Может ли DLP- решение решить проблему инсайдеров?

Может ли DLP- решение решить проблему инсайдеров?

Может ли DLP- решение решить проблему инсайдеров?Многие компании производители DLP решений позиционируют их как панацею от всех инсайдерских бед. Вроде как внедрите у себя наше решение и придет к вам счастье, инсайдеры вымрут как динозавры и никогда у вас больше не заведутся. Только вот так ли это на самом деле? Что в итоге меняется в компании и есть ли примеры предупреждения действительно серьезных инцидентов, связанных с утечкой информации? А то мы все как-то зарубежной статистикой пользуемся, да сомнительными выводами пары-тройки компаний, основанными на выборочном анкетировании случайных людей. Интересует мнение специалистов, эксплуатирующих различные решения попадающие под класс DLP и/или создавших полноценные системы защиты от инсайдеров в своей практике.

284
Комментарии (13)
  • 23 апреля 2009 в 15:16 • #
    Павел Зубков

    Vy ob etom? Ya zhivyom ne videl. Vse chto znayu - ogranichenie v pravax dostupa i vse....

    Data Loss Prevention (DLP) is a computer security term referring to systems that identify, monitor, and protect data in use (e.g., endpoint actions), data in motion (e.g., network actions), and data at rest (e.g., data storage) through deep content inspection and with a centralized management framework. The systems are designed to detect and prevent the unauthorized use and transmission of confidential information. It is also referred to by various vendors as Data Leak Prevention, Information Leak Detection and Prevention (ILDP), Information Leak Prevention (ILP), Content Monitoring and Filtering (CMF) or Extrusion Prevention System by analogy to Intrusion-prevention system.

  • 23 апреля 2009 в 17:48 • #
    Олег Кузьмин

    Павел, а я видел живьем, причем разных :). Мало того, один раз сам с благими намерениями пошел на инсайдерские действия т.к. другого доступного способа остановить внедрение дырявой с точки зрения ИБ БКСА АСУ у меня не было (это было лет 10 назад). Сработало очень хорошо, систему в итоге разобрали на несвязанные между собой локальные сети.
    Ограничение в правах - это хорошо, но вот они пользователи спустя какое-то время умудряются обзаводиться правами администратора на своем рабочем ПК. Не все конечно, только наиболее продвинутые и водящие дружбу с отделом ИТ. Далее, с их ПК запускаются программы сомнительного назначения если соотносить с функциональными обязанностями сотрудника. Были случаи попыток добывания информации из любопытства, например какая зарплата у генерального директора и главного бухгалтера, а потом раскрытие ее в узком кругу. А были и случаи и посерьезнее: человек залезал в БД неактивированнных карт IP-телефонии, скачивал pin коды карт из партии, отправляемй на продажу и продавал их через знакомых за пол цены. Из 10 000 продаваемых карт, например, штук 100 -300 продавались в упаковках, но уже с исчерпаным лимитом. Компанией все списывалось на ошибки, тем более, что жаловаться приходили не все 100 -300 чел, а только каждый десятый из них и процесс был растянут по времени на месяцы. На что собственно и расчитывал инсайдер.

  • 23 апреля 2009 в 17:03 • #
    Людмила Островская

    Господь с вами, Олег! Да разве ж вопрос только в технических решениях? Первичный источник проблемы так и так - люди. И если есть умысел, то уж как его реализовать - найдут, был бы интерес.
    Наша компания занимается, в частности, и информационной безопасностью.
    Да, существенно снизить риск инсайда - можно (но это отнюдь не один Супер-метод, а целая система в несколько уровней защиты, и не только технической).
    Но 100% панацеи нет и быть не может. Разве что тотальный ментальный контроль...

    С уважением,
    Островская Л.

  • 23 апреля 2009 в 17:22 • #
    Олег Кузьмин

    Людмила, вижу что вы понимаете суть вопроса, это уже очень хорошо.
    Позволю себе добавить, что так как изложено в теме - вопрос понимаю не я лично, а так преподносится тема борьбы с инсайдерами производителями и отдельными интеграторами для доверчивых потребителей.
    Но вот, что еще интересно, компания Vontu (теперь уже Symantec) провела свое исследование и утверждает, что около 96% всех утечек информации вызваны сбоями процессов или недосмотром, а оставшиеся 4% распределяются следующим образом: 1% - санкционированы менеджером, менее 1 % - диверсии, оставшиеся 2% - имеют другие причины. К другим относятся утечки вызванные недосмотром работников и утечки, связанные с бизнес-процессами. Таким образом, системы защиты от инсайдеров, так называемые DLP-системы призваны бороться не более чем с 4% от всех возможных утечек информации в компании. А по сути вашего ответа так и вообще только с менее 1% сотрудников. Возникает также ряд новых вопросов, например, таких:
    - что вообще может представлять из себя система защиты от инсайдеров?
    - 4% утечек это много или мало, и что делать с остальными 96%?
    - если утечка санкционирована менеджером, или произошла в результате выполнения рабочего бизнес-процесса, то как на нее отреагирует DLP система?

