Комментарии 48
Мы бы были рады протестировать всех. Видимо вендорам есть, что прятать раз достать версии на тестирование это целая история.
Эм… при выборе решения вы руководствовались наличием триала на сайте. Эммм… весь ваш отдел за такое уволить нужно, без обид. Это подход в стиле потыкаемся и неразобравшись примем решение.
Эм… при выборе решения вы руководствовались наличием триала на сайте. Эммм… весь ваш отдел за такое уволить нужно, без обид. Это подход в стиле потыкаемся и неразобравшись примем решение.
Согласен. Если вендоры считают приемлемым тратить время своих инженеров на т.н. «пилот», вместо того, чтобы дать триальный ключ (кстати, я не уверен, что Вы спрашивали, в статье об этом ни слова), пусть приезжают и делают, выделить огороженную виртуалку не проблема. А так у Вас выпали несколько потенциально интересных систем.
PS: А скилл как
Алгоритм крутой и секретный (см. тут).
А другой статье (буквально в декабре) я их просил раскрыть подробности алгоритма, и мне даже пообещали. Однако статья ушла в черновики, а компания ушла с хабра.
Думаю, этих данных уже достаточно, чтобы оценить данное поделие.
Вы бы не позорились со своими комментариями, любой стойкий криптографический хэш с солью обеспечит то, о чем вы тут пишите.
Дано: текст. Например, это роман Война и Мир.
Вопрос: какой хеш с солью для пароля вы выберете, чтобы проверить, содержится ли пароль в романе?
Еще раз: вам надо не проверить просто пароль на корректность. Вам надо найти, есть ли в огромной строке подстрока с шифром.
Изучайте document fingerprinting. Например, https://digitalguardian.com/blog/what-file-fingerprinting
Уважаемый Hard_Stas,
- Ваш документ — это рекламная статья очередного DLP решения. Там можно Schedule a Demo, однако нет формул.
- Если Вам не сложно, не могли бы вы перестать говорить надменно "Вы бы не позорились со своими комментариями" и пытаться поучать нас здесь?
- Еще раз повторю вопрос: напишите, пожалуйста, формулу (или идею алгоритма), чтобы с одной стороны хранить строго только криптостойкий хеш пароля (а не сам пароль), а с другой стороны — чтобы найти вхождение пароля в документ.
Всё дело в том, что требуется решить по сути две задачи:
- Криптостойкое хранение пароля подразумевает невозможность взлома с помощью подготовленных радужных таблиц или списка готовых паролей. То есть пароли должны храниться так, чтобы их нельзя было взломать словарем.
- Система должна уметь быстро проверять наличие пароля в тексте. Другими словами: она должна уведомлять кого-то о том, что в большом файле находится пароль. Или перефразируя словами: система должна уметь восстановить пароль (т.е. доказать его вхождение) в любом тексте, в том числе и в списке готовых паролей из предыдущего пункта.
Однако Вы, наверное, или ответите "Вы бы не позорились со своими комментариями" или пришлете еще один материал от маркетологов с заявлениями "всё хорошо", верно? И чтобы помочь Вам, я опишу идею атаки.
Сначала чуть более технически, потом более в стиле литературного рассказа (который может быть более понятен менеджменту).
Технически:
Есть есть система, которая может найти вхождение элемента в множество, то за логарифм от числа элементов в множестве можно найти этот самый элемент, пользуясь дихотомией. Или другими словами: злоумышленник может легко взломать пароль в случае, если пароль был в списке частовстречающихся (а их уже можно найти в интернете).
Кстати, если хеш пароля был соленый SHA512, то для проверки нахождения его в документе необходимо сделать O(N*M) хеширований, где N — максимальная длина пароля, а M — число символов в документе.
Литературно:
Начаться всё может с того, что бухгалтер Валентина упустила ноутбук с удаленным доступом в кафе. Точнее, какой-то вор украл его. Как честная гражданка, она сначала пошла в полицию написать заявление на розык. Там она пробыла до вечера, попутно надеясь, что не надо будет сообщать на работу, так как начальство может вычесть стоимость ноутбука из заработной платы. А на следующий день она взяла больничный, ведомая тем же страхом финансовой кары.
