Поиск  Пользователи  Правила 
Закрыть
Логин:
Пароль:
Забыли свой пароль?
Войти
 
Страницы: Пред. 1 2 3 След.
RSS
Инсайдеры – ночной кошмар крупного бизнеса
 
Статья не подписана, картинки сжаты до состояния неусвояемости, а вставки крупным шрифтом в рамочке рассказывают о каких-то мифических компаниях, автор посчитал эту информацию наиболее важной, важнее тех же графиков :)
 
Цитата
Гость пишет:
Статья не подписана, картинки сжаты до состояния неусвояемости, а вставки крупным шрифтом в рамочке рассказывают о каких-то мифических компаниях, автор посчитал эту информацию наиболее важной, важнее тех же графиков
А и черт с ним! Есть же ссылка на оригинальный pdf, его и обсуждаем.
Вот радио есть, а счастья нет. (с) Ильф
 
Маразм всё крепчал.... :-)
 
Защиты от дураков не существует.
 
Замечательно Ригель все написал, но он тоже смотрит на "картинку" немного черно-бело.
У инсайдера тоже есть свой "уровень".
Не будем говорить про случайные оговорки/описки, от них не застрахован никто, сие есть человеческий фактор.
Да, высокопоставленный сотрудник одной фразой или несколькими строчками может выдать важную информацию, но сколько он будет стоить?:)
Согласитесь, купить высокопоставленного сотрудника гораздо проблематичней чем мелкого сисадминчика(это не оскорбление:) - а характеристика положения в иерархии:)).
А последний, сдаст конкурентам кучу баз и просто документов(ну придется приложить усилия к анализу..но и инфы можно выкачать больше) за вполне приемлемую цену и его тоже будет весьма сложно уличить в разглашении.

Даже уборщица, которая нихрена не понимает в бизнесе, с флешкой и четкой инструкцией или простеньким BAT файликом сможет унести кучу секретов если убирать ее пустят в кабинет генерального без сопровождения и при включенном компьютере.

Вот от таких "нахаловок" и нужно и можно защищаться...от владельцев информации никакими техническими и орг.мерами не защитится, разве что тотальный контроль 24 часа в сутки:)))Лучше нанять профессионально Кашпировского:) Чтобы дал всем установку - "не красть...не разглашать..не спорить с начальством...не дразнить безопасников...ОМММ":))))
 
Цитата
Serg пишет:
Согласитесь, купить высокопоставленного сотрудника гораздо проблематичней чем мелкого сисадминчика(это не оскорбление:) - а характеристика положения в иерархии:)).
А последний, сдаст конкурентам кучу баз и просто документов(ну придется приложить усилия к анализу..но и инфы можно выкачать больше) за вполне приемлемую цену и его тоже будет весьма сложно уличить в разглашении.
Даже уборщица, которая нихрена не понимает в бизнесе, с флешкой и четкой инструкцией или простеньким BAT файликом сможет унести кучу секретов если убирать ее пустят в кабинет генерального без сопровождения и при включенном компьютере.
Вот от таких "нахаловок" и нужно и можно защищаться...
Нет: от таких всего лишь удобнее защищаться.

Не вел такой статистики, но вряд-ли сильно погрешу против истины, если скажу, что на 1 преднамеренную утечку приходится 9 непреднамеренных (нечаянно сболтнуть).
Часто это происходит в кругу коллег из конкурирующих организаций (съезд, выставка, конференция, встреча выпускников кафедры, интернет-форум), которые могут адекватно воспринять услышанное, т.к. заняты в той же или близкой профессиональной области.
А вот админ (электрик, уборщица) и не могут незаметно для самого себя за разговором сообщить приятелю, что инвестиции во что-то с каждым кварталом только удваиваются, потому что для них это не обыденная информация, и собеседник их чаще всего "рубит" в кнопках и проводах, а не финансовых операциях.

