Комментарии 47
SmartID — это что такое? Не слышал раньше.
зархивирую и запаролю папку документов
и все? нет защиты?
и все? нет защиты?
Просто заархивируете — найдет. Запаролите — уточню. Но DLP, прежде всего, защищает не от инсайдеров, а от утечек. От инсайдеров — нужно подключать дополнительные инструменты и службу безопасности.
В любом случае вы сможете снять документ прямо с экрана на телефон и вынести вместе с телефоном, ничего никуда не отправляя.
99% инцидентов проихсодят не из-за инсайдеров, а из-за тупых манагеров и секретарш, которым лень думать и чистить файлы перед отправкой по почте. Они просто отыслают внутренние документы непонятным внешним людям целиком, вместе со всеми так сказать «секретами» типа данных о клиентах. Цель системы — остановить именно их.
Я где-то читал, что Panasonic в 2000-каком-то году потерял 8 млрд долларов именно из-за подобной фигни, когда например на китайскую фабрику отправляются не просто чертежи, а полная документация по устройству, позволяющая китайцам выпустить это же устройство на рынок даже раньше самого панасоника.
99% инцидентов проихсодят не из-за инсайдеров, а из-за тупых манагеров и секретарш, которым лень думать и чистить файлы перед отправкой по почте. Они просто отыслают внутренние документы непонятным внешним людям целиком, вместе со всеми так сказать «секретами» типа данных о клиентах. Цель системы — остановить именно их.
Я где-то читал, что Panasonic в 2000-каком-то году потерял 8 млрд долларов именно из-за подобной фигни, когда например на китайскую фабрику отправляются не просто чертежи, а полная документация по устройству, позволяющая китайцам выпустить это же устройство на рынок даже раньше самого панасоника.
Есть и более продвинутые системы.
У нас в компании можно запаролить архив, зашифровать, наложить подпись и… найдет и не пропустит.
У нас в компании можно запаролить архив, зашифровать, наложить подпись и… найдет и не пропустит.
Извините, но это бред. Максимум — оно может блокировать вообще все запароленные архивы, как это делает гмейл.
Я сам был в шоке.
При отправке письма, обычного, если есть вложение с запрещающим тегом — оно его вырезает из письма, а письмо отправляет дальше.
При отправке заархивированного и запароленного — вырезает архив полностью и складывает в определенное место. При попытке открырь вложение из центра управления — все открылось, и показало содержимое.
Но когда мы запаролили и зашивровали pgp архив — система снова детектировала его, нам стало интересно и мы попытались его открыть, и о чудо, открыли. Весь отдел с неделю был в шоке. Потом у поставщика поинтересовались и успокоились.
При отправке письма, обычного, если есть вложение с запрещающим тегом — оно его вырезает из письма, а письмо отправляет дальше.
При отправке заархивированного и запароленного — вырезает архив полностью и складывает в определенное место. При попытке открырь вложение из центра управления — все открылось, и показало содержимое.
Но когда мы запаролили и зашивровали pgp архив — система снова детектировала его, нам стало интересно и мы попытались его открыть, и о чудо, открыли. Весь отдел с неделю был в шоке. Потом у поставщика поинтересовались и успокоились.
А если так?
Берем c random.org или /dev/random нужное количество байт, отправляем их по почте (это ж не запрещено? такое пропустит?). Потом ксорим эти байты с нужным нам файлом и результат отправляем следом.
Я не верю, что для системы эти два файла будут чем-то отличаться. И не верю, что она сама додумается их поксорить обратно.
Берем c random.org или /dev/random нужное количество байт, отправляем их по почте (это ж не запрещено? такое пропустит?). Потом ксорим эти байты с нужным нам файлом и результат отправляем следом.
Я не верю, что для системы эти два файла будут чем-то отличаться. И не верю, что она сама додумается их поксорить обратно.
Ну тут уже никакая система не уследит. Если надо будет украсть — украдут. Вместе с сервером украдут.
Я говорю о том, что есть инсрументы, которые на лету вскрывают ЛЮБУЮ стандартную систему шифрования и любые распространеные архивы (в том числе и запароленые). Можно конечно придумать экзотику, которую ни то что машина, человек не поймет. Конечно алгоритм обучаемый, можно настроить очень круто, если ресурсы позволяют. И ваш метод, если знать алгоритм, тоже вскрываем.
Тут дело все в очень простом условии. Все системы защиты и шифрования, согласно старндата, должны соответсвовать ряду критериев, чтобы получить официальный статус. Одно из таких требований — обеспечение целостности шифруемой информации. На практике это достигается путем создания аварийного (так называемого «реверсного») алгоритма, который составляет коммерческую тайну, и не поставляется вместе со средством шифрования.
