Почему я не люблю DLP: причина вторая.

Аватар пользователя anvolkov
Автор: Волков Алексей,
(23)
()
Опубликовано в:

В предыдущем посте с почти аналогичным названием я поведал вам, дорогие читатели, о первой причине своего скептического отношения к термину DLP: техническое решение, позиционируемое как средство предотвращения утечек данных, попадая в "боевые" условия перестает быть таковым. Максимум, что оно сможет делать - выявлять эти самые утечки, то есть эксплуатироваться в качестве DLD ("дылды"). С другой стороны, если рассматривать развертывание "дылды" как технического средства в составе DLP как системы (то есть "комплекса организационных мер и технических средств ...") - задача выглядит совсем иначе. Стоимость такого внедрения возрастает в разы, и ждать моментального эффекта от внедрения не приходится но, если у потребителя есть долгосрочные планы по снижению рисков, связанных с утечками данных, до приемлемого уровня - он может и потерпеть.

Естественно, вследствие оптимизации процессов обработки информации уменьшится количество потенциальных каналов утечки  - соответственно, сократится и число "алертов", с усердием выдаваемых "на-гора" средствами мониторинга. Тем не менее, "дылда", как была "детектором утечек" так им и останется, информация продолжит "уходить", а основным звеном, принимающим решения относительно наличия и отсутствия факта утечки, станет наш с вами коллега-"безопасник", эти "алерты" мониторящий. В этом случае техническое средство будет, с одной стороны, незаменимым помощником "безопаснику". А вот с другой стороны, это же самое техническое средство станет представлять определенную опасность для владельца - того, чью, собственно, информацию "безопасник" и пытается защитить.

Как влияет DLP на "приемлемый уровень" из первого абзаца, и по каким причинам безопасник, вооруженный "дылдой", становится угрозой владельцу - об этом поговорим сегодня. Но сначала - вернемся в офис той самой компании, в гости к двум "дружбанам".

Читать далее...
Оцените материал:
Total votes: 280
Тэги: 
 
Комментарии в Facebook
 

Комментарии на сайте

Аватар пользователя Сергей Хайрук

Алексей, как справедливо замечено в комментариях на Вашей страничке, цикл можно было бы назвать так: "Почему я не люблю безопасников и кривую организацию их труда". Вот как хотите, но все, что Вы написали - про организационку, но не про технологию. Отсюда вопрос - в чем смысл провокации?)))

up
4 users have voted.
Аватар пользователя anvolkov

Любая система состоит из двух частей: организация и технология. Технология была в первой части. Во второй - организация. Безопасность должна быть определенного уровня зрелости, безопасник - в частности, морального, чтобы внедрять технологию. В этом смысл. Что не так?

up
3 users have voted.
Аватар пользователя Lindt

Третья часть будет о том, как повысить морально-этический образ безопасника?

up
4 users have voted.
Аватар пользователя anvolkov

Здесь я не советчик, эти качества весьма субъективны. Третья часть будет взглядом на предмет со стороны бизнеса.

up
3 users have voted.
Аватар пользователя Сергей Хайрук

Ну я, как заинтереснованная сторона, не понимаю, зачем так набрасывать на ДЛП? при том, что Вы про организационку) которая как бы к решениям имеет опосредованное отношение) Напоминает стить Арама Ашотыча, ЕВПОЧЯ (с)

up
5 users have voted.
Аватар пользователя anvolkov

Еще раз. Цитата:

"техническое решение, позиционируемое как средство предотвращения утечек данных, попадая в "боевые" условия перестает быть таковым. Максимум, что оно сможет делать - выявлять эти самые утечки, то есть эксплуатироваться в качестве DLD ("дылды"). С другой стороны, если рассматривать развертывание "дылды" как технического средства в составе DLP как системы (то есть "комплекса организационных мер и технических средств ...") - задача выглядит совсем иначе. Стоимость такого внедрения возрастает в разы, и ждать моментального эффекта от внедрения не приходится но, если у потребителя есть долгосрочные планы по снижению рисков, связанных с утечками данных, до приемлемого уровня - он может и потерпеть."

Еще раз. Решение само по себе - это не DLP, а DLD. DLP - это СИСТЕМА, состоящая из технического средства - детектора, и ЧЕЛОВЕКА - предотвратителя. Улавливаете логику?

up
5 users have voted.
Аватар пользователя Olga Gorshkova

Вся эта эскапада против DLP систем лишена смысла, сплошные эмоции. Вы сами утверждаете, что слабое звено DLP системы - человеческий фактор. С таким же успехом можно написать прекраснодушный текст на тему "почему я люблю dlp", описав в нем душку-безопасника, который делает все правильно, копает лопатой землю, а не долбит ею по головам. Ну и что?

