Оформление внедрения DLP (продолжение)

Интересное развитие получила история с шпионажем в Cisco. Директор российского представительства уволил руководителя профсоюза.

Уволен председатель профсоюза Cisco Россия

Генеральный директор «Сиско Системс» Павел Бетсис подписал приказ (см. ниже) об увольнении менеджера по работе с клиентами Андрея Хабарова с 14 декабря 2011 г. «в связи с неоднократным неисполнением работником без уважительных причин трудовых обязанностей, если он имеет дисциплинарное взыскание (пункт 5 части первой статьи 81 ТК РФ)».

Андрей Хабаров вместе с коллегами Айдаром Гариповым и Вячеславом Ревичевым в мае 2010 г. организовал в российском офисе Cisco первичную профсоюзную организацию. В… полный текст

Источник: CNews

Хабаров планирует обращение в суд. Становится интересно, что же будет делать компания. Неужели у них все в таком запущенном состоянии в отношении использования DLP и расследований. Будем следить.

Мини-DLP, но главное бесплатно

Интересное ПО обнаружил Александр Бондаренко.

Мини-DLP, но главное бесплатно

Воспользовался ссылкой и скачал. Ищет довольно шустро. Надо только написать своих регулярных выражений. Спасибо Александру.

DLP на коленке

Добры день, коллеги.

Давненько я не писал. За это время многое случилось. В частности, я пытался на коленке сделать псевдо DLP. А именно воспользоваться возможностями MS Exchange по поиску. 

У MS Exchange 2007 и выше есть возможность с помощью PowerShell поиска по всем ящикам определенной информации и выгрузка сообщений. Выгружать можно либо в заранее определенный почтовый ящик, либо в pst файл.

Экспорт производится с помощью командлета ExportMailbox. Подробно о его использовании можно посмотреть здесь. Поиск осуществляется по всем папкам почтового ящика. При этом есть возможность ввести ограничения с помощью опций ExcludeFolders или IncludeFolders. Список опций есть здесь. Можно ограничить временной период с помощью StartDate и EndDate. Можно искать отдельно по теме письма, телу письма, названиям вложений (SubjectKeywords, ContentKeywords, AttachmentFilenames). Либо по всем полям сразу (AllContentKeywords). 

Предварительно, необходимо получить администраторский доступ к почтовым ящикам. 

Для поиска и экспорта сообщений из всех ящиков на сервере я воспользовался такой командой:

Get-Mailbox -Server ИмяСервера | Export-Mailbox -IncludeFolders "\Отправленные" -TargetFolder База -TargetMailbox ИмяЯщикаКудаВыгружаем -AllContentKeywords ("*база*","*клиент*") -StartDate "05/12/2011" -AllowDuplicates -AllowMerge

Данная команда запрашивает имеющиеся ящики на сервере (Get-Mailbox -Server ИмяСервера) и для каждого выполняет экспорт (Export-Mailbox) в выделенную папку (TargetFolder База) выделенного ящика (-TargetMailbox ИмяЯщикаКудаВыгружаем) сообщений содержащих слова либо "база" либо "клиент"(-AllContentKeywords ("*база*","*клиент*")). Поиск идет по всем элементам письма (-AllContentKeywords ) в папке "Отправленные"(-IncludeFolders "\Отправленные") за период начиная с 5 декабря 2011 г. (-StartDate "05/12/2011").  При этом разрешено дублирование сообщений (-AllowDuplicates) и объединение писем в одну папку при выполнении нескольких запросов подряд (-AllowMerge). Если данную опцию убрать, то после каждого запроса будет формироваться новая папка вида "Recovered Data - <MailboxAlias> - <Timestamp>". При использовании опции -AllowMerge будет создана одна папка Recovered Data - <MailboxAlias>. Внутри данной папки будут созданы подпапки с именами почтовых ящиков, в которые будут выгружены сообщения прошедшие фильтр.

Выгруженные сообщения можно просматривать в MS Outlook. После выгрузки все папки выглядят одинаково и не понятно в каких есть сообщения, а в каких нет. Чтобы не заниматься открытием каждой папки для выгрузки желательно сделать отдельный ящик. Включать режим "Поиск по всем элементам почты" т.к. к сожалению MS Outlook не позволяет искать внутри папки и ее подпапок. И далее с помощью поиска выбирать сообщения для просмотра.

В общем, в отсутствии возможности внедрения нормальной системы DLP  есть возможность хоть как то контролировать процесс. Не очень удобно, не очень красиво. Но это лучше чем ничего.

Оформление внедрения и использования DLP (часть 2)

Появилась новая запись в блоге посвященном борьбе профсоюза работников Cisco с самой Cisco по вопросу нарушения прав работника. Первая часть описывалась у меня здесь. 

