Комментарии 62
НЛО прилетело и опубликовало эту надпись здесь
Читают рабочую, но на нее может прийти письмо с личной почты, верно?
НЛО прилетело и опубликовало эту надпись здесь
Этого совершенно не требуется. Очень мало людей действительно знают, что и как может быть перехвачено, а что — нет. Ещё меньше — что из этого действительно перехватывается работодателем. И параноиков, которые строго разделяют работу и дом, не так много (ну то есть таких, которые имеют полный комплект отдельного рабочего оборудования и соответствующим образом его изолируют от домашнего комплекта или наоборот).
Врядли DLP будут внедрять для удаленных сотрудников, а при работе из офиса разделять домашний и рабочий комп достаточно легко — домашний не дадут пронести в офис, а офисный — вынести домой :)
а офисный — вынести домойА что вы про рабочий ноутбук скажете? Я его с собой не беру, только если лень таскать.
Если вам дают выносить ноутбук, то скорее всего у вас нет доступа к защищаемой информации. Ну или ваша контора далека от того чтоб защищать чувствительную информацию либо ее нет вообще, такое тоже бывает, без контекста сложно судить.
У нас вот тоже маркетолог с служебным ноутбуком домой ходит, но ее презентации на харде ноута вовсе не секретные, наоборот публике массово демонстрируются.
У нас вот тоже маркетолог с служебным ноутбуком домой ходит, но ее презентации на харде ноута вовсе не секретные, наоборот публике массово демонстрируются.
Если вам дают выносить ноутбук, то скорее всего у вас нет доступа к защищаемой информации.Допустим, что есть. Другое дело, что многое в облаке (Outlook, Jira, Atlassian) и получить к этому доступ я могу свободно и с домашнего компа.
Ну или ваша контора далека от того чтоб защищать чувствительную информацию либо ее нет вообще, такое тоже бывает, без контекста сложно судить.Защищает, есть.
Не надо делать поспешных выводов.
С таким же успехом можно внедрить DLP только для компьютеров, IP-адрес которых не делится на семь. Да и с компьютерами не так просто — всё больше людей, у которых нет домашнего компьютера вообще, только смартфоны, а хочется ведь иногда посмотреть сериал на рабочем ноутбуке с экраном побольше, или распечатать те же билеты (скажем, в театр) на принтере на работе. На частных смартфонах ради удобства появляются рабочие мессенджеры и почтовые аккаунты.
Есть банки и прочие финансы, в которых физически разделены сети «рабочие» и «с доступом в интернет», и из дома там работать невозможно. Но их, опять же, не так много, и остальной «обычный» бизнес даже штатного ИТ-безопасника может не иметь.
Есть банки и прочие финансы, в которых физически разделены сети «рабочие» и «с доступом в интернет», и из дома там работать невозможно. Но их, опять же, не так много, и остальной «обычный» бизнес даже штатного ИТ-безопасника может не иметь.
Ну так их и ловят. Сфоткать на смартфон может сообразить не каждый
Сфоткать на смартфон может сообразить не каждыйГде то пробегало про внутрикорпоративные системы безопасности, которые шлют алярму каждый раз, когда камера наблюдения распознает образ человека, фоткающего экран своего компа.
Ну звучит круто конечно, а по факту камер не напасешься, чтоб на каждого сотрудника направить, не говоря о том чтоб купить и внедрить такую систему с распознаванием фотографов.
В общем верится слабо, проще смартфоны изымать на входе.
В общем верится слабо, проще смартфоны изымать на входе.
Если не ошибаюсь, в том решении использовались "вебки" рабочих станций. И, вроде бы, речь шла о банке, где денег на инфобезопасность жалеть не принято.
Там где умеют в инфобезопасность — там и фотографировать с экрана нечего, в инфосистемах звездочками частично закрыты телефоны, фамилии и прочая чувствительная инфа и стоит алярм — сколько раз в день можно открыть чувствительную информацию — зачем человеку листать ПД 200 человек если он больше 50 не сможет принять?
