— Как я понимаю, на компьютеры сотрудников ставится программа-агент, которая анализирует данные еще до браузера и httpS? Есть ли агент под Linux и Яблоко? Или только виндовс?
Агент является популярным решением, существуют реализации системы без агентов и с применением смешанных технологий агент / без агента. Касаемо Linux дистрибутивов и эндпоинт-агентов для них, все зависит от конкретного дистрибутива и производителя DLP. На ОС Windows и MacOS, конечно, существуют реализации агентских решений.
И как вот такой вектор утечки отразить — простому админу с рут доступом к серверам с СУБД или хранилкам дампов/бэкапов БД — заплатили конкуренты компании, чтобы он слил низкоуровнево базу CRM/ERP (это я к тому, что фоткать ничего не надо и агента на сервере нету). Админ сливает на примонтированный накопитель, или создает временный тунель в мир, который притворяется https web трафиком и за пару недель порциями по чуть чуть аккуратненько сливает гигабайты кому надо? Затем подтирает команды, журналы на серве…
Дальше воображение рисует еще более сложную схему — чтобы там не палить даже https исходящий трафик с сервера через корпоративную сеть — воткнуть в сервак роутер с 3G свистком, настроить маршрут /32 до специального хоста в Мире через этот роутер и слить через этот канал...)
Отследить канал, построенный администратором-инсайдером с 3g роутером, действительно будет очень сложной задачей. В этой ситуации могут помочь построенные процессы управления ИБ и ИТ, чтобы предотвратить такой инцидент.
В первую очередь стоит учитывать стоимость защищаемой информации. В случае, если потенциальный ущерб от разглашения информации составляет меньшую сумму, чем внедренные / проектируемые средства защиты, можно сделать вывод о серьезных ошибках в таком проекте. Однако в некоторых случаях действительно следует рассматривать защиту таких каналов утечки информации, но чаще всего это касается оооочень секретной информации, которой обычно нет у большинства коммерческих компаний;)
Также важнейшими аспектами в выборе этих средств являются модели потенциальных злоумышленников. В целом, действия подготовленного и квалифицированного внутреннего злоумышленника-инсайдера предотвратить действительно практически невозможно. Однако не следует забывать о функционале, который позволяет вести расследования уже произошедших инцидентов ИБ, а также о функционале, позволяющем предотвратить непреднамеренные “сливы” информации сотрудниками по ошибке (т.е. система может не только использоваться для “карательных” воздействий, но также может и помогать не совершать ошибок).
зачем платить сотни нефти за DLP, если оно, как чугунная 5 метровая стена, но только на 86% периметра
Абсолютно верно, DLP не может являться единственной технологией “на страже конфиденциальных данных”, концепция линии Мажино в современном мире технологий неприменима. Однако DLP-система будет являться эффективным компонентом системы информационной безопасности при поддержке руководства организации, где происходит внедрение и эксплуатация данной системы.
Агент является популярным решением, существуют реализации системы без агентов и с применением смешанных технологий агент / без агента. Касаемо Linux дистрибутивов и эндпоинт-агентов для них, все зависит от конкретного дистрибутива и производителя DLP. На ОС Windows и MacOS, конечно, существуют реализации агентских решений.
Отследить канал, построенный администратором-инсайдером с 3g роутером, действительно будет очень сложной задачей. В этой ситуации могут помочь построенные процессы управления ИБ и ИТ, чтобы предотвратить такой инцидент.
Также важнейшими аспектами в выборе этих средств являются модели потенциальных злоумышленников. В целом, действия подготовленного и квалифицированного внутреннего злоумышленника-инсайдера предотвратить действительно практически невозможно. Однако не следует забывать о функционале, который позволяет вести расследования уже произошедших инцидентов ИБ, а также о функционале, позволяющем предотвратить непреднамеренные “сливы” информации сотрудниками по ошибке (т.е. система может не только использоваться для “карательных” воздействий, но также может и помогать не совершать ошибок).
Абсолютно верно, DLP не может являться единственной технологией “на страже конфиденциальных данных”, концепция линии Мажино в современном мире технологий неприменима. Однако DLP-система будет являться эффективным компонентом системы информационной безопасности при поддержке руководства организации, где происходит внедрение и эксплуатация данной системы.