Интеллектуальная собственность в цене

Очередная симптоматичная новость о вирусе, похищающем интеллектуальную собственность. В последнее время такие вещи, конечно, уже становятся достаточно обыденными, и, тем не менее, я считаю, что  данный случай заслуживает вашего внимания.

Специалисты по вирусной безопасности обнаружили настоящий очаг необычной вирусной инфекции в Перу. Новый вирус-червь, получивший название ACAD/Medre.A по классификации компании ESET, похищал различные файлы, включая чертежи и проекты, созданные в популярном пакете AutoCAD, а также почтовые архивы пакета Outlook 11/12, отправляя их неизвестным адресатам в Китае. Стоит заметить, что Перу стала не единственной страной, пострадавшей от вируса ACAD/Medre.A, однако, именно там на данный момент отмечено подавляющее большинство случаев заражения.

Во-первых, самое важное - это количество чертежей. Десятки тысяч. Впечатляет, не так ли? Китайцы и раньше не сильно стеснялись "заимствовать" чужие технические разработки, но тут процесс явно поставлен на поток. Во-вторых, интересна география распространения вируса. Не США, не Европа, а Латинская Америка. Почему? Вовсе не потому, что разработки там интереснее. А потому, что ближе к Китаю по технологическому уровню и потому что проще украсть.

Понимаете, к чему я веду? К тому, что Россия, равно как и другие постсоветские страны, тоже под ударом. Но Россия, конечно, особенно. Только в ней сегодня достаточно развитая промышленность, которая может заинтересовать китайцев. Что это означает? Возможно, такой вирус уже сейчас работает в вашей компании, просто антивирусные аналитики еще не успели его "засечь".

Но, конечно, написать такой вирус сложнее, чем заплатить сотруднику, который сам на блюдечке принесет ваши разработки предприимчивому китайскому бизнесмену. Поэтому DLP-система даже важнее, чем антивирус. Она, кстати, сможет засечь и подозрительный трафик с большим количеством автокадовских (или других подобных) файлов, идущий на китайские ящики. Поэтому достаточно купить DLP, чтобы больше не ждать милости от нерасторопных антивирусных аналитиков.

Р. Идов,

аналитик компании SearchInform

DLP от первого лица

Руководящий состав нашей замечательной компании, к сожалению, сравнительно редко "светится" в прессе - слишком много дел, связанных с управлением успешным и динамично развивающимся бизнесом. Тем ценнее каждое появляющееся в СМИ интервью, поскольку в них более чем достаточно как конкретной информации, так и просто умных мыслей, дающих повод для размышления. Буквально сегодня CNews опубликовали интервью с генеральным директором компании SearchInform Львом Матвеевым. Скажу без ложной скромности: читать каждому безопаснику просто обязательно, не пожалеете!

Зачем вообще читать интервью с руководителями высшего звена, которые не имеют практического опыта работы в сфере ИБ на реальных предприятиях? Для того, чтобы уловить основные тенденции, которым следует рынок. Потому что именно они сегодня могут рассказать, что ожидает нас завтра, с какими мы будем работать системами и какими руководствоваться документами. В этом плане, думаю, интервью с CEO ИБ-компаний даже полезнее, чем специальные прогнозы, составленные разномастными "экспертами".

Впрочем, всегда полезно ознакомиться с мыслями любого умного человека. А как может быть неумным тот, кто создал с нуля одну из успешнейших в индустрии компаний, которая, заметьте (об этом тоже говорится в интервью) является сегодня ЕДИНСТВЕННЫМ DLP-вендором, имеющим представительства по всей федерации. Думаю, одно это является достаточным оправданием времени, потраченному на чтение статьи.

В общем, еще раз ссылка: http://www.cnews.ru/reviews/index.shtml?2012/06/25/494122_2. Читайте, обсуждайте, комментируйте! Заранее всем спасибо за внимание к этому интервью!

Р. Идов,

аналитик компании SearchInform

Защита на коленке

В последнее время как-то часто спрашивают о том, как можно построить защиту от утечек данных без использования полновесной DLP-системы. Вопрос, конечно, чего там говорить, актуальный, потому как стоит DLP-система немало, и начальство велит всеми силами экономить.

