Поиск  Пользователи  Правила 
Закрыть
Логин:
Пароль:
Забыли свой пароль?
Войти
 
Страницы: Пред. 1 2 3 След.
RSS
Защита информации от инсайдеров с помощью программных средств
 
Цитата

Ведь решение которое рассматриваеться основным, только протоколирует а не дает алерты т.е. если утечка произойдет то о ней узнают только потом(может быть).
SecrecyKeeper именно предотвращает как утечку (случайную), так и кражу. Т.е. если полномочий у пользователя нет (уровни допуска низкие), то информацию увести он не сможет.

Цитата

Утечки ведь делают то в основном те кому можно?
Система может быть настроена так, что доступ будет разрешен, а копирование или передача в сеть - нет.

Цитата

кстати кто ее админит. Защищает она от утечек через сисадминов?
Админит ее тот у кого есть криптоключ. Частично система может защитить и от сисадминов. Например украсть документ с рабочей станции сотрудника админ не сможет, если у него нет физ. доступа. Для более полной защиты нужны административные меры - опечатать корпус, запрет на загрузку с сидюков или флешек.
 
Цитата
Гость пишет:
Шпионское ПО вообще для сформулированной задачи не применимо.
1. Шпионское ПО способно лишь сообщить о факте копирования данных. Что за данные (может не секретные) и кто их копировал (может ему можно) оно не говорит. Т.е. аналитик утонет в море ненужной информации.
2. Тот же недостаток, что и у методов с теневым копированием - когда событие анализируется данные уже давно ушли.
Это примерно как если вместо замков и часового на складе, нанять кучу сотрудников, которые будут проверять благонодежность всех окрестных жителей и ненадежных отселять.

Если вы были внимательны, то использовалось понятие СПЕЦИАЛИЗИРОВАННОЕ шпионское ПО, обладающее возможностями идентификации подозрительной активности пользователя (в том числе, которая может предшествовать сливу информации), и аналитик имеет дело не с сырыми данными в которых он "должен" утонуть, а с набором отчетов, представляющих различные срезы информации касающейся действий над конфиденциальными базами, файлами и т.п.

Если мы ведем речь не об особо охраняемых объектах, где на входе обыскивают, сотрудники работают все за одним компьютером по записи, который никуда не подключен, опломбирован, не имеет никаких внешних портов и т.п., а о реальной корпоративной среде, где используются ноутбуки, КПК, разнообразные каналы внешних коммуникаций и т.п., то инсайдер всегда найдет способ похитить информацию, т.к. он имеет к ней легальный доступ. Самое большое что вы можете себе позволить, это обнаружить факт слива информации (или если получиться подготовку к этому) и поймать инсайдера за руку.  А то, что вы называете "эффективным" решением задачи, способно привести лишь к возникновению ложного чувства защищенности, в то время как об инсайдерах эта организация как не знала так и знать ничего не будет.

Поэтому важно изначально правильно сформулировать задачу, иначе можно закончить попыткой создания абсолютно безопасносной системы или вечного двигателя.
 
Так я об этом и говорю....Крадет в основном тот кто имеет доступ!!!!!!

Безусловно Ваше решение востребованно рынком.Но многие вещи которые оно делает можно закрыть и настройкой AD.
Просто Вы огульно прошлись по другим решениям отметив их слабые стороны(не всегда обьективно) и не упомянув про общий функционал.
Так что признаю Вашу статью рекламной и отношусь к высказываниям в адрес других решений как к необьективным.

В рамках данного обсуждения не хочу с вами спорить.
 
Что-то у меня глюкнуло, извиняюсь если дублирую.

Цитата

Безусловно Ваше решение востребованно рынком.Но многие вещи которые оно делает можно закрыть и настройкой AD.
SecrecyKeeper решение не мое, я не разработчик. То что делает SecrecyKeeper настройкой AD сделать нельзя, т.к. механизма полномочного контроля доступа в винде нет. Хотя в SecrecyKeeper есть функционал, который дублирует аналогичный функционал windows. Например software restriction policy. Это сделано для того чтобы можно было ограничить права пользователя с правами администратора. Но опять же - это функция вспомогательная, а не основная.

Цитата

Просто Вы огульно прошлись по другим решениям отметив их слабые стороны(не всегда обьективно) и не упомянув про общий функционал.
Я для каждого типа продуктов указал недостатки недающие решать поставленную задачу. Какие именно недостатки по Вашему не соответствуют действительности ? Если можно приведите подтверждающий Вашу точку зрения пример.
Общий функционал для продуктов первого типа я отметил. И как его применять можно тоже написал. А что касается второго типа - то там как раз общий функционал дублирует то, что есть в винде, а приобретать их только ради интерфейса я смысла не вижу.
Статью я написал не для рекламы продукта, а чтобы обсудить способ решения задачи. Если предложенное мной решение на базе SecrecyKeeper Вам не нравится, покажите в чем его слабость, буду благодарен, или предложите свое.
 
