ЦБ РФ в 2021 году методичку выпускал (16-МР), где рассказывал, что по его мнению есть признаки "сомнительности" (см. документ с конца 3 стр.). Пару примеров оттуда: - необычно большое количество контрагентов - физических лиц (плательщиков и (или) получателей), например, более 10 в день, более 50 в месяц; - значительные объемы операций по списанию и (или) зачислению безналичных денежных средств (увеличению и (или) уменьшению остатка электронных денежных средств), совершаемых между физическими лицами, например, более 100 тысяч рублей в день, более 1 миллиона рублей в месяц;
Зоны ответственности инженера и аналитика могут пересекаться
Скажу больше, люди должны хотя бы в общих чертах знать, что делает их коллега. Например, создание снимков экранов по событию (запуск программы, посещение сайта и т.п.). В первую очередь знать о таком функционале должен аналитик (как он что-либо найдёт, если снимки экрана бубут делаться "тупо" по расписанию раз в 5 минут). Но так как это функционал для агента на конечной точке, то он прилетит в конфиге. А конфиги настраивают инженеры.
Надо ввести кнопку "мне повезёт". По нажатию списывается $20 и случайным образом разблокируется одна из опций (может за $2, а может и за $200), а может "выстрел уходит в молоко". И лицензировать в России по ФЗ-244.
Правильно ли понимаю, что в итоге, если это и будет работать, то будет показывать постфактум отклонение поведения пользователя от ожидаемого? То есть, человек уже всё сделал\не сделал, и только потом система уведомила безопасника.
Если так, то вижу полезность для решения управленческих задач (выгорание, раздолбайство и т.п.), но не вижу перспектив для ИБ-задач (для задач предотвращения утечек).
Если там по уму сделано, то может и защитит. Вообще под капотом скорее всего реализовано что-то на подобие следующего.
При отправке данных на печать, DLP перехватывает их. Если данные в "электронном" виде, то проблем нет и размер шрифта по боку. А вот если на печать отправили "картинку" (например, скан документа), то здесь добавляется OCR, который должен распознать текст и отдать его дальше в DLP на анализ.
И вот мы подходим к главному. Всё описанное выше обеспечивает перехват и анализ. То есть мы узнаем постфактум, что кто-то что-то отправил на печать и вынес. Печаль. А что по предотвращению? Оно возможно, если перечисленные действия выполняются "в разрыв". Либо на каждой конечной точке стоит агент (со встроенным OCR, а то картинки не будут анализироваться), либо придумывается какая-нибудь хитрость, чтобы в принудительном порядке печать шла по маршруту Конечная точка - Сервер DLP - Принтер.
От фото экрана все российские системы защищают одинаково: мониторят данные с веб-камеры нейронкой. И если последняя видит предмет, похожий на камеру, то инициируется какое-то действие (потушить экран, вывести на экран водяные знаки, вывести предупреждение и т.п.) + опционально уведомить безопасника.
Данный ответ порождает кучу "а что если?" и все они оправданы и приводят к тому результату, о котором вы подумаете :)
Если камеры нет - не работает. False Positive будут наверняка.
Трейдер из Citigroup (сделка Fat-Finger) сменил работу что ли?
Эй-эй-эй. Всё уже выбрано, отпрепарировано и сдобрено парой мемов-пасхалок.
Врут. Он на Земле родился. Агент J роды принимал.
Hidden text
Может конкретно вам не хотят звонить. Так-то по телефонным номерам интересные проценты в отчёте.
ЦБ РФ в 2021 году методичку выпускал (16-МР), где рассказывал, что по его мнению есть признаки "сомнительности" (см. документ с конца 3 стр.). Пару примеров оттуда:
- необычно большое количество контрагентов - физических лиц (плательщиков и (или) получателей), например, более 10 в день, более 50 в месяц;
- значительные объемы операций по списанию и (или) зачислению безналичных денежных средств (увеличению и (или) уменьшению остатка электронных денежных средств), совершаемых между физическими лицами, например, более 100 тысяч рублей в день, более 1 миллиона рублей в месяц;
Молодец. Будешь, как великий Нехочуха.
Скажу больше, люди должны хотя бы в общих чертах знать, что делает их коллега. Например, создание снимков экранов по событию (запуск программы, посещение сайта и т.п.). В первую очередь знать о таком функционале должен аналитик (как он что-либо найдёт, если снимки экрана бубут делаться "тупо" по расписанию раз в 5 минут). Но так как это функционал для агента на конечной точке, то он прилетит в конфиге. А конфиги настраивают инженеры.
Это намёк на то, что вся дичь, которая творилась там до сего дня - цветочки?
Потянут только если вместе скинутся дед, бабка, внучка...
Таблеток даме. Срочно!
Без рецепта
это для тех, кто планирует освоить SugarCRM
Надо ввести кнопку "мне повезёт". По нажатию списывается $20 и случайным образом разблокируется одна из опций (может за $2, а может и за $200), а может "выстрел уходит в молоко". И лицензировать в России по ФЗ-244.
Фото напомнили другое: VW (Tiguan), Haval, Kia (optima), Kia (sportage)
Чтобы написать на нём ГосDOOMу.
Правильно ли понимаю, что в итоге, если это и будет работать, то будет показывать постфактум отклонение поведения пользователя от ожидаемого? То есть, человек уже всё сделал\не сделал, и только потом система уведомила безопасника.
Если так, то вижу полезность для решения управленческих задач (выгорание, раздолбайство и т.п.), но не вижу перспектив для ИБ-задач (для задач предотвращения утечек).
- Поздравляем, мы направили ваши $200 на благотворительность.
- А можно мне самому распоряжаться своими деньгами?
- Нет. Поздравляем и точка.
Просто доставка гренки не может стоить 8 долларов, а крутона может.
Проанализировав галерею, программа пришла к выводу, что я предпочитаю счётчики учёта воды и электричества.
Если там по уму сделано, то может и защитит. Вообще под капотом скорее всего реализовано что-то на подобие следующего.
При отправке данных на печать, DLP перехватывает их. Если данные в "электронном" виде, то проблем нет и размер шрифта по боку. А вот если на печать отправили "картинку" (например, скан документа), то здесь добавляется OCR, который должен распознать текст и отдать его дальше в DLP на анализ.
И вот мы подходим к главному. Всё описанное выше обеспечивает перехват и анализ. То есть мы узнаем постфактум, что кто-то что-то отправил на печать и вынес. Печаль. А что по предотвращению? Оно возможно, если перечисленные действия выполняются "в разрыв". Либо на каждой конечной точке стоит агент (со встроенным OCR, а то картинки не будут анализироваться), либо придумывается какая-нибудь хитрость, чтобы в принудительном порядке печать шла по маршруту Конечная точка - Сервер DLP - Принтер.
От фото экрана все российские системы защищают одинаково: мониторят данные с веб-камеры нейронкой. И если последняя видит предмет, похожий на камеру, то инициируется какое-то действие (потушить экран, вывести на экран водяные знаки, вывести предупреждение и т.п.) + опционально уведомить безопасника.
Данный ответ порождает кучу "а что если?" и все они оправданы и приводят к тому результату, о котором вы подумаете :)
Если камеры нет - не работает.
False Positive будут наверняка.