Перейти к содержанию
broker

Утечки информации, методы поиска.

Recommended Posts

broker
Еще раз, кто-то должен иметь администраторские права для администрирования системы, без этого никак. А вот у этого сотрудника будет масса способов обойти любую систему защиты, в простейшем случае ее снять. Может установить любую программу для съема информации - ведь для обработки она должна присутствовать в открытом ввиде - с монитора, при вводе с клавиатуры и т.д. Может использовать возможности межпроцессного взаимодействия (их десятки) и т.д. и т.п.

несомненно, но речь немного о другом.

Действительно заветной целью любого взломщика являются рутовые права на систему и спорить с тем, что максимальными возможностями для взлома абсолютно законно наделены администраторы тоже никто не будет.

О чём же речь!? речь о том, что при определённом построении инфраструктуры и разделении ролей можно существенно повысить защищенность.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
А.Щеглов
несомненно, но речь немного о другом.

Действительно заветной целью любого взломщика являются рутовые права на систему и спорить с тем, что максимальными возможностями для взлома абсолютно законно наделены администраторы тоже никто не будет.

О чём же речь!? речь о том, что при определённом построении инфраструктуры и разделении ролей можно существенно повысить защищенность.

Именно об этом я и пытался сказать. Есть администраторы, которые отвечают "за все" и говорить о защите от них бесполезно - это системные администраторы. Есть администраторы приложений, БД и т.д., с ними, действительно проще, их угрозы можно минимизировать.

В продолжение разговора. Основная проблема, с которой, по крайней мере, мы часто сталкиваемся, это как разделить права (в Вашей терминологии "роли", что одно и то же) между системным администратором ИТ и администратором ИБ. По сути их надо наделить обоих наделить системными правами. Вот здесь и начинаются коллизии. Кто, и какое подразделение тогда реально отвечает за ИБ, по-сути, полу3чаем коллективную ответственность. На мой взгляд, технически данная задача опять же неразрешима. Если усечь права системному администратору ИТ, это скажется на эксплуатации системы, если наделить соответствующими правами в полном объеме - на ИБ (он сможет изменять настройки средства защиты, отключать механизмы, подчищать аудит, отключать контентный контроль и т.д. и т.п.). Вот и "пошло разрастание" угрозы, причем, на мой взгляд, катастрофическое, т.к. это совершенно различные подразделения, с совершенно различными требованиями к сотрудникам во всех отношениях.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
nremezov
Еще раз, кто-то должен иметь администраторские права для администрирования системы, без этого никак. А вот у этого сотрудника будет масса способов обойти любую систему защиты, в простейшем случае ее снять.

Схема разделяемого секрета.

В простейшем виде - кусок пароля у офицера ИБ и кусок пароля у администратора. Действия по настройке\обновлению проводятся под наблюдением.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
broker
Схема разделяемого секрета.

да, но такая схема подходит для случая, когда административные действия можно разделить по рангу и действия наивысших рангов случаются не часто. Например в системе СуперАдмин создаёт Админа и Админа ИБ с раздельными полномочиями. При этом пароль на СуперАдмина разделяется между Админом и Админом ИБ.

В случае АD не прокатит

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
А.Щеглов
Схема разделяемого секрета.

В простейшем виде - кусок пароля у офицера ИБ и кусок пароля у администратора. Действия по настройке\обновлению проводятся под наблюдением.

Это делается проще, чем "куски паролей", достаточно, чтобы офицер ИБ обеспечивал допуск системного администратора к настройкам под своим контролем. Однако, вопрос в другом. Что мы имеем на практике. Офицер ИБ обладает необходимым доверием руководства, но, как правило, не обладает необходимой квалификацией для системного администрирования. Системный администратор, наоборот. Не может в силу этих причин офицер ИБ контролировать действия системного администратора, а на системного администратора нельзя возлагать задачи по администрированию средств защиты. Вот оно неразрешимое противоречие! Если же есть администратор, обладает и доверием, и квалификацией, то он должен совмещать в себе обе функции администрирования. Возможно, когда-нибудь, так и будет.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
broker
Если же есть администратор, обладает и доверием, и квалификацией, то он должен совмещать в себе обе функции администрирования. Возможно, когда-нибудь, так и будет.

такой администратор рано или поздно станет уязвимым местом.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
А.Щеглов
такой администратор рано или поздно станет уязвимым местом.

Естественно, это априори уязвимое звено, впрочем, так же, как сегодня системный администратор. Цель -то в том, чтобы минимизировать число таких "уязвимых мест", одно дело, понимать, что может украсть информацию 1000 человек на предприятии, другое дело, 1-2. Вот здесь уже вступают в силу организационные меры, мы предполагаем, что данный человек должен быть доверенным лицом, и всяческими мерами должны это обеспечить.

Дело ведь в том, что защитить информацию можно лишь на том компьютере, где она обрабатывается и то лишь при условии, что пользователь не сможет устанавливать на компьютер собственное ПО, иначе он обойдет любую Вашу защиту. От того, кто может установить ПО, защититься невозможно, следовательно, число таких сотрудников необходимо минимизировать.

P.S. В одной из своих статей относительно недавно приводил следующий пример. Купил как-то журнал "Хаккер", там автором (если не ошибаюсь, Крисом Касперски) была опубликована гневная статья на тему, что уже несколько лет не исправляется серьезная уязвимость в Windows (причем речь шла о последних версиях ОС с последними на тот момент обновлениями, в частности, XP SP2), более того, были опубликованы исходники эксплойта, позволяющего осуществлять атаку на эту уязвимость (если интересно, могу найти ссылку на этот журнал, опубликованный где-то год назад). Проверили, все верно. Это, к слову, что может сделать пользователь, имеющий возможность запустить свое ПО, а Вы о контентной фильтрации.... Вот, где основа противодействия инсайдерским атакам.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Рустэм Хайретдинов
От того, кто может установить ПО, защититься невозможно, следовательно, число таких сотрудников необходимо минимизировать.