А там где денег не жалеют — там может и ставят вебкамеры на каждый комп, не это точно не про банки, там как раз умеют и инфобезопасность и деньги считать.
Сдается мне это какая-то маркетинговая лапша, узнает ли эта система человека в свитере с гоупро на фоне кресла? А если смартфон будет в чехле-медвежонке? совсем не факт.
Зачем ловить постфактум если можно просто не давать доступ, предоставляя для работы только необходимый объем информации
А там где денег не жалеют — там может и ставят вебкамеры на каждый комп, не это точно не про банки, там как раз умеют и инфобезопасность и деньги считать.
Сдается мне это какая-то маркетинговая лапша, узнает ли эта система человека в свитере с гоупро на фоне кресла? А если смартфон будет в чехле-медвежонке? совсем не факт.
Зачем ловить постфактум если можно просто не давать доступ, предоставляя для работы только необходимый объем информации
Проанализировав все действия дизайнера, служба безопасности установила, что сотрудник подделывал сканы документовТема не раскрыта. Расстреляли паршивца? :)
Не совсем :) Он отделался увольнением.
Странно что человека, подделывавшего паспорта, не наказали более строго.
Скажите прямо, почему пожалели? Это была мать-одиночка, она подделывала паспорта для получения талонов на бесплатное питание для своего малыша?
Скажите прямо, почему пожалели? Это была мать-одиночка, она подделывала паспорта для получения талонов на бесплатное питание для своего малыша?
Думаю, что все более прозаично: похоже, что история, если она реальная, продолжения не получила, толпы жертв с подделанными паспортами я в интернетах не видел, имя компании в скандалах не всплыло, а мошенник пойдёт работать в компанию конкурентов, где будет гадить им. Сплошные плюсы почти для всех.
Предположу, что менять картинки в скане — не подделка, а все остальное сложно предъявить
Заворачиваем все пересылаемые файлы в запароленный зип-архив — и алаверды.
Кстати, интересна реакция сотрудников на то, что вы читаете их личную переписку.
Кстати, интересна реакция сотрудников на то, что вы читаете их личную переписку.
зашифрованным архивам точно в почте нечего делать, алертим, а потом в дело вступает терморектальный криптоанализатор.
Куча способов, самый простой — пройтись по файлу XOR-ом и вместо чёткой картинки — мешанина. А билеты на корпорат. почту принимать — ващще верх глупости или непонимания ИМХО.
Они могли копаться в личной почте, в которую сотрудник заходил с рабочего компьютера.
Грубо говоря, зашел с рабочего компьютера в Яндекс.Музыку или Ютуб.Мьюсик — и привет, логин-пароль от твоей почты уже есть у работодателя (если он такое пожелал).
Грубо говоря, зашел с рабочего компьютера в Яндекс.Музыку или Ютуб.Мьюсик — и привет, логин-пароль от твоей почты уже есть у работодателя (если он такое пожелал).
и привет, логин-пароль от твоей почты уже есть у работодателяНе слишком хорошо разбираюсь в технологиях. А как на практике осуществить такой перехват? Если не кейлоггером, то как?
Тут уже говорили: подмена сертификатов сводит шифрование трафика на нет, а значит всё, что передается на страницах, передается прозрачно для работодателя.
И да, кейлоггеры в моей практике тоже попадались.
Посмотрите на скриншоты, там прям разделы «Логины и пароли», «Личная почта», «Логины и пароли почты», «Логины и пароли соц[сетей]» и т.п…
И да, кейлоггеры в моей практике тоже попадались.
Посмотрите на скриншоты, там прям разделы «Логины и пароли», «Личная почта», «Логины и пароли почты», «Логины и пароли соц[сетей]» и т.п…
Госсподи, тоже мне задачки. XORим зашифрованный архив со случайным файлом из C:\WINDOWS, кладём в TIFF-контейнер, посылаем, дома производим обратные операции.
Вообще, не будите нас, программистов, а то сейчас по мере того как Вы будете "А мы запретим TIFF пересылать и проч."
