Небольшая преамбула: утечка и плагиат разработок – это действительно очень актуальная проблема для инженерных организаций.
Для многих заказчиков важным критерием является наличие у компании выполненных проектов, согласованных всеми инстанциями и находящихся в эксплуатации. Весь долгий и сложный проектный цикл эти решения уже прошли, и соответствующая электронная инженерная документация находится в регулярном использовании. Ценность таких активов практически не снижается со временем, потому что согласованные инженерные решения могут адаптироваться для новых проектов. Такие данные мы далее будем называть инженерные данные первостепенной важности.
В проектных бюро широко используются технологии цифровых прототипов и информационного моделирования, которые «приводят к одному знаменателю» инженерные данные. Интеграция инженерных разделов с помощью специализированных программных CAD/CAE/CAM/BIM-сред позволяет различным узким специалистам совместно работать над проектами и быстро выстраивать совместные решения.
Но, разумеется, все эти плюсы несут с собой один большой минус – человеческий фактор. В первую очередь, инженерные компании подвергаются риску утечек проектной информации, потому что собственные сотрудники лучше, чем кто бы то ни было, знают о ценности тех или иных разработок.
Регламентированный обмен данными в «средних» и «тяжелых» средах проектирования имеет высокую степень защищенности, но жизненный цикл проекта не позволяет избежать передачи информации за периметр. Аутсорсинг, обмен данными с подрядчиками, участие в конкурсах, согласование в различных инстанциях – все эти процессы настолько же неизбежны, насколько и небезопасны.
Данные передаются стандартными методами (по почте, сетевым ресурсам, через съемные носители), что создает достаточные условия для случайной или намеренной утечки. Разумеется, DLP-системы (от Data Leakage Prevention – предотвращение утечек данных) эти каналы давно и успешно контролируют, но проблема состоит в том, что собственно предотвращение почти никто не осуществляет.
Строго говоря, предотвращение утечки возможно в двух случаях:
- Компания ставит DLP-систему «в разрыв», и каждое подозрительное действие блокируется до проверки безопасником. Обеспечивает высокий уровень безопасности ценной информации, но замедляет все процессы в компании настолько, что иногда бизнес теряет на этом «побочном эффекте» больше, чем потерял бы от утечки информации. Например, в случае ложноположительного срабатывания письмо, направленное вовне, будет «висеть» и ждать, пока безопасник разрешит отправку.
- DLP-система формирует профили стандартного поведения сотрудников, чтобы потом иметь возможность детектировать аномалии. Это более сложный путь, который, во-первых, не все вендоры могут обеспечить с технологической точки зрения; во-вторых, не каждый заказчик готов платить за глубокую аналитику.
Теперь перейду собственно к истории: компания, занимающаяся проектированием и строительством высотных зданий и комплексов, стала получать от партнеров информацию о том, что в различных тендерах появляется проектная документация, полностью копирующая ее разработки. Очевидно было, что кто-то из сотрудников «сливает» проекты конкурентам, а те впоследствии выдают их за собственные на конкурсах.
Технически вводные были таковы: инженеры компании работают в едином информационном пространстве САПР-решений и применяют средства автоматизированного управления инженерными проектами: согласование, заимствование, стадийность. Помимо электронного архива имеется архив с бумажными копиями. В организации работает DLP-решение, которое контролирует SMTP(S)-, IMAP/POP3- и HTTP(S)-трафик, а также запускаемые приложения, съемные носители и периферийные устройства.
Согласно отчетам DLP, инженерная документация уходила по нескольким условно подозрительным маршрутам – на почтовые ящики на публичных почтовых сервисах. Однако эти адреса были абсолютно безликими и могли принадлежать кому угодно. Компания же хотела выяснить, кому конкретно сливают документацию, и главное – поймать конкурентов с поличным.
Мы оказались перед довольно сложной задачей: необходимо было выявить недобросовестного конкурента, доказать факт плагиата, а компания-клиент при этом должна быть защищена от возможных рисков при столкновении с таким плагиатом в тендере.
Специально для этого был придуман простой, но, как оказалось, эффективный ход. Мы создали технологию, которую назвали реконструкцией данных, и которая позволяет модифицировать или удалить передаваемую информацию (или ее часть) перед отправкой получателю.
