r
вот тоже пример, чувак перед уходом скачивал файлы c GSuite(google drive)
Size: a a a
2019 April 16
r
это признак того, что он хочет домой унести наработки свои
r
что мне с ним делать теперь?:)
KS
1. DLP - идеально
2. чекать включен ли encryption
3. мониторинг ос (updatе'ы и т.д.)
4. кто работает за компом
2. чекать включен ли encryption
3. мониторинг ос (updatе'ы и т.д.)
4. кто работает за компом
Для 1 пункта - Digital Guardian ) Но только если есть наклонности садо-мазо и возможность сидеть на определенной версии дистрибутива и ядра.
r
помню помню про ДГ:)
KS
если наклонностей нет, то DLP лучше ставить на каналах.
KS
вот тоже пример, чувак перед уходом скачивал файлы c GSuite(google drive)
у GSuite в максимальной редакции есть DLP возможности. Агентский DLP тут лишний, имхо
KS
Osquery в проде юзали для этих целей?
Юзаем. Неплохо делает свое дело, но кажется, CPU кушает нескромно. И темпы разработки какие-то непонятные. https://github.com/facebook/osquery/graphs/contributors
AA
А с чего бы ему цпу кушать? не совсем понимаю.
S
По опыту, могу сказать, что DLP в 90% случаев используется как архив для ретроспективного поиска, например когда Экономическая безопасность уже знает про кого-то, но нужны подтверждения. Поэтому Дозор и Инфовотч заточены под хранение многотерабайтных оперативных архивов, но в реальности мало ловят на лету (такой объём алертов почти нереально обработать не имея аналитика)
S
При этом, зарубежные DLP как раз более заточены под первичную настройку правил и зачастую сильно ограничены в средствах анализа накопленных данных, у них там Конституция и privacy, понимаете ли.
S
То что человек с рабочего компа отправил персональное сообщение, не отменяет его права на тайну связи, что бы там не говорили.
bc
А с чего бы ему цпу кушать? не совсем понимаю.
Там кушает не он, а механизм регистрации системных вызовов в ядре. Собственно если вы auditd накрутите до уровня STIG, то охуеете от падения производительности
bc
А тут еще надо это складывать на сторадж и по сети отправлять
KO
А на eBPF еще ничего подобного не сделали?
bc
это признак того, что он хочет домой унести наработки свои
Ииииии? Ну унес он свои записюльки. Дальше то что? Что ему с ними делать?
bc
Напилить свой велосипед? Нахуй он кому нужен?
bc
Если это продажники, то вы не думайте, что вот так вот просто по одному звонку от манагера поставщика сменят. А если так происходит, то вам не DLP нужен, а HRы нормальные, чтобы талантливых людей в компании удерживать
bc
Если у вас захотят что-то слить целенаправленно, то поверьте, ни одна DLP этого не прочухает. Скорее она станет подарком атакующему.