нарушителей в переговорку, чтобы объяснить «я Вас записал в блокнот, но пока карандашом»?
дайте нам триал


Попробуйте ;) Сразу предложат выехать и показать «из своих рук». Или пилотный стенд силами вендора. Или еще хуже — пригласят к себе в офис посмотреть как у них все работает.

Очень мало кто дает триал в руки.
дайте нам триал
Попробуйте ;) Сразу предложат выехать и показать «из своих рук». Или пилотный стенд силами вендора. Или еще хуже — пригласят к себе в офис посмотреть как у них все работает.

Станислав, мы с Вами сейчас примерно на одном этапе, только задачи немного разные поставлены, мне надо следить и передавать доказательную базу нарушителей отделу СБ.
И да, я ездил в офис вендоров, они ко мне ездили, я мотался в Екатеринбург для участия в BIS Summit 2019 чтобы поговорить с эксплуатантами, посетить мастер-крассы. С работы отпрашивался.
А сейчас жду старта пилотного проекта, финалистов будем трогать руками.
Мы на моменте выбора тестировали по живому несколько производителей ПО, тестировали всех в одинаковых условиях, на заданных параметрах виртуального сервера (минимальных). Все производители предоставили дистрибы\техподдержку\производился отлов косяков и не стыковок с используемым у нас ПО.
После этого продажники DLP-решений еще пару лет будут телефон обрывать.
И подскажите, кто готов провести полноценный пилот на 300 АРМ бесплатно?
После этого продажники DLP-решений еще пару лет будут телефон обрывать.

Это не самое сильное давление, которое приходится выдерживать по ходу работы. К тому же, когда продажники узнают, что был внедрён не их продукт, по ряду причин, они осознают тщетность бытия и оставляют в покое.
И подскажите, кто готов провести полноценный пилот на 300 АРМ бесплатно?

Прямые ссылки правилами НЛО запрещены, если Вы хотите фамилий и Ваш интерес не праздный, велкам в личку, дам контакты.
У вас не все картинки не работают в тексте, поправьте.
Upd: А, нет, через иностранный прокси показывает.

Уважаемый Hard_Stas, Вы показываете скриншот с опцией перехвата звонков в скайпе.
А затем, в последней таблице, пишете, что в securetower "нет записи звонков в мессенджерах".
Это как понимать?


Ваш скриншот с опцией перехвата звонков в скайпе

image

Ой! Спасибо Вам за зоркость. Наш косяк, приносим извинения. Поправим последнюю таблицу.

В первой (большой) таблице два раздела со звонками в мессенджерах. Это блокировка и теневое копирование. Если посмотреть теневое копирование то для скайпа в теневом копировании для Secure tower стоит «да». А вот для второй таблицы мы ошиблись при верстке :(

Мы используем SearchInform, это монструозный продукт, в котором без недешёвой техподдержки не разобраться. Обучение проводят но сертификат не выдают. Сделан вывод, что продукт подразумевает обязательную подписку на техподдержку.
Серверная часть прожорлива на ресурсы, особенно на дисковое пространство.
В нашем случае, несколько раз возникали сбои которые техподдержка решала редактированием вручную какого то файла внутри папок продукта, через интерфейс программы видимо проблема не решалась :(
Было бы интересно узнать цены. Все спрашивают почему у нас в сравнении нет цен. А мы их так и не добыли в процессе выбора.
Было бы интересно узнать цены. Все спрашивают почему у нас в сравнении нет цен. А мы их так и не добыли в процессе выбора.

Получил КП по звонку, с ценами и печатью. Проблемы не увидел.
Формирование цены очень загадочное :)
+\- лям
К сожалению не нашел ни в статье ни в комментариях ответа на вопрос: а как-же HTTPS, SFTP и прочие протоколы которые поддерживают шифрование? Т.е. я же могу отправить доку или фотку через некий абстрактный сервис и по идее не получится это сообщение заблокировать т.к. точно не известно что в нем.
Подмена сертификата. Либо на уровне прокси, либо на агенте. То бишь можно и на уровне сети ковырять, и на уровне агента. Разница в количестве подконтрольных каналов. На уровне сети получится HTTP(s), FTP(s), некоторые мессенджеры (а-ля аська, джаббер), почту (веб через https, корпоративную через интеграцию с почтовиками). На агенте можно расковырять практически что угодно.
Only those users with full accounts are able to leave comments. Log in, please.

Articles