Кроме того, сливать через ит-средства или сервисы попросту опасно, т.к. они потенциально (при наличии на то соответствующей воли) лучше контролируются. "Казачок", копирующий базу, больше рискует быть пойманным, чем списывающий ключевую цифру с монитора на сигаретную пачку, поэтому его труднее купить, а не легче. Или возьмите, например, пару имейл/факс: да, по факсу можно слить значительно меньший объем, но и риск наследить в разы меньше, поэтому идут на это охотнее.

И еще насчет высокопоставленного сотрудника тоже некоторый миф. Спросите номер "черного" банковского счета у Генерального и той бухгалтерши, которая с ним постоянно оперирует - кто из них Вам его легко назовет по памяти? А потом для полноты эксперимента попросите уборщицу или админа найти Вам этот же номер.
Ну и кого же имеет смысл подкупать, поить, шантажировать?
Вот радио есть, а счастья нет. (с) Ильф
 
А Serg дело говорит...
 
Цитата
Тутанхомон пишет:
А Serg дело говорит...
Многие дело говорят: проблема-то многогранна. Это только одни риски видеть вредно, а разные полезно.

А теперь представьте, что задача не узнать о планах конкурента, а повлиять на них (мы ведь про информационную безопасность говорим, а не только про защиту информации, верно?). Скажем, подтолкнуть к отказу от идеи поглощения.
Сравните возможности уборщицы в кабинете Генерального (админа, электрика) и юриста, который готовит Генеральному справку о шансах лишиться лицензии при первой же проверке.
Кого надо покупать? То то же.
Вот радио есть, а счастья нет. (с) Ильф
 
Цитата
раз началась перегруппировка персонала из подразделений разработки в сбыт".
Все замечательно кроме того что обычно те кто занимается разработкой ну вообще ни в зуб ногой в сбыте.А вот перераспределение между разными проектами... да, это в принципе видно, но это вообще может делаться не через кадровиков.

Цитата
Даже уборщица, которая нихрена не понимает в бизнесе, с флешкой и четкой инструкцией или простеньким BAT файликом сможет унести кучу секретов если убирать ее пустят в кабинет генерального без сопровождения и при включенном компьютере.
Вопрос: а почему директор не поставил на лочку свой компьютер?Он что, настолько дебил что не понимает что данные хранящиеся там - бывают и ценные?А если комп сияет "Locked, blah-blah-blah, only Administrator or [logged on user] can unlock it" - так уборщице придецца обломицца.
 
Гость, 26.09.2006 21:18:07
Конечно!
А бумаги в урне,:))) или жучок/диктофон?
Кстати с залоченного компа через CD и флешку тоже можно снять инфу...если админ/ИБ прошлепали автозагрузку с CD...Мы же про компьютер Генерального говорим?:)))

Ригель, как Вы думаете, сколько времени займет копирование винта в 100 Гиг на другой такой же?
Особенно если ситема загружена со второго? И как это обнаружить?
Не знаю...я, если подготовлюсь заранее, сниму инфу со своего рабочего компа примерно минут за двадцать..включая подключения второго HDD и перезагрузку.
Тем более, что это можно сделать в два приема: сначало подключить второй винт, потом скопировать.
И, заменте, я молчу про SATA, которое на современных матерях поддерживает горячую замену/подключение HDD.

В одной из компаний с которой я общался Начальник ИТ-отдела был весьма удивлен, что любую их политику безопасности можно обойти через загрузку с CD(LiveCD), другого винта или специально подготовленной флешки. Нет, биос они паролем прикрывали, но загрузку по умолчанию с CD/внешнего устройства(Lan) не переключали(в большинстве биосов это настройки по умолчанию). А о том, что многие современные материки(от DFI точно) позваляют по Ctrl+ESC при загрузке выбирать с какого устройства грузится он вообще не слышал. Впрочем, у брендов может быть иначе...не люблю я их:)
Вот только на работу туда меня не взяли...:))) Решили, что слишком "дорого":)))
"Не хай мучаются!":)))

p.s.
Интересно...через политики безопасности можно отследить подключение второго винта?
Если это не было предусмотрено заранее.
 
to Ригель:

Может я и не так Вас понял, но от Ваших комментариев уж очень сильно веет фатализмом :) и складывается впечатление, что Вы полностью отрицаете какую-либо пользу от существующих 'антиинсайдерских'  технологий.