Я, конечно, отвечаю, что лучше на таких вещах не экономить, но если человеку не за что её купить, то он всё равно её не купит. И тогда - да, получается как в той пословице про хитрую на выдумку голь. Но на самом деле, что можно сделать без DLP-системы? Ну да, можно разграничить доступ к базам данных и файл-серверам, можно даже, наверное, при большом желании, уменьшить число утечек путем запрета определенных каналов. Но всего не запретишь, а какая-то простейшая фильтрация всё-таки необходима.

Сегодня довелось познакомиться с интересной идеей Алексея Комарова, которую хочу донести и до читателей нашего блога. "Городить огород с DLP-системой особого смыла не было, придумывать другой метод записи корпоративных адресов тоже не хотелось, поэтому было найдено простое и незатейливое решение – создание соответствующего правила в Outlook. Правило проверяет все исходящие письма на наличие «недоверенных» доменов в адресе получателя, задерживает при совпадении отправку на 120 минут (больше Outlook не позволяет) и присваивает категорию !!!СТОП!!!".

Просто и изящно, и, можно сказать, идеально для тех, кто не имеет возможности приобрести полноценную DLP-систему. Но при этом, к сожалению, рассчитано на ответственного сотрудника. Как я уже не раз говорил, для борьбы с умышленными случаями распространения конфиденциальных корпоративных данных сложно придумать что-то кроме DLP...

Р. Идов,

аналитик компании SearchInform

На заметку ИТ-компаниям: DLP против эксплойтов

Эксплойтами в последнее время торгуют не только сторонние специалисты по ИБ, которые их выявляют в чужих продуктах, но и сами разработчики этих продуктов. Учитывая, что цены на уязвимости "нулевого дня" доходят до нескольких сотен тысяч долларов, прибавка к зарплате рядового программиста получается вовсе не рядовая.

Подробнее о проблеме можно почитать здесь. Но ситуация для ИТ-компаний, в общем-то, не самая приятная. Спецслужбы за бешеные деньги скупают уязвимости, и популярный софт может в обозримом будущем стать фигурантом какого-нибудь неприятнейшего шпионского скандала. И, самое неприятное, исправить уязвимость заранее и обезопасить себя от репутационных потерь практически невозможно, потому что программисты специально продают эту информацию спецслужбам.

Что делать? Правильно, поможет DLP. Достаточно просто с помощью того же "Контура информационной безопасности" отследить факт передачи кому-либо за пределами разрабатывающей тот или иной софт компании информации о содержащихся в указанном софте уязвимостях. Опять-таки, если сильно захочется заработать, то сделать это уже сможет сама компания, а не злостный инсайдер:) Но, думаю, большинству компаний важнее риски для своей репутации, которые они смогут подобным образом заметно уменьшить.

Кстати, что интересно, но ИТ-компании не очень-то активно используют DLP-системы (во всяком случае, по моим наблюдениям). Дескать, программисты не одобрят и разбегутся. А напрасно - не мешало бы проверять этих изнеженных работников клавиатуры, привыкших, что работодатель заглядывает им в рот и гладит по головке. Думаю, если копнуть, то мы найдем немало утечек, в которых виноваты программисты...

Р. Идов,

аналитик компании SearchInform

В оппозиции Микко Хиппонену

Думаю, вы все уже в курсе скандала вокруг Flame и выступления по поводу оного Микко Хиппонена, директора по исследованиям F-Secure. Для тех, кто не в курсе: малварь по имени Flame, как недавно выяснилось, несколько лет успешно избегал не просто лечения, а даже детектирования антивирусами. По этому поводу г-н Хиппонен высказался в том духе, что все антивирусы сели в лужу и вообще их пора разогнать.

Вообще, конечно, чего уж там, самокритика - это хорошо. Особенно когда она полностью безопасно для критикующего и критикуемого (а, ну да, это же САМОкритика, то есть это одно лицо). Только какой толк сегодня от подобной самокритики? Можно тысячу раз критиковать медицину за существование неизлечимых болезней и даже демонстративно отказываться от лекарств и уповать на свежесть воздуха и чистоту воды, но выглядеть это будет, особенно в глазах профессионалов, смешно.

