voron289 15 авг 2018 в 19:33

Как мы внедряли DLP-систему в одном международном нефтегазовом холдинге

4 мин

5.1K

Информационная безопасность*Управление проектами*

Из песочницы

Комментарии 22

ildarz 15 авг 2018 в 21:05

Крайне любопытная история. Кто-то где-то внедрил нечто, выявил ряд проблем и провел соответствующие мероприятия. Несомненно, любой читатель хабра найдет для себя в этой подробнейшей статье массу интересных деталей.

saipr 15 авг 2018 в 22:22

Кто-то где-то внедрил нечто

Не утерпел, расскажу пару сдучаев из практике, свидетелем которых я был.
В первом случае в одной из госкорпораций пришел новый сотрудник и решил навести порядок в доступе к интернету, настроил по своему разумению межсетевой экран. Что тут началось, звонки где интернет — ответ интернет есть, но мы не видим ни одного аналитического сайта. Догадались? Этот сотрудник в силу своей испорченности посчитал, что надо запретить запросы, имеющие в корень "анал". Ему и в голову не пришло, что это прежде всего аналитика, а уж потом… С этого дня он больше в корпорации не числился
Второй случай произошел в Альметьевске. Там начальник (не помню как правильно называлась должность) службы информационной безопасности хвастался какую крутую штуку он купил (не буду называть) и что теперь ни одно "нехорошее письмо" не пройдет через нее. Я его спросил, а кто решает что и как? Я, — был гордый ответ. И в этот момент раздался звонок. Звонил вице-президент и спрашивал, в чем дело, ему как два дня отправили письмо, а он его до сих пор не получил. Надо было видеть этого человека. Спасло его то, что он нашел его в папке отбракованных писем. Его не уволили, но руки дрожали еще долго.

Были установлены модули съема информации

Так что с этим надо быть осторожным

voron289 16 авг 2018 в 12:58

Безусловно. DLP — серьезный инструмент и в кривых руках ущерб от него может быть катастрофический.
У меня тоже есть интересные конкретные кейсы из практики внедрения DLP.
Постараюсь сделать из них отдельную публикацию…

gecube 16 авг 2018 в 15:11

Интереснее видеть не success story, а истории провалов внедрений DLP (как выше было в комментариях) с выводами как их не допускать.

voron289 16 авг 2018 в 15:37

Понимаю.
Постараюсь написать!

Stas911 16 авг 2018 в 00:07

Особенно смешно было, когда в начале 2010х на одной из работ с параноидальной политикой безопасности и отключенными USB при подключении для зарядки телефона случайно обнаружил, что он вполне себе виделся виндой как медиаустройство, на которое в принципе можно было кинуть любые файлы с компа. Правда закрыли быстро дыру эту.

voron289 16 авг 2018 в 13:20

Конкретно в нашей системе мы имели возможность блокировать USB на передачу данных, но при этом оставлять порт активным в плане электричества. Не знаю, как более «инженерно» выразится…
То есть при подключении телефона он определялся в виндах как диск, но при клике на него ничего не происходило. Зарядка телефона при этом осуществлялась.

gecube 16 авг 2018 в 15:10

К DLP это отношения не имеет, а имеет скорее к политикам GPO.
Но это снижает эффективность работы порой в разы.

k3NGuru 16 авг 2018 в 06:31

А что за DLP система, конечно же секрет?

labyrinth 16 авг 2018 в 08:37

Ставлю на Infowatch. Рубрикатор — очень характерное для них словечко.

Пруф

Для создания БКФ сначала нужно составить ее структуру – рубрикатор или дерево контентных категорий. Такое дерево представляет собой иерархический список с категориями и под-категориями. Источник

И по малому количеству каналов можно предположить, что внедряли только Traffic Monitor.

voron289 16 авг 2018 в 13:26

Мало каналов — потому что кейс достаточно «старый». Новые каналы контроля появлялись как функциональность в продукте буквально каждый месяц.
И да, мы придумали Рубрикатор задолго до появления первого релиза Infowatch.

voron289 16 авг 2018 в 13:25

Ну не корректно было бы упоминать название, я давно не работаю в этом вендоре. Статья изначально задумывалась как эссе, сделана на базе написанной мной же «Истории успеха», когда я еще был продактом этой системы. Там естественно были все названия.

f1mishutka 16 авг 2018 в 07:11

На MicroOLAP Ethersensor вроде похоже.

voron289 16 авг 2018 в 13:27

О такой я вообще не слышал… Но я уже не слежу пристально за этим рынком. Переключился на криптографию.

perlestius 17 авг 2018 в 09:08

Основной целью проекта было повешение уровня безопасности бизнес-процессов компании

Забавно звучит

voron289 22 авг 2018 в 13:01

виноват… исправлюсь

zxweed 17 авг 2018 в 12:29

Обнаружены сотрудники, интересующиеся информацией о конкурентах и компроматом на собственную компанию. В их отношении проведены необходимые мероприятия.

этой какие, например? палкой их? за чтение статей, найденных по слову %companyname%?

voron289 22 авг 2018 в 13:06

Это нефтегаз, там была ну очень серьезная Служба безопасности. Такой гибрид ОПГ и КГБ!
С кем-то просто поговорили, сделали внушение, так сказать, о недопустимости такого поведения. Кого-то проводили под белы ручки с вещами на выход, и еще в дверях ускорения придали посредством воздействия ноги в казенном хромовом сапоге на филейную часть тела…

zxweed 23 авг 2018 в 14:39

официальная ОПГ — это, конечно, хорошо, ну а виноваты-то они в чём?

voron289 30 авг 2018 в 09:28

На тот момент еще ни в чем. Цель была — не довести до ситуации, когда деструктивные действия по отношению к компании уже совершены и есть виноватые…

zxweed 30 авг 2018 в 10:41

наказания за мыслепреступления в действии. Молодцы, чо…

Ещё, поди, и уволены «по собственному желанию»?

zxweed 30 авг 2018 в 10:40

уровнем комментария ошибся, перенёс

Зарегистрируйтесь на Хабре, чтобы оставить комментарий

Показать лучшие за всё время