The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

Первая версия проекта OpenDLP, нацеленного на борьбу с утечками информации

06.05.2010 11:04

В рамках проекта OpenDLP разработан комплекс инструментов для предотвращения возможных утечек информации с клиентских машин, работающих под управлением Windows. Слежение за состоянием и управление проверкой машин производится через централизованный web-интерфейс, который может обслуживать тысячи машин в сети предприятия. На конечных клиентских машинах устанавливается лишь небольшое приложение-агент, при этом установка и управление агентом производится в автоматическом режиме через Netbios/SMB.

Обмен данных между агентом и управляющим интерфейсом производится через шифрованный канал связи. Правила для выявления наличия на машинах закрытой информации формируются при помощи регулярных выражений, поддерживается ведение черного и белого списка с неподлежащими сканированию директориями и расширениями файлов. В качестве примера информации, которая подлежит выявлению можно привести сохраненные в открытом виде номера кредитных карт или пароли, наличие на недоверительных машинах закрытых документов или появление нежелательных приложений, использование внешних сервисов (например, Google Docs или Gmail) для обработки неразглашаемой информации.

Код управляющего сервера написан на языке Perl и работает под управлением Linux, для хранения данных используется MySQL. Агент написан на языке Си и имеет минимальный размер. Исходные тексты проекта распространяются в рамках лицензии GPLv3.

Среди планов на будущее отмечена поддержка прямого сканирования содержимого документов в форматах Office 2007 и OpenOffice, добавление средства для аудита данных в корпоративной СУБД, расширение возможностей пакета по генерации отчетов и обработке ложных срабатываний, поддержка режима прямого сканирования машин без установки программы-агента.

  1. Главная ссылка к новости (http://blog.rootshell.be/2010/...)
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/26502-OpenDLP
Ключевые слова: OpenDLP
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (40) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Andrew Kolchoogin (?), 12:02, 06/05/2010 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    О. Сертифицированный троян. :)
     
     
  • 2.10, reanimat0r (?), 17:28, 06/05/2010 [^] [^^] [^^^] [ответить]  
  • +/
    Ахах! Точно
     
  • 2.12, User294 (ok), 19:30, 06/05/2010 [^] [^^] [^^^] [ответить]  
  • +/
    Открытый! Это ж надо! :)
     
  • 2.30, ssx (??), 19:33, 07/05/2010 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > О. Сертифицированный троян. :)

    и в чем по вашему может быть угроза в таком ПО??????

     
     
  • 3.40, Andrew Kolchoogin (?), 12:33, 11/05/2010 [^] [^^] [^^^] [ответить]  
  • +/
    > и в чем по вашему может быть угроза в таком ПО??????

    В нарушении действующего законодательства. Не российского, конечно, но на Земле больше одной страны. :)

    Можно погуглить "lex Nokia", правда, там будет много по-фински.

     

  • 1.2, XoRe (ok), 12:09, 06/05/2010 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Хорошая штука.
    При правильном применении позволит сделать много удивительных открытий =)
    И открыть глаза на то, сколько "конфиденциальных" данных лежит в открытом доступе на файлопомойке.
     
  • 1.3, Терминус (?), 12:18, 06/05/2010 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Если эта штука сканит содержимое дисков
    на соответствие регулярным выражениям, то
    почему бы тоже самое не реализовать с помощью
    обычного установленного антивируса?
     
     
  • 2.4, Aleksey (??), 13:34, 06/05/2010 [^] [^^] [^^^] [ответить]  
  • +/
    не unix-way. А то потом скажете, что и вместо grep нужно использовать антивирус.
     
     
  • 3.6, proDOOMman (?), 14:07, 06/05/2010 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Более того, вместо антивируса можно использовать grep
     
     
  • 4.7, Aleksey (??), 14:34, 06/05/2010 [^] [^^] [^^^] [ответить]  
  • –1 +/
    А вместо grep'а - cat
     
  • 3.8, Терминус (?), 15:05, 06/05/2010 [^] [^^] [^^^] [ответить]  
  • +/
    есть ClamAV , на винде работает. Можно разобраться в структуре его
    вирусных баз и добавить туда свои "сигнатуры" на "важную информацию"
    и необходимые Action на них.
    Получится будет существующий "grep" с моими параметрами , чем не unix-way?
    Писать свой "grep" по вашему более unix-way?
     
     
  • 4.18, vlakas (ok), 22:26, 06/05/2010 [^] [^^] [^^^] [ответить]  
  • +/
    Почитайте, что такое DLP

    Какой, нафик, антивирус. Антивирус - это только част (малая часть) DLP.

     
     
  • 5.23, Терминус (?), 17:46, 07/05/2010 [^] [^^] [^^^] [ответить]  
  • +/
    И еще "огромная" часть "супер"
    быстро действенного Perl сервера чтоле?
     
  • 2.5, QuAzI (ok), 13:37, 06/05/2010 [^] [^^] [^^^] [ответить]  
  • +/
    и все найденные документы "пролечить", а "неизлечимые" удалить =)
     

  • 1.9, Аноним (-), 17:06, 06/05/2010 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    В корпоративной среде централизованное управление огромный плюс!!!
    Логика на сервере - Агент на клиентской машине.
    Полный дистанционный контроль за юзверями (это низяя, то низяя) 3)
    Рай админа!
     