Как это работает
Для применения технологии в компании необходимо было провести ряд мероприятий. На первом этапе мы определили, какие данные подвержены наибольшему риску плагиата на текущий момент. Это были проекты, находящиеся на стадии конкурсных процедур, инженерные данные первостепенной важности.
Вторым шагом стало составление списка сотрудников, имеющих доступ к инженерным разработкам, которые конкуренты могли бы скопировать и использовать в своих целях. Эти сотрудники составили круг лиц «под подозрением», т.е. такую группу, к которой система автоматически применяет более строгие политики безопасности.
На третьем этапе был сформирован круг получателей, попадающих под подозрение. И, наконец, были определены наиболее вероятные критичные каналы, по которым могла передаваться защищаемая информация.
В результате формируется цепочка областей повышенного риска:
Персоны под подозрением > Инженерные данные первостепенной важности > Критичные каналы коммуникации > Получатели
На пересечении этих областей и находится совокупность тех случаев, когда риск утечки и последующего плагиата многократно повышается. В этих случаях DLP-система реконструировала данные.
DLP-система автоматически фиксирует случаи на пересечении этих областей и производит замену исходных данных модифицированной версией.
В принципе, технология может быть реализована в нескольких вариантах:
- добавление характерных признаков (объектов чертежей, деталей, переименование отдельных элементов) без деформации исходных данных;
- частичная трансформация данных (замена, удаление);
- частичная трансформация данных (замена, удаление) плюс добавление предупреждений о том, что получатель принимает непригодные (модифицированные) данные.
Дисклеймер: не пытайтесь повторить это дома! Внедрение технологии должно проводиться с привлечением специалистов-инженеров и требуют согласования с руководством.
Первая процедура — по сути «псевдоэлектронная подпись» может быть использована для того, чтобы доказать, что используемые конкурентами данные являются плагиатом разработки вашей компании.
Вторая вместе с выявлением плагиата делает невозможным использование инженерных решений. Поэтому здесь нужно иметь определенную уверенность в том, что изменения не затронут важный бизнес-процесс.
Например, не занятый в проекте специалист передает информацию по личной почте получателю, который не относится к числу контрагентов проекта. Иногда условием таких модификаций должна являться их незаметность для внешнего пользователя.
В иных ситуациях можно уведомлять получателя о непригодности данных с помощью автоматической вставки в файлы специальных предупреждений.
Эффект
В нашем случае компания выбрала второй вариант и использовала простой и визуально незаметный поворот некоторых объектов (например, нескольких зданий в проекте микрорайона) либо удаление коммуникаций в объектах постройки на чертежах.
Уже через три месяца на одном из конкурсов заказчик оказался лицом к лицу с конкурентом, представивших пакет документов и чертежей, визуально неотличимых от подаваемых самой компанией. Здесь и сыграла наш метод. Во-первых, данные, поданные конкурентом, были непригодными для реализации, и документация была снята с конкурса. Во-вторых, компания смогла доказать факт плагиата, и конкуренты понесли серьезный ущерб; репутация в данной сфере – важный актив.
Расследование показало, что модифицированные данные попадали компании конкуренту от руководящего инженера, не задействованного в проекте конкурса, но имевшего к нему доступ. Сотрудник был уволен.
Заключение
Метод реконструкции данных может быть очень эффективен на ранних сроках внедрения DLP-решения, когда еще идет выстраивание политик безопасности, которые способны удерживать баланс между удобством и безопасностью, влиянием на бизнес-процессы и защитой чувствительных данных. В зависимости от сфер деятельности и технологий проектирования, метод может иметь разные реализации. Он особенно актуален для инженерных отраслей: промышленного и точного машиностроения, авиастроения, химического производства, разработки электроники и т.п.
Метод достаточно прост и позволяет решить целый ряд задач, нивелируя негативные последствия утечки, даже если она произойдет. Однако надо помнить, что он не является финальной точкой в проекте. Результатом внедрения должен стать комплекс организационных и технических мер, подходящих конкретному заказчику.
Благодарю Solar-Alex за помощь в подготовке статьи.