Параллельно с этим вор передал аппарат подозрительному человеку. Последний (а точнее — его скрипт) начал делать странные действия от имени Валентины (ноутбук, к сожалению, не успел разлогинить её). Сначала был отправлен email с файлом с 1 млрд паролей. Естесственно, в списке был один, который от сервера с Главной Базой Данных, а потому электронное письмо было заблокировано. Тогда злоумышленник (а точнее — его скрипт) отправил только первую половину из списка паролей. Система пропустила email, значит там нет пароля, который был бы важен Компании. То есть пароль во второй половине, которая и была отправлена следующей. Злоумышленник отправлял и отправлял уменьшающийся список, пока система не заблокировала email в парольной фразой. Таким образом, благодаря стараниями Hard_Stas, организация скомпрометировала действительно важный пароль от базы.
citeseerx.ist.psu.edu/viewdoc/download?doi=10.1.1.130.3186&rep=rep1&type=pdf
А Вы статью-то читали? Последний абзац второй части:
However, regardless of the copy-prevention technology
chosen, users must ultimately have access to the unencrypted data
somehow—otherwise they cannot use it—and as discussed in Section
1, it seems to be nearly a natural law that digital content is
copied.
Я говорю Вам то же самое: Вы не можете сделать криптостойкий хеш на сервере, который будет находить подстроку в строке.
Я же Вам выше расписал алгоритм взлома, даже постарался расписать его без технических деталей.
А так мы и так знаем, что с помощью алгоритма Рабина Карпа можно довольно быстро найти подстроку в строке. Я для Device Lock его же и привел как пример хеширования. И оно не является криптостойким.
Кстати, Вы выше сказали "любой стойкий криптографический хэш с солью". Вы же видете по Вашей же статье, что вы не правы, верно?
Анализ DLP контента (особенно в сканах документов) требует больших мощностей оборудования, и то скорее всего надо будет все это откладывать в некую песочницу с очередью заданий на анализ и как следствие серьезная задержка на отправку. Представьте, что это происходит при работе пользователя в с веб-ресурсом. Вывод такой — чудес не бывает. Операторской работы никто не отменял. И правила составлять надо, и отсматривать «улов». При попытке ставить такую систему «в разрыв» бизнес сразу по голове настучит.
Тестировался FalconGaze так же, как и остальные, методика тестирования одна была.
На самом деле мы и в статье указали, что немного есть — "о блокировке речь практически не идёт (кроме HTTP, SMTP и MAPI)". Но сделано это весьма своеобразно, поэтому в качестве выводов приняли, что это невозможно назвать нормальной блокировкой.
Ну есть нечто типа конструктора блокировок, там можно задать параметры для блокировки SMTP, MAPI и HTTP — для последнего это свойства веб-поля, дата-день, ip/порт, текст. Но регулярные выражения? Ну нет. Этим тут не пахнет совсем. Условно, с натяжкой — по метаданным.
Социальные сети в плане блокировок можно рассматривать только через создание наворотов в этом конструкторе в рамках HTTP. Но что там блокировать по тексту? Фамилии сотрудников или начальства выявлять и блочить? Тут как раз по меньшей мере регулярные выражения и нужны, хоть персданные отловить.
При этом раздел Социальные сети — для настройки параметров перехвата на теневые копии — в этой системе есть (аж 4 штуки).
А для блокировки — нет такого же раздела. Увы.
http://saveimg.ru/pictures/19-02-19/8cd43677b0bd3fdd897a88e7c3300ee9.png
Это все http-протокол получается.
А мессенджеры как?
поэтому будет серия вопросов с очевидными, для практиков, ответами)
Проверялись: отправка на... MAPI;Т.е. MS Exchange ( или аналог) у вас есть, но при этом актуален вопрос:
интернет-каналов... запретить SMTP для всех пользователей — или разрешитьможно ли это понимать так: на сегодняшний день всем/большинству разрешены исходящие на port 25 на любой IP в Интернете?
McAfee и DeviceLock DLP. В остальных случаях просто не было смыслаПоявились ли в ходе инсталляции ПО на контроллерах домена, скажем так, дополнительные файлы?