Поражает сама формулировка - "люблю-не люблю". Причем здесь любовь? DLP система что, красна девица, чтоб всем нравится? Плюс ничего нового я как постоянный читатель этого сайта для себя из первых двух частей Вашей "трилогии" не почерпнула!

up
3 users have voted.
Аватар пользователя anvolkov

Ох, какой хороший комментарий, наконец-то я дождался :)

> Вся эта эскапада против DLP систем лишена смысла, сплошные эмоции.

Помимо непонятного термина (кстати, что это такое - подскажите, лень гуглить) вынужден констатировать, что эмоций больше в двух Ваших абзацах, нежели во всем моем тексте. И это хорошо - именно эмоции делают нас живыми.

> С таким же успехом можно написать прекраснодушный текст на тему "почему я люблю dlp"

Статей, с другим названием но со схожим смыслом, я начитался - особенно от представителей Ваших кругов (вы же редактор этого ресурса, я надеюсь мне не надо говорить, кем он поддерживается?). Поэтому еще одну от Вас лично читать точно не стал бы. А вот Вы разгадали мой секрет - такой пост будет.

> Ну и что?

А ничего. Это мой блог к Вам транслируется. Я хочу - я пишу. Все?

>Поражает сама формулировка - "люблю-не люблю". Причем здесь любовь?

Любовь всегда причем. И бывает разная, помимо красных девиц. Любовь к ближнему. Любовь к работе. Любовь к себе. Я вот работу люблю. Людей люблю. А DLP недолюбливаю.

> DLP система что, красна девица, чтоб всем нравится?

Есть люди, которым нравится золото. Или журналы. Передача "давай поженимся" Айфоны. Ноутбуки определенных марок. Машины. Компьютерные вирусы. Операционные системы. Все это такая же техника, как и DLP. Да и DLP разные есть - одни могут нравиться, другие - нет.

> Плюс ничего нового я как постоянный читатель этого сайта для себя из первых двух частей Вашей "трилогии" не почерпнула!

А я не новости пишу. А размышляю. О своем. Новостей хотите? Почитайте Компьюленту. Или Лукацкого.

 

 

up
3 users have voted.
Аватар пользователя Lindt

Лёша, главред этого сообщества - я:). Кем оно поддерживается не говорите никому:). А если серьезно, у меня к вам возник вопрос -  а как обезопасить себя от слишком умного безопасника? Есть же процедура недопускания на самолёт пьяных пилотов - там тоже натворить можно - мама не горюй! Самолёт то тут ни при чём.

up
6 users have voted.
Аватар пользователя anvolkov

Наташа :) В первой части ваши коллеги с учердием доказывали, что средство, конечно, не панацея (чудес не бывает), и работает оно в составе системы - то есть и оргмеры, и люди. Значит, СИСТЕМА, так? ОК, во второй части к техническому несовершенству средства (которое объективно есть всегда) я добавил незрелость организации и морально неустойчивого звена - человека. И ваши коллеги опять недовольны - говоря, что средство здесь не при чем. Как же не при чем, если самолет отдельно от пилота - груда железа, и только от пилота зависит, будет ли она летать и как высоко.

Как обезопасить себя от безопасника? Только личным примером, создавая и постоянно поддерживая здоровую атмосферу в коллективе. Тогда коллектив приобретет иммунитет против таких "умников". Правда, для этого надо и бизнес вести честно, а это в нашем государстве бывает не всегда. Что до меня - лично я бы не стал работать безопасником в нечестном бизнесе. Жуликов и врунов органически не перевариваю.

up
6 users have voted.
Аватар пользователя Lindt

Ну или родственников на все ключевые позиции, хотя родственники тоже разные бывают...

up
3 users have voted.
Аватар пользователя anvolkov

Видел я такие фирмы - увы... Не доросли мы еще до родственных связей в управлении. А семейный менеджмент это вообще дикость. Хотя, чтобы воровать - очень успешная бизнес-модель.

up
3 users have voted.
Аватар пользователя Сергей Хайрук

Алексей, так а что мешает поставить в разрыв? дабы не только детект, но и предотвращение? На ложные срабатывания просьба не кивать, ибо это как раз вопрос решаемый. Просто если не в разрыв, это, строго говоря, и не DLP вовсе. Тогда снова вопрос - к чему претензия в названии?