Вы, конечно, правы в том, что инсайдерство - многогранное и сложное явление
и к сожалению в целом - неискоренимое. Но если внедрение каких-то решений позволяет минимизировать хотябы часть инсайдерских рисков - это IMHO уже неплохо. И на мой взгляд,
не стоит отказываться от таких решений только потому, что они неуниверсальны.

Или ?
 
"ЗамкИ сделаны для честных людей"
/me подумывает, не устроиться ли ему куда нибудь в крупную компанию техничкой :D
 
Цитата
ClosedGL пишет:

to Ригель:

Может я и не так Вас понял, но от Ваших комментариев уж очень сильно веет фатализмом  и складывается впечатление, что Вы полностью отрицаете какую-либо пользу от существующих 'антиинсайдерских' технологий.
Если честно, не хотелось форсировать события и оглашать правильный ответ, а чтобы разговор сам к этому пришел. Но ладно.

Правда жизни в том, что рисков, в т.ч. связанных с инсайдерами,  очень много - в разы больше, чем привык побеждать "ИТ-безопасник" или "традиционный безопасник" (и, кстати, очень часто адекватной обработке рисков мешает именно узость профессионального взгляда - вообразите человека, который борется с утечкой с помощью любимой технологии опломбирования всех щелей в заборе и неусыпного надзора за их расковыриванием, а люди с нескрываемым удовольствием пользуются факсами).

Так вот, хотя полный список граблей у большинства организаций одинаков процентов на 70 (есть вариации в возможных методах реализации угроз, а сами угрозы такие же процентов на 70), но заслуживающие внимания риски у них разные. Не будем углубляться в методологические проблемы оценки, но актуальность для Вас того или иного риска напрямую связана с величиной возможного ущерба и вероятностью его наступления.
Вы хотели найти универсальный ответ, как бороться с инсайдерами? Универсального не существует. Потому что способы защиты подбираются для тех рисков, которые превышают приемлемый уровень, и для кого-то неприемлемы одни, а для кого-то другие.
А бороться со всеми ни одна организация не может себе позволить. И не только потому, что многие дешевле игнорировать, чем закрывать, но и просто пупок развяжется.

Задайте топ-менеджерам двух организаций один и тот же вопрос. Например, "Что будет от 8-часовой dos-атаки на платежную систему?".
В одной ответят: "Это пипец. Я на следующий же день разорюсь на пенях всем необслуженным клиентам - у меня столько денег нет".
В другой скажут: "Переживем. У меня только один клиент, но очень крупный. Только иск он подавать не будет, т.к мы с их директором выросли вместе и до сих пор каждую неделю в баню вместе ходим." или "Да фигня все. Я с соседним банком договорюсь, они через себя деньги проведут. Мы уже так делали".
Согласитесь, что "категорически не допустить dos" и "когда возникнет, пресечь в течение суток" это очень разные цели и, соответственно, необходимые для противодействия ресурсы.
Что интересно, даже и выбранные стратегии обработки риска могут разниться: одному сподручнее уходить, другому переносить, третьему снижать...