P.S. В одной из своих статей относительно недавно приводил следующий пример. Купил как-то журнал "Хаккер", там автором (если не ошибаюсь, Крисом Касперски) была опубликована гневная статья на тему, что уже несколько лет не исправляется серьезная уязвимость в Windows (причем речь шла о последних версиях ОС с последними на тот момент обновлениями, в частности, XP SP2), более того, были опубликованы исходники эксплойта, позволяющего осуществлять атаку на эту уязвимость (если интересно, могу найти ссылку на этот журнал, опубликованный где-то год назад). Проверили, все верно. Это, к слову, что может сделать пользователь, имеющий возможность запустить свое ПО, а Вы о контентной фильтрации.... Вот, где основа противодействия инсайдерским атакам.

К слову о сотруднике с правами администратора и контентной фильтрации. Никто никогда и не предлагал бороться с привелигированными пользователями контентной фильтрацией - если у пользователя есть возможность запускать что-то, кроме офисных приложений, требуются другие меры защиты. Только таких пользователей единицы даже в большой компании, а вот рядовых пользователей - десятки тысяч, и 99,9% из них не знают слов "эксплойт" и "SP2". Зато легко могут что-то скопировать на носитель, выложить в Сеть, послать по почте и распечатать, пытаясь деформировать документ доступным им через приложения способом (переименовав, конвертировав в другой формат, поменяв расширение, сделав Copy-Paste в чистый документ, удалив слово "конфиденциально" из текста, перекодировав текст через Find-Replace и т.д.). Здесь лучше контентной фильтрации (в смысле анализа содержимого перемещаемой информации различными методами) ничего пока не придумали.

Не стоит забывать, что безопасность имеет и экономическую составляющую. Пузатый гаишник не в состоянии задержать тренированного и экипированного спецслужбой диверсанта, но это и не его работа. Если государство начнет готовить из каждого гаишника "волкодава", не выдержит бюджет и не хватит людей. Поэтому есть спецслужбы, занимающиеся непрофессиональными правонарушениями, которых (нарушений) миллионы, а есть спецслужбы, которые ловят профессионалов, совершающих сотню правонарушений в год. И нельзя сказать, что непрофессиональные нарушения менее опасны, если мерять число погибших, например.

Как и любая аналогия, эта - неполная. Я хотел этим сказать, что контентная фильтрация ловит непрофессионалов, причем возможный ущерб от предотвращенных утечек хозяева информации оценивают в миллионы долларов. Этих непрофессионалов - миллионы, практически каждый увольняющийся сотрудник любой компании. Стоимость защиты должна быть адекватна стоимости информации, к кторой эти люди имеют допуск.

И в заключении - шутка о квалификации сотрудников. Один наш заказчик любит приговаривать "Если во время аттестации сотрудник на вопрос "Как снять зависший процесс в Windows?" отвечает не "Позвонить в службу поддержки", а начинает ответ со слов "Нажать CTRL+ALT+DEL..." его уже нельзя пускать к конфиденциальной информации".

Всех с праздниками и длинными выходными.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
broker
Я хотел этим сказать, что контентная фильтрация ловит непрофессионалов, причем возможный ущерб от предотвращенных утечек хозяева информации оценивают в миллионы долларов. Этих непрофессионалов - миллионы, практически каждый увольняющийся сотрудник любой компании.

Рустэм, Вы указали модель нарушителя, не могли бы Вы точнее сформулировать от каких типов нарушителей защищает технология применяемая в Вашем решении.

А.Щеглов, не могли бы Вы так же указать модели нарушителя, защита от которых реализуется в Ваших технологиях (насколько я знаю, у Вас всё согласно спецификациям)

Я думаю, после получения моделей нарушителей можно легко сделать вывод о применимости решений в конкретных ситуациях.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
А.Щеглов
Рустэм, Вы указали модель нарушителя, не могли бы Вы точнее сформулировать от каких типов нарушителей защищает технология применяемая в Вашем решении.

А.Щеглов, не могли бы Вы так же указать модели нарушителя, защита от которых реализуется в Ваших технологиях (насколько я знаю, у Вас всё согласно спецификациям)

Я думаю, после получения моделей нарушителей можно легко сделать вывод о применимости решений в конкретных ситуациях.

В части спецификаций. Никогда никакая спецификация "не поспеет" за реальной жизнью. Как известно, любой стандарт имеет два жизненных этапа. На втором (завершающем) он начинает тормозить развитие, что приводит к разработке нового стандарта.

На мой взгляд, в общем случае можно говорить о модели нарушителя (кто он, и почему он это делает, например, сотрудник, у которого маленькая зарплата) и о модели угроз (как он это делает, например, использует сервисы олицетворения). О чем речь?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
broker
На мой взгляд, в общем случае можно говорить о модели нарушителя (кто он, и почему он это делает, например, сотрудник, у которого маленькая зарплата) и о модели угроз (как он это делает, например, использует сервисы олицетворения). О чем речь?

Можно пойти двумя путями - указать модели угроз -> указать модели нарушителей -> указать средства реализации угроз или наоборот :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Рустэм Хайретдинов
Рустэм, Вы указали модель нарушителя, не могли бы Вы точнее сформулировать от каких типов нарушителей защищает технология применяемая в Вашем решении.

Я думаю, после получения моделей нарушителей можно легко сделать вывод о применимости решений в конкретных ситуациях.

Попробую, заранее прошу прощения за возможную нестрогость описания ввиду его краткости. Все нижеописанное относится ко любым DLP-решениям, которых считают таковыми IDC и Forrester (например системы контроля доступа к портам компьютера, DRM-системы, системы защищенного документооборота или URL-фильтры системами DLP не считаются, хотя от этого не становятся менее полезными). Итак:

Персона (нарушитель): Легальный пользователь системы, по служебной необходимости имеющий доступ к конфиденциальной информации, а также ввиду этой служебной необходмости имеющий возможность использовать каналы выноса информации за пределы системы (электронная почта, постинги в web, другие Интернет-каналы, сменные носители и печать). Мотивация в этом посте не рассматривается, анализ психологического портрета нарушителя вне темы этого форума, это уже не ware.