Можно ругать антивирусы за несовершенные механизмы детектирования, но реально создать что-то более эффективное, чем сигнатурный поиск не очень просто. Хотя, конечно, это вопрос технологии. Надо сказать, что DLP здесь даже в несколько более выигрышном положении, потому что полнотекстовый поиск сегодня разработан заметно более хорошо, чем сигнатурный, и отличается заметно более высокой эффективностью. Именно поэтому разработчики DLP-решений, кстати, не торопятся включать поддержку работы с мультимедийным контентом в свои продукты.

Что толку ругать иммунитет за то, что тот не может сам справиться с вирусом ВИЧ, селящимся в иммунных клетках? Надо понимать, что антивирусы, как и DLP - не панацея, что они уменьшают вероятность заражения, но не устраняют самой принципиальной его возможности... Но зато, втоптав антивирусы в грязь, можно сделать себе неплохой (и, самое главное, достаточно дешевый пиар)...

В общем, хотелось бы побольше конструктивизма от таких критиков. Но, увы, вряд ли мы его дождемся...

Р. Идов,

аналитик компании SearchInform

Примеры из жизни

Приведу ещё пару интересных примеров из реальных ситуаций с клиентами, использующими "Контур информационной безопасности" для своих нужд. Если публике понравится, то в дальнейшем, думаю, поделюсь еще парой таких случаев. Сами понимаете, по ряду причин не могу раскрыть ни названия компаний, ни место действия, но все случаи из реальной практики.

Пример 1: Планы строительной компании о покупках земли под элитную застройку начали уходить на сторону. Владельцы участков, перед оговоренной продажей застройщику, уступали их риэлторам, которые выставляли за участки совсем другие суммы. Компонент «Контура информационной безопасности» SearchInform MailSniffer помог выявить инсайдера, пересылавшего по электронной почте информацию о планах застройщика риэлторам.
Пример 2: На компьютере одного из сотрудников случайно были обнаружены резюме нескольких ведущих специалистов компании. Необходимо было выяснить, в какую компанию они собирались переходить на работу, и предотвратить возможную утечку конфиденциальной корпоративной информации, к которой они имели доступ. Мониторинг ICQ и отслеживание конфиденциальных документов на рабочих компьютеров, осуществленные с использованием «Контура информационной безопасности», позволили выяснить, что сотрудники переходят в конкурирующую компанию, а также составить список конфиденциальных документов, которые они должны были передать новому работодателю. После того как доступ к конфиденциальным документам для данных сотрудников был перекрыт, конкурирующая компания отказалась принимать их к себе на работу.
Р. Идов,

аналитик компании SearchInform

И еще раз о парольной защите

Сколько раз я уже писал о паролях! Но тема поистине неисчерпаема, и в очередной раз появился повод написать о паролях. Поводом этим, конечно же, как вы уже наверняка догадались, послужила недавняя массовая утечка паролей из LinkedIn.

Какие пароли оказались, в который уже раз, самыми популярными среди тысяч пользователей? Правильно, самые простые и самые легко подбираемые. На первом месте - пароль link, на втором - 1234, на третьем - work. Скажите, вы удивлены? Лично я - нет. Потому что пользователь ленив, и если ему можно не придумывать какой-то сложный пароль, то он не будет его придумывать. С другой стороны, если заставлять пользователя запоминать сложный пароль, то тут можно и вовсе остаться без пользователей - конкуренция в Сети сегодня весьма и весьма ожесточенная.

Вот если была бы другая система аутентификации, то и проблемы бы не было. Конечно, сегодня говорить о массовом переходе пользователей какой-либо социальной сети на другую систему аутентификации, но, согласитесь, было бы намного проще обходиться без паролей. И подсказка уже есть - многие сайты используют аутентификацию с помощью SMS. Да, это сложнее и дороже в реализации, но гораздо проще в использовании.

Думаю, что вскоре SMS вытеснят традиционную парольную аутентификацию, особенно в таких массовых и популярных сайтах, как соцсети. Как скоро это будет? Сказать сложно. Но, думаю, что в пределах лет пяти всё это произойдет.

Р. Идов,

аналитик компании SearchInform

Снова о практике: как защищаются финансовые организации

Несмотря на то, что в нашей линейке достаточно много разных продуктов для работы практически со всеми протоколами, они, конечно же, не все в равной степени полезны для всех. Именно поэтому клиенты и могут собрать свою систему из нужных им модулей, но речь сейчас не об этом.

