Комментарии 13
1) распечатываем документ в pdf чтобы неиспользуемые символы шрифта были выброшены -> кодировка уникальная для документа -> без распознавания изображений вся технология бесполезна
2) делаем "принт скрин" из окна с кофиденциальной информацией
3) в полученном рисунке дополнительно производим трансформации -> результат а-ля капча. Распознавайте.
4) шифруем документ. А чтобы сбить энтропию подмешиваем 1% зашифрованных данных к 99% мусорных, в документы не представляющие ценности/открытые
5) пункт 2) для современных реалий. Фоткаем документ с эрана на смартфон.
ЗЫ: косинус угла от хрени, построенной на эвристиках (т.е. работающей не благодаря алгоритму а только лишь расставленным весам). Серьезно ???
я вообше не стараясь, за минуту, придумал 5 способов обойти ваше изобретение. Думаете атакующие так не сумеют, и будут совсем тупыми? или на что рассчет ?
2). Лингвистический анализ является важной технологией анализа, но одной из многих, применяемых в DLP вообще и в InfoWatch Traffic Monitor в частности.
3). Все 5 придуманных Вами способов не имеют отношения к технологиям лингвистического анализа. К тому же они давно знакомы любому мало-мальски грамотному безопаснику и при правильном применении DLP-системы ни один из этих способов не сработает.
4). И таки да — подавляющее большинство «атакующих» будут тупыми совсем или почти совсем. И с каждым годом рекорды тупости обновляются, ибо жертвы ЕГЭ отжигают по полной. А для очень небольшого количества умных (или считающих себя таковыми) существуют свои способы противодействия и выявления.
они давно знакомы любому мало-мальски грамотному безопаснику и при правильном применении DLP-системы ни один из этих способов не сработает.
оч.интересно. Как длп система остановит фото на мобильный
И опять же не панацея, ибо есть много нюансов.
Нет никаких чудес, совсем.
Задачи DLP на >80% сводятся к предотвращению случайных утечек, по невнимательности, халатности и т.п. Соответственно, если кто-то "преодолевает" DLP, то это уже умышленное преступление, и сам факт такой постановки вопроса останавливает >80% потенциальных "хакеров".
Там где действительно нужна защита всегда применяют административно-технические меры:
- тупо запрещают приносить и пользоваться "девайсами с камерами" и т.п.
- на смартфоны ставится агент, который либо запрещает пользоваться камерой на территории предприятия, либо отправляет фото на анализ в DLP (распознавание текстов, печатей и т.п. у IW было еще 10 лет назад).
- устанавливаются моноблоки с камерой, через которую машина следит за наличием в поле зрения чего-либо похожего на девайс с камерой (видел такое в PoC, но не в production).
А тут совсем смешные случаи приводятся. Даже не знаю, на кого рассчитаные. Правильная целенаправленная атака включает в себя сбор инфы. И обойдёт подобную «защиту» тривиально.
- Описанный вами кейс с "самописной защитой" соответствует штатному внедрению SIEM+DPL, т.е. SIEM плюс DLP в качестве дополнительного источника информации. Такая пара ловит гораздо больше и быстрее, но важно её правильно настроить и использовать (см. "пакеты экспертизы" от ptsecurity).
- DLP (как и SIEM) являются просто инструментами и не могут заметить службу безопасности и/или ФСБ. Но там где действительно требуется безопасность, всё эти инструменты применяются обязательно, вплоть до регулярного использования полиграфа.
- "В среднем по больнице" DLP (и SEIM) существенно уменьшают риски утечек/взломов, и именно в этой парадигме оценки рисков мыслят "безопасники" когда принимают решение о внедрении того или иного инструмента, включая стоимость и привносимые ограничения.
Про агента. Если это не ваш смартфон (выданный вами и гаратировано имеющий все последние патчи безопасности) — забудьте. Ваш агент уже повержен. Кстати, ещё бывают смартфоны с камерами, но не андроид/iOS.
Про «было у IW 10 лет назад» — гораздо менее 10 лет назад у IW были прекраснейшие «фичи». Например, позволяющие непривилегированному юзеру по сети снести любой инстанс монитора. Или установить туда свой софт. Через кривую реализацию сетевого протокола.
чего-либо похожего на девайс с камерой
Растопыриваем пальцы и фоткаем через ладонь?
Суём телефон во что-нибудь? (мягкую игрушку, газету, и т.д.)
Фоткаем вне зоны видимости камеры? (очень близко к монитору, под большим углом, и т.д.)
Это задачи вчерашнего дня. Которые, правда, никто не отменял. DLP-системы уже давно выявляют или помогают выявлять и ухищренные утечки, и признаки корпоративного мошенничества, и проблемы кадровой безопасности, и прочая, и прочая, и прочая. Фактически, DLP-системы уже давно стали системами контроля компьютерных коммуникаций, а DLP-задачи только часть их возможностей.
Ну и не забываем, что, несмотря на расшифровку аббревиатуры, у DLP есть функции не только предотвращать утечки, но и помогать расследованию уже произошедших инцидентов. Тут можно и историю злодейчика проследить, и выявить его соучастников.
Три кита лингвистического анализа, без которых невозможна работа InfoWatch Traffic Monitor