Комментарии (28)
disakov
18.10.2016 17:25Из моего небольшого опыта работы с DLP, у меня сложилось весьма гаденькое впечатление об этих продуктах. Они больше для подглядывания и разнюхивания, чем реальной безопасности. Вроде по закону должны предупреждать о том, что ведется контроль, а по факту используют втихушку злоупотребляя. Думаю, что умный инсайдер украдет и унесет в любом случае.
atelenga
18.10.2016 17:46+1Для защиты от инсайдера у хорошего безопасника должна быть сеть агентуры внутри компании. Только лишь техническими средствами задачу ЗИ не решить.
zenkz
18.10.2016 17:50Неужели потенциальная кража информации нанесёт компании больший вред, чем атмосфера стукачества в коллективе из-за которой большинство толковых специалистов просто уйдёт из компании? Мне кажется, что в дружном коллективе никто просто не станет красть информацию, потому что это предательство, а вот в описанном вами параноидальном варианте — как раз наоборот. Запретный плод всегда сладок…
disakov
18.10.2016 17:55А еще украсть может захотется чисто из спортивного принципа, кто умнее. Про сеть — согласен, что эффективно, но это надо уметь. А вот почитывать чужие сообщения и снимок банк-клиента делать ума много не надо. А потом обязательно хвастаться или пугать.
К слову, DLP может активно использоваться, но нужно предупреждать и объяснять.
atelenga
19.10.2016 08:58Первая заповедь безопасности: никакие системы защиты информации не могут стоить больше, чем сама информация. (Правда, некоторые интеграторы так не думают :)) Поэтому DLP обычно ставят там, где утечка информации может нанести очень большой вред. Кроме того, не забывайте про требования законодательства РФ в сфере ЗИ: ответственность за передачу информации конфиденциального характера в электронном виде по открытым каналам связи без использования СКЗИ у нас прописана в КоАП.
Вторая заповедь: все лгут. Самый дружный и сплочённый коллектив может очень быстро превратиться в банку с пауками. История знает множество примеров, когда лучшие друзья становились непримиримыми врагами из-за должности, денег, даже простого признания заслуг…
Защита информации на 75% состоит из работы с людьми. И это не «атмосфера стукачества», как вы выразились, которая на самоме деле только мешает работе, а нормальные человеческие отношения, когда нет ничего предосудительного в предупреждении о возникшей напряженности в коллективе,disakov
19.10.2016 15:58У меня нет проблем с работой данного решени, если все сделано в рамках закона. Варианты обхода тоже ясны. У меня вызывает отвращение то, как это зачастую используется. В больших конторах типа Амазона говорят так: «Делайте, что хотите в рамках закона. На конфиденциальность не надо рассчитывать». Все честно, предупредили.
Про «атмосферу стукачества» сказал не я, но вроде у нас в России любое обращение к начальству с такой информацией вызовет агрессию в коллективе. Европейцы считают, что так Вам реально помогли. На карьерный рост не влияет.
Sphinxspb
19.10.2016 12:28+1DLP — это инструмент. Его можно использовать как для обеспечения безопасности, так и для «подглядывания и разнюхивания», хотя второй вариант тоже может быть во благо компании. Всё зависит от желаний, возможностей и компетенции того, кому эти инструменты выданы.
По закону должны предупреждать, и во многих компаниях предупреждают (среди кипы корпоративных регламентов и инструкций), что на работе необходимо работать, все предоставляемые ресурсы (пк, интернет, почта) — корпоративные, выданы для работы, а использование корпоративных ресурсов может быть проанализировано автоматикой или человеком. И это вполне справедливо.
Кстати, не так давно была новость о том, что ЕСПЧ подтвердил право работодателей контролировать рабочие ресурсы, если правила «игры» регламентированы.
http://www.bbc.com/russian/news/2016/01/160113_echr_employees_private_messages
И да, как итог: само понимание, что все деяния могут быть записаны и проанализированы, что за них может последовать ответная реакция, повышает дисциплину, снижает риски и повышает уровень ИБ.
Бонусом: DLP может в некоторых случаях предотвратить неумышленные утечки информации.
p.s. работал и в ИБ, и в классической СБ.
upd: оформлениеdisakov
19.10.2016 16:03Спасибо за ответ. Все Ваши пункты понравились кроме
так и для «подглядывания и разнюхивания», хотя второй вариант тоже может быть во благо компании.
