Еще раз о ROI DLP

Показатель ROI, рассчитанный с помощью полученных при помощи методик оценки рисков данных, может быть очень разным для разных компаний. Относиться к нему можно по-разному, но, как показывает практика, если применять его с обычных для бизнеса позиций, можно «не заметить за деревьями леса», то есть, получить ситуацию, когда защита, вроде бы, не была нужна, но, тем не менее, утечка информации случилась, и компания понесла в результате неё довольно серьезные убытки.

Связано это с тем, что в отличие от регулярного функционирования бизнеса, где продажи товаров или услуг приносят регулярные поступления денег, утечки информации происходят сравнительно нерегулярно, поэтому статистические закономерности, которые начинают хорошо работать, когда идет расчет различных показателей, включая и ROI, здесь могут быть не совсем применимы.

Именно поэтому вопрос о ROI DLP остается, пожалуй, самым неоднозначным во всей отрасли. С одной стороны, провести оценку ROI в случае внедрения DLP-системы, вполне можно. Но это будет совсем не тот показатель, который считают обычно при оценке тех или иных инвестиций в бизнесе, поэтому и интерпретировать его нужно только как весьма приблизительную оценку, которая может быть не вполне адекватной в случае недостаточного количества данных. Поэтому ROI DLP лучше рассчитывать, как минимум, через год после начала полноценной эксплуатации внедренной DLP-системы, когда накоплена определенная статистика по инцидентам, которые были предотвращены с помощью DLP. Априорные же расчеты связаны с большой погрешностью.

Сколько в мире жертв утечек?

На этот весьма интересный вопрос (см. заголовок поста) меня натолкнула статистика, опубликованная в СМИ Symantec'ом. Самая интересная его часть - это, конечно, утечки конфиденциальной информации, которые затронули сотни миллионов пользователей. В одном только месяце одного только года. А сколько человек пострадали во время недавней большой утечки от Adobe? А сколько еще в тысячах более мелких, которые даже не всегда попадают на страницы СМИ? Вопрос интересный и неоднозначный.
С одной стороны, легко посчитать, что если в месяц в мире от утечек страдают, скажем, сто миллионов человек, то за год пострадают больше миллиарда, а за несколько лет -  все живущие. Но это бред. Потому что дети лет до трех-четырех (а то и всех двенадцати) от утечек записей из Фейсбука обычно не страдают, как и множество пожилых людей. У сотен миллионов африканцев и северокорейцев интернета вообще нет. А кто-то, скачивая двадцать раз  Flash Player, каждый раз регистрировался на Adobe.com заново. В общем, учесть всё это в подсчетах числа жертв утечек очень сложно, но необходимо, а то данные получатся неадекватными.
Лично мне кажется, что здесь всё происходит по известному закону "80/20", который здесь действует так: 80% пользователей страдает от 20% утечек, которые можно отследить в течение года. То есть, если в месц 100 млн. человек, то за всё время - эта цифра, умноженная на 12, то есть, около миллиарда. И в разные  годы страдают от всё новых утечек примерно одни и те же люди.
Думаю, это вполне адекватная оценка. А как думаете вы?

Гордость виртуальная - проблемы реальные

Вы "чекинитесь" в Forsquare? А делаете гламурные фоточки в Instagram с вашими друзьями в каком-нибудь пафосном заведении? Впрочем, зная аудиторию, которая это читает, ответы на эти вопросы будут, скорее, отрицательными. Но проблема всё равно остается, и проблема нешуточная.
Исследование, проведённое компанией Legal and General, показало, что 84 процента британцев в возрасте от 18 до 35 лет делятся в социальных сетях фотографиями и информацией, которая потенциально может быть использована «цифровыми» преступниками.
Источник: http://www.secnews.ru/foreign/19608.htm#ixzz2uG3ptJkC Security News
В новости по ссылке упоминаются на только пресловутый Forsquare, но и самый популярный образчик социальных сетей - Великий и Ужасный Facebook. Ну и привычку "твитить" всё что ни попадя, как и "инстаграмить", тоже не стоит списывать со счетов - эти социальные сети тоже дают массу информации злоумышленникам, когда вы, к примеру, находитесь в отпуске. Больше всего, конечно, доставляет им радости функция "добавлять координаты к снимку" в мобильных приложениях.
Наверное, если бы российские депутаты всерьез заботились о безопасности своих избирателей, то они бы занимались бы не изучением Яндекс-браузера и прочих возможностей обхода их "хитроумных блокировок", а анализом функций социальных сетей. Хотя бы то же МВД, кстати, могло бы заняться пропагандой против этих вездесущих "чекинов". Впрочем, если просто запретить все соцсети, можно подобными мелочами не заморачиваться...

