Недостатки рассмотренных систем на основе статической блокировки устройств: Не контролируется передача информации в сеть. Не умеет отличать секретную информацию от не секретной. Работает по принципу либо все можно, либо ничего нельзя. Отсутствует либо легко обходится защита от выгрузки агента.
--- в Zlock в консоли администратора реализован монитор, который регистрирует все изменения в настройках ZLock-клиента. Кроме этого, остановка службы ZService останавливает только логгирование операций, а не блокировку устройств.Блокировка устройств выполнена на уровне драйвера. Т.е. если устройство заблокированно, то оно и останется заблокированным. С сисетмой ZLock я уже 3 месяца работаю... Много, конечно, неудобного. Но работает она стабильна. А в статье написаны неверные данные.
в Zlock в консоли администратора реализован монитор, который регистрирует все изменения в настройках ZLock-клиента. Кроме этого, остановка службы ZService останавливает только логгирование операций, а не блокировку устройств.Блокировка устройств выполнена на уровне драйвера. Т.е. если устройство заблокированно, то оно и останется заблокированным.
А что будет если выдернуть сетевой кабель, остановить сервис, выгрузить драйвер, скопировать данные, загрузить драйвер и сервис, воткнуть кабель ? Выгружать,загружать драйвер правкой реестра и ребутом. Если есть возможность проверьте пожалуйста.
Мне просто интересно - кто-нибудь когда-нибудь что-нибудь слышал про этот SecrecyKeeper??? Если искать по "защита информации от кражи", то на первой странице
Очевидная проблема в том, что все эти средства более защищают от нечаянной передачи конфиденциальной информации на сторону. Злоумышленника они не останавливают, а только вытесняют на какой-то другой путь, им неподконтрольный. Например, в случае последнего из рассмотренных продуктов: "Ctrl+C" или "Ctrl+PrtSCr" --> MS Word --> "Ctrl+V" --> принтер --> карман. Или "type z:\confidential\file.doc > c:\myfile.doc" --> принтер --> факс. И еще масса подобных способов, если лень с экрана на бумажку выписывать или по телефону диктовать. Защита ведь привязана к контейнеру информации (файлу, диску и т.п), а буде информация из него вынута - она оказывается вне поля действия защиты.
(На всякий случай напоминаю, что инсайдер не осуществляет НСД - его доступ к защищаемой информации положен ему по работе. Не положена передача посторонним.)
Например, в случае последнего из рассмотренных продуктов: "Ctrl+C" или "Ctrl+PrtSCr" --> MS Word --> "Ctrl+V" --> принтер --> карман. Или "type z:\confidential\file.doc > c:\myfile.doc" --> принтер --> факс.
В случае с последним продуктом этот вариант не прокатит. Файл, в который будет сохранятся секретная информация из буфера будет секретным. Ну а против бумажки и телефона надо административными мерами - телефоны на прослушку, бумажки под роспись, сотрудника СБ за спину.
В случае с последним продуктом этот вариант не прокатит. Файл, в который будет сохранятся секретная информация из буфера будет секретным. Ну а против бумажки и телефона надо административными мерами - телефоны на прослушку, бумажки под роспись, сотрудника СБ за спину.
sormat пишет: В случае с последним продуктом этот вариант не прокатит. Файл, в который будет сохранятся секретная информация из буфера будет секретным. Ну а против бумажки и телефона надо административными мерами - телефоны на прослушку, бумажки под роспись, сотрудника СБ за спину.
Наверно один из нас неправильно понял возможности продукта, но это не приципиально: достаточно понимания, что те или иные пути все равно существуют.
Вдобавок, в реальной жизни самые страшные тайны настолько компактны ("фирму готовят к продаже", "такими темпами новый продукт раньше лета выйдет", "сделка с испанцами сорвалась", "квалифицированных специалистов практически нет", "в следующем квартале будет объявлен тендер" и т.п.), что выносятся в голове, в каковую никакой прослушки СБ не посадишь. В сущности, информация - это и есть знание, а не файл. В чем и проблема.