Это самая обычная ситуация, повсеместно встречающаяся в быту и совершенно несложная для понимания. И у Вас, и у меня могут украсть бумажник/мобильник/барсетку. Три одинаковых угрозы. Давайте даже допустим, что у нас одинаковые модели бумажника, мобильника и барсетки.
Но вероятности реализации угрозы уже разные, т.к. у меня бумажник во внутреннем кармане пиджака, а у Вас в заднем кармане джинсов, у меня телефон в костюме, а у Вас в кобуре, моя барсетка ездит на машине, а Ваша в руках и т.д.
Ущербы будут тоже разные, т.к. у меня в барсетке ключи от дома и машины, в телефоне ничего ценного, в бумажнике кредитные карты, права, техпаспорт и несколько полисов. Вдобавок, самой барсетке и мобильнику уже года 2 и они мне надоели.
Итого: за мобильник голова не болит, ключи надо переложить в карман или изменить способ транспортировки барсетки, а вот с бумажником уже больше ничего не поделать, но его и хрен украдешь.
У Вас: мобильник при Вашей зарплате это серьезная потеря и в нем важные контакты - перевесить на шею или переложить в барсетку, в бумажнике сто рублей и проездной - плевать, барсетке продолжать носить КПК, т.к. тактильный контакт - это надежно.
Примеры, как Вы понимаете, произвольные, и вообще на составление точной модели не было времени, главное - сама идея.

Не ожидайте, что два безопасника сойдутся во мнении, что им делать с угрозами от инсайдеров. Ищите пути, адекватные своей ситуации, потому что "мобильники у нас одинаковые, а потребности в защите разные"  ;)
Вот радио есть, а счастья нет. (с) Ильф
 
Коллеги:

загрузкой рабочей станции с другого винта или CD-Roma вы произведете вепечатление, но что с того.
Вы ищете проблемы в пуговицах, а не в покрое всего костюма.

Поддерживаю Ригеля в том, что узость взглядов часто сильно мешает. Помните Козьму Пруткова "Специалист подобен флюсу: взгляды его односторонни"

Так, неоднократно наблюдал ситуации, когда ставят кластера горячего резерва  на DialUp каналы, со словами борьбы за надежность.

Пока вам дают деньги на профессиональные игрушки - можно делать что угодно.
Но когда от Вас потребуют отчет за потраченные средства, то...

Как объяснить руководству, что
- мы заплатили за систему и внедрение
- купили под нее оборудование
- теперь платим за поддержку всего этого
- наняли оператора, чтоб он смотрел за системой и его обучили

к защищенности это ничего не добавило, но зато теперь нельзя загрузить компьютер с СD...


И что Вы ответите, на глупый вопрос о том, а не помогла ли бы Вам для защиты от уборщицы-хакера не супер новая система а обычная WEB-камера за 10 баксов, которая следила бы за ней во время уборки?
Или просто от уборки в присутствии дежурного охранника (т.е. можно даже 10 баксов съэкономить)?

и подход что на защиту большого риска с большой вероятностью наступления можно и нужно кинуть дорогое и разработанное специально для этого средство - неверен в корне.
Риск можно уменьшить по другому.
Сейчас же нам пытаются банально подкинуть ложную цепочку:

инсайдер - риск утечки - средство борьбы с инсайдерами - купить

не договаривая или порой обманывая, говоря о понятии Инсайдер (см ранее пост Ригеля)
не уточняя сущности описываемого риска (так утечка информации, несанкционированное копирование файла или... что?)
не договаривая о применяемых способах защиты (уж точно средство сбора информации о доступе к файлу ни вероятность риска не снизят (тьфу, сам заражаюсь, риск то еще не назвали) ни на вероятность его наступления не повлияют).

Аналогичная обсуждаемой проблеме - проблема спама: можно кинуть кучу денег на ее решение и таки сократить число спама с 12 до 9 % но зачем?
 
To Mike & Ригель:

Стоп, я не говорил, что имеющиеся решения являются панацеей от инсайдеров.
Я не пытаюсь искать среди  них универсальные варианты и боже упаси :) пускать кому-то пыль в глаза, говоря об их абсолютной эффективности. Я лишь не согласен с точкой зрения, утверждающей, что они  всегда бесполезны. Ситуации и обстоятельства бывают разные. И как уже сказал г-н Ригель, решение о целесообразности внедрения той или иной технологии необходимо принимать учитывая и оценивая собственные риски. Не редки случаи, когда такое внедрение себя оправдывает.

Удачи.
 