Пятничный пост

В пятницу у нас традиционный развлекательный пост на грядущие выходные:)
У социальных инженеров среди многообразия приёмов и техник есть одна, когда ты выдаёшь себя за другого человека. Например, крадёшь личность, создаёшь в социальной сети профиль-двойник, френдишь друзей "оригинала" и просишь перевести денег. Но порой нечто подобное случается и в физическом мире:

Раздел: Новости

Жестоко обманутый китаец засудил жену за то, что нарожала ему некрасивых детей 11.11.2013 Начиналось всё с того, что благообразный молодой человек познакомился с крайне привлекательной девушкой и уговорил её выйти замуж. Появились... Подробнее »

История началась пару лет назад, когда у молодой китайской пары Фенг родился первенец. Отец ребенка Чжан Фенг сразу обратил внимание то, что девочка не отличается особой привлекательностью, хотя и он, и его супруга являются весьма красивыми людьми. Мужчина заподозрил супругу в измене, но тест на отцовство опроверг его подозрения. В это время жена призналась мужу, что до замужества она делала серьезную пластическую операцию и поэтому ребенок может быть похож на нее «прошлую».
Мужчина немедленно подал на развод, а также в суд, объясняя свою претензию тем, что супруга не сообщила ему о том, что ее красота — результат искусной работы пластических хирургов. Суд с доводами Чжана Фенга согласился. «Я был невероятно влюблен в нее, когда мы поженились. Но с рождением первенца у нас начались серьезные проблемы. Наша дочка была невероятна уродлива, до такой степени, что это пугало меня», — рассказал журналистам Чжан Фенг.
Прецедент, в общем-то, интересный. Мораль в этой истории тоже есть: всё тайное рано или поздно становится явным, кто бы там что ни говорил. Поэтому если вам есть что скрывать в своем резюме, лучше не скрывать, а поискать работу попроще, где требования не столь высоки.

Таки про Фейсбук и Вотсапп

Конечно, это немного неоригинально, но трудной пройти мимо такой новости:) Для тех кто не в курсе: Facebook купил WhatsApp (один из самых популярных мессенджеров) за $16 млрд. Подробнее тут или тут (последний вариант с едкой ухмылкой в адрес проданного в 20 раз дешевле Viber'а с не сильно меньшей аудиторией).
Ни для кого не секрет, что Фейсбуку сам по себе мессенджер не очень сильно нужен - у них есть своя платформа обмена сообщениями. Социальной сети интереснее аудитория WhatsApp'а. Это полмиллиарда человек. Из них каждый день мессенджером пользуются почти 70%. У самого Фейсбука показатели охвата аудитории не столь впечатляющие, так что, как говорят аналитики, возможно, Цукерберг хочет таким образом поднять их.
Но тут интереснее другое. Мне, например, сразу вспомнилась другая недавняя новость, касающаяся Facebook:
Facebook теперь читает ваши SMS
Компания Facebook выпустила обновление мобильного клиента под Android. Новая версия требует дополнительные разрешения, в том числе разрешение читать текстовые сообщения SMS или MMS.
Отсюда
А теперь сопоставим одно с другим. Трафик WhatsApp уже сравнялся с мировым СМС-трафиком, и при этом еще и растет: каждый день мессенджер скачивают около миллиона новых пользователей. Очевидно, что дело не только в показателях посещаемости Фейсбука: трафик Вотсаппа дает широчайшие просторы для анализа предпочтений пользователя и, соответственно, таргетинга. Особенно с учетом привязки к телефонной книге смартфона. Думаю, это стоило заплаченных за сервис миллиардов.