Само собой, каждая компания ведет статистику, какой из её продуктов наиболее востребован. Мы сейчас коснемся исключительно финансовой сферы, в силу ряда причин статистику по которой вполне можно открыть. Как защищаются с помощью нашего "Контура" финансисты? Посмотрите на диаграмму ниже.

Как читать диаграмму и почему некоторые элементы дублируются? Дело в том, что тут отражено еще использование отдельных компонентов на мобильных и стационарных компьютерах, соответственно, 12,80% и 1,80% относятся к мобильным, а  5,60% и 9,30% - к стационарным.

В принципе, неожиданностей с самым популярным протоколом - HTTP - и вторым по счету - почтой - не было. Это используют все, это нужно всем.  А вот следить за девайсами на рабочих станциях клиентам не очень интересно, потому что корпоративная политика запрещает совать в корпоративную же машину свои флэшки. Неожиданно популярен оказался Skype - в России ведь всегда любили "Аську", но теперь видно, что не зря Microsoft купила не её, а именно Skype. Пару лет назад его бы и вовсе на диаграмме, уверен, не было.

Ну а вообще, какие можно сделать выводы? Главный - это то, что сегодня уже нельзя ограничиться защитой одной электронной почты, как на заре DLP. И что финансовые организации, которые лучше остальных понимают ценность информации, не складывают все яйца в одну корзину, а мониторят ВСЁ. Ну, и ещё, что всё-таки есть такие вечные ценности, как почта и Web, от которых никуда не денешься.

Р. Идов,

аналитик компании SearchInform

Немного практики

Хочу сегодня разбавить поток рассуждений о смысле жизни практическими советами, которыми мы даем нашим клиентам, по поддержанию информационной безопасности в их организациях. Думаю, что они будут полезны и читателям нашего блога.

«Топы» сотрудников, использующих ICQ, E-mail и т.д.
Для выявления сотрудников, нерационально расходующих свое рабочее время необходимо вручную составлять «топы» самых активных пользователей ICQ, Skype, электронной почты, социальных сетей и т.д. Сотрудник, проводящий слушком много времени за не относящимися к его непосредственным служебным обязанностям разговорами, должен быть наказан после доклада о его поведении на рабочем месте его непосредственному руководителю.
Ретроспективный мониторинг случайно выбранных сотрудников
В профилактических целях полезно проводить ретроспективный мониторинг активности 1 2% персонала организации за прошедший месяц. В случае выявления каких-либо инцидентов, связанных с нарушением политик информационной безопасности организации, сотрудник должен быть добавлен в список активного мониторинга.
Активный мониторинг персонала.
По итогам ретроспективных проверок сотрудников и по результатам анализа новых алертов, целесообразно сформировать список сотрудников, которые должны будут подлежать пристальному контролю со стороны отдела информационной безопасности. В случае, если сотрудник, находящийся в этом списке, окажется замечен в новых нарушениях политик информационной безопасности, должен подниматься вопрос о применении к нему санкций или даже о его увольнении.
А какие советы можете дать вы? Жду комментариев.

Р. Идов,

аналитик компании SearchInform

Гугл всё делает правильно?

Наверное, это просто примета времени, как в холодную войну - персональные атомные бомбоубежища в домах зажиточных американцев. Сегодня очень модно подозревать во всяческих кибератаках не отдельных злобных хакеров (ну да, они уже просто приелись), а разные правительственные структуры.

Как бы там ни было, крупнейшая в мире интернет-корпорация Google будет предупреждать пользователей своего почтового сервиса, если те подвергнутся кибератакам со стороны поддерживаемых государством хакерских группировок, сообщил на сайте Google вице-президент корпорации Эрик Гросс (источник).

Еще каких-нибудь лет пять назад всерьез такое представить было практически невозможно. Но с тех пор всё, конечно, изменилось. Появились наши любимые Викиликс, Пентагон принял закон о возможности бомбежек стран, которые проводят кибератаки на него, Израиль написал Stuxnet, чтобы не дать иранцам обогатить уран... Ну, а теперь ко всеобщему геополитическому веселью подключаются еще и ТНК в лице Гугла.

