3 Июля, 2013

Как бороться с ложными срабатываниями DLP

Роман Идов
Любая DLP-система грешит ложными срабатываниями, поэтому проблема борьбы с ними стоит достаточно остро. Конечно, в общем-то, нормальная DLP-система позволяет так настроить опции определения конфиденциального контента так, чтобы количество ложных срабатываний сократилось до некой приемлемой в условиях той или иной конторы величины,  но всё-таки компьютер есть компьютер, и действовать со всем опытом и интуицией живого безопасника он, к сожалению или к счастью, не может.
Так вот, я хочу предложить способ борьбы с ложными срабатываниями, против которого, что называется, нет приёма. Он очень прост: надо все ложные срабатывания объявить не ложными. И наказывать за них, объявив DLP-систему чем-то вроде истины в последней инстанции.
Вам кажется эта идея несколько, скажем так, бредовой? Я чуть ниже объясню, в чем её прелесть, пока же небольшое лирическое отступление из новостной ленты.
В феврале текущего года школьник из Техаса, США, Джастин Картер (Justin Carter) в игре League of Legends неудачно пошутил, что спровоцировало его арест.
Так, во время игры один из игроков назвал Картера сумасшедшим, на что он, смеясь, ответил:
— Ага, я точно не дружу с головой! Я собираюсь расстрелять всех детей в школе и съесть их еще бьющиеся сердца.
— lol
— jk (сокращение от «just kidding»)
Его сообщение вызвало волну негодования и подростка арестовали. С тех пор он находится под стражей, где на днях отпраздновал свой 19-й день рождения. При этом за очевидную шутку парню грозит до 8 лет лишения свободы.

Подробнее: http://www.securitylab.ru/news/442089.php
Закон не любит шуток. И есть какое-то здравое зерно в том, чтобы припугивать любителей так остроумно шутить. Аналогично можно сказать и о DLP-системе: если кто-то делал что-то такое, что DLP-система заподозрила его в желании "слить" информацию, очевидно, рыльце у него всё-таки в каком-никаком пушку, поэтому не лишним будет этого сотрудника взять на контроль и присмотреться к нему, пусть, на первый раз, и не наказывая. А если "ложных" срабатываний с его участием станет слишком много, стоит копнуть глубже - обязательно что-нибудь да найдется.
В любом случае, практика полного доверия к DLP куда лучше практики полного доверия к сотрудникам. Пусть они лучше боятся карающей десницы отдела ИБ, чем беззастенчиво крадут корпоративную информацию.
А. Дрозд,
заместитель PR-директора компании SearchInform
или введите имя

CAPTCHA
Pelot
3 Июля, 2013
"Хорошая статья". Так бы я про нее написал, будь она опубликована 1-го апреля. Наказывать сотрудников за ложные срабатывания DLP - это перебор, сэр. Вы знаете, я начинаю разочаровываться в конторе "SearchInform". Что-то в ней не так. И еще одна ваша статья этому подтверждение: http://www.securitylab.ru/blog/company/securityinform/31418.php
0 |
  • Поделиться
  • Ссылка
чепчерицо
3 Июля, 2013
На самом деле здесь забыли тег <irony>. Pelot, зря вы разочаровываетесь. Просто одно дело блог, а другое - статьи. Блог ещё и для вызывания читателя на диалог используется. Гляньте, что тот же Алексей Дрозд пишет, скажем так, "по делу". http://daily.sec.ru/authorpbls.cfm?aid=484 Или эти статьи: Киберугрозы при использовании мобильного Интернета" http://searchinform.ru/press/articles/1437/ "Социальные сети – рай для фишинга, или Какие сети, такие и инженеры" http://searchinform.ru/press/articles/1523/ "Информационная безопасность мобильных устройств: актуальность, перспективы. Часть 1. Развитие мобильных вирусов" http://searchinform.ru/press/articles/1524/ Реально интересно ваше мнение.
0 |
Dima
3 Июля, 2013
Думаю, что бороться надо не с ложными срабатываниями , а с несрабатываниями DLP
0 |
  • Поделиться
  • Ссылка