понедельник, 16 сентября 2013 г.

Две идеи для DLP-шников. Часть 2


После длительного перерыва, наконец, дошли руки поведать вам, дорогие читатели, о второй идее, реализация которой потенциально способна хоть немного, но изменить эволюционный застой горячо любимого мной инструмента под названием DLP. В прошлый раз, описывая идею номер раз, я сильно разошелся: но бизнес-аналитика - дело такое, не разжуешь - не поймешь. Судя по письмам, поняли не все, ну, или не до конца. Поэтому сегодня я буду более сжат и более-менее понятен - благо, тема позволяет.

Идея вторая: симулятор Масаловича

Как-то вечером, сидя за чашкой крепкого чашкой чаю с коллегами по цеху и, как водится, через определенное время заговорив о работе, один из них посетовал - дескать, вот защищаем мы тут активы информационные, паримся что есть мОчи, ловим нарушителей режима тайны коммерческой, средства защиты внедряем всяко-разные, а что толку? Аксиому "кто захочет украсть - тот украдет" никто еще не отменял, особо желающие ею успешно пользуются, и считают нас, СБ-шников, дураками круглыми, и это еще не самая худая геометрическая фигура. Молвил друг эту мысль и повесил голову, хлебнув содержимого одной из чашек.

Все грустно покивали и стали размышлять: раз процесс этот не остановить, то нельзя ли возглавить его, ну, или, в нашем случае - контролировать? Про "подсовывание" корпоративным мошенникам "нужных" каналов связи и отключении всех прочих речи даже не шло - эта банальщина для бульварных романов да рекламных проспектов DLP-шников. Понятно, что информация "уходит" но, как известно, если где-то убыло - значит, где-то прибыло. А где в наше время может что-то прибыть? В интернете, конечно: на специализированных форумах, в соцсетях и прочих ресурсах.

Размышления свелись к тому, что неплохо было бы иметь некую утилиту, способную проанализировать некоторую часть Сети на предмет наличия защищаемой информации в открытом доступе, или предложений о продаже/приобретении таковой. Нажав "волшебную кнопку" теоретической поделки и прочитав отчет, можно было хотя бы приблизительно, с высоты птичьего полета оценить масштаб бедствия и определить точку приложения усилий, хотя бы теоретически... Вечер, тем временем, близился к завершению, но идея была настолько хороша, что упала на подкорку и осталась там до утра ближайших будней, когда со свежими силами, все участники вечерних посиделок принялись за работу.

Традиционно разгребя завалы почты и документов, ради интереса, потихоньку начали ковырять в направлении конкурентной разведки - задача, по сути, схожая, только оценить надо не конкурента, а себя любимого. Порывшись на форумах и блогах профессионалов КР (не умаляя достоинств других авторов, мне больше всего понравился этот блог), мы накопали определенную подборку софта (далекоооо не полный перечень здесь), начали изучать. Но чем больше мы погружались в проблематику, тем больше понимали, что в этой сфере дело с автоматизацией обстоит приблизительно так же, как и в DLP.

В конкурентной разведке инструмент - это ПРОСТО инструмент, сравнение одного с другим возможно только по функциональным параметрам, все равно что сравнивать Notepad и MS Word. Так же, как и в DLP, в КР успех всего предприятия зависит от того, насколько виртуозно специалист по КР владеет умением составлять нужные запросы. Единственное принципиальное отличие систем автоматизации КР от систем DLP заключается в том, что последние, по идее, для достижения цели "предотвращать" должны осуществлять поиск в режиме реального времени. Для первых такая задача отсутствует, но и для DLP (особенно работающих в режиме "архиватора"), и для КР существует общий, главный критерий эффективности - уровень мастерства специалиста, пишущего поисковые запросы.

Из предыдущего поста вы знаете, что мне удалось пообщаться с такими специалистами, и чем больше я общался, тем больше понимал, что для оценки эффективности DLP может использоваться... сама DLP! Принципы поиска информации те же, шаблоны похожие, поэтому ничто не мешает адаптировать их под необходимый функционал и искать защищаемую информацию не в канале или архиве, а в Интернете. И тогда пользователи DLP получили бы хоть какую-то, весьма приблизительную, но все же оценку эффективности принимаемых ими мер по защите чувствительной бизнес-информации.

Но пока, увы, информация продолжает уходить, измерить объем украденного невозможно, а вендоры DLP всеми силами стараются догнать несущийся с огромной скоростью локомотив технологий, нивелируя тем самым все достижения внедривших DLP ИБ-шников, либо превращая их в главных врагов технического прогресса в собственной компании.

На этом поток идей в отношение дальнейшего развития DLP у автора блога, к счастью или к сожалению, иссяк, но не иссякло желание говорить на эту тему. Поэтому 20 сентября, на конференции DLP-Russia 2013 я расскажу, как набивались мои собственные шишки в непролазных дебрях тематики защиты ценной бизнес-информации от утечек, а 9 октября (если все сложится удачно) на конференции Infobez-Expo мы поговорим о новых и старых "болячках", которые зияют открытыми ранами на теле DLP-идеологии.

Смотрите онлайн и приходите, будет интересно ;)

Комментариев нет :

Отправить комментарий