5 Июня, 2013

Обходим DLP-системы

Игорь Агурьянов
Найти утечку в огромном потоке трафика - то же, что найти иголку в стоге сена. Наткнешься разве что случайно. DLP-система, в теории, должна быть эдаким магнитом - поводил над стогом и выудил иголку. И для случайных утечек это вроде бы работает вполне неплохо. Но ведь грамотный инсайдер может изменить магнитные свойства иголки множеством способов, зная о "магнитном анализе".

Ответы на вопрос, каким образом это сделать, были озвучены на PHDays III в докладе Александра Товстолипа и Александра Кузнецова. Как и обещал , ретранслирую сюда.


Шифрование

Пожалуй, первое, что должно прийти в голову ИБ-шнику. Но, во-первых, нашему злоумышленнику придется искать и устанавливать софт для шифрования, тем самым увеличивая свои шансы быть замеченным. А, во-вторых, DLP-шки (которые я видел) вполне себе неплохо обнаруживают шифрованный трафик... и на такую передачу будет, без сомнения, обращено самое пристальное внимание (при условии адекватной Службы безопасности и правильно сконфигурированной DLP-системы).

Стеганография
Минус, как и в первом случае, связан с необходимостью установки специального софта. А вот DLP-систем, которые могли бы обнаружить, что в передаваемом сообщении спрятано послании весьма сложно представить.Архив с паролемСюда же можно отнести различные файлы, для которых можно устанавливать пароль на открытие. Такие сообщения нормальной DLP-системой должны обнаруживаться... а потом уже можно задавать вопросы отправителю - что это он такое секретное рассылает и кому.

Глубоко, глубоко в архив

Как показали исследования обозначенных в начале статьи докладчиков, ряд DLP-систем не справляется с обнаружением конфиденциальной информации, спрятанной в архив с большой степенью вложенности - т.е. если для входа в "секретную" папку потребуется сначала зайти в 200 других, то у DLP-шки могут возникнуть проблемы. Опасаетесь грамотных инсайдеров - тестируйте предварительно свою систему... Впрочем, у них есть способы и проще.

Игра с кодировками
Говорят, что у западных DLP-проблемы с кириллическими кодировками и вообще лингвистическим анализом. Возможно, так говорят отечественные вендоры :) Тем не менее, весьма высока вероятность, что сохранение текста в какой-нибудь широко распространенной в Азии китайско-арабской кодировке сделает ее невидимой для DLP. Тут опять же нужно тестирование.

Уходим за стандартную область документа

Не знаю где докладчики нашли такую DLP-шку, но говорят, что такие есть. В частности, одна из подопытных систем не обращала никакого внимания на текст в колонтитулах (что весьма печально, ибо у нас гриф конфиденциальности, например, находится в области колонтитулов). Ну и другие не стандартные области - примечания, сведения об авторе в атрибутах файла и т.п.
Найти и заменить
Самое простое и самое гениальное. Стандартными средствами меняем буквы "у" на буквы "y", а буквы "о" на буквы "o" и т.д. Глаз не различит, а DLP-система, построенная на цифровых отпечатках или на поиске "стоп-слов" пропустит. Правда, ребята из InfoWatch в своем Traffic Monitor'е следующей версии обещали находить подобные замены.

Но замены могут быть и "бесподобными". Договорится с получателем заменять ряд букв на другие, непохожие. Или вообще все буквы со сдвигом по алфавиту... Шифр Цезаря, получается. Но все новое, как говорится, хорошо забытое старое.
или введите имя

CAPTCHA
10 Июня, 2013
Еще про склейку файлов почему-то не написали... И про банальный транслит. Далеко не все DLP-системы это умеют распознавать. А с архивом большой степени вложенности примерно такая же ситуация, как и с шифрованием - документ не просканируется, но алярм будет.
0 |
  • Поделиться
  • Ссылка