Василий Кравец: DLP-системы или "Сожалеем, но у вас уже все украли"
Василий Кравец: DLP-системы или "Сожалеем, но у вас уже все украли"
Василий Кравец: DLP-системы или "Сожалеем, но у вас уже все украли"
04.07.2013
Василий Кравец, разработчик СЗИ НСД, ОКБ САПР
DLP-системы или "Сожалеем, но у вас уже все украли" DLP-систем не существует. Система DLP - это система предотвращения утечки данных. Ее цель - не дать возможность защищаемым данным покинуть некоторое информационное пространство. Цель, конечно, хорошая, но применяемыми методами - неосуществимая. Инсайдеру (а именно против него устанавливаются DLP) достаточно достать фотоаппарат или телефон и сделать снимки прямо с экрана, и защитные системы даже не узнают об этом. Значит для защиты (от утечки!) нужны организационные меры, видеонаблюдение, а не DLP. Инсайдер отправляет e-mail с вложением. Почтовый прокси-сервер отловит такое письмо, например по ключевым словам, и заблокирует его как попытку организации утечки данных. Но что может сделать DLP, если мы положим файл в архив с паролем? А если будет стеганография? Простейший пример с применением исключительно стандартных программ Windows и архиватора WinRAR. Метод (RARJPEG) заключается в бинарном склеивании jpg-картинки и rar-архива - результирующий файл будет выглядеть как jpg-картинка, корректно отображающаяся просмотрщиком графических файлов и архиватором. Получается, что необходимо запретить возможность вложений как таковых. Но, даже запретив вложения, текст документа в измененном виде (base64) можно вставить в письмо. Останется только запретить почту совсем, как и остальные способы сетевой связи. Или использовать не DLP, а мониторы разграничения доступа, контролирующие действия, допустимые над теми или иными объектами, процессы, буфер обмена и т.д. В общем, создавать изолированную среду. С внешними устройствами ситуация ровно та же самая - если использовать DLP, то запрещать совсем, или останется возможность вынести файл, изменив его (способами, рассмотренными абзацем выше). Логичнее просто исключить возможность использования флешки за пределами системы, и пусть на ней будут любые файлы, не так ли? Работой DLP-систем остается только протоколирование действий пользователя, и то не всех. Но где же Prevention-} Вот поэтому DLP-систем и не существует - существуют системы контроля действий пользователей. Они постфактум, после утечки, можетбыть, помогут найти виновного. А отражать атаки возможно только при создании доверенной вычислительной среды. Все остальное - только видимость безопасности.
Copyright © 2018-2022, ООО "ГРОТЕК"