Почему Skype так популярен?

Всё-таки, что ни говори, но Skype стоит на VoIP-рынке несколько особняком, превосходя многократно все остальные решения по распространённости и популярности. И тому есть несколько достаточно веских причин. Первая ‑ это высокое качество связи, достигаемое за счёт использования специально оптимизированных алгоритмов сжатия данных и, во многом, благодаря децентралированной пиринговой структуре протокола Skype. Вторая ‑ высокая защищённость переговоров, ведущихся через Skype. Весь трафик, передаваемый программой, шифруется с помощью современных криптографических алгоритмов, что, как известно, вызывает большое неудовольствие спецслужб разных стран мира.

Пожалуй, будет вполне уместным сказать, что в корпоративной среде Skype хорошо прижился, во многом, именно из-за своей защищенности: специалисты отмечают, что при использовании VoIP, и особенно Skype, для ведения важных переговоров, существенно снижаются затраты на обеспечение их защиты. Так, можно сэкономить на покупке технических средств защиты, специальной организации защищённых каналов связи и других моментах. Поэтому  Skype вполне легально используется работниками во многих из тех организаций, где стараются максимально оградить сотрудников от использования на рабочих местах таких популярных средств коммуникаций, как социальные сети, ICQ, Mail.ru Agent и прочие подобные вещи.

Впрочем, причина этого во многом состоит ещё и в том, что Skype достаточно сложно заблокировать на сетевом уровне. Создатели Skype приложили максимум усилий к тому, чтобы отправляемые и принимаемые их программой пакеты обходили как программные, так и аппаратные «файрволы». Почти все успехи производителей брандмауэров сводятся на нет регулярными обновлениями клиента Skype и самого протокола. Хотя есть и такие решения, которые вполне успешно борются со Skype-трафиком, но их сложно назвать дешевыми. Из-за этого самым частым способом блокировки Skype в компаниях становится запрет на установку клиента Skype на пользовательских рабочих станциях, контролируемый системными администраторами обычно с помощью различных штрафных санкций по отношению к нарушителю.

Сейчас много других VoIP-решений, в ряде случаев даже более удобных, чем Скайп (например, оптимизированный под мобильные платформы Viber). Но Скайп смог стать лучшим из первых подобных программ, поэтому именно он до сих пор доминирует на рынке.

А как думаете вы?

Неприятность эту мы переживём

Мотивы инсайдеров не сильно варьируются от случая к случаю, и в общем виде укладываются в простой список:

·         Месть (коллегам, работодателю, несправедливой системе и т.д.);

·         Деньги (продать информацию самостоятельно, красть информацию по наводке, красть информацию для того, чтобы открыть собственный бизнес);

·         Идея (например, обострённое чувство справедливости, как у небезызвестного Сноудена).

И сегодня мне бы хотелось вспомнить простую ситуацию, связанную с местью. Представьте себе, сотрудник увольняется и в качестве «дембельского аккорда» (копирует и) удаляет некоторую информацию. Зачем он это делает? Например, из-за того, что он вложил в её создание много сил и теперь считает справедливым последовать примеру Карандышева из «Бесприданницы» с криками «Так не доставайся же ты никому!».

В итоге, задачу можно разделить на две подзадачи: во-первых, нужно выяснить, какую информацию удалял пользователь и удалял ли он её вообще; во-вторых, восстановить данные в том случае, если они были удалены.

Для первого шага понадобится DLP-система. В частности, у нашего «Контура» есть модуль под названием «FileSniffer», в задачу которого как раз и входит ведение журнала «телодвижений» пользователя с файлами. Выдача выглядит так:

На первый взгляд проще будет удавиться, чем разобраться в этой простыне. Но это впечатление ошибочное. Во-первых, никто не отменял фильтрацию: по дате, учётке пользователя, произведённому действию с файлом и т.п. А во-вторых, приглядитесь к серой полоске вверху выдачи. Это блок, в котором можно сортировать выдачу, создавая цепочки условий.