достаточно понимания, что те или иные пути все равно существуют.
Согласен. Никто не говорит про таблетку от всех болезней, но задача в том чтобы максимально сократить количество этих путей.
Цитата
Вдобавок, в реальной жизни самые страшные тайны настолько компактны ("фирму готовят к продаже", "такими темпами новый продукт раньше лета выйдет", "сделка с испанцами сорвалась" и т.п.), что выносятся в голове, в каковую никакой прослушки СБ не посадишь. В сущности, информация - это и есть знание, а не файл.
Самые страшные может и компактны. Но есть еще информационные продукты - исходники программ, большие схемы, шаблоны документов разработка которых заняла много времени и т.п. В этих случаях технические средства защиты необходимы.
sormat пишет: Никто не говорит про таблетку от всех болезней, но задача в том чтобы максимально сократить количество этих путей.
Неправда: задача - усложнить использование. Но это мы сейчас в философию уйдем.
Цитата
sormat пишет: Но есть еще информационные продукты - исходники программ, большие схемы, шаблоны документов разработка которых заняла много времени и т.п. В этих случаях технические средства защиты необходимы.
Вовсе не исключаю, что для каких-то объектов защиты вышепоименованное ПО подходит - тут уж смотря, что кому угрожает (вообще с этого вопроса и надо начинать, а внедрение каких-то средств уже исходя из ответа). Однако следовало бы правильно обозначать его сферу применения: не защита информации, а защита данных, начиная с определенного объема. Иначе часть покупателей будет введена в заблуждение. И ведь все равно даже большая схема может быть ценна малюсеньким зерном (удачная находка или наоборот уязвимое звено, которые можно использовать), а оно уносится.
Ригель пишет: Вдобавок, в реальной жизни самые страшные тайны настолько компактны ("фирму готовят к продаже", "такими темпами новый продукт раньше лета выйдет", "сделка с испанцами сорвалась", "квалифицированных специалистов практически нет", "в следующем квартале будет объявлен тендер" и т.п.), что выносятся в голове, в каковую никакой прослушки СБ не посадишь. В сущности, информация - это и есть знание, а не файл. В чем и проблема.
+мильён. Для остальных угроз бизнес-риски существенно ниже. Все вышесказанное справедливо для торговых компаний.
А что будет если выдернуть сетевой кабель, остановить сервис, выгрузить драйвер, скопировать данные, загрузить драйвер и сервис, воткнуть кабель ?Выгружать,загружать драйвер правкой реестра и ребутом. Если есть возможность проверьте пожалуйста.
монитор в консоли администратора покажет, что были несанкционировано проведены изменения на той машине. А сетевой кабель вообще тут не причём. Насчёт выгрузки драйвера... смысл в том, что ZLock прикрепляет к каждому устройству свой драйвер и если его выгрузить, то устройство перестаёт работать. Причём не только это устройство, а все..например USB клава и мышь)
монитор в консоли администратора покажет, что были несанкционировано проведены изменения на той машине. А сетевой кабель вообще тут не причём. Насчёт выгрузки драйвера... смысл в том, что ZLock прикрепляет к каждому устройству свой драйвер и если его выгрузить, то устройство перестаёт работать. Причём не только это устройство, а все..например USB клава и мышь)
дергать сетевой кабель действительно лишнее, протоколы могут писаться локально, а потом при подключении отдаваться на консоль. а насчет выгрузки драйвера - его надо полностью удалить из системы (не только файл), тогда блокировки снимуться
и кстати, основная мысль в части про zlock, не то что zlock плохо сделан, а то что неправильно - одного неумения отличить секретную инфу от несекретной более чем достаточно. и для получения наиболее важной части его (и подобных прог) функционала достаточно винды.
Собственно, автор в целом корректно оценивает эффективность перечисленных средств защиты. Ловить шпионов (инсайдеров) путем анализа их почтовой переписки, конечно не саймый эффективный способ. Доступ ограничивать (к портам и к информации) тоже конечно надо и конечно мандатная модель управления доступом здесь более эффективна, но и это нельзя считать эффективным решением проблемы.