     
  • 2.11, Cobold (??), 17:35, 06/05/2010 [^] [^^] [^^^] [ответить]  
  • +1 +/
    да забодают админа таким раем, просто очередная припарка для параноидального начальства чтобы думать что у них всё под контролем.
     
  • 2.13, User294 (ok), 19:30, 06/05/2010 [^] [^^] [^^^] [ответить]  
  • +/
    >Рай админа!

    Мечта гестаповца? :)

     

  • 1.14, Сергей Митрофанович (?), 19:47, 06/05/2010 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    То есть теперь чтобы слить секретную информацию надо будет подкупать не только сотрудника, но еще и админа?
     
     
  • 2.15, Cobold (??), 20:06, 06/05/2010 [^] [^^] [^^^] [ответить]  
  • +/
    или немного мозги напрячь, например про мобилку с камерой вспомнить
     
  • 2.16, slepnoga (??), 20:28, 06/05/2010 [^] [^^] [^^^] [ответить]  
  • +/
    С секретами как с высокоточным оружием : если вы видеите цель - вы в нее попали.
    Если вы видите доку - вы ее унесли.
    Все эти сканы только для успокоения начальства и получения гумаг о том, как все круто
     
     
  • 3.17, Cobold (??), 20:48, 06/05/2010 [^] [^^] [^^^] [ответить]  
  • +/
    да нет, она скорее нужна как сигнализация для страховки - если вас клиент заставил подписать nda, а потом наезжает что инфа утекла, можете перед судом отмахаться тем что приложили все усилия чтобы это предотвратить, такую вот штуку поставили и вообще политикой безопасности занимались. Но только, блин, ставить сигнализацию против собственных сотрудников - может всётаки лучше пожить с риском но остаться человеком?
     
     
  • 4.19, SkyRanger (??), 01:24, 07/05/2010 [^] [^^] [^^^] [ответить]  
  • +/
    Безопасность должна быть выше всяких соплей навроде гуманизма и этики с моралью, так как люди разные, например, начальство на какого нибудь идиёта не так посмотрит или не то скажет, это идиёто абыдится и украдет какие нить документы, чтобы отомстить. И себя подведет под статью и руководство подставит, а может и фирму под банкротство...

    Так что безопасность это безопасность. Другое дело, что сотрудники должны быть поставлены в известность что все документы приносимые и выносимые проверяются и вообще за ними наблюдают, а так же зачем это сделано. В конечном счете для их же блага, чтобы по запаре не унесли домой не те документа, а это, возможно, статья...

     
     
  • 5.21, Cobold (??), 12:07, 07/05/2010 [^] [^^] [^^^] [ответить]  
  • +/
    когда человек у тебя работает и знает что ему доверяют и он своей ошибкой может разорить всю фирму, или же когда он знает что ему по умолчанию _не_ доверяют независимо от его личных качеств и ответственности - отношение к тебе и фирме будет диаметрально противоположным. А теперь ещё поставте ему такую тулзу чтобы на какие-то документы сразу кричала что это важный секрет, когда он сам быть может бы об этом и не задумывался - скажет "спасибо за подсказку" и побежит искать кому продать повыгоднее.
     
     
  • 6.25, vlakas (??), 18:09, 07/05/2010 [^] [^^] [^^^] [ответить]  
  • +/
    >когда человек у тебя работает и знает что ему доверяют и он
    >своей ошибкой может разорить всю фирму, или же когда он знает
    >что ему по умолчанию _не_ доверяют независимо от его личных качеств
    >и ответственности - отношение к тебе и фирме будет диаметрально противоположным.
    >А теперь ещё поставте ему такую тулзу чтобы на какие-то документы
    >сразу кричала что это важный секрет, когда он сам быть может
    >бы об этом и не задумывался - скажет "спасибо за подсказку"
    >и побежит искать кому продать повыгоднее.

    А если у вас в компании 1000 сотрудников. Вы тоже будете "доверять" им и надеяться на их "совесть"?

     
     
  • 7.28, Cobold (??), 19:06, 07/05/2010 [^] [^^] [^^^] [ответить]  
  • +/
    очень не хотелось бы набрать в компанию 1000 человек которым нельзя доверять, такие вопросы нужно решать с первым а не с тысячей
     
     
  • 8.31, ssx (??), 19:41, 07/05/2010 [^] [^^] [^^^] [ответить]  
  • +/
    Cobold, А вы вообще знаете что есть даже такая должность как специалист по инфор... текст свёрнут, показать
     
     
  • 9.35, Cobold (??), 00:02, 08/05/2010 [^] [^^] [^^^] [ответить]  
  • +/
    Мент российский - тоже должность Как вы к людям относитесь, так вам и надо ... текст свёрнут, показать
     

  • 1.20, Аноним (-), 07:50, 07/05/2010 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Уважаемые, считающие что DLP - это ненужная вещь и является только геморроем для админа и пользователей...
    Хочу вам возразить.
    1. Если ваша компания не нуждается в DLP, то либо вы до нее не доросли, либо такое понятие, как риски потери информации просто не рассматриваются.
    2. Посмотрите любую презентацию по продуктам DLP... Никто из производителей не заявляет, что он обеспечивает 100% сохранность данных. Но.... 99% всех утечек информации происходит от того, что сотрудники просто не знают, какая информация является конфиденциальной или секретной и задачи DLP - по максимуму закрыть именно эту, самую большую часть.
    3. В ряде компаний нельзя пользоваться телефоном с камерой.
    4. Против терморектального воздействия самому супер пупер навороченному админу не поможет и пароль из мегабайта символов - отдаст все.
     