Разнюхивать не выйдет, если человек предупрежден и не дурак. А вот скрытое наблюдение «без правил» мягко говоря неэтично, хоть во благо компании, хоть нет.Sphinxspb
19.10.2016 16:421. Результат диалога сильно зависит от того, что каждый вкладывает в эти слова.
Поэтому не будет углубляться.
2. Про игру без правил — согласен, не считаю это правильным. Что интересно, описание правил — в интересах работника службы безопасности в первую очередь, т.к.:
— деятельность зачастую «на грани фола» и безопасник достаточно сильно рискует, если его мероприятия ни на чём не основаны;
— если не описано в документах, то уменьшается и сам эффект от мероприятий для компании (т.к. спрос с работника минимален — он ни под чем не подписывался, а также если всё разъяснено, то косячат меньше).
Поэтому скрытое наблюдение «без правил» не очень полезно и эффективно для компании.
3. А вопрос этики безопасников — он довольно расплывчатый, как и у некоторых других профессий.
Поэтому безопасников надо подбирать тщательно, т.к. риски для компании велики.
sbnur
18.10.2016 17:30Любая защита может снята самым простым или неожиданным способом — например, на уровне не наложения защиты — никто не застрахован от предателдьства на любом уровне (примеров масса).
В науке плагиат контролируется отрытой публикацией в научных изданиях и регулярным участием в научных конференциях.
В изобретательстве — патентованием
И так далее
Все остальное — это защита (даже платная) от известных вирусов — греет душу, но не защищает от зараженияSphinxspb
19.10.2016 16:44Цель любых мероприятий по защите — снижение рисков до приемлемого уровня, а то знаете ли, наиболее защищён от вирусов ПК, выключенный из розетки :)
sbnur
19.10.2016 16:54речь идет не о защите от вирусов, а о защите от плагиата — пообщайтесь с представителями первой экономики мира — они вам многое раскажут про плагиат
Sphinxspb
19.10.2016 17:16офтопНе ясно, что именно Вы хотите сообщить / подтвердить / опровергнуть, поэтому не имею возможности с Вами не согласиться.
SmirnovLX
18.10.2016 18:03Если бы я получил такие данные, то всё-таки проанализировал их и перепроверил и уж явно не стал бы использовать и показывать кому-либо оригиналы полученные извне.
Свежо предание, а верится с трудом (с)
Нет, не придумали вы еще методов против Кости Сапрыкина…
Жеглов мрачно молчал всю дорогу и, когда уже показалось отделение милиции, сказал ему тусклым невыразительным голосом:
— Есть против тебя, Кирпич, методы. Есть, ты зря волнуешься…(с)
Получается что DLP системы — это защита «от дурака». А если проявить смекалку, то данные всегда можно украсть…
И сотни компаний, разрабатывающие, производящие, устанавливающие и обслуживающие усиленные металлические двери с замками повышенной сложности, по Вашей логике тоже ставят «защиту от дураков». Т.к. если проявить смекалку, то любую входную дверь в квартиру можно вскрыть, как консервную банку.
Тогда зачем Вам входная дверь в Вашу квартиру, замки на ней да ключи от них?zenkz
18.10.2016 18:18Очень люблю комментарии, где в качестве аргумента используется «пример из жизни», абсолютно не связанный с темой разговора!
Железные двери используются для того, чтобы усложнить злоумышленнику проникнуть в квартиру (т.е. если рядом будет дверь попроще, то он может решить взломать её, а не вашу). Если же грабитель действует по наводке (как в примере с проектом микрорайона из статьи), то никакая «железная дверь» вас не спасёт. И да, у меня дома тонкая фанерная дверь всего с одним замком (Издержки жизни в западной стране).
Т.е. основная цель DLP — это защита от случайных утечек и мести сотрудников, но никак не от «заказа».SmirnovLX
18.10.2016 19:24+1Очень люблю комментарии, где в качестве аргумента используется «пример из жизни», абсолютно не связанный с темой разговора!
Давайте с аргументами «из жизни» — их есть у меня. За дцать лет работы в коммерческой безопасности накопилось. А у Вас?
Железные двери используются для того, чтобы усложнить злоумышленнику проникнуть в квартиру (т.е. если рядом будет дверь попроще, то он может решить взломать её, а не вашу). Если же грабитель действует по наводке (как в примере с проектом микрорайона из статьи), то никакая «железная дверь» вас не спасёт.