Если действительно ставиться задача выявлять и останавливать инсайдеров, то необходимо действовать против них их же испытанным оружием, которым пользуются все спец службы, т.е. надо вести за ними постоянное наблюдения и подробно регистрировать все их действия (жучок в кармане пиджака, слежка, видеонаблюдение, скрытая камера и другие формы скрытного наблюдения). На рабочих местах и ноутбуках - специализированное шпионское ПО, перехватывающее не только все формы электронных взаимодействий, но и клавитурный набор и скриншоты (ежеминутно). Рано или поздно шпион себя проявит и вот тут надо документировать улики и дальше сделать все грамотно. Соответствующие технические и программные средства как известно имеются и с успехом применяются специалистами.
Доступ ограничивать (к портам и к информации) тоже конечно надо и конечно мандатная модель управления доступом здесь более эффективна, но и это нельзя считать эффективным решением проблемы
Может лучше сказать "нельзя считать полным решением" ? Административные меры никто не отменял. А как технические меры по борьбе с утечкой и кражей предложенная схема вполне эффективна.
Цитата
т.е. надо вести за ними постоянное наблюдения и подробно регистрировать все их действия (жучок в кармане пиджака, слежка, видеонаблюдение, скрытая камера и другие формы скрытного наблюдения). На рабочих местах и ноутбуках - специализированное шпионское ПО, перехватывающее не только все формы электронных взаимодействий, но и клавитурный набор и скриншоты (ежеминутно).
А теперь представьте какой ресурс требуется для реализации этих мероприятий и для анализа полученной информации, особенно видео- и аудио-. Про законность (жучок в пиджак) вообще не говорю.
Гость пишет: А теперь представьте какой ресурс требуется для реализации этих мероприятий и для анализа полученной информации, особенно видео- и аудио-. Про законность (жучок в пиджак) вообще не говорю.
Затраты на безопасность и вообще и в данном случае должны быть адекватны величине риска. В корпоративной среде полный комплекс оперативно-розыскных мероприятий конечно редко будет применяться, а вот использование специализированного шпионского ПО обойдется дешевле любого из перечисленных в статье средств и даст значительно больший эффект (хотя также как и все остальное не является панацеей). Выслеживание и привлечение к ответственности шпионов - дело вполне законное, если соответствующие действия грамотно юридически оформлены.
Александр Астахов, Ты просто изначально забыл сделать оговорку, что это никогда и не работает на тотальной основе - только целенаправленно: либо идут от конкретного субъекта (человека, вызывающего сомнения в благонадежности), либо от конкретного отбъекта (оберегаемого сведения), а иначе действительно надо быть И.В.Джугашвили, чтобы такое себе позволить.
использование специализированного шпионского ПО обойдется дешевле любого из перечисленных в статье средств и даст значительно больший эффект (хотя также как и все остальное не является панацеей).
Шпионское ПО вообще для сформулированной задачи не применимо. 1. Шпионское ПО способно лишь сообщить о факте копирования данных. Что за данные (может не секретные) и кто их копировал (может ему можно) оно не говорит. Т.е. аналитик утонет в море ненужной информации. 2. Тот же недостаток, что и у методов с теневым копированием - когда событие анализируется данные уже давно ушли. Это примерно как если вместо замков и часового на складе, нанять кучу сотрудников, которые будут проверять благонодежность всех окрестных жителей и ненадежных отселять.
Статья действительно интересная, только немного поверхностная и какая то рекламная.
Если действительно стоит задача защиты от инсайдера то надо отталкиваться от каналов утечки и комплексного подхода.И непонятен масштаб компании 100 или 10 000 машин которые надо контролировать?
Ведь решение которое рассматриваеться основным, только протоколирует а не дает алерты т.е. если утечка произойдет то о ней узнают только потом(может быть).Утечки ведь делают то в основном те кому можно? кстати кто ее админит. Защищает она от утечек через сисадминов?