27 Сентября, 2012

DLP-Russia 2012: DLP-системы и расследование инцидентов - прикладные аспекты

Андрей Комаров
По итогам завершившейся конференции DLP-Russia, выступал с докладом по теме расследования инцидентов ИБ и DLP-систем.




Речь шла не столько о расследованиях, сколько специфике того, что DLP-система в очень многих случаях не может и не должна являться источником формирования доказательной базы по какому-либо инциденту с технической точки зрения, так как существует много способов обхода DLP-систем, начиная с эксплуатации конкретных уязвимостей в них (пример - Уязвимость в компоненте Autonomy Keyview IDOL, https://kc.mcafee.com/corporate/index?page=content&id=SB10024 ), использования техник обфускации документов, заканчивая применением альтернативных каналов связи (модуляция аудио при распознавании текста). Безусловно, и технологии защиты информации активно совершенствуются, появляются технологии способствующие контролю в том числе и аудио-информации (решения от ЦРТ - http://www.speechpro.ru/product ), тем не менее они еще не нашли широкого применения в корпоративном секторе, но обязательно найдут в будущем.

Уважаемые докладчики в одной же секции доказательно описали в том числе этот же тезис с нормативно-правовой стороны, указывая на то, что пока в РФ не появится явных требований к DLP-системам, понятия цифрового доказательства не будет определено, механизмы использования DLP-систем будут сводиться к исключительно уточняющим и вспомогательным мерам.

Ссылка: http://dlp-expert.ru/dlp-russia/program/11690
или введите имя

CAPTCHA