В итоге получаем, что любой криптоконтейнер можно вскрыть с помошью «аварийного» ключа, который есть у разработчика или владельца технологии.
По крайней мере так обстоят дела со всеми, официально используемыми ныне на территории США, системами шифровагиями, архиваторами и протоколами передачи данных (например то-же клиптотоннель на безе каких нибудь ESP/3DES/HMAC/SHA* и т.д.). оборудование у нас все западное, следовательно алгоритмы тоже оттуда, следовательно… ну вы теперь поняли почему Медведев бъется за национальную ОС, ГЛОНАСС и т.д. — сузить по максимуму количество бэк-доров в гос. аппарате, а точнее в технологиях, которые в этом аппарате используются для обмена информацией.
Я говорю о том, что есть инсрументы, которые на лету вскрывают ЛЮБУЮ стандартную систему шифрования и любые распространеные архивы (в том числе и запароленые). Можно конечно придумать экзотику, которую ни то что машина, человек не поймет. Конечно алгоритм обучаемый, можно настроить очень круто, если ресурсы позволяют. И ваш метод, если знать алгоритм, тоже вскрываем.
Тут дело все в очень простом условии. Все системы защиты и шифрования, согласно старндата, должны соответсвовать ряду критериев, чтобы получить официальный статус. Одно из таких требований — обеспечение целостности шифруемой информации. На практике это достигается путем создания аварийного (так называемого «реверсного») алгоритма, который составляет коммерческую тайну, и не поставляется вместе со средством шифрования.
В итоге получаем, что любой криптоконтейнер можно вскрыть с помошью «аварийного» ключа, который есть у разработчика или владельца технологии.
По крайней мере так обстоят дела со всеми, официально используемыми ныне на территории США, системами шифровагиями, архиваторами и протоколами передачи данных (например то-же клиптотоннель на безе каких нибудь ESP/3DES/HMAC/SHA* и т.д.). оборудование у нас все западное, следовательно алгоритмы тоже оттуда, следовательно… ну вы теперь поняли почему Медведев бъется за национальную ОС, ГЛОНАСС и т.д. — сузить по максимуму количество бэк-доров в гос. аппарате, а точнее в технологиях, которые в этом аппарате используются для обмена информацией.
НЛО прилетело и опубликовало эту надпись здесь
Сначала изучите вопрос, а потом про тролей заикайтесь.
Я вот тут сижу и херню всякую от балды пишу, по Вашему?
В конце концов — живите как живете. Я тут ничего никому не обязан, но и делетантов, которых хлебом не корми, дай флажками помахать, тоже не намерен терпеть.
Если есть желание воочию увидеть — приезжайте — покажу без проблемм, потом и будете делать выводы.
Я вот тут сижу и херню всякую от балды пишу, по Вашему?
В конце концов — живите как живете. Я тут ничего никому не обязан, но и делетантов, которых хлебом не корми, дай флажками помахать, тоже не намерен терпеть.
Если есть желание воочию увидеть — приезжайте — покажу без проблемм, потом и будете делать выводы.
Интересно, как же взломать RSA? тому, кто знает как это сделать за приемлемое время, дадут много денег. (или скорее, убьют, т.к. раскрытие алгоритма взлома RSA ставит под угрозу множество каналов коммуникации)
Вы не поняли :)
а я тупо запомню и дома напишу на бумажке :)
Крайне трудно сделать систему которая позволит работать с данными но не позволит их украсть.
Наша же система пытается защитить от случайных утечек (перепутали документ при аттачменте, не знали что документ секретный), а также от примитивных способов.
Да, если настроить систему так что архивы с паролем не пропускаются, то дело в шляпе )
а я тупо запомню и дома напишу на бумажке :)
Крайне трудно сделать систему которая позволит работать с данными но не позволит их украсть.
Наша же система пытается защитить от случайных утечек (перепутали документ при аттачменте, не знали что документ секретный), а также от примитивных способов.
Да, если настроить систему так что архивы с паролем не пропускаются, то дело в шляпе )
а если я буду сливать всё на файлообменник с поддержкой https?
SSL — прокси в системе есть (или будет? точно не знаю). Это потребует беззаговорочного доверия нашему шлюзу. То есть при заходе на любой https сайт соединение будет подписано нашим (со шлюза) ключом. То есть соединение на шлюзе расшифровывается, а при передаче в интернет опять шифруется. Таким образом, шлюз имеет доступ к конфиденциальной информации.
Но на это согласны не все пользователи. Поэтому в параноидальных компаниях SSL можно просто запретить.