Политики задаются не по пользователям, а по машинам — это неприемлемо.У вас не развёрнуто ПО класса CheckPoint или MS TMG/ISA Server, способное различать пользователей терминальных серверов?
( to ALL: про «своеобразный ход» MS со своим ключевым продуктом я в курсе,
здесь акцент на «ПО класса», т.е. функциональные возможности)
Пока никак. Но есть опыт коллег, установивших камеры видеонаблюдения. По слухам, в некоторых организациях (вроде в Лукойл) пронос телефонов и фотоаппаратов запрещен.
1) Отбирать у всех сотрудников телефон на входе. Разрешить только древние аппараты без камер.
2) Использовать одноразовые наклейки-пломбы для камер. Каждая такая наклейка имеет номер, который вахтер записывает в журнал и после рабочего дня сверяет с телефоном. Вроде как наклейку невозможно отклеить не повредив при этом.
Ну и не забываем про административные меры с подписыванием NDA, AUP и регулярными тренингами на которых рассказывается как плохо такая попытка может закончиться.
Защита от фотографирования монитора это только грамотная внутренняя нормативная документация и одна–две показательные порки. Технических средств защиты от такого канала утечки ещё не придумали и они даже не приходят в голову. Если человек захочет — он вынесет информацию. Так что нужно убедить людей, что им это не нужно, полностью согласен.
Ой. С ценами все тоже не просто. Их скрывают не хуже пробных версий ПО.
С ценами все тоже не просто. Их скрывают не хуже пробных версий ПО.
Возможно Вы меня сейчас опровергните, но мне показалось, что Вы сознательно или нет избегаете самой важной работы информационного безопасника — РАЗГОВАРИВАТЬ С ЛЮДЬМИ. Разве сложно снять трубку и сказать «дайте нам триал и сделайте КП на 300 АРМ», а потом «пройдите прочь, Вы нам не подходите»?
А как у Вас поставлена разъяснительная работа с персоналом? Вызываете нарушителей в переговорку, чтобы объяснить «я Вас записал в блокнот, но пока карандашом»?
дайте нам триал
Попробуйте ;) Сразу предложат выехать и показать «из своих рук». Или пилотный стенд силами вендора. Или еще хуже — пригласят к себе в офис посмотреть как у них все работает.
Очень мало кто дает триал в руки.
дайте нам триал
Попробуйте ;) Сразу предложат выехать и показать «из своих рук». Или пилотный стенд силами вендора. Или еще хуже — пригласят к себе в офис посмотреть как у них все работает.
Станислав, мы с Вами сейчас примерно на одном этапе, только задачи немного разные поставлены, мне надо следить и передавать доказательную базу нарушителей отделу СБ.
И да, я ездил в офис вендоров, они ко мне ездили, я мотался в Екатеринбург для участия в BIS Summit 2019 чтобы поговорить с эксплуатантами, посетить мастер-крассы. С работы отпрашивался.
А сейчас жду старта пилотного проекта, финалистов будем трогать руками.
И подскажите, кто готов провести полноценный пилот на 300 АРМ бесплатно?
После этого продажники DLP-решений еще пару лет будут телефон обрывать.
Это не самое сильное давление, которое приходится выдерживать по ходу работы. К тому же, когда продажники узнают, что был внедрён не их продукт, по ряду причин, они осознают тщетность бытия и оставляют в покое.
И подскажите, кто готов провести полноценный пилот на 300 АРМ бесплатно?
Прямые ссылки правилами НЛО запрещены, если Вы хотите фамилий и Ваш интерес не праздный, велкам в личку, дам контакты.
Upd: А, нет, через иностранный прокси показывает.
В первой (большой) таблице два раздела со звонками в мессенджерах. Это блокировка и теневое копирование. Если посмотреть теневое копирование то для скайпа в теневом копировании для Secure tower стоит «да». А вот для второй таблицы мы ошиблись при верстке :(
Серверная часть прожорлива на ресурсы, особенно на дисковое пространство.
В нашем случае, несколько раз возникали сбои которые техподдержка решала редактированием вручную какого то файла внутри папок продукта, через интерфейс программы видимо проблема не решалась :(
Как мы DLP-систему выбирали (практический опыт)