  • 23 апреля 2009 в 20:30 • #
    Александр Токаренко

    Конец поста начала ветки https://professionali.ru/Topic/722450 ;)

    >- 15% (III., IV.) направлено на 50% (2.2) инцидентов (защиту "от дурака") - отдельные аспекты отработаны, отдельные не до конца
    >- на 20% (2.3.) инцидентов (действительно критичные для бизнеса риски) рынок практически пустой - здесь муторная, кропотливая, индивидуальная работа.

  • 25 апреля 2009 в 22:23 • #
    Олег Бурков

    Здравствуйте, уважаемый Олег! Вы в который раз ставите вопросы, которые РЕАЛЬНО актуальны!
    Если, как Вы утверждаете, видели достаточно разных DLP решений, то должны прекрасно понимать, что каждая из них имеет определенные изъяны. Так например, InfoWatch осуществляет поиск на основе фильтрации по морфологии, WebSense использует другой способ - контентная фильтрация. Таким образом, каждая из систем намного, процентов на 50-70 снижают риск утечки. Но остаются оставшиеся 30-50, которые используют некие модели утечек, допустим выражения , отсутствующие в морфологическом словаре. Или для утечки используется шифрование передаваемых файлов под видом картинок.
    Вывод: системы DLP позволяют СУЩЕСТВЕННО СНИЗИТЬ риски инцидента ИБ. И как верно было сказано выше дамой, причем явно не блондинкой, и вдобавок похоже обожающей кошек, тут встает человеческий фактор. С ним надо работать не только открытыми установленными системами контроля, но и специальными методами оперативной работы. Какими - выбирайте сами или наймите ХОРОШЕГО опера. Вы я так понимаю кадровый офицер ВМФ, но не опер. Хотя мыслите АБСОЛЮТНО правильно.
    Полностью закрыть эти угрозы - просто не реально. Мы можем просто снизить риски до приемлемого уровня. Уровень диктует принцип необходимой достаточности. Его цену устанавливает ВЛАДЕЛЕЦ бизнеса!
    А раз так - слава богу мы живем в России, и потому работы у нас ВСЕГДА будет предостаточно! Аминь!

  • 29 апреля 2009 в 18:42 • #
    Олег Кузьмин

    Олег, добрый день!

    Не могу не согласится с вами по многим перечисленным вами вопросам. Все правильно!
    PS: Особенно, с крайней фразой :).

  • 5 мая 2009 в 10:48 • #
    Мытько Виталий

    А если это не владелец бизнеса, а госучреждение, для которого внедрение защиты ПД является обязательным? Как в этом случае применять принцип необходимой достаточности? И как его подсчитать?

  • 5 мая 2009 в 12:23 • #
    Олег Кузьмин

    Принципы те же, что и для владельцев бизнеса. Это можно сделать на основе проведенного первого этапа работ, в ходе которого производится: Сбор и анализ исходных данных о текущем состоянии ИБ в ИСПДн, оценка степени соответствия ИБ в ИСПДн требованиям законодательства РФ о персональных данных, подготовка концепции построения СЗПДн в ИСПДн, разработка ТЗ на СЗПДн.
    Далее, производится разработка технического проекта на создание СЗПДн (2-й этап работ).
    Вот в ходе всех этих работ и становится понятно, как будет применен принцип разумной достаточности в данном госучреждении.
    У нас есть уже методика предварительного расчета, присылайте данные, посчитаем вам.
    Окончательный же расчет возможен только после выполнения перечисленных выше работ по 1 и 2 этапу построения систем.

  • 5 мая 2009 в 15:04 • #
    Мытько Виталий

    У вас есть опыт работы с госучреждениями медицинского профиля, где ИСПДн 1класса, специальная?

  • 5 мая 2009 в 15:37 • #
    Олег Кузьмин

    у нас есть опыт работы с госучреждениями и коммерческими структурами, где есть ИСПДн 1 класса специальные (страховые компании, пенсионные фонды, телекомуникационные, и др.). Применительно к медицине есть определенного рода специфика таких проектов, которую мы также учитываем. Если есть такая необходимость, могу предложить вам презентацию с нашими подходами к построению систем защиты ПД. В ней видно, как и каким образом достигается разумная достаточность применяемых решений.

  • 6 мая 2009 в 09:00 • #
    Мытько Виталий

    Здравствуйте, Олег. Если вам не трудно, то прошу прислать презентацию на адрес # Не будет ли вам затруднительно описать специфику таких проектов?
    Заранее спасибо!

  • 6 мая 2009 в 09:57 • #
    Олег Кузьмин

    Виталий, добрый день!
    Отправил вам материалы и описание специфики проекта на указанный адрес.
    Олег