Системный ландшафт: отсутствуют права локального администратора, отсутствуют права на установку и запуск программ, дающих возможность обойти контролируемые каналы (т.е. выйти в интернет по сотовому телефону, подключить локальный принтер и т.д.) и программ, усложняющих анализ контейнера и его содержимого при пересечении периметра (шифрование, редакторы музыки, видео и изображений, неконтролируемые администратором файловые менеджеры).

Действия пользователей:

1. Халатные - не меняют отсылаемую информацию, но пытаются вынести информацию за пределы системы (ошибаются адресом, забывают удалить "хвост" письма, копируют документы или посылают их себе на открытый ящик для того, чтобы поработать дома и т.д.)

2. Злонамеренные - пытаются изменить информацию доступными им способами (удаление аттрибутных грифов и/или ключевых слов, copy/paste в незащищенный контейнер, Save As в другой формат, переименование файла и его расширения, PrintScreen с последующим сохранением в незащищенном документе, кодирование с заменой одних символов на другие и т.д.).

Технологии, отсекающие такие нарушения, базируются на двух принципах - контроль контейнера и контроль содержимого. Их достоинства и недостатки уже обсуждались в этом форуме. Замечу, что все эти технологии практически со 100% вероятностью ловят халатных пользователей и конкурируют, в основном, количеством вариантов обнаруживаемых попыток себя обойти с помощью упомянутых выше приемов.

Сравнение разных классов систем идет от трудностей перевода: Data Leakage Protection в западном понимании - более узкое понятие, чем, российское "борьба с утечками" - в России добавляется и контроль привелигированных пользователей, и подробный контроль за действиями пользователя, вплоть до перехвата управления, и шифрование носителей, в т.ч. и резервного хранения, и системы защищенного оборота документов и т.д.

И еще терминологическое различие - McAfee DLP расшифровывается как Data Loss Protection, а не Leakage :^).

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
А.Щеглов
Попробую, заранее прошу прощения за возможную нестрогость описания ввиду его краткости. Все нижеописанное относится ко любым DLP-решениям, которых считают таковыми IDC и Forrester (например системы контроля доступа к портам компьютера, DRM-системы, системы защищенного документооборота или URL-фильтры системами DLP не считаются, хотя от этого не становятся менее полезными). Итак:

Персона (нарушитель): Легальный пользователь системы, по служебной необходимости имеющий доступ к конфиденциальной информации, а также ввиду этой служебной необходмости имеющий возможность использовать каналы выноса информации за пределы системы (электронная почта, постинги в web, другие Интернет-каналы, сменные носители и печать). Мотивация в этом посте не рассматривается, анализ психологического портрета нарушителя вне темы этого форума, это уже не ware.

Системный ландшафт: отсутствуют права локального администратора, отсутствуют права на установку и запуск программ, дающих возможность обойти контролируемые каналы (т.е. выйти в интернет по сотовому телефону, подключить локальный принтер и т.д.) и программ, усложняющих анализ контейнера и его содержимого при пересечении периметра (шифрование, редакторы музыки, видео и изображений, неконтролируемые администратором файловые менеджеры).

И еще терминологическое различие - McAfee DLP расшифровывается как Data Loss Protection, а не Leakage :^).

Рустэм, похоже, мы начали приходить к взаимопониманию. Ваш системный ландшафт я могу серьезно дополнить, но речь не о том. Речь о том, что Вы априори считаете систему эффективно защищенной от НСД, а в дополнение к этому (в той части, где по каким-то причинам не могут применяться механизмы защиты от НСД) использовать контентный контроль. По аналогии с криптографией - не дать украсть механизмами защиты от НСД, где это невозможно (отчуждаемые накопители и каналы связи), применяется криптография. С такой позицией я полностью согласен, но с некими оговорками. Вы не рассмотрели вопрос применения механизмов защиты от НСД для фильтрации исходящего трафика на защищаемом компьютере. Ваш посыл отчасти корректен в том случае, когда пользователю, обрабатывающему конфиденциальную информацию, необходимо обеспечить неограниченный доступ во внешнюю сеть. Если трафик фильтруется - разрешается взаимодействие лишь с конкретными корпоративными хостами и рабочими станциями, контентная фильтрация не требуется. Более того, как я ранее утверждал, реализовав на защищенном компьютере разделительную политику доступа к ресурсам (различные режимы обработки открытой и конфиденциальной информации, в том числе, и с различными правами доступа во внешнюю сеть), можно предотвратить сам факт утечки конфиденциальных данных - контролировать станет нечего. Другими словами, на мой взгляд, данная задача защиты может быть решена механизмами защиты от НСД в полном объеме, но средство защиты от НСД должно позволять решение этих задач. Вы же исходите из позиции, что защита от НСД должна быть, но она какая-то "слабенькая". Наверное, такая позиция обоснована, если для защиты от НСД использовать встроенные в ОС механизмы защиты, не ориентированные на решение подобных задач защиты информации.

Другими словами, на мо

Что-то сломалось, продолжу.

Другими словами, на мой взгляд, либо эффективная защита от НСД, предотвращающая факт возможности утечки конфиденциальных данных (частично, как я говорил, криптография), либо "слабенькая" защита встроенными в ОС механизмами, и дополнительный контроль контента.

Вы согласны с подобным позиционированием области применения рассматриваемых нами альтернативных способов решения задачи защиты от утечек?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Рустэм Хайретдинов
Вы же исходите из позиции, что защита от НСД должна быть, но она какая-то "слабенькая". Наверное, такая позиция обоснована, если для защиты от НСД использовать встроенные в ОС механизмы защиты, не ориентированные на решение подобных задач защиты информации.

На мой взгляд, либо эффективная защита от НСД, предотвращающая факт возможности утечки конфиденциальных данных (частично, как я говорил, криптография), либо "слабенькая" защита встроенными в ОС механизмами, и дополнительный контроль контента.