Но на это согласны не все пользователи. Поэтому в параноидальных компаниях SSL можно просто запретить.
IMHO
— нужно доп. функциональность — инструмент «подписывания» файлов, что бы каждый пользователь на местах сам определял ценность документа и блокировал его неавторизованную передачу
—
ну в общем идея для SOHO хорошая, но для корпоративного использования нехватает «плюшек»
— нужно доп. функциональность — инструмент «подписывания» файлов, что бы каждый пользователь на местах сам определял ценность документа и блокировал его неавторизованную передачу
—
ну в общем идея для SOHO хорошая, но для корпоративного использования нехватает «плюшек»
Вспоминаем сертифицированные в России криптопровайдеры.
Вспоминаем про поддержку ими не-Windows ОС.
Вспоминаем про любое шифрование поверх имеющегося.
И даже не поднимаем голову с локтя.
Юзкейсы утечки — это подписанный документ, случайно запакованный с остальными документами в запароленный архив,
отправленный через почтовый интерфейс с https, отправленный через туннель того-же крипто про, через любой впн с шифрованием.
Как здесь поможет шлюз?
Я уж про инструментарий молчу.
Вам если делать что-то такое, то централизованное, с модулями в Юзер-агенте, причем права у модулей должны быть — дай боже.
Вспоминаем про поддержку ими не-Windows ОС.
Вспоминаем про любое шифрование поверх имеющегося.
И даже не поднимаем голову с локтя.
Юзкейсы утечки — это подписанный документ, случайно запакованный с остальными документами в запароленный архив,
отправленный через почтовый интерфейс с https, отправленный через туннель того-же крипто про, через любой впн с шифрованием.
Как здесь поможет шлюз?
Я уж про инструментарий молчу.
Вам если делать что-то такое, то централизованное, с модулями в Юзер-агенте, причем права у модулей должны быть — дай боже.
А я поддерживаю, так как знаю, что Айдеко развивается очень хорошо, а значит скоро мы получим «плюшечки» к этому DLP-модулю :)
Не обманывайте потребителей: в том случае, если на предприятии USB порты заклеены голографическими наклейками (и Ethernet тоже), то отследить высылку конфиденциального XLS отчета в запароленном rar-архиве (рабочие места ведь не оставишь без архиватора) который в свою очередь отсылается по https НЕВОЗМОЖНО.
Вывод: Ваша система НЕ МОЖЕТ гарантировать отсутствие утечки информации. Но не обижайтесь и не расстраивайтесь- данная задача неразрешима в принципе. Если инсайдер (например менеджер среднего звена) по роду работы отсылает десятки писем в день и активно серфит — слив информации не определить.
Вывод: Ваша система НЕ МОЖЕТ гарантировать отсутствие утечки информации. Но не обижайтесь и не расстраивайтесь- данная задача неразрешима в принципе. Если инсайдер (например менеджер среднего звена) по роду работы отсылает десятки писем в день и активно серфит — слив информации не определить.
Если только инсайдер не ошибется…
Да, DLP не может гарантировать защиту от инсайдеров, это не его задача.
Что касается именно утечек: функционал будет наращиваться, это определенно, а текущий — обтачиваться.
Что касается именно утечек: функционал будет наращиваться, это определенно, а текущий — обтачиваться.
Это прямая задача данной системы (DLP), уважаемый.
Вы уж меня простите, но DLP на уровне шлюза — это не серьезно. Это даже DLP то назвать нельзя.
Я попробовал фаш продукт. Хороший шлюз, все в одном, многим будет полезен (да-да, это я связывался с поддержкой с вопросом о том, что под виртуалбоксом это не работает и ловит кернел-панику из за криво пересобранного ядра), но называть этот модуль DLP — не более чем маркетинговая уловка. Да есть какой-то функционал, который действительно может снизить вероятность утечки по одному из каналов, но коэффициент этот будет очень небольшой.
Применяемые алгоритмы не гарантируют ничего, кроме как сравнить известные форматы. Если бы у вас были эффективные алгоритмы, то поверьте мне — ваш модуль был бы «платиновым» и система стоила бы на порядки дороже.
Например, существует специальный продукт, в виде SDK, разработанный совместно с АНБ США. Продукт можно купить на определенных условиях и использовать в своих продуктах. Продукт содержит инструменты для мониторинга всех сертифицированных на территории США и Европы крипто-контейнеров, форматов и протоколов. Стоит, да, очень дорого.
Помимо передачи файлов на уровне сети еще есть такие каналы как дискетки, флэшки, компакт-диски, винчестеры, вай-фай, синезубы, принтеры и так далее.
