5 Июня, 2013

Обходим DLP-системы

Игорь Агурьянов
Найти утечку в огромном потоке трафика - то же, что найти иголку в стоге сена. Наткнешься разве что случайно. DLP-система, в теории, должна быть эдаким магнитом - поводил над стогом и выудил иголку. И для случайных утечек это вроде бы работает вполне неплохо. Но ведь грамотный инсайдер может изменить магнитные свойства иголки множеством способов, зная о "магнитном анализе".

Ответы на вопрос, каким образом это сделать, были озвучены на PHDays III в докладе Александра Товстолипа и Александра Кузнецова. Как и обещал , ретранслирую сюда.


Шифрование

Пожалуй, первое, что должно прийти в голову ИБ-шнику. Но, во-первых, нашему злоумышленнику придется искать и устанавливать софт для шифрования, тем самым увеличивая свои шансы быть замеченным. А, во-вторых, DLP-шки (которые я видел) вполне себе неплохо обнаруживают шифрованный трафик... и на такую передачу будет, без сомнения, обращено самое пристальное внимание (при условии адекватной Службы безопасности и правильно сконфигурированной DLP-системы).

Стеганография
Минус, как и в первом случае, связан с необходимостью установки специального софта. А вот DLP-систем, которые могли бы обнаружить, что в передаваемом сообщении спрятано послании весьма сложно представить.Архив с паролемСюда же можно отнести различные файлы, для которых можно устанавливать пароль на открытие. Такие сообщения нормальной DLP-системой должны обнаруживаться... а потом уже можно задавать вопросы отправителю - что это он такое секретное рассылает и кому.

Глубоко, глубоко в архив

Как показали исследования обозначенных в начале статьи докладчиков, ряд DLP-систем не справляется с обнаружением конфиденциальной информации, спрятанной в архив с большой степенью вложенности - т.е. если для входа в "секретную" папку потребуется сначала зайти в 200 других, то у DLP-шки могут возникнуть проблемы. Опасаетесь грамотных инсайдеров - тестируйте предварительно свою систему... Впрочем, у них есть способы и проще.

Игра с кодировками
Говорят, что у западных DLP-проблемы с кириллическими кодировками и вообще лингвистическим анализом. Возможно, так говорят отечественные вендоры :) Тем не менее, весьма высока вероятность, что сохранение текста в какой-нибудь широко распространенной в Азии китайско-арабской кодировке сделает ее невидимой для DLP. Тут опять же нужно тестирование.

Уходим за стандартную область документа

Не знаю где докладчики нашли такую DLP-шку, но говорят, что такие есть. В частности, одна из подопытных систем не обращала никакого внимания на текст в колонтитулах (что весьма печально, ибо у нас гриф конфиденциальности, например, находится в области колонтитулов). Ну и другие не стандартные области - примечания, сведения об авторе в атрибутах файла и т.п.
Найти и заменить
Самое простое и самое гениальное. Стандартными средствами меняем буквы "у" на буквы "y", а буквы "о" на буквы "o" и т.д. Глаз не различит, а DLP-система, построенная на цифровых отпечатках или на поиске "стоп-слов" пропустит. Правда, ребята из InfoWatch в своем Traffic Monitor'е следующей версии обещали находить подобные замены.

Но замены могут быть и "бесподобными". Договорится с получателем заменять ряд букв на другие, непохожие. Или вообще все буквы со сдвигом по алфавиту... Шифр Цезаря, получается. Но все новое, как говорится, хорошо забытое старое.
comments powered by Disqus