Вы согласны с подобным позиционированием области применения рассматриваемых нами альтернативных способов решения задачи защиты от утечек?

Согласен - DLP подразумевает, что защита от НСД уже существует и отталкивается от этого. Никто никогда не утверждал, что DLP - это все, что вам нужно для борьбы с утечками. DLP-продукты появились тогда, когда проблемы НСД были уже решены на достаточном уровне, и на первый план по статистике вышли утечки, организованные легальными пользователями по легальным каналам.

Здесь есть две парадигмы защиты - контроль действий пользователя (профили) и контроль перемещаемой информации (контейнер или контент). Анализ информации организационно проще, поскольку пользователь, если он не почтовый робот, генерирует в день до 30 передвижений контента (наша статистика), а вот действий при этом производит тысячи. DLP-подход - контролировать какая информация уходит от кого, по какому каналу и куда, и из анализа этих четырех параметров делается вывод, можно разрешать передвижение информации или нет. Например, главбух отправляет квартальный отчет по электронной почте в налоговую - разрешенный вариант, если изменить один параметр: канал (на USB, через web-почту), отправителя (сисадмин, рядовой бухгалтер), получателя (незнакомый адрес) - неразрешенный вариант. Такие решения дают быстрый эффект (из семи десятков пилотных проектов по внедрению DLP-систем за последние три года только один не показал критического нарушения перемещения контента в первую же неделю), отсекают халатные и непрфессиональные злонамеренные утечки, иногда с огромным возможным ущербом.

Достоинства - быстрое внедрение и масштабируемость (при увеличении кол-ва пользователей ничего, кроме мощности анализирующих серверов не меняется), недостатки - непривычная для ИБ эффективность (около 80%, против привычной 99.9%). Это понимают все производители и потребители, и никто из них не абсолютизирует один какой-нибудь способ защиты. Кстати, в отличие от журналистов, которые пишут на темы ИБ и служащих PR-отделов компаний (типичный бред - "Сенсация, компания X защитила от утечек корпорацию Y!").

Иногда полезно прежде чем спорить, синхронизировать терминологию :).

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
А.Щеглов
Согласен - DLP подразумевает, что защита от НСД уже существует и отталкивается от этого. Никто никогда не утверждал, что DLP - это все, что вам нужно для борьбы с утечками. DLP-продукты появились тогда, когда проблемы НСД были уже решены на достаточном уровне, и на первый план по статистике вышли утечки, организованные легальными пользователями по легальным каналам.

С этим тезисом "... когда проблемы НСД были уже решены на достаточном уровне..." я не согласен категорически. На мой взгляд, как раз, наоборот. Средства для борьбы с утечками и многие иные частные решения, появились как раз ввиду нерешенности проблем защиты от НСД. Посмотрите, что нам предлагается большинством средств защиты от НСД. Разграничение доступа к ресурсам между пользователями.

Сегодня же актуальны совсем иные задачи защиты от НСД собственно в своей постановке. Разграничение нужно для чего - чтобы ограничить права того субъекта, которому мы не доверяем. Например, не доверяем мы процессам (приложениям) - это ошибки программирования в приложениях, макро-вирусы, после выполнения которых программа может работать как угодно, трояны и шпионские программы и т.д. Что получаем - необходимость разграничения доступа для процессов. Далее. На рабочей станции работает один пользователь (какое разграничение между пользователями?). Но он обрабатывает информацию различных уровней конфиденциальности, как следствие, ему должны предоставляться различные возможности ее обработки, хранения, передачи - опять же необходима разграничительная политика доступа к ресурсам, но разграничиваться должны сессии (режимы обработки) информации различных уровней конфиденциальности. И т.д. На мой взгляд, именно то, что большинство средств защиты от НСД строится "по старинке", т.е. не может решить актуальных сегодня задач защиты информации от НСД (кстати говоря, теория здесь очень отстает от практики - от реальной жизни), и приводит к появлению средств контроля, использование которых априори предполагает, что задача защиты от НСД не решена (если украсть невозможно, то, что контролировать?).

В остальном с Вами согласен. Однако, Ваша позиция, состоящая в том, что и производитель, и потребитель средства защиты, исходно предполагают, что проконтролировать возможно лишь до 80% трафика (т.е. исходят из того, что 20% войдут в утечки), да еще, что контроль ориентирован на не подготовленную атаку (в предположении, что атака осуществлена на любительском уровне), лично меня, настораживает!

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Рустэм Хайретдинов
С этим тезисом "... когда проблемы НСД были уже решены на достаточном уровне..." я не согласен категорически. На мой взгляд, как раз, наоборот. Средства для борьбы с утечками и многие иные частные решения, появились как раз ввиду нерешенности проблем защиты от НСД. Посмотрите, что нам предлагается большинством средств защиты от НСД. Разграничение доступа к ресурсам между пользователями.

Сегодня же актуальны совсем иные задачи защиты от НСД собственно в своей постановке. Разграничение нужно для чего - чтобы ограничить права того субъекта, которому мы не доверяем. Например, не доверяем мы процессам (приложениям) - это ошибки программирования в приложениях, макро-вирусы, после выполнения которых программа может работать как угодно, трояны и шпионские программы и т.д. Что получаем - необходимость разграничения доступа для процессов. Далее. На рабочей станции работает один пользователь (какое разграничение между пользователями?). Но он обрабатывает информацию различных уровней конфиденциальности, как следствие, ему должны предоставляться различные возможности ее обработки, хранения, передачи - опять же необходима разграничительная политика доступа к ресурсам, но разграничиваться должны сессии (режимы обработки) информации различных уровней конфиденциальности. И т.д. На мой взгляд, именно то, что большинство средств защиты от НСД строится "по старинке", т.е. не может решить актуальных сегодня задач защиты информации от НСД (кстати говоря, теория здесь очень отстает от практики - от реальной жизни), и приводит к появлению средств контроля, использование которых априори предполагает, что задача защиты от НСД не решена (если украсть невозможно, то, что контролировать?).