Так вот, поступил ответ Департамента персонала Cisco, в котором они сообщают о том, что в обращении профсоюза не содержалось доказательной базы (документов, записей и т.д.) и соответственно получается разговор не о чем. Поэтому они не будут консультироваться с профсоюзом по данному вопросу, но если необходимо будет, то они всегда рады помочь. 

Интересная позиция. С одной стороны вроде бы правильная. Чем коллеги могут доказать свои обвинения? Как говорится "Разговор к делу не пришьешь.". Мало ли кто и что сказал. Профсоюз планирует обращаться с требованием о проверке фактов. Правда не понятно куда. И еще написать в ФСБ и Министру связи. Думаю правильно обратиться в правоохранительные органы. Но в ответ на запрос органов Cisco вполне может сообщить (и предоставить документы), что имеется соответствующая политика, инструкция, и согласие работника. А может быть и нет таких документов у Cisco (правда я в этом сомневаюсь). Или написаны они не совсем правильно. 

В общем буду следить. Очень интересная ситуация.

Оформление внедрения и использования DLP

Наткнулся на интересную запись в блоге на CNews. Вкратце речь идет о представлении на увольнение директора Cisco Systems  в России П.Бетсиса от профсоюза работников. Основанием послужило то, что в отношении работников организации проводилось служебное расследование (насколько я понял). Основанием для служебного расследования явились данные полученные из перехвата частной переписки по Gmail полученные якобы негласно. Интересная ситуация. С точки зрения сотрудников я согласен. Нельзя негласно собирать информацию. И тем более передавать ее кому то. 

Однако с точки зрения работодателя все немного по другому. Получается, что процесс использования DLP системы не был должным образом оформлен. 

Как я уже писал ранее, в таких случаях нужно получать письменное согласие работника на проведение контроля. Уведомлять работника о наличии системы DLP. Доводить под роспись запрет на обработку личных данных, а также запрет на личную переписку. В этом случае, сразу отпадает уголовно наказуемый негласный сбор информации. А имея согласие работника на контроль за его работой (в том числе и перепиской) и его обязательство не использовать средства для личной переписки будет сложно ссылаться на конституционное право.

В общем я надеюсь, что компания Cisco все таки грамотно внедряет свои системы. 

А работникам желаю, чтобы наоборот.

А нужно ли внедрять дорогую DLP систему?

В выходные сидел в Интернете и наткнулся на статью одного человека, о том как он сделал себе на дачу GSM сигнализацию о взломе. Статья конечно интересная, но не менее интересны комментарии к статье. И вот, в частности, в комментариях один из читателей написал, что в целом достаточно эффективно защищает простая установка мигающего светодиода. Залетных отпугнет, а если кто захочет, так и сигнализация не спасет. Тем более без соответствующего договора с ЧОПом или ВОХР.

  Так вот, к чему это я. Мне кажется, что во многих компаниях вместо дорогостоящего внедрения DLP вполне хватит "мигающего светодиода". Т.е. объявления сотрудникам о наличии системы контроля. Здесь конечно есть и минусы. Такое решение не обеспечит защиту от случайного нарушения, типа отправки не тому адресату. И все равно нужны хоть элементарные средства контроля, чтобы периодически показательно карать нарушителей (типа NetResident от TamosSoft).  Кроме этого, нужно проводить мероприятия по повышению осведомленности. Чтобы люди знали и понимали вопросы безопасности. Но тем не менее, в не очень крупных компаниях где воровать особенно нечего, но порядок все равно нужен, такое решение может и сработать. У меня такой вариант сработал ранее в одной из компаний. Кстати, интересное обсуждение по теме внедрять или нет DLP есть в блоге Александра Бондаренко.

  

Стоимость DLP

Просмотрев предложение по внедрению Symantec DLP обнаружил, что если выкинуть стоимость серверов и работу, то сами лицензии на 250 клиентов стоят около 70 000$. А если выкинуть лицензии Oracle, то стоимость снизится еще 5 500$. Единственно, если в компании нет Oracle, то придется все таки их купить. Т.к. Symantec DLP насколько я знаю не работает с другими СУБД. Хотя надо изучить данный вопрос. Но в целом ситуация почти укладывается в мой предыдущий пост о стоимости DLP в районе 3-3.5 млн. руб. Хотя Symantec на фоне других выглядит привлекательнее. Плюс именитая компания. И в сравнении решений DLP на сайте Anti-malware.ru (часть 1, часть 2) Symantec DLP выглядит очень неплохо. В общем надо думать.