Вы путаете теплое и мягкое.
1). Задача «железной» двери не «усложнить проникнуть в квартиру», а снизить вероятность квартирной кражи или вообще предотвратить её. Почувствуйте разницу (с) Если, конечно же, сможете.
2). Чем сложнее дверь — естественно, до определенного предела сложности, — тем меньше вероятность квартирной кражи.
3). Для того, чтобы эффективно использовать «наводку» должен ряд звезд на небе сойтись — квалификация вора, наличие соответствующего воровского инструмента, отсутствие любопытных соседей, наличие удобных путей отхода и т.д., и т.п. Не говоря уже о том, что достоверность «наводки» проверять надо.
Поэтому рассказки о том, что «хата по наводке выставляется всегда и при любых раскладах» — это в ясельную группу детского сада.
4). Люди, которые ставят серьезные металлические двери, как правило, задумываются о своей безопасности и готовы за неё платить. Поэтому «правильная» дверь — это только один из «рубежей обороны». И её стойкость к различным воздействиям определяется не как абсолютное противодействие абстрактному вору супер-пупер квалификации за неограниченное время при вымерших соседях…
Например, сигнализация без серьезной металлической двери не защищает квартиру от т.н. «рывка» — выдавили домкратом за 30 секунд дверь вместе с косяком, две-три минуты на шмон по наиболее вероятным местам хранения ценностей и ходу, ходу, ходу. Пока экипаж не приехал. Совокупность сигнализации и «правильной» двери уже не дает совершить «рывок» через входную дверь.
И да, у меня дома тонкая фанерная дверь всего с одним замком (Издержки жизни в западной стране).
Не расстраивайтесь! В каждой стране есть богатые и бедные. Когда разбогатеете, Вам рады будут установить прекрасную дверь тысячи западных компаний, специализирующихся десятки лет в этой области.
Т.е. основная цель DLP — это защита от случайных утечек и мести сотрудников, но никак не от «заказа».
DLP является одной из систем современной корпоративной безопасности. Никакая система не дает 100% гарантии. Даже комплекс систем не дает таких гарантий — иначе «кроты» бы перевелись если не во всем мире, то уж в развитых странах точно.
Но DLP нового поколения вполне себе надежно решают следующие основные задачи корпоративной безопасности:
— защита информации;
— профилирование сотрудников и контрагентов;
— своевременное выявление групп риска;
— прогнозирование нарушений вообще и утечек в частности;
— минимизация и даже полная локализация последствий утечек;
— выявление признаков корпоративного фрода;
— получение доказательной базы;
и т.д., и т.п.zenkz
18.10.2016 20:09Спасибо. Очень интересно!
Как раз и пытался выъяснить насколько DLP-системы полезны для организаций и какие плюсы и минусы у них есть.
Всё-таки безопасность предприятия — это баланс между важностью информации, удобством работы, стоимостью решений обеспечивающих безопасность, их надёжности и, конечно, человеческий фактор.
Также хотелось бы увидеть какую-либо статистику от применения DLP на предприятии: сколько случаев утечек предотвращено, сколько «кротов» выъявлено, стоимость установки/поддержки DLP, полученная выгода от использования DLP.
И всё же, пользуясь вашими методами доказательств, я бы сравнил DLP с сигнализацией/системой видеонаблюдения, а не с железной дверью.
Кстати о дверях:
К сожалению «хата по наводке выставляется всегда и при любых раскладах» — это не сказки, а правда жизни. И лучшая защита от кражи — это не держать дома ничего ценного + страховка. Поэтому в западных странах у многих даже богатых людей входные двери деревянные или даже стеклянные. (Зачем нужна железная дверь, если стены дома из гипсокартона и фанеры?!). А если есть что-то ценное, то можно и военизированную охрану нанять. К тому же даже в сложную систему можно проникнуть используя «терморектальный криптоанализ» :).
Применительно к случаю описанному в статье: Как получилось, что вся конкурсная документация была доступна одному человеку до момента отправки на конкурс? Как получилось что человек, не участвующий в проекте получил доступ к документу?