Цитата

использовалось понятие СПЕЦИАЛИЗИРОВАННОЕ шпионское ПО, обладающее возможностями идентификации подозрительной активности пользователя (в том числе, которая может предшествовать сливу информации), и аналитик имеет дело не с сырыми данными в которых он "должен" утонуть, а с набором отчетов, представляющих различные срезы информации касающейся действий над конфиденциальными базами, файлами и т.п.
Если не затруднит назовите пожалуйста конкретные продукты и что это за "подозрительная активность", пример приведите пожалуйста, а то не очень понятно о чем речь.
Если я правильно понял, то когда аналитик будет смотреть отчеты информация уже уйдет ?
И ведь необязательно, что кражу информации пользователь будет обсуждать по аське, мылу или рабочему телефону. Придет он на работу как нибудь утром и просто скопирует данные на флешку, без подготовки, потому что он не грамотный и думает что всякие средства защиты бывают только в кино, а уж в их то фирме такого точно нет. Как тут шпионаж поможет ?
 
Цитата
nahna пишет:
что это за "подозрительная активность", пример приведите пожалуйста, а то не очень понятно о чем речь.
И ведь необязательно, что кражу информации пользователь будет обсуждать по аське, мылу или рабочему телефону. Придет он на работу как нибудь утром и просто скопирует данные на флешку,
Если я правильно понял, то когда аналитик будет смотреть отчеты информация уже уйдет ?
Давайте я Вам за А.А. отвечу.
"Однажды все скопирует на флешку " - это и есть нетипичная активность, отклонение от усредненной модели поведения данного юзера, выстроенной системой за период наблюдения. Или, скажем, обычно печатал несколько десятков страниц, а тут вдруг тысяча. Или трафик с таким-то сервером приложений всегда был копеечный, а тут роется и роется. Или дискетами всегда пользовался в конце месяца, а тут вдруг в середине. Что-то не так, не как обычно. Если настроено оповещение, то человек еще в здании.

зы. Естественно, что ловятся только ощутимые отклонения от его обычного почерка (а салями не ловится), и что ложные срабатывания тоже возможны. Но сам принцип работоспособен.
Более того, похожие вещи применяются и в совсем других областях. Например, если объем и вектор исходящих денежных потоков слегка поменялся на несколько недель и потом вернулся к обычному - поищи фродящего финансиста, который в это время в отпуск ходил, а со своим и.о. не в сговоре (или наоборот это и.о. без начальника фродил - тут смотря как денежный трафик менялся).
Прелесть в том, что это не требует глубокого контроля бизнес-процессов: отмечена необычность - идешь разбираться.
Вот радио есть, а счастья нет. (с) Ильф
 
Спасибо за пояснение. Интересно.
А название продукта не подскажите ?

Но мне кажется, что это средство для других задач. Или я не до конца понял. Например, у сотрудника на рабочем ПК есть призентации, которые он может копировать на флешку и есть отчеты, планы, аналитика или там проект рекламного ролика, который выносить нельзя. Как это обеспечить описанным способом ?
 
Цитата
nahna пишет:
А название продукта не подскажите ?

Но мне кажется, что это средство для других задач. Или я не до конца понял. Например, у сотрудника на рабочем ПК есть призентации, которые он может копировать на флешку и есть отчеты, планы, аналитика или там проект рекламного ролика, который выносить нельзя. Как это обеспечить описанным способом ?
Я не подскажу (сфера малость другая), но кто-нибудь наверняка. В принципе, анъюжуал активити это сейчас даже в сетевых мониторах последняя мода.

Если неправильное действие "визуально" мало отличается от правильного - никак. Это чуть другой жанр и подход. Не лучше/хуже, а другой. И поэтому способен срабатывать на какие-то другие вещи: всегда в 18:00 отключался и домой сруливал, а тут дождался, пока все уйдут, и сидит с монитора на диктофон начитывает. Во всяком случае, стоит проверить.
Вот радио есть, а счастья нет. (с) Ильф
 
Теперь разобрался. Еще раз спасибо.

Цитата

Если неправильное действие "визуально" мало отличается от правильного - никак.
Вот в следствии этого подобная аналитика - это средства тонкой настройки, которые имеет смысл использовать поверх более "грубого" технического решения. Интересно было бы почитать статью на эту тему.
 
Информация актуальна и ценна в период времени (её жизни), не зря существуют срок давности. Отсутствие системы защиты и использование штатных средств ОС - просто самоуспокоение для любителей почитать документацию по Б.Гейтсу. Оценка защищенности многофакторна, и более эффективно запретить все, что в конечном итоге приводит к "конфликту" ПО СЗИ и пользователя, ПО СЗИ отключают до уровня контроля загрузки. Поднимался вопрос из социнженерии, вот тут и должна проявить себя система защиты.Одно ПО СЗИ не решит вопрос, но если гибкость, с которой оно позволяет работать и предупредить утечку информацию, пусть и не от потенциальных, хотя и для потенциальных "расхитителей народной собственности" это будет сложней технически, да и засветиться в физ.безопасности быстрее (взять недавний скандал в МЭРТ).
 