DLP в истинном смысле — это инфраструктурные решения, которые должны определенным образом встраиваться и в систему, и в бизнес-процессы и учитывать и контролировать все возможные каналы утечек.
То что человек унесет сфотав на мобильный, запомнив и переписав на листочек дома и т.п. методы — это баловство, в промышленном шпионаже такие материалы никому не интересны. Нужны документы, чертежи, схемы — в общем ДОКУМЕНТЫ, а не бесполезные обрывки информации.
Я занимаюсь ИБ не первый год, и когда мы пришли к заключению, что нужно внедрять DLP систему — были переработаны и скорректированы бизнес-процессы, приведены в соответсвие все распорядительные документы и инструкции. Должным образом тегированные. И естественно было выбрано инфраструктурное решение, которое бы позволило контролировать движение документов и информации внутри компании на всех уровнях и предотвращать их утечку на всех уровнях.
Подобный функционал науровне шлюза не реализуем в принципе.
Не сочтите это за грубость или скорбление, понимаю что может быть неприятно от мною сказанного, но лично мне, как спецаилисту по ИБ очень режет глаза от подобного заявления. Заявление далеко от истинны, а модуль, по функционалу, далек от DLP в истинном его понимании, а подмена понятий — дело не благодарное и подобный ход может нанести ущерб и деловой репутации, и имиджу вашей компании. Компания у вас хорошая, делает хорошие продукты, но не нужно называть мерседесом и феррари очередные жигули.
Еще раз прошу прощения, если мой комментарий вызвал у Вас негативные эмоции.
PS Карма, чую, аминь
Вы уж меня простите, но DLP на уровне шлюза — это не серьезно. Это даже DLP то назвать нельзя.
Я попробовал фаш продукт. Хороший шлюз, все в одном, многим будет полезен (да-да, это я связывался с поддержкой с вопросом о том, что под виртуалбоксом это не работает и ловит кернел-панику из за криво пересобранного ядра), но называть этот модуль DLP — не более чем маркетинговая уловка. Да есть какой-то функционал, который действительно может снизить вероятность утечки по одному из каналов, но коэффициент этот будет очень небольшой.
Применяемые алгоритмы не гарантируют ничего, кроме как сравнить известные форматы. Если бы у вас были эффективные алгоритмы, то поверьте мне — ваш модуль был бы «платиновым» и система стоила бы на порядки дороже.
Например, существует специальный продукт, в виде SDK, разработанный совместно с АНБ США. Продукт можно купить на определенных условиях и использовать в своих продуктах. Продукт содержит инструменты для мониторинга всех сертифицированных на территории США и Европы крипто-контейнеров, форматов и протоколов. Стоит, да, очень дорого.
Помимо передачи файлов на уровне сети еще есть такие каналы как дискетки, флэшки, компакт-диски, винчестеры, вай-фай, синезубы, принтеры и так далее.
DLP в истинном смысле — это инфраструктурные решения, которые должны определенным образом встраиваться и в систему, и в бизнес-процессы и учитывать и контролировать все возможные каналы утечек.
То что человек унесет сфотав на мобильный, запомнив и переписав на листочек дома и т.п. методы — это баловство, в промышленном шпионаже такие материалы никому не интересны. Нужны документы, чертежи, схемы — в общем ДОКУМЕНТЫ, а не бесполезные обрывки информации.
Я занимаюсь ИБ не первый год, и когда мы пришли к заключению, что нужно внедрять DLP систему — были переработаны и скорректированы бизнес-процессы, приведены в соответсвие все распорядительные документы и инструкции. Должным образом тегированные. И естественно было выбрано инфраструктурное решение, которое бы позволило контролировать движение документов и информации внутри компании на всех уровнях и предотвращать их утечку на всех уровнях.
Подобный функционал науровне шлюза не реализуем в принципе.
Не сочтите это за грубость или скорбление, понимаю что может быть неприятно от мною сказанного, но лично мне, как спецаилисту по ИБ очень режет глаза от подобного заявления. Заявление далеко от истинны, а модуль, по функционалу, далек от DLP в истинном его понимании, а подмена понятий — дело не благодарное и подобный ход может нанести ущерб и деловой репутации, и имиджу вашей компании. Компания у вас хорошая, делает хорошие продукты, но не нужно называть мерседесом и феррари очередные жигули.
Еще раз прошу прощения, если мой комментарий вызвал у Вас негативные эмоции.
Сейчас это модуль, контролирующий интернет-канал. За который мы не берем денег (и в составе шлюза вряд ли будем в обозримом будущем). Его хорошо бы дополнить девайс-локом (благо, таких решений полно).
