Facebook - молодцы! Казалось бы, при чем тут DLP?..

Не так давно у нас был пост о том, что у Adobe утекло много документов, и кому-то из-за этого обязательно будет плохо. История получила свое продолжение: некоторые ресурсы, которые, видимо, все-таки не совсем плюют на безопасность своих пользователей, извлекли из этой утечки урок, что вызывает уважение к ним.
Всё гениальное просто и не претендует на модное слово "инновации". Ребята из Facebook'a предположили, что некоторые пользователи могли использовать один и тот же пароль на нескольких ресурсах. Что им оставалось? Правильно. Проверить свою догадку, вооружившись расшифрованной базой.
Сейчас нужно сделать небольшое лирическое отступление и сказать пару слов о... правильно, как обычно, пару слов о DLP. С помощью DLP-систем также можно контролировать пароли. Самых распространённых подходов два.
Первый такой: с помощью фразового поиска по базам IM (инстант мессенджеров) и Skype можно искать слова "пароль", "логин", "login", "pass", "password" и т.д. Тем самым, будем выявлять тех, кто говорит о паролях.
Думаете, будет много ложных срабатываний? Как оказалось, нет. Типичный диалог, который попадает в перехват:
- Зин, а Зин, какой там у нас пароль от админки\1C\ядерного чемоданчика?
- Лови. login: 888, password:111
Конечно, считать это нарушение политики ИБ критичным, или нет, решать вам самим, но знать о нем не помешает.
Но есть еще второй вариант применения DLP к паролям, и он уже чем-то похож на стратегию Facebook. Из открытых источников берём топ-100 самых популярных паролей, и с помощью фразового поиска ищем их в базе перехвата HTTP. Дело в том, что некоторые ресурсы никак не защищают передаваемый им при авторизации пароль. Его-то DLP и может перехватить. А мы, в свою очередь, проверим, насколько пользователь внимательно относится к защите своих аккаунтов.
Кстати, есть еще одно проверка, для которой даже DLP не понадобится. Для этого возьмём базу корпоративных паролей и топ-100 самых популярных паролей. Дальше, думаю, вы поняли.