среда, 27 июля 2011 г.

НАША СЛУЖБА И ОПАСНА И ТРУДНА И НА ПЕРВЫЙ ВЗГЛЯД КАК БУДТО НЕ ВИДНА

Всем привет!

Честно говоря, не думал, что когда-нибудь заведу блог, но в свете последних событий захотелось высказаться по теме. 
Короче ситуация.. До недавнего времени я работал на одном крупном украинском научно-производственном предприятии. Там руководство только пришло к пониманию того, что конфиденциальную информацию об их сделках, разработках и т.п. нужно как бы защищать. Вот так и сформировали отдел, куда и пригласили в итоге меня начальником отдела…
Я вообще занимаюсь инфобезом уже лет 10, причем занимаюсь так, серьезно. Делать бесполезные заглушки для проверяющих органов для меня не вариант. Поначалу казалось, что руководство разделяет мой подход – с таким важным видом рассуждали со мной о «поднятии уровня безопасности на качественно новый уровень»… Знал бы, с каким треском придется выбивать финансирование на тот же новый сервер или прокси... Чувствовал себя гестаповцем. И ладно бы не было денег, так нет же – 100 штук на новую служебную машину есть, а те же деньги на ПО по безопасности – «да ты что?! мы не будем столько платить за воздух!». Короче умиляют меня люди, которые хотят, чтобы все было зашибись, и при этом на халяву.
Последней каплей был тендер по длп. Вообще хохма. Короче, в итоге в шорт листе осталось три продукта. Всех их потестили и подали отчеты и наши рекомендации дирекции. Я уже и не удивился, когда выбрали самый дешевый вариант от McAfee. Спрашивается, зачем было убивать столько времени на тесты и писанину?.. Самое забавное, что именно McAfee DLP я и специалисты моего отдела посчитали наименее подходящей для нашей организации. Но, конечно, кто мы такие?
В общем, после все этой клоунады, я решил, что ну его на фиг, пока не поздно пора тикать. Благо с моим опытом работы я не испытывал дефицита в предложениях.

Ну и чтобы не быть голословным приведу только часть того, что мы предоставили начальству..

РЕЗУЛЬТАТЫ ТЕСТИРОВАНИЯ MCAFEE DLP

Замечу, что самое лучшее, на мой взгляд, что есть в McAfee DLP, система унаследовала из линейки антивирусов McAfee. К слову сказать сам их антивирус весьма не плох.

Итак, ПЛЮСЫ.
  1. Распределенная нагрузка (SuperAgents). Снижает нагрузку на сервер, имхо это дает возможность работать с 1 сервером в предприятиях, где количествово компьютеров превышает 500 машин. 
  2. Есть валидация по кредиткам и не только (порядка 12 видов валидаций). 
  3. В настройке контроля монитора можно выбирать дополнительные параметры (к примеру, я хочу не каждый 15 сек или определенный интервал мониторить экран “жертвы”, а только при запуске определенных приложений – это ведь снижает не только нагрузку на компьютер, но и на аналитику, и убирает лишние срабатывания) 
  4. В McAfee DLP есть огромная документация на русском и английском по использованию и решению проблем. 
МИНУСЫ