Потоки информации

Одним из условий работы безопасника является знание потоков информации и ценности этой информации. Придя в новую компанию и слабо представляя ее бизнес-процессы, тяжело сразу понять куда и как течет информация. Я в свое время попробовал использовать для понимания течений таблицу такого формата:

Рассылая ее по руководителям подразделений, я смог получить информацию о том, кто является владельцем, оценку ценности информации и грубую оценку рисков от владельцев. Проанализировав полученные данные я смог уточнить непонятные моменты у владельцев. И соответственно в результате создать перечень ценной информации и систем где она обрабатывается, а также куда передается. А это соответственно позволяет определить направления работы и в будущем поможет в настройке системы DLP и всего остального. 

Конечно, это не самый лучший вариант, но тем не менее позволяет достаточно быстро понять ситуацию на новом месте и определить основные направления работы.

Откуда взять трафик для DLP

При внедрении DLP зачастую требуется получить копию трафика между ЛВС и Интернет. В большинстве случаев для этого достаточно настроить зеркалирование портов коммутатора. Однако иногда возникает ситуация, когда нет возможности сделать зеркалирование. Причин может быть много. Как тогда быть? Кто то сразу предложит поставить в разрыв канала HUB. Дескать в нем трафик поступающий на один порт транслируется на все остальные. Согласен, вариант приемлемый. Правда в минус такого решения можно отнести возникновение еще одной точки отказа. Ведь если HUB сгорит, то весь офис останется без связи. Решил я поискать некое устройство, типа тройника для ethernet. В интернете есть несколько страниц с описанием того, как такое устройство сделать самому. Например, здесь описано как самому сделать HUB на три порта. Но как то не хотелось в корпоративной сети использовать "коленочное" решение. Хотелось нечто более профессиональное. В результате поисков наткнулся устройство VOCORD ETAP-FEFD . Вроде то что нужно (описание на сайте):

Ethernet-датчик VOCORD ETAP FEFD 10/100 — устройство, предназначенное для ответвления информационного сигнала с коммуникации сегмента сети, построенной в соответствии со стандартом IEEE 802.3, и работающего в режиме 10 BASE-T или 100 BASE-TX без нарушения работы канала.

Позвонив по контактному телефону выяснил, что данное устройство делалось под конкретный проект и больше не производится. И возможно, что больше его вообще делать никогда не будут.

Далее наткнулся на такое предложение по продуктам компании Fluke Networks - Tap and Switch Solutions. Отправил запрос. В ответ получил, что в принципе это то что надо. И стоить такое устройство будет всего 1500$ (дешевый вариант) или 5000$ (дорогой вариант). Меня это немного озадачило. Как то я не рассчитывал на такие цены.

Продолжив поиски наткнулся на устройство NSG-54 EtherTAP. Продукт новый, все функции еще не реализованы. Однако имеющихся вполне хватает. Запросил цены. И что же получаем: устройство начнет выпускаться ближе к концу года. Примерная стоимость 30 000 руб.

Все равно как то много. Неужели нет простого пассивного ответвителя трафика для ethernet реализованного по схеме нарисованной на сайте NSG и имеющего стоимость до 100$ ?

Гореть в таком устройстве нечему, соответственно точки отказа не должно возникнуть. Устройство "Анализатор" работает только в режиме прослушивания или promiscuous mode. Соответственно конфликтов быть не должно. 

В общем буду искать.

Стоимость внедрения DLP

Процесс выбора системы DLP продолжается. Тестировать пока возможности нет, но есть возможность запрашивать примерную стоимость внедрения. В результате анализа присланных предложений получилась следующая картина.

Если брать количество контролируемых пользователей 250.

Количество серверов 30.

Все возможные каналы (HTTP/S, FTP, IM, print, USB, Skype, и т.д.).

В результате все решения стоят примерно в районе 3.5 млн. руб. Причем у кого то стоимость лицензий чуть меньше, у кого то чуть больше. Но общая стоимость все равно примерно одинаковая (лицензии, внедрение, оборудование и т.д.)

. 

Ситуация мне напоминает покупку пластиковых окон. Когда то мы с шефом одновременно искали пластиковые окна. Компании смотрели разные. У всех скидки, акции и т.д. Когда задаешь вопрос: "Сколько стоит окно вот такого размера?", цена у всех разная. Но когда, просишь посчитать стоимость окна с доставкой, плюс монтаж и т.д., то результат у всех получался примерно одинаковым. В результате мы вычислили, что окно с нашими размерами (а они у нас были почти одинаковые) стоит примерно 200$. И если у кого то само окно стоит дешевле, то они свое возьмут на услугах, если дороже, значит дают скидки на монтаж и т.д. И что бы мы не делали - окно стоит 200$.

С системами DLP ситуация очень похожа. Стоимость системы для фиксированного набора составляет 3.5 млн.руб.