80% аварий совершают трезвые водители и только 20% - пьяные.
Статистика.
В соседнем блоге удивляются весьма странным показателям статистики по инцидентам. Меня этот факт удивляет несколько меньше. Я уже поднимал тему проблем остановки в одной из первых статей. И получившиеся статистические выкладки подтверждают мою теорию, что реализация остановки есть победа маркетинга над здравым смыслом.
Итак – дано. На предприятии внедрена DLP-система с остановкой конфиденциальной информации. В соответствии с логикой внедрения мы должны сразу получить пик статистики по утечкам (собственно, совпадающий с началом графика, поскольку до внедрения у нас статистики как таковой не было). После чего количество непредумышленных утечек должно сокращаться, а умышленных – и вовсе обнулиться. В абсолютных цифрах так или почти так и происходит. Лояльный пользователь пишет сообщение, оно останавливается, пользователь понимает, что об этом впредь писать нельзя. В сферическом вакууме в конечном итоге мы получим пользователя, который не допускает случайных утечек, а потому относительная доля случайных утечек в сравнении с умышленными должна падать. Но не падает. Почему?
Есть две версии. Первая – напрямую показывает ценность DLP как таковых. Если в абсолютных величинах число злонамеренных утечек уменьшается быстрее, чем случайных – то доля последних будет расти. Например, в компании «Уголок инсайдера», по данным внедрённой в начале года системы за 2009й год произошло 6 случайных утечек и 4 намеренные. Массовая доля случайных – 60%. Руководство компании сделало соответствующие выводы в отношении причастных и за 2010й год произошло всего 3 случайных утечки и 1 намеренная. И на фоне общего снижения числа инцидентов – доля случайных утечек выросла до 75%. То есть получилось как в эпиграфе.
Вторая – не исключает воздействие первой, но дополняет её. Проблемой системы с остановкой является то, что она учит. Учит, как не следует делать не только лояльного сотрудника, но и сотрудника, заведомо нацеленного на слив. И однажды – таки научит. Он будет притворяться идиотом и попадаться на мелочах до тех пор, пока система будет его останавливать. А также учиться на чужих ошибках, зафиксированных системой. Как только она его не остановит – инсайдер получит неконтролируемый службой безопасности канал. После чего, замечу, будет продолжать попадаться на мелочах, чтоб «поумнение» не показалось внезапным. На примере всё той же компании – у нас будет 3 случайных утечки, 1 намеренная распознанная и неизвестное число тех, на которые система не отреагировала вообще. Статистически мы увидим то же падение в абсолютных цифрах и тот же рост случайных в относительных. С единственной разницей. У нас в организации будет работать человек, знающий, что система по факту – не работает.
Да, я знаю, что в большинстве систем без останова – этот останов возможно отключить. И это – правильно. Я даже рекомендую это делать. Тогда система становится для злонамеренного инсайдера чёрным ящиком. Он знает, что она есть, но не знает, среагировала ли на его действия. Попал он под пристальный взгляд сотрудников инфобеза или нет? Какой из применённых каналов уже раскрыт, а какой нет? Что он вообще сливает, важные данные, или любезно подсунутый информационный шум?
Остаётся вопрос. А зачем тогда делать системы с остановом? А затем, что их очень удобно рекламировать. Наша система, дескать, предотвращает (!) утечку, а ненаши – вот нет! А позже – и прочие подтягиваются. Потому, что проще приделать так разрекламированную свистелку, чем объяснить всем и каждому, что она не помогает, а местами – даже вредит.
Александр Ерощев
специалист по информационной безопасности компании SearchInform
Александр Ерощев
специалист по информационной безопасности компании SearchInform
Комментариев нет:
Отправить комментарий