В остальном с Вами согласен. Однако, Ваша позиция, состоящая в том, что и производитель, и потребитель средства защиты, исходно предполагают, что проконтролировать возможно лишь до 80% трафика (т.е. исходят из того, что 20% войдут в утечки), да еще, что контроль ориентирован на не подготовленную атаку (в предположении, что атака осуществлена на любительском уровне), лично меня, настораживает!

Про защиту от НСД с вами трудно спорить, слишком различен уровень компетенции. Уверен, что вы в этом специалист.

Попробую еще раз рассказать про насторожившие вас 80%. Мы говорим о технологии анализа контента, реальные продукты используют комбинацию технологий, реальная эффективность около 90%, при том, что никто не отменял неэлектронный вынос информации - в памяти, переписанный на бумажку и т.д.,. Главное - не обманывать заказчика. Если заказчик понимает, что эти 10-20% есть, он будет их уменьшать другими средствами, в том числе и другими технологиями. Наши интеграторы так и делают - закрывают слабые места одних технологий использованием других. Да мы и сами используем другие технологии - шифрование, управление доступом к ресурсам и т.д., чтобы эту цифру уменьшить. Один из наших заказчиков утверждает, что имеет 7% ложных срабатываний и это его более чем устраивает.

Почему?

1. Потому что даже 80% много больше 0% и это однозначно показывают первые дни внедрения.

2. Потому что даже 80% четко отделяют "дураков" от "врагов", т.е. оставшиеся 20% - злонамеренные утечки, за которые, когда поймают, будут бить ногами.

3. Потому что поймают обязательно, если и не сразу, то потом. Контент, пересекший периметр, сохраняется и доступен для анализа более глубокого, чем on-line. Зная, что их рано или поздно вычислят, похищать информацию могут только "внедренные" нарушители, за которыми стоит, как минимум, компания такого же размера или спецслужба.

Налицо баланс ожиданий, платежеспособного спроса и результата использования. Этот рынок растет на 100% в год, а рынок не может ошибаться - он платит живые деньги, которые мог бы потратить на что-то другое. То, что такие решения сейчас появились у крупнейших компаний в области ИБ (Cisco, Symantec, Trend Micro, RSA, McAfee), говорит о двух вещах. Первая - на этом можно заработать серьезные деньги и, а вторая, что не менее важно - это один из способов защиты, ДОПОЛНЯЮЩИЙ уже имеющиеся в их арсенале технологии. Технологии анализа контента сейчас находятся на кривой завышенных ожиданий (по Гарднеру) и за этим неизбежно будет спад, после которого останутся сильнейшие производители.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
А.Щеглов
Этот рынок растет на 100% в год, а рынок не может ошибаться - он платит живые деньги, которые мог бы потратить на что-то другое. То, что такие решения сейчас появились у крупнейших компаний в области ИБ (Cisco, Symantec, Trend Micro, RSA, McAfee), говорит о двух вещах. Первая - на этом можно заработать серьезные деньги и, а вторая, что не менее важно - это один из способов защиты, ДОПОЛНЯЮЩИЙ уже имеющиеся в их арсенале технологии. Технологии анализа контента сейчас находятся на кривой завышенных ожиданий (по Гарднеру) и за этим неизбежно будет спад, после которого останутся сильнейшие производители.

Готов полностью с Вами согласиться. НО!

Вопрос в том, понимают ли Ваши потребители, что технологии анализа контента - это один из способов защиты, ДОПОЛНЯЮЩИЙ уже имеющиеся.

Вот результаты одного исследования, опубликованные на сайте Cnews:

"Около половины компаний серьезно обеспокоены доступностью опытного и тренированного персонала, как в области ИТ (51%), так и в сфере информационной безопасности (46%). Эти причины возглавляют составленный аналитическим агентством Ernst & Young список основных факторов, сдерживающих развитие отрасли ИБ в мире.

В предыдущие годы пальма первенства принадлежала беспечности пользователей (2004) и бюджетным ограничениям (2003), а нехватка специалистов стояла только на третьем месте...".

Как реально позиционирует Ваши средства потребитель, как "панацею" решения всех его проблема ИБ, либо так же, как и Вы.

Из Вашего опыта?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
1. Потому что даже 80% много больше 0% и это однозначно показывают первые дни внедрения.

2. Потому что даже 80% четко отделяют "дураков" от "врагов", т.е. оставшиеся 20% - злонамеренные утечки, за которые, когда поймают, будут бить ногами.

3. Потому что поймают обязательно, если и не сразу, то потом. Контент, пересекший периметр, сохраняется и доступен для анализа более глубокого, чем on-line. Зная, что их рано или поздно вычислят, похищать информацию могут только "внедренные" нарушители, за которыми стоит, как минимум, компания такого же размера или спецслужба.

ИМХО в таком деле 80% - это очень высокая цифра, я бы даже поставил ее под сомнение. Так как получается, что в оставшиеся 20% входят такие банальные и безотказные методы, например, как фотографии экрана с мобильника. И об этом слепке контента не будет следов, если внедрение DLP-решений не поддерживается оффлайн при помощи запрета использования электронный устройств и установкой видеокамер на рабочих местах :-)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
broker
Персона (нарушитель): Легальный пользователь системы, по служебной необходимости имеющий доступ к конфиденциальной информации, а также ввиду этой служебной необходмости имеющий возможность использовать каналы выноса информации за пределы системы (электронная почта, постинги в web, другие Интернет-каналы, сменные носители и печать).

Можно уточнить, входит ли в служебные обязанности легального пользователя отсылать конфиденциальную информацию за пределы системы (по указанным каналам) или всё-таки организационными методами ему запрещено отсылать конфиденциальную информацию за пределы системы (т.е. имеется объект контроля)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Рустэм Хайретдинов
Готов полностью с Вами согласиться. НО!

