Цитата |
---|
Гость пишет: Шпионское ПО вообще для сформулированной задачи не применимо. 1. Шпионское ПО способно лишь сообщить о факте копирования данных. Что за данные (может не секретные) и кто их копировал (может ему можно) оно не говорит. Т.е. аналитик утонет в море ненужной информации. 2. Тот же недостаток, что и у методов с теневым копированием - когда событие анализируется данные уже давно ушли. Это примерно как если вместо замков и часового на складе, нанять кучу сотрудников, которые будут проверять благонодежность всех окрестных жителей и ненадежных отселять. |
Если вы были внимательны, то использовалось понятие СПЕЦИАЛИЗИРОВАННОЕ шпионское ПО, обладающее возможностями идентификации подозрительной активности пользователя (в том числе, которая может предшествовать сливу информации), и аналитик имеет дело не с сырыми данными в которых он "должен" утонуть, а с набором отчетов, представляющих различные срезы информации касающейся действий над конфиденциальными базами, файлами и т.п.
Если мы ведем речь не об особо охраняемых объектах, где на входе обыскивают, сотрудники работают все за одним компьютером по записи, который никуда не подключен, опломбирован, не имеет никаких внешних портов и т.п., а о реальной корпоративной среде, где используются ноутбуки, КПК, разнообразные каналы внешних коммуникаций и т.п., то инсайдер всегда найдет способ похитить информацию, т.к. он имеет к ней легальный доступ. Самое большое что вы можете себе позволить, это обнаружить факт слива информации (или если получиться подготовку к этому) и поймать инсайдера за руку. А то, что вы называете "эффективным" решением задачи, способно привести лишь к возникновению ложного чувства защищенности, в то время как об инсайдерах эта организация как не знала так и знать ничего не будет.
Поэтому важно изначально правильно сформулировать задачу, иначе можно закончить попыткой создания абсолютно безопасносной системы или вечного двигателя.