up
3 users have voted.
Аватар пользователя anvolkov

Во-первых, покажите, где он решен настолько эффективно, чтобы можно было с уверенностью сказать: да, критически важная информация, стоимостью в десятки раз выше чем DLP, надежно защищена, а на все остальное нам начихать. Во-вторых, предотвращение в полную силу вскроет факт наличия и использования системы, со всеми вытекающими.

up
5 users have voted.
Аватар пользователя Сергей Хайрук

Внезапно) можно, конечно, от противного - покажите, где  стоит DLP, деньги потрачены, но задач, обозначенных в ТЗ, система не решает. Только конкретно, пальчиком - такая-то компания, таким-то безопасником закуплено. (тролл моде офф)

Серьезно - DLP действительно инструмент, и не более. Ложные срабатывания - неотъемлемая часть, но с этим вполне можно справиться (нагнув вендора, ага).

Вообще же при внедрении/использовании DLP рекомендуется немножечко включить мозг) озаботиться бумажными регламентами, закрыть кое-что на уровне оргмер и пр. -  ибо не волшебная палочка. После вдумчивой подготовки, эксплуатации в копию и анализа результатов система включается в разрыв многими заказчиками и решает нерешаемую, по Вашему, задачу - предотвращает утечку информационных активов.

Второе (про эксплуатацию без ведома персонала) еще проще - если мы возьмем идеологию iW, то Вы нигде не найдете призывов использовать систему в темную. Более того, мы принципиально за открытость ее применения, хотя из-за эффекта "априорной безопасности" - (Р. Хайретдинов)

up
0 users have voted.
Аватар пользователя anvolkov

Сергей, Вы лукавите ;)

> если мы возьмем идеологию iW, то Вы нигде не найдете призывов использовать систему в темную. Более того, мы принципиально за открытость ее применения, хотя из-за эффекта "априорной безопасности"

И потому, что все следуют Вашей идеологии, ни вы мне, ни я Вам не могу назвать ни одной компании ;) Тем не менее:

> можно, конечно, от противного - покажите, где  стоит DLP, деньги потрачены, но задач, обозначенных в ТЗ, система не решает.

Зайдите на сайт DeviceLock и посмотрите примеры внедрения. Эта штука позиционирует себя как DLP, не так ли? ;)

> Ложные срабатывания - неотъемлемая часть, но с этим вполне можно справиться (нагнув вендора, ага).

Дело не в ложных срабатываниях, а в том, какой объем защищаемой информации перекрывается паттернами, и насколько эффективно паттерны составлены. Ложные срабатывания - это не беда. истинные НЕ срабатывания - в этом проблема.

> решает нерешаемую, по Вашему, задачу - предотвращает утечку информационных активов

Все известные мне примеры внедрения включены в разрыв. Что они делают? Либо запрещают сервис (или его части) полностью, разрешенное же пропускают, но в полном объеме складывают в архив, в лучшем случае выдавая алерты. Это ли предотвращение?

up
6 users have voted.
Аватар пользователя Сергей Хайрук

Алексей, если мы оперируем понятиями "называют себя", то далеко точно не уйдем. В нашем понимании DLP - инструмент для автоматического контроля исполнения политик безопасности в области защиты информации. Мы рекомендуем открытое (гласное) использование систем контроля. Это раз (набрасывать на тех, кто называет себя DLP или ставит его в темную, видит в системе только инстумент для мониторинга нецелевого использования ресурсов компании, рабочего времени и проч. не буду)

Далее - блокировка отправки сообщения, содержащего конфиденциальную информацию - штатный функционал DLP, установленой в разрыв, это два

Третье - определение степени конфиденциальности (вероятности наличия КИ) в отправлении - также штатный функционал нашего решения, в дополнение к детекту по образцу и частям эталонного документа, а также по известным формам - номера карт, телефонов, паспортов и проч.

если позволите, аналогия - вы жалуетесь на жигули, называя их автомобилями. Производители мерседесов негодуют)  /конец аналогии

 

up
4 users have voted.
Аватар пользователя anvolkov

> если мы оперируем понятиями "называют себя", то далеко точно не уйдем.