Вопрос в том, понимают ли Ваши потребители, что технологии анализа контента - это один из способов защиты, ДОПОЛНЯЮЩИЙ уже имеющиеся.

Вот результаты одного исследования, опубликованные на сайте Cnews:

"Около половины компаний серьезно обеспокоены доступностью опытного и тренированного персонала, как в области ИТ (51%), так и в сфере информационной безопасности (46%). Эти причины возглавляют составленный аналитическим агентством Ernst & Young список основных факторов, сдерживающих развитие отрасли ИБ в мире.

В предыдущие годы пальма первенства принадлежала беспечности пользователей (2004) и бюджетным ограничениям (2003), а нехватка специалистов стояла только на третьем месте...".

Как реально позиционирует Ваши средства потребитель, как "панацею" решения всех его проблема ИБ, либо так же, как и Вы.

Из Вашего опыта?

Никто "панацеей" контентную фильтрацию не считает, по меньшей мере, профессиональные сотрудники ИБ. Их мало, согласен, часть из них пришло из ИТ, а чать - из спецслужб, каждый своим опытом. Те, кто прошел через спецслужбы, не по наслышке знают, что такое информационные системы, сертифицированные для работы с гостайной, т.е. абсолютно защищенные в технологическом смысле системы. Они понимают, что бизнес настолько негибкие, тяжелые в администрировании и дорогие системы не примет, поэтому ищут "золотую середину". Для каждого типа угроз выбирается один-два вендора и с ними ищут оптимальное соотношение эффективность/цена.

КФ работает в уже упоминавшихся ограничениях - пользователь может изменять информацию в пределах использования офисных программ и корпоративных приложений. В этой нише КФ хорошо справляется со своими задачами, не более и не менее. Примеров предотвращенных утечек - море. Заказчиков при этом устраивает баланс эффективности, цены и добавленной стоимости при внедрении и администрировании.

Из тех, кто платит деньги, давно никто не ведется на слоганы "найдено средство от утечек нового поколения!!!!" Если почитать статистику утечек, нанесшую ущерб, то видно, что больше половины - потерянные ноутбуки и носители, здесь вообще бы все решило прозрачное шифрование, а никакая не КФ.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Рустэм Хайретдинов
ИМХО в таком деле 80% - это очень высокая цифра, я бы даже поставил ее под сомнение. Так как получается, что в оставшиеся 20% входят такие банальные и безотказные методы, например, как фотографии экрана с мобильника. И об этом слепке контента не будет следов, если внедрение DLP-решений не поддерживается оффлайн при помощи запрета использования электронный устройств и установкой видеокамер на рабочих местах :-)

Сергей, в посте имелось ввиду 80% от заранее данной модели нарушения, а не от всех видов утечек (количество инцидентов, которые вообще могли бы привести к утечкам, в том числе и упомянутые вами, исчислению не поддаются).

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • demkd
      а внутри локалки и не получится, белые ip нужны только при подключении через интернет.
    • santy
      Проверил на двух домашних ПК в локальной сети с роутером. Схема с серым IP работает отлично. Передача файлов гениальна! Вот просто как будто дополнительное зрение появилось :). Через белый IP  пока не удалось подключиться. Пришлось еще фаерволлы включить в интерактивный режим. (На автомате еще не проверял, возможно надо сохранить некоторые правила.)
    • demkd
      ---------------------------------------------------------
       4.99.4
      ---------------------------------------------------------
       o Исправлена функция автоматического переключения удаленных рабочих столов.
         Проблема проявлялась при работе с удаленной системой через локальную сеть, при запуске приложения
         от имени администратора не происходило автоматическое переключение на защищенный рабочий стол.
         (не касается полной версии разового доступа к рабочему столу, в этом режиме проблемы не было).

       o Проведено сравнительное тестирование системного удаленного рабочего стола и uVS.
         Передача файлов через системный удаленный рабочий стол идет почти в 20 раз медленней чем через через uVS.
         Максимальный fps в 32-х битном цвете почти в 3 раза ниже чем у uVS в FHD.
         (!) Выявлена проблема совместного использования uVS и системного рабочего стола.
         (!) Если системный рабочий стол был закрыт БЕЗ выхода из пользователя, то uVS не сможет
         (!) отбразить рабочий стол логона пользователя (Winlogon).
         (!) Единственное решение проблемы: подключиться заново через системный рабочий стол и выйти из пользователя.
       
    • demkd
      ---------------------------------------------------------
       4.99.3
      ---------------------------------------------------------
       o Это обновление повышает качество работы с удаленной системой и добавляет новый режим работы.
         (!) Новая функция не совместима со старыми версиями uVS, если у вас в настройках установлен флаг bReUseRemote = 1,
         (!) то перед обновлением необходимо закрыть все серверные части uVS на удаленных компьютерах с помощью
         (!) старой версии uVS.

       o Добавлен новый режим работы: Разовый доступ к удаленному компьютеру.
         (!) Доступно начиная с Vista, подключение к рабочему столу устаревших систем возможно лишь прежним способом.
         Ранее просмотр и управление рабочим столом удаленного компьютера было вспомогательной функцией при работе с удаленной системой.
         Для подключения требовались полномочия администратора или знание логина и пароля администратора удаленного компьютера и
         физическая возможность подключения к удаленному компьютеру.
         Новый режим работы похож на то, что предлагают всевозможные поделки для удаленного администрирования.
         o В этом режиме доступно: управление и просмотр рабочего стола, а также быстрый и надежный обмен файлами на пределе пропускной
           способности канала. (для сравнения RAdmin в гигабитной сети передает файлы более чем в 15 раз медленней чем uVS).
         o Передаваемые кадры теперь не только сжимаются, но и шифруются,  целостность передаваемых файлов защищена
           проверочным хэшем и шифрованием.
         o Подключение осуществляется без использования промежуточного сервера, т.е. это чистый P2P.
         o Подключение возможно к компьютеру за NAT при включенной у роутера опции uPNP.
         o Подключение возможно к компьютеру, где активирован VPN.
           (!) Подключение производится к реальному адресу роутера или адаптера компьютера с VPN, VPN канал полностью игнорируется.
         o Подключение возможно в обе стороны, т.е. из пары компьютеров требуется лишь 1 белый IP, направление подключения выбирается
           при начальной настройке.

