Мой бывший коллега в своей диссертационной работе предлагает ввинтить в DLP-шку еще и клавиатурного почерка для скрытой аутентификации. Технически большой проблемы внедрить такой модуль при наличие клиентской части DLP я не вижу... главным становится вопрос "Зачем?". И тут уже начались наши совместные размышления...
Во-первых, таким модулем мы пытаемся защититься от отказывающих признавать свои действия. Во-вторых, защищаемся от тех злоумышленников, которые для отправки конфиденциальных сведений воспользуются чужой учеткой. Вот только все это работает только если о "клавиатурном модуле" не известно широкой общественности.Начнем с модели нашего нарушителя. Будем рассматривать нарушителей 3-х типов:
- Администраторы— лица или обладающие легитимным доступом в защищаемые системы, либо способные без особых проблем получить такой доступ
- Высококвалифицированные специалисты, способные тем или иным способом выудить пароли от защищаемой информации
- с установкой аппаратных или программных шпионов на компьютер легитимного пользователя
- с перехватом пароля, передаваемого в открытом виде по сети, к ресурсам общего доступа (в нормальных организациях, конечно, таких систем нет... но они точно есть - видел :))
- С использованием методов агентурной разведки (подкуп, шантаж, грамотное общение за кружкой пенного)
Если принять, что лояльность и осведомленность в ИБ всех сотрудников компании примерно одинакова, то доля наших инсайдеров:
([количество админов в компании] + [количество крутых ИТ-шников в компании]) / [общее число сотрудников]
Таким образом, процент таких инсайдеров для компании в 1000 человек, навскидку, я бы взял всего около 2-3% от общего числа инсайдеров (если речь идет не о компании работающей в ИТ или ИБ сферах, конечно). И, опять же, я не рассматриваю компании без парольной политики (и у половины по полгода пароль qwerty) и где пароли прячут под клавиатурой. Но последнее - крайне распространенное явление.
Теперь экономическое обоснование... Обнаружение такого злостного инсайдера, скрывающего
свою личину, весьма полезно для защиты информации компании от будущих утечек. Таким образом реальное снижение рисков будет, даже в типичной коммерческой компании с правильно построенной системой аутентификации и распространения аутентификационной информации (что, правда, для типичной компании совсем не типично) будет не 2-3%, а раза в два выше. Что при минимальных затратах на внедрение не так уж и плохо.
Но у этой штуки есть и другие плюсы. Во-первых, мы избегаем такого риска, как обвинить невиновного. Последствия для атмосферы в коллективе в целом и отношения к Службе информационной безопасности в частности могут быть весьма негативными. Что в свою очередь, если верить системно-динамической модели внутреннего нарушителя ведет к увеличению числа инсайдеров в компании.
Другое интересное применение - клавиатурный почерк довольно сильно зависит от психофизического состояния человека. Если система выдала алерт о том, что "почерки не сходятся", весьма возможно, что у человека стресс, или он с похмелья, или приболел по другим причинам... в любом случае, нужно понимать, что его эффективность наверняка снижена. Осталось придумать, как эту информацию можно этично использовать :)
P.S. Кстати, о проектах друзей. Мои знакомые сделали симпатичный календарик :)