придумаем непробиваемую схему для выноса секретных документов
:)
Дописать пару байтов в начало архива и вряд ли алёрт сработает, наверняка, лениво ищут архивы по заголовку.
Можно так)
зашифрованным архивам точно в почте нечего делать,
Встречал «сесурити» ровно наоборот: любые подозрительные вложения (фото, документы, пдф-ки) блокировались местной системой безопасности. Если нужно было переслать, скажем, документ — вполне официально рекомендовалось завернуть его в зип-архив с паролем.
Крупный зарубежный банк, еслишто.
Вот кстати да, у нас это негласный стандарт корпоративной почты практически. Правда, не от хорошей жизни — к одному ящику зачастую доступ у кучи народа, и хз кто может твои документы увидеть.
Кстати, интересна реакция сотрудников на то, что вы читаете их личную переписку.Очевидно, читают переписку со служебного почтового ящика. Просто не у всех хватает толку вести личную переписку только с личного ящика.
И все же как технически происходит сканирование? DLP подключается к MS Exchange/Postfix/Exim и вытягивает оттуда письма? Хотелось бы подробнее про саму интеграцию узнать.
Это статья про интеграцию распознавания в DLP, врядли тут смогут рассказать о интеграции DLP в инфраструктуру.
С этим вопросом лучше к Касперскому, у них вроде что-то подобное я читал, правда не факт что на Хабре.
С этим вопросом лучше к Касперскому, у них вроде что-то подобное я читал, правда не факт что на Хабре.
DLP много они разные, я работал с теми, которые принимают зеркалированный трафик с WAN и оттуда уже разбирают его и HTTPS Inspection.
Есть разные схемы подключения. Две наиболее популярные: через интеграцию с корпоративным почтовиком и перехват с помощью агента. Теперь упрощённо по каждой схеме. При интеграции на почтовике создаётся ящик, куда правилами форвордятся копии всех писем (входящие и исходящие), а DLP периодически приходит и выгребает этот ящик. Перехват агентом происходит либо через подмену сертификата (можно сказать, что MITM), либо за счёт «плагина» к почтовому клиенту.
Насколько система действенна, если человек не посылает оные документы по почте, а копирует их на свою флэшку, или в облако (гугл драйв, яндекс диск), посылает через WhatsApp/Telegram?
Флешки заблокированы, а все облака-вацапы — это https, который в условиях домена можно запросто просматривать, внедрив свои сертификаты.
Не все.
Нормально она действенна, вон у меги вообще e2e шифрование, а еще банальный ssh есть на 443 порту.
Вобщем мораль — не пользуйтесь для этого корпоративной почтой и если у вас все так прослушивается, то еще проверяйте сертификаты дефолтного браузера. А тут просто дураков ловят.
Сам не сливал, но инструктировал.
Не скажу за всю Одессу, понятное дело. Скажу за «СёрчИнформ». Всё перечисленное перехватываем, анализируем. Кое-что можем и на лету блокировать даже, если надо. Облака контролируем и через веб-интерфейс, и через приложения (а-ля «яндекс.диск для ПК»). Мессенджеры контролируем на уровне веб- и десктоп-версий. Если мессенджер только на мобильнике и на корпоративном ПК не установлен, то нет, не контролируем.
что подтвердила и его дальнейшая переписка с HR конкурентов
HR сливает данные о кандидатах? Да ещё и конкурентам? Такую компанию надо обходить стороной, там серьезные проблемы.
Вообще такая параноя руководства компаний не вызывает ничего, кроме омерзения. Сотрудник ушел на больничный, на что, видимо, вполне законное право. Но они все равно нашли его авиабилеты, прочитали переписку и «подготовились к увольнению», да еще и представили это как достижение. Вы действительно считаете, что это повод для гордости?
Он обманул компанию, подделав больничный. Он сделал первый шаг, а не компания.
А если он лечиться летел?
Там тегами «нелояльные», «общение с уволенными» и пр. заскоками крепостного права компания сам 0й шаг сделала. Давайте поплачем за здравие барина, ага?