Он развивается и, благодаря вот таким развернутым комментариям, тоже. Москва не сразу строилась.
Спасибо.
Он развивается и, благодаря вот таким развернутым комментариям, тоже. Москва не сразу строилась.
Спасибо.
а можно намлоком на клаве намигать :)
можно через звуковую карту записать на диктофон через провод.
есть ещё средства для передачи информации через монитор — записываем видео на сотовый и дома преобразуем его в поток данных. На мониторе рисуется что-то вроде QR-кода.
Как на компьютере запустить такую программу? набить ее с листочка :) питоны и визуалбейсики рулят.
В общем, захочешь украсть — да не вопрос, достаточно ловкости рук и никакого мошеничества.
просто системы типа нашей пытаются предотвратить передачу хотя бы по сети, как наиболее простой способ кражи (или передачи) данных. любые другие способы требуют использование носителей информации.
можно через звуковую карту записать на диктофон через провод.
есть ещё средства для передачи информации через монитор — записываем видео на сотовый и дома преобразуем его в поток данных. На мониторе рисуется что-то вроде QR-кода.
Как на компьютере запустить такую программу? набить ее с листочка :) питоны и визуалбейсики рулят.
В общем, захочешь украсть — да не вопрос, достаточно ловкости рук и никакого мошеничества.
просто системы типа нашей пытаются предотвратить передачу хотя бы по сети, как наиболее простой способ кражи (или передачи) данных. любые другие способы требуют использование носителей информации.
Можно было привести ведущего разработчика в человческий вид перед съемкой. Побрить, отправить в парикмахескую, одеть рубашку.
зачем?
он обращается к себе подобным.
он обращается к себе подобным.
Разве можно доверять в таких вопросах программисту без бороды?
(с) bash.org.ru/quote/407466
(с) bash.org.ru/quote/407466
НЛО прилетело и опубликовало эту надпись здесь
сарказм? :) вы где-нибудь такое встречали? идеальных систем безопасности не будет до тех пор пока все касается людей. и еще — чем выше степень безопасности, тем менее удобна работа.
спрятать микрокассету с плёнкой в хм… ну вы поняли. не составит труда :) но работать на работе где проводят личный досмотр при выходе покурить, я бы не стал.
впрочем, выкинуть кассету из окна тоже можно. А ещё есть стеганография. Можно информацию кодировать даже в текстовом файле (вставлять то два то один пробел...[apt-cache show snowdrop]). распечатать этакий несекретный документ (или даже картинку) и вынести.
это ещё что. заправить картридж от принтера чернилами от маркера который светится в ультрафиолете и вынести пачку «чистой» бумаги.
впрочем, выкинуть кассету из окна тоже можно. А ещё есть стеганография. Можно информацию кодировать даже в текстовом файле (вставлять то два то один пробел...[apt-cache show snowdrop]). распечатать этакий несекретный документ (или даже картинку) и вынести.
это ещё что. заправить картридж от принтера чернилами от маркера который светится в ультрафиолете и вынести пачку «чистой» бумаги.
О! самый клёвый метод украсть данные! даже при личном досмотре :)))
Все помним рекламу Rexona: «Формула?! Где формула?!»
www.youtube.com/watch?v=aBccko2z6m8
Все помним рекламу Rexona: «Формула?! Где формула?!»
www.youtube.com/watch?v=aBccko2z6m8
Первый в мире? А Check Point, Perimetrix и прочие зубры уже не в счет? =)
«Мы зарелизили первый в России интернет-шлюз с модулем DLP. Может, вообще первый в мире» В России может и да, но не в мире…
www.cisco.com/en/US/docs/security/wsa/wsa7.1/release_notes/WSA_7.1.1_Release_Notes.pdf
И честно говоря продукт пока сырой и подходит разве что для малюсеньких фирм…
www.cisco.com/en/US/docs/security/wsa/wsa7.1/release_notes/WSA_7.1.1_Release_Notes.pdf
И честно говоря продукт пока сырой и подходит разве что для малюсеньких фирм…
И вообще для таких целей (DLP) лучше использовать Oracle IRM… а то что вы сделали это просто игрушка для админов малюсеньких фирм…
Вам для размышлений по поводу будущего функционала (Oracle IRM) www.youtube.com/watch?v=Xu0ahKVW5pQ
Вам для размышлений по поводу будущего функционала (Oracle IRM) www.youtube.com/watch?v=Xu0ahKVW5pQ
Зарегистрируйтесь на Хабре , чтобы оставить комментарий
DLP-модуль в интернет-шлюзе: как, зачем и почему?