Вообще, это Вы пригласили меня прогуляться, поэтому придется пойти так далеко, насколько я этого захочу :) Ваше решение мне хорошо известно - я щупал его вживую и уверенно заявляю, что все известные мне его реализации в боевых условиях, по сути, от остальных ничем особенным не отличаются. Поэтому опустим чистый маркетинг последнего абзаца - вдувать в уши про жигули и мерседесы мне не нужно.

Вы приводите три функции - они известны и понятны. Две из них - первая и вторая - характерны для DLP, вот только порядок неверный: сначала 3. потом - 2. тем не менее, это ни на йоту не приближает Вас к ответу на поднятую мной проблему: процент перекрытия КИ от общего объема с помощью паттернов и эвристики крайне мал, а процент истинных НЕсрабатываний - велик настолько, что этот функционал мало кому нужен. Потому что решения нет.

Первую функцию процитирую:

> В нашем понимании DLP - инструмент для автоматического контроля исполнения политик безопасности в области защиты информации.

Вы пишите это на коробке с лицензиями, чтобы у потребителя не было недопонимания, и все будет ОК. Раз так - у меня вообще больше нет претензий к  DLP, кроме названия :)

up
3 users have voted.
Аватар пользователя anvolkov

Поправка: в третьем абзаце не "первая и вторая", а "вторая и третья".

up
4 users have voted.
Аватар пользователя Сергей Хайрук

Алексей, ну что Вы, право, "пригласили прогуляться"... для того, чтобы хоть в чем-то разобраться, нужно о понятиях договориться (ваш К.О.) только потому обозначил. Касаемо писать на коробках - мы это говором на моей памяти год как, устами Касперской в том числе. ДЛП без четкого понимания (в голове у клиента) объекта защиты  - бесполезный софт. Поскольку объем информации в больших конторах (а равно разнообразие форм представления) не позволяет маркировать каждый документ, система должна детектить эвристически (опять К.О.), отсюда ложняки

НО: чем более внятная политика и регламенты, чем яснее понимает РУКОВОДСТВО компании, что именно оно хочет защищать (чем ему грозит потеря того или иного), тем эффект от ДЛП выше. ПРоще - поставил-забыл не работает, Ну вот никак, то есть совсем.

Отсюда понятные претензии привыкших к решениям "из коробки". Отсюда желание эту коробку таки сделать (или сделать вид, что сделали). Но это - другая история)

up
4 users have voted.
Аватар пользователя anvolkov

Давайте договоримся о понятиях.

Я описываю свое мнение (не из пальца высосанное) о технических СРЕДСТВАХ, используемых в составе Систем "Предотвращения Утечек Данных". Средствах, которые устанавливаются в разрыв канала и блокируют передачу КИ самостоятельно, в объеме, достаточном для их окупаемости. Вы же упорно тычете меня в поставленный Вами знак равенства между последним термином и "Контролем Исполнения Политик Безопасности". Это совершенно разные вещи.

Я говорю о том, что СРЕДСТВА, ввиду технической несостоятельности, дороговизны или организационной незрелости, не работают так, как позиционируются, и потому в ТЗ может быть что угодно, включая "контроль политик" и "мониторинг канала". Вы же хитрите, говоря о том, что то, что написано в ТЗ, полностью выполняется. Да, это так, но ни один здравомыслящий инженер от вендора не напишет в ТЗ того, что говорит безбашенный маркетинг - чудес не бывает.

Наконец, причина - я уже четвертый (!) раз Вам говорю об истинных НЕсрабатываниях и о крайне низком КПД, Вы намеренно обходите этот момент и уводите беседу на ложные срабатывания. В результате я делаю вывод, что Вы меня троллите, хотя сами же продекларировали troll mode off.

Про все остальное я писал в 1 части, не вижу смысла все заново отражать в комментариях. А про руководство компании я напишу, и про эффект - тоже.

up
2 users have voted.
Аватар пользователя safronov

Алексей, а выводы в конце цикла будут? )) Понятно, что вы просто свое мнение высказываете, но все-таки от специалиста в конце хочется услышать какое-то ИМХО на тему "что же со всем этим делать" или хотябы "советую/не советую"...

up
3 users have voted.
Аватар пользователя anvolkov

Я не простил бы себе лишения читателей удовольствия поглумиться над собственным ИМХО и выводами :)))) Если серьезно - да, обязательно. И довольно неожиданные ;)

up
5 users have voted.
Вы сообщаете об ошибке в следующем тексте:
Нажмите кнопку «Сообщить об ошибке», чтобы отправить сообщение. Вы также можете добавить комментарий.