В итоге, всё сводится к паре нехитрых манипуляций:

1.      Определить период времени, за которых мы хотим увидеть выдачу.

2.      Отсортировать выдачу по действию с файлом (удаление).

3.      В качестве дополнительного условия отсортировать по пользователю.

Можно было эти значения сразу в фильтрах задавать, кстати. Теперь перед нами все файлы, которые пользователь удалил за указанный период. Проанализировав столбец «Имя файла» мы увидим все пути к файлам, то есть сможем узнать, в каких директориях напакостили. Дальше – этап восстановления.

А вот этого DLP делать не умеет. Поэтому для восстановления используется сторонний софт. Когда «гром грянул» мне помогла утилита от Hetman Partition Recovery одноимённой компании, найденная в закромах админских recovery-дисков. Честно сказать, пробовал подряд (чуть ли не по алфавиту), но здесь получился вменяемый результат. Глянуть, что умеет утилита и как выглядит можно здесь. Дабы не порождать холивары, сразу скажу: чем она лучше – не знаю.

Неприемлемые риски

Для того чтобы понять, какие риски приемлемы, а какие – нет, их сначала необходимо оценить. Вы можете обратиться к консалтерам, которые сделают всё за вас и красиво обоснуют с точностью до запятой каждую полученную цифру. И это будет очень хороший, но вместе с тем и весьма недешёвый вариант. Но если с деньгами туго, можно попробовать оценить риски самостоятельно. Как показывает практика, для большинства компаний эта задача вполне может решаться и без привлечения сторонних экспертов.

В общем случае процесс оценки рисков выглядит так: построение модели информационной инфраструктуры организации, выявление взаимозависимостей отдельных информационных ресурсов; сопоставление угроз и уязвимостей, которые могут приводить к реализации указанных угроз для каждого ресурса; оценка вероятности реализации каждой угрозы и её возможных последствий. Последний пункт этого списка – самый сложный на практике, поскольку для определения вероятности и стоимости реализации угрозы (а особенно такой угрозы, как утечка информации) необходима статистика, которой в распоряжении организации может и не быть. Впрочем, распространённые методики оценки рисков, которые легко можно найти в специализированной литературе и даже во Всемирной паутине, позволяют оценить риски и без применения большого объёма статистических данных.

После оценки вероятности и стоимости необходимо оценить также степень критичности каждой из угроз для всей информационной системы в целом (для этого можно применить собственную шкалу с положительными баллами). Результирующую степень риска можно положить как произведение трёх величин: вероятности, стоимости и критичности. Соответственно, защищать нужно в первую очередь те информационные ресурсы, для которых степень риска максимальна. То есть, необходимо выделить какой-то максимально допустимый уровень угрозы, выше которого защита должна быть особенно мощной. На практике этот уровень вычисляется исходя из выделенного на нужды ИБ бюджета.

На этом этапе может неожиданно оказаться, что в списке ресурсов, защищать которые рекомендует законодательство, не очень много ресурсов из другого списка – того, который составили вы сами на основе оценки рисков. В этом нет ничего страшного и странного – законы и ГОСТы меняются гораздо медленнее, чем реальные угрозы.