Т.е. данную проблему можно было бы предотвратить имея грамотное руководство и хорошего сотрудника отвечающего за безопасность даже без применения систем DLP.SmirnovLX
18.10.2016 23:09Как раз и пытался выъяснить насколько DLP-системы полезны для организаций…
Если в организации бардак, важная и даже критичная для бизнеса информация открыта для всех, то никакое DLP не поможет — надо либо учить верхнее руководство и/или владельцев бизнеса азам безопасности бизнеса. Конечно же, если они хотят этому учиться. Если не хотят, то не лечится. Может быть пока жареный петух не клюнет, а может быть и навсегда.
Если есть понимание и поддержка верхнего руководства и/или владельцев бизнеса, то, как минимум, DLP, будет вполне себе надежно защищать конфиденциальную информацию, утечка которой, как правило, оборачивается серьезными потерями для бизнеса. А это уже немало. Но даже произошедшая утечка не является окончательным диагнозом — с помощью DLP, как хорошо показано в статье, можно минимизировать последствия утечки и даже в ряде случаев получить в итоге плюс (подмоченная репутация конкурента во многих отраслях — это потенциальная прибыль и её монетизация зависит уже от умения менеджеров).
Из DLP можно «вытянуть» много полезной, а зачастую и уникальной, информации и по потенциально опасным связям сотрудников, и по его потенциально опасным увлечениям — все то, что составляет профиль сотрудника / контрагента и является основой прогнозирования.
Корпоративное мошенничество может вскрываться не только путем анализа контекста переписки, но и статистическими методами — а со статистикой бороться сложно даже самым ушлым мошенникам…
Минусы, безусловно, есть. Главный — покупка и владение DLP стоит денег. Второй по значимости — DLP требует квалифицированного персонала, который может грамотно эксплуатировать систему, «поднимать» из неё необходимую информацию, правильно её интерпретировать, грамотно реализовывать и красиво докладывать о достижениях, обходя собственные ляпы. А такие люди на бирже труда в поисках работы не стоят.
Но все это, в конечном итоге, окупается. А для бизнеса это главный критерий полезности.
Также хотелось бы увидеть какую-либо статистику от применения DLP на предприятии…
Вряд ли Вы найдете предприятие, которое захочет поделиться с Вами такой статистикой. Но может быть когда-нибудь что-то и подберу.
Т.е. данную проблему можно было бы предотвратить имея грамотное руководство и хорошего сотрудника отвечающего за безопасность даже без применения систем DLP
В теории — да. Но практика часто по массе причин не стыкуется с теорией. И «кроты» водятся даже в контрразведке. С грамотными руководителями и не менее грамотными сотрудниками.
disakov
18.10.2016 21:24У меня к Вам вопрос. Как Вы совмещаете выявление кротов и оповещение сотрудников при приеме на работу о том, что все фиксируется? Или DLP используется просто как инструмент контроля случайных утечек?
Про железные двери в Европе. Действительно нету, компаний которые ставят их для домашнего пользователя почти нет, тк требуется укрепление косяков и т.д. Богачи реально гоняют на транспорте, почти не держат охрану, все застраховано. Вот на это они и тратят значительную сумму каждый год. Актуально из моего опыта проживания в Лондоне и Дублине.SmirnovLX
18.10.2016 23:23Как Вы совмещаете выявление кротов и оповещение сотрудников при приеме на работу о том, что все фиксируется?
Для этого существует юридическое обеспечение деятельности службы безопасности вообще и отдельных систем в частности.
Если на пальцах, то при приеме на работу сотрудник подписывает небольшую кучку бумажек, в которых говорится, что на работе надо работать, а не фигней разной заниматься. А чтобы эта разная фигня не ускользала от ока руководства, то в кучке бумажек черненькими букоффками на белом фоне до сведения работника доводится, что работника будут контролировать разными способами, в т.ч. различными системами скрытого контроля.
Т.к. у нас в стране демократия, то у работника право свободного волеизлияния — если не хочешь быть под контролем, то не подписывай эту кучку бумажек и ходи себе на вольные, а не на корпоративные, хлеба.
компаний которые ставят их для домашнего пользователя почти нет
<...>
Актуально из моего опыта проживания в Лондоне и Дублине.
Я как-то больше доверяю аналитическим материалам по рынку безопасности, с коими приходится знакомиться регулярно по характеру работы.
disakov
18.10.2016 23:40Спасибо за ответ. Неужели после подписания подобных бумаг находятся желающие стянуть что-то? Дарвин в действии.
