SearchInform_team 5 ноя 2020 в 08:29

Будни ИБ-аутсорсера: Выводы, которые я сделал из работы с заказчиками

6 мин

6.6K

Блог компании SearchInformИнформационная безопасность*Карьера в IT-индустрии

Комментарии 12

NorDOSt 5 ноя 2020 в 13:38

Хороший пост. Только грустно, что ИБ воспринимается как контроль рабочего времени — старый стереотип, теряется суть направления в целом.

SearchInform_team 5 ноя 2020 в 16:10

Контроль времени – наиболее понятная задача для бизнесов, которые раньше с угрозами ИБ не сталкивались. Но мы по своему опыту видим, что таких все меньше, отношение к ИБ и к аутсорсингу ИБ меняется.

B0Z0NHIGGSA 5 ноя 2020 в 17:28

Для «ручного» контроля 5-8 восьми сотрудников требуется один «наблюдатель». Гораздо надежнее работают схемы с выстраиванием бизнес-процессов таким образом, чтобы уровень безопасности утечки данных поддерживался самим процессом.
В качестве теста передавал через предварительно обработанный «секретный файл» (паспорта\номера карт) — не отловила система :)

SearchInform_team 6 ноя 2020 в 16:56

Для «ручного» — может быть. Но мы ведем речь про автоматизированный. Тут опыт совсем другой. Один аналитик контролирует и сто, и тысячу человек без проблем.
А по поводу вашего теста — паспорта, номера карт очень хорошо отлавливает поиск по регулярным выражениям. Интересно, почему не сработал у вас, расскажите подробнее, разберемся.

B0Z0NHIGGSA 6 ноя 2020 в 21:55

В качестве теста я передавал word-файл, зашифрованный кодом Цезаря. Способ, доступный любому пользователю. :)

SearchInform_team 9 ноя 2020 в 15:58

Ни наша, ни другая DLP такую шифровку, а также «пляшущих человечков», стеганографию и другие виды тайнописи не перехватит. Другая задача у ПО.
Но DLP, к счастью, машина не однозадачная и ловит другие следы инцидента. Сработают политики на запуск скрипта или использование спецсервиса (или вы вручную шифруете?), где-то в переписке промелькнет ключ или обсуждение. В общем, в отрыве от реального контекста можно только упражняться в остроумии)

B0Z0NHIGGSA 9 ноя 2020 в 17:04

причем тут остроумие? шифрование производится с использованием автозамены в ворде или текстовом редакторе. без применения скриптов, хотя это удобнее, и можно применять уже на стороне получения документа. и никаких следов :)

DarkwinDuck 6 ноя 2020 в 16:56

Слабо, очень слабо.

SearchInform_team 6 ноя 2020 в 16:57

Давайте поговорим об этом. Расскажите, что имеете в виду?

Yurush 6 ноя 2020 в 17:20

Александр, а куда отправляют ссылки в примере отчета и есть ли в системе возможность его формировать по неким отметкам событий?

SearchInform_team 9 ноя 2020 в 16:47

Этот отчет аналитик формирует сам для заказчика, ссылки из него ведут в выгрузку инцидентов в Analytic Console, где можно подробнее увидеть все подробности по нарушениям: кто, что и когда сделал.

SearchInform_team 8 фев 2021 в 09:07

Кстати, кому интересно. Мы делали исследование на основе выявленных и предотвращенных инцидентов в компаниях, в которых работаем как аутсорсеры. Вот ссылка на него: searchinform.ru/uploads/sites/1/2020/08/incidenty-vnutrennej-bezopasnosti-v-rossijskih-kompaniyah-pervoe-polugodie-2020.pdf

Зарегистрируйтесь на Хабре, чтобы оставить комментарий