Компания, которая не пресекает подобные разговоры достаточно стремительно разваливается. Я был свидетелем подобного. А такие разговоры они есть и в успешных компания, на которые молятся.
Простите, а на каком основании компания может такие разговоры пресечь?
Без оснований, просто увольняешь подобных и всё. Хотите восстанавливаться через суд, сомневаюсь?
Без оснований, просто увольняешь подобных и всё.
У-у-у, сколько прекрасного о компании можно почерпнуть из одной короткой фразы! :)
— Раз увольняют в любое время — значит, не боятся выплат, положенных по ТК (ЕМНИП, 2 оклада минимум). Следовательно — или зарплатка серая, или в ходу схема «малая часть — оклад, остальное премия».
— Раз увольняют без оснований — значит, полное самодурство начальства, даже самого мелкого.
Ну и налицо отношение к работникам как к крупному нерогатому скоту.
И конечно же Вы считаете, что «после» == «по причине»? Мне меньше всего верится, что компания от разговоров развалится, мистер бесплатный адвокат на общественных началах.
No personal, just business
Откуда Вы знаете что там компания первой понаделала? Он не с бухты-барахты так ведь решил. К тому же, в дереве правил всякие названия типа «общение с уволенными», «обсуждение ЗП» и «нелояльные» говорят о конторе столько, что и спрашивать их точку зрения не надо уже.
Это ничего не говорит о компании. В любой компании от 10 найдётся один недовольный. Когда счёт идёт на сотни, их уже критическая масса для полоскания всего что происходит. Эти теги простой тупой и эффективный метод выявления таких людей. Конечно, каждый подобный недовольный думает, что он уникальный и он уйдёт максимально правильным образом. Но по факту для стороннего наблюдателя всё сведётся к этим тегам. Такова правда жизни.
Кстати, кто-то может подумать, что я защищаю подобные практики слежки. Ничего подобного, я в такой компании ни дня не буду работать. Но если человек соглашается на чтение своей переписки, то извините…
Кстати, кто-то может подумать, что я защищаю подобные практики слежки. Ничего подобного, я в такой компании ни дня не буду работать. Но если человек соглашается на чтение своей переписки, то извините…
со своей личной почты пересылал бывшим коллегам графические файлы. DLP-система обнаружила этот факт.
Лучше бы вы объяснили, каким образом вы незаметно смогли провести MITM-атаку на чужую личную почту, и как защииться от такой атаки.
Принципиально два подхода к такой атаке есть: интеграция в приложение и внедрение непосредственно в трафик. Вопрос был про второе. Задача агента – положить свой «правильный» сертификат в хранилище системы, чтобы ОС считала его доверенным. Агент мониторит, чтобы никто этот сертификат не выкинул из хранилища. В противном случае оперативно его туда копирует вновь. Понятно, что есть ресурсы, которые мониторят использование только своего сертификата. Такие ресурсы попадают в исключения в ручном и\или автоматическом режиме.
В этом случае сотрудник, чья анкета оказалась в чужих руках, мог пожаловаться в трудовую инспекцию, Роскомнадзор или рассказать об истории в социальных сетях.
Пожаловаться на то, что его анкета где-то всплыла? Анкета, причем, уникальная, которую он сдал в одном конкретном месте и как-то может это доказать. И еще усматривается умысел/небрежность именно у того юр.лица, кому он ее оставил, а не, например, у третьих лиц, коим имеется право анкету ту передавать. И никто из всех этих лиц не является, к примеру, силовиком.
Еще по итогам статьи, нет ни одного кейса, где подозревался бы сам СБшник. Они все белые?
Прекрасная тема, сложные дорогущие системы по противодействию, которые распознают ОТКРЫТЫЕ НЕ ЗАШИФРОВАННЫЕ файлы и тексты. Прекрасно. Теперь все знают. Напоминает ребят из роскомнадзора. Теперь остаётся запретить использовать в корпоративной среде шифрующие средства, например zip архиватор? Ну и до кучи противодействовать фотографированию мониторов.
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Как DLP-система и модуль OCR помешали сотрудникам подделывать сканы паспортов