         При запуске start.exe теперь вам доступны три новые кнопки:
         o Управление удаленным компьютером и обмен файлами.
           Эту кнопку нажимает тот кто хочет получить доступ к удаленному компьютеру, в открывшемся окне можно выбрать
           вариант подключения (см. ниже) и ввести код доступа полученный от того кто предоставляет доступ к компьютеру.
           Варианты подключения:
             o Соединение примет мой компьютер - в этом случае необходимо выбрать IP к которому будет подключаться другая
               сторона. При подключении через интернет следует выбирать белый IP адрес, если ваш компьютер за роутером
               и на нем активен NAT, то выбрать нужно именно его IP адрес. (адрес с пометкой [router]).
               Если роутер поддерживает uPNP, то этот адрес будет выбран по умолчанию.
               Если же в списке нет белых IP то вам следует выбрать другую опцию подключения.
               После выбора IP просто нажмите кнопку Старт и передайте одноразовый код доступа другой стороне.
               При подключении по локальной сети вы можете нажать кнопку "Все IP" и выбрать любой серый адрес для подключения.
               Поддерживается и IPv4 и IPv6.
               (!) Код доступа автоматически копируется в буфер обмена при нажатии кнопки "Старт".

             o Соединение установит мой компьютер - просто скопируйте код доступа в поле ввода или код там появится автоматически
               если вы его скопировали из мессенджера. После чего нажмите кнопку Старт и ожидайте подключения.

         o Разовый удаленный доступ к моему компьютеру [админ]
           (!)Пользователь должен обладать правами администратора или правами по запуску и установке служб.
           Эту кнопку нажимает тот кто хочет предоставить доступ к своему компьютеру, в открывшемся окне можно выбрать
           разрешения для другой стороны.
           Доступны 3 варианта:
             o  Управление     - доступно: мышь, клавиатура, просмотр экрана и обмен файлами.
             o  Просмотр       - доступно: просмотр экрана и обмен файлами.
             o  Обмен файлами  - доступно: обмен файлами.
           Это полнофункциональная версия удаленного рабочего стола uVS, с возможностью удаленного подтверждения
           запуска приложений от имени администратора и эмуляции нажатия Ctrl+Alt+Del.

         o Разовый удаленный доступ к моему компьютеру [не админ]
           Все тоже самое что и во 2-м случае, кроме удаленного подтверждения запуска приложений от имени администратора
           и эмуляции нажатия Ctrl+Alt+Del, дополнительно есть ограничение по использованию защищенных рабочих столов.

       o При работе с удаленным рабочим столом теперь доступна передача файлов и каталогов из буфера обмена в обе стороны.
         Что бы передать файлы или целые каталоги на удаленный компьютер, просто скопируйте их в буфер обмена и в окне
         удаленного рабочего стола нажмите кнопку со стрелкой вверх.
         Передача изображения автоматически отключится и откроется окно с логом передачи файлов.
         В заголовке окна лога вы увидите объем переданных данных и среднюю скорость передачи (с учетом чтения их с диска).
         По окончании передачи  файлов в лог будет выведена информации о времени передачи, количестве успешно переданных файлов и
         средней скорости передачи.
         Переданные файлы будут помещены в буфер обмена удаленной системы и вы сможете  вставить их из буфера
         в любой каталог или прямо на рабочий стол. При этом файлы переносятся из временного каталога.
         Если же вы не вставили файлы из буфера обмена то они останутся во временном каталоге C:\uVS_copyfiles\*
         точный путь до которого выводится в лог на удаленном компьютере.
         Что бы получить файлы проделайте обратную операцию: скопируйте файлы в буфер обмена на удаленном компьютере
         и нажмите кнопку со стрелкой вниз, по завершению передачи файлы будут помещены в буфер обмена вашего компьютера
         и вы можете перенести их в любую нужную папку.
         Таким образом обе стороны видят какие файлы и куда копируются и при этом максимально упрощается процесс копирования.
         (!) При закрытии окна лога передача файлов будет остановлена.
         (!) При разрыве соединения передача файлов будет автоматически продолжена после восстановления соединения,
         (!) при этом работает функция докачки, т.е. если ошибка произошла при передаче большого файла, то передача его
         (!) продолжится с последнего успешно полученного блока, т.е. блок будет заново.
         (!) Каждая передача файлов является независимой, т.е. нельзя прервать передачу и воспользоваться функцией докачки.
         (!) Проверка целостности файлов производится на лету вместе с его расшифровкой, таким образом достигается
         (!) максимально возможная скорость передачи примерно равная скорости копирования файлов по локальной сети системой.
         (!) При необходимости передачи большого количества мелких файлов рекомендуется поместить их в архив, это серьезно
         (!) сократит время передачи.
         (!) Состоянии кнопки CS никак не влияет на данный функционал.

       o Изменен приоритет протоколов: IPv4 теперь является приоритетным, как показали замеры в гигабитной локальной сети
         IPv4 позволяет достичь более высокой скорости передачи данных.

       o Добавлено шифрование сжатых кадров удаленного рабочего стола для повышения защиты передаваемой по сети информации.

       o В случае разрыва соединения повторное подключение происходит автоматически без запроса.

       o Снижен инпут лаг при работе с удаленным рабочим столом.

       o Обновлена функция синхронизации буфера обмена с удаленной системой: теперь поддерживается передача скриншотов
         в обе стороны.

       o Обновлена функция передачи движений мыши в удаленную систему.
         Теперь доступно управление с помощью движений мыши, которое используется в некоторых приложениях и играх. (если нажата кнопка MM)
         Если указатель мыши видим в удаленной системе то управление производится позиционированием указателя по расчетным координатам (как и раньше),
         в противном случае указатель скрывается в клиентской системе и передаются лишь движения мыши.
         При возникновении проблем с восстановлением видимости указателя вы всегда можете переключиться из окна удаленной рабочего стола по горячей
         клавише RWin.