Не, ну а чо вы хотите? Вот с секлаба опрос:
Информационная безопасность для вас - это:
Минимизация угроз
  59,66% (142)

Внедрение систем защиты
  36,97% (88)
Писец. Вдумайтесь - второе место! То есть, у большинства здесь присутствующих сложилось мнение, что установка брандмауэра и внедрение биометрии и есть та самая ИБ. Что, безусловно, бред.
 
Утрируя можно сказать, что работники в принципе - это сплошной кошмар для любой фирмы... Принцип "гвоздь не спёр - на работу не ходил" применим к любой стране.
 
Цитата
ClosedGL пишет:
Стоп, я не говорил, что имеющиеся решения являются панацеей
Я лишь не согласен с точкой зрения, утверждающей, что 'антиинсайдерские' технологии всегда бесполезны
Если бы Вы сообщили, что имеете в виду под таковыми технологиями, диалог был бы продуктивнее.
Защита компьютера директора от уборщицы? Вы будете удивлены, но это он инсайдер, а не она. Посмотрите еще раз терминологию, а то мы на разных языках говорим.
Вот радио есть, а счастья нет. (с) Ильф
 
А говорили, что статья плохая :). Я вижу пользу от таких статей в том (и за это, в принципе, благодарен секюритилабу), что они сподвигают людей на такое бурное обсуждение. Для меня оно важнее самой статьи. Иным способом расшевелить людей, пожалуй, было бы трудно.
Теперь представьте, что было бы, если бы такого обсуждения не было. Информбезопасность, вооружившись ссылками на эту и другие аналогичные статьи, заручившись поддержкой топ-менеджмента, с новыми силами ринулась бы закручивать гайки, теперь уже вязать инсайдеров, наращивать свои бюджеты и т.д. (можно вернуться к 1937 году, МГБ, повторить еще раз пройденный путь, но история, вроде ж показала, что он тупиковый ?)
Авторов таких статей не осуждаю. Люди зарабатывают деньги, как могут. Работают в крутых (например, аудиторских) фирмах. Если никаких конкретных и полезных рекомендаций не дают, то кто Вам сказал, что они должны их бесплатно давать? Услуги таких фирм недешевы. Появилась возможность порекламировать себя, они ею воспользовались. Не более того.
 
Еще вчера хотел вклиниться в дискуссию, но не судьба... Сегодня страсти слегка улеглись, и предполагаемый мной пост будет уже не актуальным. (это лирическое отступление).
По сути статьи - статья с аналитической точки зрения не плохая, аудиторы переработали много материала. Такие исследования хорошо показывают тенденции и подсказывают разработчикам на какой сегмент рынка или потребителей им надобы обратить внимание. НО...
... статья и само исследование ISBS-2006 опоздали на несколько лет. Уже в конце 90-х, да и в начале 2000-х годов, чувствовался перекос в акцентах IT-security и в разработках средств безопасности, в сторону защиты от внешних угроз и нападений. Вспомните ажиотажи вокруг антивирусов, файрволов, телефонных блокираторов, "глушилок" для сотовых, защиты ПЭМИ и т.д., и т.д., и т.д. Тема о защите от инсайдеров практически не поднималась, тогда и слова такого не было в лексиконе.
Если бы статья появилась в то время, то сейчас мы уже имели бы и  широкий выбор надлежащих средств защиты (программных, аппаратных), и хорошо продуманные организационные и административные меры (полиси, стандарты, регламенты)
Дискуссия в постах выше, как раз и показывает, что до сих пор есть недопонимания о методах и способах защиты от инсайдеров. Хотя по сути, все по прежнему: классификация угроз - оценка рисков - определение способа защиты (с учетом экономической целесообразности :)  - реализация - контроль (и далее по кругу)
Так что, результаты большой работы "авторитетных организаций" PWC и DTI можно было прогнозировать за ранее. А статистические данные можно было бы собрать и обработать с помощью более дешевых компаний.
Страницы: Пред. 1 2 3 След.
Читают тему