Пару недель назад лингвисты InfoWatch проводили вебинар, рассказывая о новых механизмах анализа, которые были внедрены в их Traffic Monitor. Со всеми этими ИБ-шными мероприятиями и концом квартала все руки не доходили написать, что же там такого они разработали. А разработали вещи, нужно признать, в ряде случаев весьма полезные.
Лирическое отступление
При использование DLP-системы, меня как оператора будут интересовать, в-первую очередь, 4 вещи:
1) что утекло (какая информация)
2) куда утекло (человек, организация)
3) от кого утекло (работник)
4) когда утекло
С пунктами 1-3, увы, многие DLP-системы работают вовсе не так, как хотелось бы (с 4-м, тьфу-тьфу, все справляются). Системы, зачастую, выдают ip-адреса, адреса электронной почты, номера асек.... там, где хотелось бы видеть имена и фамилии, организации и их статусы (напр. конкурент, клиент и т.п.). Но тут (в отношении получателя) - все сложно и, как минимум, требует большой ручной работы... Но должен же я сразу видеть - что утекло? Система, имхо, должна это понимать, иначе она становится просто... архивом трафика, по которому можно осуществлять поиск.
Во-вторых, меня будет интересовать - каким каналом утекло? почему утекло? ознакомлен ли работник, что нельзя такую информацию "утекать"? - эти вопросы не только к DLP-шке (даже больше не к ней).
И уже в последнюю очередь меня будет интересовать схема подключения, точки съема информации, особенности хранения данных и т.п.
Вендор же идет интересным путем, пытаясь продать свой продукт, аргументируя тем, что очень круто реализует наименее интересные мне вещи, рассказывая про гибридные хранилища, простой и удобный интерфейс, не требующих никаких знаний по ИБ (а я тогда зачем нужен?) и наикрутейшую скорость обработки больших объемов трафика. Здорово, отлично! - это огромный плюс. А теперь расскажите как мне контролировать утечки и искать негодяев!
Меня терзали одно время смутные сомнения, что механизмы анализа трафика являются тем секретом, который не принято раскрывать, дабы конкурент не скопировал. Потом была мысль, что механизмы-то в принципе везде одинаковы - "веса", "по маскам" и "фингерпринты" - зачем перемывать в сотый раз одни и те же кости... Но, как я ранее сказал, InfoWatch на вебинаре рассказал о своих новых фишках, которых у других вендеров не припомню, что уважения к продукту добавляет. Другой вопрос, что может быть не все из этого отлично реализовано (мало ли), но тем не менее:
1. Детектирование скан-копий паспортов
Если Ваша компания работает с кучей контрагентов, то неизменно будут встречаться в трафике всевозможные договора и доверенности, которые содержат паспортные данные уполномоченных лиц. А вот сканы паспортов, скорей всего, не должны. Соответственно, инструмент, который будет срабатывать на такую пересылку будет полезен.
2. Детектирование печатей и факсимиле
Если необходимо отлавливать в трафике подписанные договора - инструмент крайне полезен.
3. Детектирование заполненных форм
"Стандартные" механизмы - "веса", "по маскам" и "фингерпринты" - не позволят отличить заполненную анкету клиента от незаполненной. А незаполненные анкеты могут пачками высылаться клиентам. А вот после - аналогично анкете на допуск к ГТ - "по заполнению - секретно".
4. Детектирование фотографий пластиковых карт
Понятно, в каких организациях могут заинтересоваться этим механизмом
5. Детектирование выгрузок баз данных
Если остальные механизмы - частные, т.е. многим компаниям не понадобятся, то этот - выглядит весьма привлекательно для любой компании (не могу придумать такую, которой бы это не было интересно).
Суть - решаемой задачи. База может выгружаться в таблицу работником, который осуществляет с ней некоторые манипуляции в рамках бизнес-процессов. Информация из отдельных записей таблицы может легитимно отправляться в рамках бизнес-процессов. Каждый столбец (и некоторые совокупности столбцов) - не представляют никакого интереса. Но n-ное количество записей других совокупностей столбцов, при попадании не в те руки может серьезно навредить компании.
Например, есть таблица, в первом столбце имена сотрудников, во втором их должности, в третьем зарплаты. Первые два столбца - без третьего - никому не интересны. Первый или второй столбец - вместе с третьим, может вызвать когнитивный диссонанс у ряда работников компании, а значит эта информация может быть использована против компании.
Эпилог
Полагаю, та DLP-система будет в конечном итоге лидером рынка, которая лучше других сможет детектировать информацию, отправителей и получателей.
Есть еще некоторая надежда на эвристику - ряд вендоров DLP-систем сейчас делает упор на то, что они умеют находить аномальное поведение - необычно большой объем трафика от определенного пользователя, использование нетипичных каналов связи и т.д. Но основой должен оставаться именно "сигнатурный" анализ - мы от этого не уйдем - а вот вендор, забывший про это, уйдет с поля зрения заказчика, который будет использовать DLP-систему для предотвращения утечек.
Комментариев нет:
Отправить комментарий