04.08.2009

Мементо неумышленник

Увидел у Swan'a тему про эффективность DLP и почему-то вспомнил, что давно хотел посетовать на бытующую у ИБ-шников привычку подменять эффективность защитной меры ее эффективностью против злоумышленника.

Стоит даже, к примеру, возникнуть дискуссии о почтовом дисклаймере, как тут же кто-нибудь материализуется с сенсационным разоблачением, что клавшему на всё негодяю оный проблем не создаст. Так-то оно так, кто ж спорит, но дальше на автомате делается вывод о его практической бесполезности, который неверен, ибо письма попадают не только к конченым мерзавцам, но и к вполне нормальным людям, часть которых может поступить с ними не лучшим образом вовсе не из злого умысла, а по ошибке или недомыслию, если им не подсказать. Отправители, кстати говоря, тоже бывает ошибаются - сам порой, нажимая "переслать" и видя автовпендюрившийся дисклаймер, спохватываюсь и вовремя ловлю себя на вложении избыточного контента, хотя проаварен по самое некуда, казалось бы.

Подавляющее большинство утечек, разбирательством по которым мне приходилось заниматься - непреднамеренные. Примерно девять из десяти. Преднамеренные, конечно, сложнее ловятся, но все равно их подавляемое меньшинство. Кто хочет получить подтверждение из исследований, публикуемых более или менее известными конторами в тех или иных своих интересах - тот найдет, но помогать не стану.

Вопрос:
Если ущерб от сведений, просочившихся в прессу (неправильно введенных, чистенько уничтоженных, etc.) в результате чьей-то глупости и в результате хитроумной шпиёнской комбинации, одинаков, и если первое встречается чаще, то какого лешего ИБ-шники единомышленно конструят и/или позиционируют свои тенеты именно на злоумышленника?

17 комментариев:

swan комментирует...

Нет, ну хотел же я в начале того поста написать, что DLP нужная штуковина и очень хорошо помогает реально смотреть на случайные утечки(которые к злоумышленникам могут не иметь никакого поношения). Хотя и от остальных слов не отказываюсь.
С тобой трудно не согласиться - хозяевам квартиры не все равно почему произошла протечка на кухне, но знать что она происходит, откуда она происходит и где может прорвать - первое дело !!!

swan комментирует...

Часто случается, что хорошая идея тонет из за желания внедрить ее для «решения всего» и сразу…

Ригель комментирует...

Не думаешь же ты, что я тебя в детском ляпе мог заподозрить - просто писал в каменте слово "эффективность", и вспомнилось.
На счет борьбы с причинами/следствиями тоже спасибо, что напомнил, а то вертелась у меня одна мыслишка ;))

swan комментирует...

Еще одна мысль пришла:
а можно ли использовать DLP для получения информации или для конкурентной разведки (тут Топоренко лучше бы разжевал...)

Например, хитрый админ так настраивает фильтры что получает четкую информацию или косвенную или прямую... Думаю можно настроить правила по цене контракта... делаем 10 фильтров с данными по контракту и форме стоимости от 0 до 100 000 от 100 000 до 150 000 и т.п. соответственно не читая письма с коммерческим предложением а по номеру сработавшего фильтра можно с заданной точностью получить ответ ?!...
Думаю теоретически такие "поиграться" возможны...

Ригель комментирует...

Даже из обыкновенной табуретки можно гнать самогон. Некоторые любят табуретовку (с)
;))

swan комментирует...

Табуретовка у нас в конторе - официальный напиток... :-) хотя кому и шипр-виски...

Насчет самопала - это надо Лукацкого спросить.. что там на западе получается выгоднее самопал из кучи разного использовать дешевле или единое решение покупать.

Алексей Лукацкий комментирует...

На Западе вопрос к контролю утечек очень неоднозначный. Эти средства скорее ловят неумышленных вредителей, чем серьезных преступников. Гораздо важнее выстраивать всю цепочку борьбы с утечкам, где технология - самый распоследний момент. Гораздо важнее security awareness, юрвопросы, процессы, процедуры легитимного расследования и т.п.

Ригель комментирует...

Просто в России большинство публикаций продавцы/производители генерят, а не практикующие ИБшники. Картина меняется, когда консалтеры до соответствующей области добираются, но до DLP они массово не скоро дойдут.

Алексей Лукацкий комментирует...

Наши консалтеры будут рассказывать про борьбу с умышленным инсайдом. Ибо аудитория у них - безопасники, коим, в массе своей, по барабану на неумышленные утечки - они не считают это своей проблемой. А консалтеры будут рассказывать то, что нравится заказчику ;-( Нужны именно практикующие грамотные ИБшники, а у нас их мало. А тех, кто хочет писать еще меньше. А тех, кто может писать совсем единицы ;-(

Ригель комментирует...

Если кого-то где-то единицы - это замечательно, т.к. при известных исключениях можно вывести правило.

Практикующим безопасникам писать большие форматы неинтересно, ибо времени много надо. Кому это для заработка - тот и старается, а им семья дороже. Поэтому ИБ-периодика заполнена тем, кем заполнена - вендоры, консалтеры и юношество. Плюс те единицы, о которых ты говоришь.

Для тех форматов, которые практики могут писать, площадка нужна.

Анонимный комментирует...

Может вопрос несовсем кстати-как DLP может помочь с инсайдом на бирже фондовой? Можно ли с помошью технических средств защиты предотвратить "слив" информации, влияющей на курс акций?

Ригель комментирует...

Для Анонимного:

Очень даже нормальный вопрос! Технические средства защиты могут предотвратить слив а) по техническим каналам; и б) если их вдумчиво настроить. Нужные Вам специалисты тусуются вон тут.

Анонимный комментирует...

Для Ригеля, спасибо за ответ.
Вдумчиво(как это?) настроив, можно предотвратить только инсайд электронный, а как быть с инсайдом по телефону(рабочему, моблильному)?

Ригель комментирует...

А с утечками такого объема вообще бесполезно техсредствами бороться, т.к. такую компактную информацию можно даже в голове или на клочке бумаги вынести. Увы.

swan комментирует...

Хотел перефразировать на ИБ но подумал и оставил как есть:

"Я вспоминаю старые добрые времена и те убийцы, душегубы, потрошители кажутся мне невинными младенцами, наивными овечками рядом с волками, с которыми мы познакомились в последнее время. Можно украсть милион или убить богатого дядюшку... это я могу понять... Но как понять какого-нибудь высокопоставленного негодяя, который ради частной наживы толкает свой народ к войне!"

(с) Доктор Ватсон.Приключения Шерлока Холмса и доктора Ватсона: Двадцатый(21 ?) век начинается

bothsider комментирует...

А если не секрет, какие DLP лучше всего приспособлены для борьбы именно со злоумышленниками, а не со случайными утечками?

bothsider комментирует...

А если не секрет, какие DLP лучше всего приспособлены для борьбы именно со злоумышленниками, а не со случайными утечками?

Отправить комментарий