Сама-то идея, в общем-то, правильная. Только вот реализация, как обычно, наверняка расставит все точки над "i". Не может быть системы, которая ни разу не ошибется. Я даже долгое время был противником DLP-систем с поддержкой блокировки данных из-за возможности остановки не тех данных и блокирования бизнес-процессов в компании. Что будет, если обвинить какое-то правительство в кибератаке, да еще ошибочно? Может ли себе позволить это даже Гугл?

Ну и потом, откуда компания собирается брать данные о таких кибератаках? Я понимаю, что у Гугла достаточно специалистов, чтобы выявлять подобные инциденты, но как подтверждать достоверность данных, чтобы объяснять, что предупреждения - не просто блажь системы?

В общем, вопросов больше, чем ответов. С интересом посмотрим на это чудо в действии.

Р. Идов,

аналитик компании SearchInform

Обновление корпоративного сайта

Допускаю, что вы не каждый день заходите на наш корпоративный сайт, поэтому позволю себе обратить ваше внимание на то, что он немного обновился. Конечно, нельзя сказать, что перед вами принципиально новый сайт, потому что и старый был не плох.

Специально не буду ничего писать по поводу того, лучше или хуже стал сайт в результате обновления - судить об этом только его посетителям (кстати, буду рад увидеть дельные предложения по поводу сайта в комментариях).

Конечно, можете сказать вы, что корпоративный сайт - вовсе не самое главное для компании, которая производит ИБ-продукты. Конечно, сам по себе продукт гораздо важнее. Но с сайтом работает всё то же, о чем я не столь давно писал в посте, посвященном пользовательским интерфейсам в ИБ. Наличие хорошего сайта, как и хорошего интерфейса - признак уважения к тому, кто работает с продуктом. Все-таки на сайте тоже периодически требуется искать информацию об обновлениях и прочие полезные вещи, а если сайт неудобен, то сделать это непросто.

Ну а вообще, если вы не заходили ни разу на корпоративный сайт SearchInform, то могу сказать, что сделать это стоит хотя бы ради подборки новостей, которую мы делаем ежедневно. Вы можете, кстати, увидеть эти новости в нашем зеркале блога на Блогспоте. Могу сказать без лишней скромности, что подборка не хуже многих профильных СМИ, на которые я периодически в этом блоге ссылаюсь.

Надеюсь, что этот пост не покажется вам слишком рекламным - но все-таки событие достаточно важное, чтобы о нем рассказать.

Р. Идов,

аналитик компании SearchInform

Свершилось, господа

Во-первых, хочу, хоть и с некоторым опозданием, поздравить всех с началом календарного лета и пожелать, чтобы дни были жаркими только в плане погоды, а в плане работы, наоборот, было поменьше инцидентов и прочих гадостей.

Во-вторых... Во-вторых у нас собственно сам пост. Когда-то давно тому назад приходилось слышать мнение о том, что вирусы и трояны перестанут баловаться всякими мелочами вроде почтовых аккаунтов и начнут красть по-настоящему ценные вещи - то есть, интеллектуальную собственность. И вот оно, свершилось.

Шпионский вирус Flame, обнаруженный недавно экспертами по информационной безопасности, искал на компьютерах жертв файлы с расширением PDF, в котором часто сохраняют документы, и файлы с расширением DWG, обычно созданные в программе AutoCAD, предназначенной для создания всевозможных чертежей.

Подробности здесь

Нельзя, конечно, сказать, что произошло нечто из рук вон революционное, но, согласитесь, событие далеко не рядовое. Можно сказать, прецедент. Как со Stuxnet'ом, который до сих пор многие, очень многие вспоминают незлым тихим словом. Потому что за этим будут и другие, и тогда реальностью станут не только заблокированные аккаунты в "Одноклассниках", но и выкупы с астрономическим количеством нулей за похищенные вредоносной программой документы.

Термин "утечка информации" приобретет новый смысл. И DLP-системе придется интегрироваться с антивирусом, потому что антивирус сейчас не знает, какие документы важны, а какие - нет. А DLP-система умеет бороться с людьми, а не с вирусами. В общем, системам безопасности придется интегрироваться, интегрироваться и еще раз интегрироваться...

Но это будет ещё не очень скоро. Пока же ждем сообщений о новых подобных вирусах. Вот они точно не замедлят появиться.

Р. Идов,

аналитик компании SearchInform