Про двери странно, но я, конечно, аналитические материалы по данной теме не изучал. Больше осмотр и общение с коллегами.atelenga
19.10.2016 09:04Неужели после подписания подобных бумаг находятся желающие стянуть что-то? Дарвин в действии.
Находятся, и ещё как. Некоторых не останавливает даже угроза уголовной ответственности.
Вообще, главная угроза в большинстве моделей безопасности — внутренний злоумышленник. Если информацию нужно украсть, то годаздо проще и зачастую дешевле подкупить нужного человека, чем искать уязвимости в системах и взламывать из :)
zenkz
Интересно. Получается что конкуренты даже не читают и не вникают в то, что украли?! Если бы я получил такие данные, то всё-таки проанализировал их и перепроверил и уж явно не стал бы использовать и показывать кому-либо оригиналы полученные извне. (Это к вопросу о водянных знаках и т.д.) Ведь важно не просто скопировать, а использовать идею, а по-возможности улучшить её своими наработками.
А что если перед отправкой данных их заархивировать с паролем или применить шифрование + порезать на куски и переименовать во что-то менее подозрительное? Или вообще не отправлять, а придумать иной способ передачи информации во внешний мир. Например используя социальную инженерию: делаем какую-нибудь безобидную презентацию, встраиваем в неё те самые куски нужной информации и отправляем «безопаснику» на проверку с целью последующей пересылки во внешний мир. Т.к. кусок информации вряд-ли легко обнаружить, то с одобрения безопасника пересылаем всё это дело во внешний мир и далее используем полученную информацию.
Получается что DLP системы — это защита «от дурака». А если проявить смекалку, то данные всегда можно украсть…
atelenga
DLP — это всегда «броня против снаряда». Сложность в её настройке заключется в том, что способы обойти сущестующие правила контроля должны быть проанализированы и учтены в новых правилах. Зачастую «решение из коробки» устаревает на этапе внедрения, поэтому интергаторы говорят: «Мы делаем только инсталяцию DLP, настройкой занимайтесь сами» :)
На практике для чувствительной информации делаются цифровые слепки, которые потом ищутся в передаваемой информации, применяются системы оптического распознавания символов, запрещается отправка архивов с паролем, контролируются почтиовые ящики получателей по белому списку, устанавливаются клиенты DLP на машины пользователей, которые на этапе подготовки документа распознают ИКХ…
zenkz
Т.е. принцип антивируса?! Сначала происходит заражение, а потом выпускается апдейт, который умеет лечить именно от этого случая… Только тут есть 2 отличия. В DLP в отличии от антивируса всё очень индивидуально и нельзя просто так «обновить базу», которая исправляет ошибки возникшие у других пользователей. Второе отличие, что к моменту «обновления» информация уже украдена…
atelenga
Нет, перед внедрением DLP обычно проводят аудит бизнес-процессов и выявляют потоки информации, затем из анализируют и разрабатывают правила контроля.
Но потоки имеют свойство меняться или добавляться, поэтому правила должны успевать за ними, а в больших компаниях бизнес не всегда своевременно оповещает об этом безопасность. Вот тут-то и возникает лаг, который может привести к утечке информации.
ImBoo
Очевидно, что удержать идею полностью и навсегда не представляется возможным. С течением времени любая хорошая идея будет взята кем-либо в оборот. В данной статье говорится о некоторых пиковых по значимости данных, которые родились не так давно, но уже весомы по своему эффекту. Задача безопасности сохранить этот пик как можно дольше. И прежде всего, защититься от прямого копирования и наглого использования.
Касаемо подмены данных, это вопрос должен решаться с привлечением хорошего спеца-инженера. В нашем конкретном случае, изменение было простым и действенным как оказалось. Его видимо из-за банальности и не обнаружили, + это были не конструктивные чертежи и не сметы, а планы расположения где не столь очевидны отклонения от размеров, а географические точки не изменялись.
Т. с. пафос этого метода в том, что участники передачи данных не в курсе его использования, т.е. они не знают ничего о «ловушке» и тем более как её нужно обходить.
Можно конечно, но вероятность обнаружения такой смекалки и её следов можно всегда повысить. Методов масса, и здесь описан один из них.