Масштабная популяризация Bitcoin

Чем больше читаешь российские новости по поводу биткоинов, тем больше удивляешься тому, насколько бестолково действуют сторонники запрета этой криптовалюты. Я сейчас говорю о центробанке и смежных с ним ведомствах.
На Секлабе в топе новостей уже без малого неделю висит сообщение о запрете биткоинов Генпрокуратурой: 6 февраля, состоялось заседание Генпрокуратуры, в рамках которого представители ведомства подчеркнули, что использование виртуальных валют и анонимных платежных систем на территории РФ запрещено законодательством. Об этом сообщает пресс-служба Генпрокуратуры.
Подробнее: http://www.securitylab.ru/news/449458.php
Скажите, как вы думаете, после таких заявлений количество пользователей биткоина в России уменьшится? Особенно в свете таких замечательных слов: По словам присутствующих, главной особенностью упомянутой виртуальной валюты является то, что у нее нет соответствия с реальными средствами, а ее стоимость определяется исключительно спекуляциями. То есть цена на Bitcoin может как резко упасть, так и подняться.
Подробнее: http://www.securitylab.ru/news/449458.php
Сейчас, конечно, не "лихие 90-е", когда МММ запросто мог купить всю страну, а на сдачу - еще пару соседних, но новые опыты Мавроди показали, что и в наши дни любителей известного по роликам с Леней Голубковым бренда ой как хватает. И биткоин видится поколению айфона и фейсбука некоторым продвинутым вариантом МММа. Хотя и анонимность тут играет не последнюю роль, чего уж там.
Вообще вспоминается история про внедрению картошки в Российской империи, когда Екатерине пришлось оградить картофельные поля и поставить солдат, чтобы крестьяне признали новый овощ и стали его красть для выращивания у себя. Ну неужели ничему история не учит наших нынешних руководителей?..

Зачем сотрудники переписываются с конкурентами?

Большинство рыночных ниш сегодня уже заняты, и компаниям, работающим в них, необходимо конкурировать друг с другом. Бизнес-аналитики говорят, что конкуренция – это даже хорошо, потому что там, где нет конкуренции, нет и рынка, и, соответственно, невозможно заработать. Но конкуренция хороша только до тех пор, пока она честная, и соперники не пытаются украсть друг у друга корпоративные секреты.

Пословица «знал бы прикуп, жил бы в Сочи» верна в бизнесе, как нигде. Вложенные в разработку технологий, бизнес-планов, обучающих методик деньги и время можно очень легко сэкономить, если украсть всё это у конкурентов. Правда, красть тоже нужно аккуратно, чтобы никто ничего не заподозрил, или, во всяком случае, не смог доказать. Идеальной будет схема, когда конкурент сам всё принесет на блюдечке руками собственных сотрудников. Поэтому нередко руководители и HR-менеджеры организаций предлагают сотрудникам конкурирующих компаний более высокую зарплату и массу других бонусов с тем условием, что при переходе на новую работу они должны взять с собой кое-какую информацию со старой.

Как показывают исследования компании SearchInform, сотрудники с готовностью идут на такие, скажем прямо, не совсем честные, сделки. Опросы, проведенные на семинарах во многих городах России и стран СНГ, показали, что лишь 19.2% работников готовы ответить твёрдым отказом на предложение о продаже конфиденциальной информации, в то время как 43.7% не устоят перед соблазном лёгкого заработка, а 12 процентов и вовсе поделятся всеми доступными им корпоративными секретами совершенно бесплатно. Опасны и уже уволенные ранее работники. Более трети уволенных сотрудников выражают готовность к продаже корпоративных данных по инициативе покупателя, а ещё 15.7 и сами готовы предложить их конкурентам последнего работодателя.

Как показывает опыт, конкурентов интересует обычно достаточно широкий спектр различной закрытой корпоративной информации, начиная со списков текущих клиентов, заканчивая бизнес-планами, технологическими разработками, а иногда даже паролями от корпоративных сетевых ресурсов – с помощью последних, как несложно догадаться, можно получить доступ ко всем вышеперечисленному.

Можно ли надеяться на то, что сотрудники какой-то отдельной компании окажутся более честными и порядочными, чем в среднем по России? Очевидно, что гораздо практичнее будет полагаться на принцип «спасение утопающих – дело рук самих утопающих», и не дать возможность работнику уйти в конкурирующую организацию с вашими корпоративными секретами.

Если обнаружится, что кто-то из сотрудников действительно переписывается с конкурентами, необходимо принимать меры по санкциям в отношении данного сотрудника. В простейшем случае будет достаточно ограничить его доступ к конфиденциальным корпоративным документам, в более «запущенных» ситуациях может идти речь и об увольнении инсайдера «по статье».