McAfee DLP ни на что не годится как аналитический модуль. Этой системе свойственна низкая информативность. Система неудобна для украинских (и российских, и других стран СНГ) реалий, т.к. она не дает возможности анализировать и просматривать информационный трафик в целом, и передаваемую конфиденциальную информацию в частности. 
Эта система – для Запада, где перед безопасниками стоят совсем другие задачи. Там сотрудники при трудоустройстве уже знают о том, что все их действия в компании контролируются, они держатся за свою высокую зарплату, что для большинства является сдерживающим фактором, чтобы заниматься сливом информации на рабочем месте. На Западе системы ИБ скорее призваны предотвращать случайные, непредумышленные утечки, а также устанавливаются, чтобы соответствовать требованиям регуляторов. 
Перед нашими безопасниками стоят другие задачи – системно бороться с инсайдерством и быть в курсе всего происходящего в коллективе. У нашего безопасника должна быть возможность просматривать передаваемые сотрудниками организации документы, анализировать их содержание. А этого McAfee не позволяет. Когда McAfee DLP сообщает о произошедшем инциденте с конфиденциальной информацией, безопасник не может просмотреть те документы, на передачу которых сработала система. 
По моему мнению, если уж устанавливать McAfee DLP, то на тех предприятиях, где руководство предварительно готово потратить значительные средства на аудит ИБ. Т.к., внедряя McAfee DLP ты должен заранее знать, что именно ты будешь защищать – какую информацию, при передаче по каким каналам связи, при работе с конфиднциальной информацией посредством каких приложений. К сожалению, для большинства украинских предприятий – это предмет мечтаний, предпочтение отдается контролированию всего передоваемого в организации и за ее пределы трафика. А качественно проанализировать его, как я уже сказал, с помощью McAfee невозможно.

McAfee DLP заставила нас повозиться с ней при установке и эксплуатации:
  • Проблемы возникают, когда SQL-сервер стоит там же, где и серверная часть McAfee. 
  • Проблема с русской Windows. Невозможно прописать русского пользователя. Windows должна быть английская. Либо пользователей приходится переименовывать (по-английски). 
  • Требует эксплуатации очень мощных рабочих станций, что снижает производительность. 
  • Необходимость постоянного отслеживания новых рабочих станций в сети - Policy Enforcement. 
8 МЕТОДОВ ОБХОДА MCAFEE DLP:

Метод 1.
Общаться через любые приложения завуалированно, т.к. у McAffee DLP очень-очень слабый словарь, без морфологии, нет синонимов. 

Словари в среднем от пяти до двадцати слов. Достаточно общаться заранее оговоренными формулировками, синонимами слов.

Метод 2.
Создаем новый документ, берем часть информации от старого (разбиваем мысленно старый документ на части). Каждую часть делим еще на несколько (одну часть скриншотим, вторую часть набираем вручную), 

заносим текст в таблицу, добавляем пару абзацев с «левым» текстом, изменяем разметку страницы, добавляем в начало несколько белых страниц - и уже McAfee потерял метки и наследование на этот новый документ! 

Метод 3.
Использовать неподдерживаемые McAfee форматы (поддерживаются только 62 формата). Например, из числа форматов OpenOffice McAfee вообще ни один формат не может распознать. А это бесплатный, достаточно сильный офисный продукт.

Метод 4.
Использовать portable-версии приложений (к примеру, Skype-portable).

Метод 5.
Создаем виртуальную машину, делаем бекап диска, на котором лежит документ, и восстанавливаем на виртуалке.

Метод 6.
Отсоединиться от сети предприятия и передать данные (по умолчанию не выставлены настройки в оффлайне передавать инциденты обратно на сервер. Это необходимо дополнительно настраивать).

Метод 7.
Использовать незарегистрированные приложения. McAfee следит не только за метками, но и за приложениями, и в случае, если использовать неучтенные программы, то информация может проскочить. Например, я пользовался qip infium

Хоть и есть функция добавления различных приложений, но ведь еще необходимо выяснить, кто и какими приложениям пользуется.

Метод 8.
Запустить сперва снятие видеоряда с экрана (к примеру, программу Snagit), затем открыть документ, пролистать его и закрыть. На видео-файл метки не будет. 

Что еще вспомню, допишу попозжее. Если появятся дополнительные вопросы или возражения – готов к полемике.

По моему глубокому убеждению, при выборе DLP-системы главное не то, что это западный, распиаренный на нашем рынке продукт, а его эффективность - качество обеспечиваемой им защиты, которое подтверждается опытом использования этого решения именно на нашем постсоветском пространстве, а не на Западе. 

Удачи в выборе!