Комментарии 13

1) распечатываем документ в pdf чтобы неиспользуемые символы шрифта были выброшены -> кодировка уникальная для документа -> без распознавания изображений вся технология бесполезна


2) делаем "принт скрин" из окна с кофиденциальной информацией


3) в полученном рисунке дополнительно производим трансформации -> результат а-ля капча. Распознавайте.


4) шифруем документ. А чтобы сбить энтропию подмешиваем 1% зашифрованных данных к 99% мусорных, в документы не представляющие ценности/открытые


5) пункт 2) для современных реалий. Фоткаем документ с эрана на смартфон.


ЗЫ: косинус угла от хрени, построенной на эвристиках (т.е. работающей не благодаря алгоритму а только лишь расставленным весам). Серьезно ???

я вообше не стараясь, за минуту, придумал 5 способов обойти ваше изобретение. Думаете атакующие так не сумеют, и будут совсем тупыми? или на что рассчет ?

1). В статье не говорилось, что лингвистический анализ — панацея от всех утечек.

2). Лингвистический анализ является важной технологией анализа, но одной из многих, применяемых в DLP вообще и в InfoWatch Traffic Monitor в частности.

3). Все 5 придуманных Вами способов не имеют отношения к технологиям лингвистического анализа. К тому же они давно знакомы любому мало-мальски грамотному безопаснику и при правильном применении DLP-системы ни один из этих способов не сработает.

4). И таки да — подавляющее большинство «атакующих» будут тупыми совсем или почти совсем. И с каждым годом рекорды тупости обновляются, ибо жертвы ЕГЭ отжигают по полной. А для очень небольшого количества умных (или считающих себя таковыми) существуют свои способы противодействия и выявления.
они давно знакомы любому мало-мальски грамотному безопаснику и при правильном применении DLP-системы ни один из этих способов не сработает.

оч.интересно. Как длп система остановит фото на мобильный

Остановить не остановит, но зафиксирует сам факт пересъемки, создаст соответствующее событие, может послать уведомление о зафиксированном факте безопаснику. Дальше немного аналитики и будет ясно что именно переснималось. В зависимости от этого либо игнорировать, либо поставить человека и его действия на контроль, либо принимать на проходной или за проходной.

И опять же не панацея, ибо есть много нюансов.

Нет никаких чудес, совсем.


  1. Задачи DLP на >80% сводятся к предотвращению случайных утечек, по невнимательности, халатности и т.п. Соответственно, если кто-то "преодолевает" DLP, то это уже умышленное преступление, и сам факт такой постановки вопроса останавливает >80% потенциальных "хакеров".


  2. Там где действительно нужна защита всегда применяют административно-технические меры:


    • тупо запрещают приносить и пользоваться "девайсами с камерами" и т.п.
    • на смартфоны ставится агент, который либо запрещает пользоваться камерой на территории предприятия, либо отправляет фото на анализ в DLP (распознавание текстов, печатей и т.п. у IW было еще 10 лет назад).
    • устанавливаются моноблоки с камерой, через которую машина следит за наличием в поле зрения чего-либо похожего на девайс с камерой (видел такое в PoC, но не в production).

Я был свидетелем случая, когда пытались слить одну химическую технологию. Поймала моя самописная защита, о которой почти никто не знал и которая работала в режиме «молча пишем логи». Поймали на факте получения доступа куда не следует. Но это была только часть плана. Подкупленные работники собирали образцы, фотографировали оборудвание, и т.д. Даже сумели сами какие-то скрипты написать, на windows scripting host. Да, на производстве с жёстким пропускным режимом, металлоискателем на входе, камерами, с зарезанными правами и т.д… Поэтому я твёрдо уверен, если захотят, то всё пронесут, сфоткают, и никакая DLP не поможет. Если у работника есть легальный доступ к документу — забудьте о его защите. Замотивированный и умный утащит, и ничего вы не узнаете.

А тут совсем смешные случаи приводятся. Даже не знаю, на кого рассчитаные. Правильная целенаправленная атака включает в себя сбор инфы. И обойдёт подобную «защиту» тривиально.
  1. Описанный вами кейс с "самописной защитой" соответствует штатному внедрению SIEM+DPL, т.е. SIEM плюс DLP в качестве дополнительного источника информации. Такая пара ловит гораздо больше и быстрее, но важно её правильно настроить и использовать (см. "пакеты экспертизы" от ptsecurity).
  2. DLP (как и SIEM) являются просто инструментами и не могут заметить службу безопасности и/или ФСБ. Но там где действительно требуется безопасность, всё эти инструменты применяются обязательно, вплоть до регулярного использования полиграфа.
  3. "В среднем по больнице" DLP (и SEIM) существенно уменьшают риски утечек/взломов, и именно в этой парадигме оценки рисков мыслят "безопасники" когда принимают решение о внедрении того или иного инструмента, включая стоимость и привносимые ограничения.
Добавлю.

Про агента. Если это не ваш смартфон (выданный вами и гаратировано имеющий все последние патчи безопасности) — забудьте. Ваш агент уже повержен. Кстати, ещё бывают смартфоны с камерами, но не андроид/iOS.

Про «было у IW 10 лет назад» — гораздо менее 10 лет назад у IW были прекраснейшие «фичи». Например, позволяющие непривилегированному юзеру по сети снести любой инстанс монитора. Или установить туда свой софт. Через кривую реализацию сетевого протокола.

чего-либо похожего на девайс с камерой

Растопыриваем пальцы и фоткаем через ладонь?
Суём телефон во что-нибудь? (мягкую игрушку, газету, и т.д.)
Фоткаем вне зоны видимости камеры? (очень близко к монитору, под большим углом, и т.д.)
Задачи DLP на >80% сводятся к предотвращению случайных утечек, по невнимательности, халатности и т.п.

Это задачи вчерашнего дня. Которые, правда, никто не отменял. DLP-системы уже давно выявляют или помогают выявлять и ухищренные утечки, и признаки корпоративного мошенничества, и проблемы кадровой безопасности, и прочая, и прочая, и прочая. Фактически, DLP-системы уже давно стали системами контроля компьютерных коммуникаций, а DLP-задачи только часть их возможностей.
Сам процесс фотографирования, конечно, не остановит, но если фото, к примеру, конфиденциального документа будет переслано по одному из защищаемых каналов, Система на это среагирует.
На самом деле, можно и сам процесс фотографирования если не остановить, то хотя бы выявить. Для этого есть специальные инструменты, которые могут офицеру безопасности показать, чем занимается пользователь на рабочем месте. И да, особенно подозрительно будет выглядеть фотографирование конфиденциалки через мягкую игрушку :)
Ну и не забываем, что, несмотря на расшифровку аббревиатуры, у DLP есть функции не только предотвращать утечки, но и помогать расследованию уже произошедших инцидентов. Тут можно и историю злодейчика проследить, и выявить его соучастников.
Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

Информация

Дата основания
Местоположение
Россия
Сайт
www.infowatch.ru
Численность
201–500 человек
Дата регистрации

Блог на Хабре