       o uVS теперь при старте добавляется в исключения Ф и брандмауэра до выхода из uVS.

       o Теперь запоминаются размеры и режим отображения удаленного рабочего стола для каждого активного монитора.
         Кнопка 1:1 применяется автоматически при первом выборе монитора.
         Обработчик кнопки 1:1 обновлен, теперь размер окна рассчитывается с высокой точностью для новых систем,
         где размер окна включает в себя тень.

       o Добавлен выбор метода захвата экрана, доступно 3 варианта:
         o GDI -  медленный метод захвата экрана, но работает в любой удаленной системе, постоянный fps.
                  (единственный доступный метод для Win2k-Win7)

         o DDA1 - быстрый, работает начиная с Windows 8, максимальный коэффициент сжатия,
                  переменный fps в зависимости от экранной активности.
                  (!) рекомендуется использовать при ширине канала ниже 100Mbit, вместо DDA2.

         o DDA2 - очень быстрый метод сравнимый с захватом экрана с помощью mirror драйвера, но без использования драйвера,
                  работает начиная с Windows 8, низкий коэффициент сжатия, переменный fps в зависимости от экранной активности.
                  Способен захватывать видео с высоким fps (до 60) за счет упрощенного метода сжатия и обработки потока кадров.
                  (метод по умолчанию для Win8+, рекомендуется при значительной экранной активности).
                  (!) рекомендуется использовать при ширине канала не менее 100Mbit, при высоких разрешениях 1Gbit и выше
                  (!) из-за низкого коэффициента сжатия.
                  (!) При низкой экранной активности трафик до 10 раз больше чем у DDA1, при высокой - в 2 раза больше.
          
       o В окно удаленной рабочего стола добавлена кнопка "SYN" она замещает собой ручной выбора задержки захвата кадров.
         (отжатая кнопка соответствует нулевой задержке)
         Если кнопка нажата то задержка, а значит и максимальный fps ограничивается автоматически в соответствии
         с пропускной способностью канала, к сожалению это понижает максимальный fps и увеличивает инпут лаг,
         однако это полностью решает проблему, которой страдают даже лучшие программы удаленного управления
         при недостаточной ширине канала. Если канал слишком узок (10Mbit и менее) то при значительной
         экранной активности (оконное видео или анимация) происходит потеря управления удаленным рабочим столом
         из-за того что новые кадры отправляются в буфер значительно быстрее, чем клиентская машина успевает их получить и отобразить,
         в результате чего даже нажатия кнопок отображаются с задержкой в несколько секунд.
         Тоже самое будет наблюдаться в uVS в сходных условиях если кнопка SYN не нажата.
         Поэтому SYN не рекомендуется отключать при значительной активности в кадре и узком канале.
         Если канал 100Mbit и выше (локальная сеть), используется DDA2 то можно выключить SYN и это сильно поднимет fps и значительно уменьшит инпут лаг.
         Кнопка SYN по умолчанию нажата, состояние кнопки сохраняется при выходе из uVS.
         Выбранная цветовая битность теперь тоже сохраняется.

       o В окно удаленной рабочего стола добавлена кнопка "MR" она позволяет управлять указателем мыши из удаленной системы,
         Функция работает ЕСЛИ кнопка нажата И курсор находится в пределах окна удаленного рабочего стола И это окно активно.
         Функция предназначена для тех случаев когда человеку на том конце проще показать проблему чем описать ее словами.

       o Теперь клиентская часть uVS автоматически завершается если удаленная система перезагружается, выключается или завершается сеанс пользователя.
         (только если открыто окно удаленного рабочего стола)

       o Значительно увеличена скорость переключения мониторов, рабочих столов и смены разрешения монитора в DDA режиме.
         (!) Однако есть побочный эффект: если новый монитор будет подключен к удаленной системе пока открыто окно рабочего стола,
         (!) то для отображения картинки с этого монитора необходимо будет закрыть/открыть окно или повторно выбрать метод захвата экрана.

       o Добавлена поддержка браузера Microsoft Edge.

       o Обновлена функция чтения и удаления расширений браузеров: Chrome, Yandex, Edge.
         Добавлены сайты с включенными уведомлениями с указанием времени активации уведомлений.
         Из окна информации о расширении удалено поле Extension_homepageURL за бесполезностью.
         Мусор оставшийся от старых расширений помечается как "файл не найден" и будет удален при вызове функции удаления ссылок на
         отсутствующие файлы.

       o Контекстное меню в окне редактирования критериев теперь тоже использует выбранный размер шрифта.

       o Улучшена совместимость с системами с малым количеством оперативной памяти.

       o Исправлена функция захвата экрана в GDI режиме.

       o Исправлена ошибка в функции чтения защищенных файлов, в некоторых случаях функция не могла получить доступ к файлу.

       o Исправлена ошибка в функции смены рабочего стола

       o Исправлены ошибки инициализации COM.

       o Исправлена ошибка из-за которой из списка проверки выпало 2 ключа автозапуска.

       o Исправлена ошибка в функции отката изменений (Ctrl+Z) при работе с образом.

       o Исправлена ошибка повторной инициализации захвата экрана в случае если рабочий стол был переключен пользователем или системой
         до повторного открытия окна удаленного рабочего стола.

       o Исправлена ошибка при открытии окна информации о компьютере.
         Добавлена дата релиза биоса, исправлено отображение объема физической памяти, добавлена расшифровка типа памяти и условное обозначение
         ее производительности.

       o Добавлена возможность открывать ключ реестра в regedit-е двойным щелчком по строке в логе или
         через контекстное меню.
         (!) Недоступно при работе с образом автозапуска.
       
    • Ego Dekker
      Домашние антивирусы для Windows были обновлены до версии 18.0.12.
×