На статьи у меня самоуверенности не хватает. Но вообще при таком заголовке, как Ваш, оба этих класса (подсматривающие/подслушивающие и детекторы атипичного поведения) могли там быть помянуты. Будем считать, что точка еще не поставлена, и ждать от Вас продолжения.
Вот радио есть, а счастья нет. (с) Ильф
 
Вообще то стоит просто поставить PKI систему и комплекс инспекции сети (например NOC от Raritana). И всё...
 
Советую присмотреться к КСЗИ Панцирь.
 
[quote]
Просто Вы огульно прошлись по другим решениям отметив их слабые стороны(не всегда обьективно) и не упомянув про общий функционал.
[\quote]
Какие конкретно слабости указаны необъективно ? То что продукты первого типа нельзя применять для защиты от кражи ? Или то что продукты второго типа не могут отличать секретную информацию от обычной ? Или я что-то упустил ?
Кстати, вот нашел ссылку интересную сравнение zLock, DeviceLock и NetMonitor от Дениса Зенкина, одного из менеджеров Инфовотч. Он тоже среди недостатков zLock и DeviceLock указывает неумение различать секретную и не секретную информацию. Правда почему-то пишет, что NetMonitor это делать умеет. Опечатался наверное.
 
Цитата
nahna пишет:
не могут отличать секретную информацию от обычной
А ведь из поля зрения выпал еще один аспект...

Практически все кстати и некстати упомянутые продукты ориентированы на ту стадию развития ИТ, которую многие давно прошли - защищаемые сведения в наше время уже не лежат в виде файлов на сетевых дисках, а крутятся в разной степени тяжести коллективных прикладах (mysap, documentum, sharepoint, lotus notes, 1с, navision и т.д. и т.п.). Получается как у Винстона нашего Черчилля: "Генералы всегда готовятся к предыдущей войне".

Извлечение юзером информации оттуда почти не контролируется ни средствами самих систем, ни навесным ПО, ориентированным сплошь на защиту "файловых" информатизаций. Да, какие-то барьеры можно выставлять на возможных каналах ее последующей утечки, но про секретность/несекретность они опять-таки знать не будут.
Вот радио есть, а счастья нет. (с) Ильф
 
Цитата

А ведь из поля зрения выпал еще один аспект.
Это как раз одно из основных функциональных преимуществ SecrecyKeeper'а над остальными продуктами с мандаткой - он умеет различать по степени секретности информацию доступ к которой осуществляется удаленно.
 
nahna, Вы его опять перехваливаете. Различать, что отображается в gui неведомого тонкого клиента (тайна или фигня)?
Цитата
Уровень Секретности Информации может устанавливаться для файла, сетевого диска и порта компьютера на котором запущена какая-то служба.
Вот радио есть, а счастья нет. (с) Ильф
 
2 Ригель
По моему мы о разном. SecrecyKeeper работает так:
При открытии грифованного файла (т.е. такого уровень секретности которого выше чем паблик), происходит увелечение текущего уровня сессии до уровня секретности файла. После этого запись информации в любой файл приводит к повышению его уровня секретности до текущего уровня сессии. Если открыть секретный файл, скопировать содержимое в буфер, а потом скопировать содержимое буфера в несекретный файл, то перед сохранением несекретного файла система скажет, что если файл будет сохранен, то его уровень секретности увеличится. Т.о. предотвращается понижение уровня секретности информации.
Для сервера (например 1С) можно установить например:
Шара1 - имеет уровень секретности top secret
Порт 80 - имеет уровень секретности secret
и т.п.
Тогда при подключении например к Шаре1 текущий уровень сессии станет top secret, а дальше все как с файлами. Мне этого функционала для решения моей задачи хватило.
Конечно хотелось бы присваивать разные грифы разным документам в БД, но этого нет. А в других ничего похожего или заменяющего нет. Об чем и был спичь.
 
Цитата
nahna пишет:
2 Ригель
По моему мы о разном. SecrecyKeeper работает так:
При открытии грифованного файла
Файла, какого файла?

Есть сервер базы данных (допустим, oracle), к нему приделан сервер приложений (допустим, r/3), клиентский софт (видимо, sap gui, раз уж мы такой пример выбрали) ходит к серверу приложений.
В принципе, база данных это конечно тоже файл. Только а) юзер его не открывает, б) в нем всё подряд - от покупки картриджа до продажи Родины.
Вот радио есть, а счастья нет. (с) Ильф
 
2 Ригель
Файл имелся в виду локальный, взят в качестве примера, для пояснения работы механизма контроля грифованных данных. Что касается Вашего примера, то общего решения на базе SK, для таких ситуаций видимо нет, надо смотреть конкретно. Как я написал в прошлом посте, SK не умеет ставить разные грифы на разные документы одной базы. Продукта с такими возможностями я не нашел.
Страницы: Пред. 1 2 3 След.
Читают тему