     
  • 2.22, Cobold (??), 12:17, 07/05/2010 [^] [^^] [^^^] [ответить]  
  • +/
    >[оверквотинг удален]
    >нее не доросли, либо такое понятие, как риски потери информации просто
    >не рассматриваются.
    >2. Посмотрите любую презентацию по продуктам DLP... Никто из производителей не заявляет,
    >что он обеспечивает 100% сохранность данных. Но.... 99% всех утечек информации
    >происходит от того, что сотрудники просто не знают, какая информация является
    >конфиденциальной или секретной и задачи DLP - по максимуму закрыть именно
    >эту, самую большую часть.
    >3. В ряде компаний нельзя пользоваться телефоном с камерой.
    >4. Против терморектального воздействия самому супер пупер навороченному админу не поможет и
    >пароль из мегабайта символов - отдаст все.

    а то что в трудовом договоре явно запрещено выносить и тем более распространять любые документы, и это личная ответственность работника - не достаточно? Но производителям таких систем наверное удобно умалчивать такую юридическую мелочь, у них свой бизнес.

     
     
  • 3.24, vlakas (??), 18:06, 07/05/2010 [^] [^^] [^^^] [ответить]  
  • +/
    >[оверквотинг удален]
    >>конфиденциальной или секретной и задачи DLP - по максимуму закрыть именно
    >>эту, самую большую часть.
    >>3. В ряде компаний нельзя пользоваться телефоном с камерой.
    >>4. Против терморектального воздействия самому супер пупер навороченному админу не поможет и
    >>пароль из мегабайта символов - отдаст все.
    >
    >а то что в трудовом договоре явно запрещено выносить и тем более
    >распространять любые документы, и это личная ответственность работника - не достаточно?
    >Но производителям таких систем наверное удобно умалчивать такую юридическую мелочь, у
    >них свой бизнес.

    А вы знаете, что хакерская деятельность тоже осуждается законом? Так может в следствие данного юридического факта отказаться от фаерволлов?

    И что вы сделаете человеку, который воровал или незаконно распространял коммерческую инфу компании: уволите? Но тут нарушение-то еще доказать надо.

     
     
  • 4.27, Cobold (??), 18:28, 07/05/2010 [^] [^^] [^^^] [ответить]  
  • +/
    уволить конкретного человека по подозрению, пусть даже и не до конца доказанному - сказать "не нравишся ты мне" и уволить, это вполне естественно. А подозревать просто каждого - это параноя и неуважение.
     
     
  • 5.37, PereresusNeVlezaetBuggy (ok), 01:23, 08/05/2010 [^] [^^] [^^^] [ответить]  
  • +/
    >уволить конкретного человека по подозрению, пусть даже и не до конца доказанному
    >- сказать "не нравишся ты мне" и уволить, это вполне естественно.

    Только не всегда возможно. Если речь идёт о российской госконторе, то реальность такова, чтор уволить нерадивого работника против его желания практически нереально…

    >А подозревать просто каждого - это параноя и неуважение.

    Или профессия ;)

     
  • 3.26, Pasha (??), 18:12, 07/05/2010 [^] [^^] [^^^] [ответить]  
  • +/
    >а то что в трудовом договоре явно запрещено выносить и тем более
    >распространять любые документы, и это личная ответственность работника - не достаточно?
    >Но производителям таких систем наверное удобно умалчивать такую юридическую мелочь, у
    >них свой бизнес.

    Не достаточно. На основании чего планируется "разбор полетов"? Исключительно на чистосердечном признании нарушителя? Трудовой договор - основание для предьявления нарушителю претензий в оговоренном порядке. Но нарушение еще нужно выявить и доказать. С другой стороны данная система дает привилигированный доступ ко всей информации в системе, и это уже серьезное нарушение информационной безопасности. Если уж кто печется о безопасности, для этого существуют специализированные системы электронного документооборота. Считаю данный продукт утилитой для наведения порядка в уже существующей помойке и выявления имеющихся нарушений, но никак не инструмент для обеспечения информационной безопасности в рамках более-менее вменяемой политики безопасности.

     
     
  • 4.29, Cobold (??), 19:09, 07/05/2010 [^] [^^] [^^^] [ответить]  
  • +/
    >[оверквотинг удален]
    >
    >Не достаточно. На основании чего планируется "разбор полетов"? Исключительно на чистосердечном признании
    >нарушителя? Трудовой договор - основание для предьявления нарушителю претензий в оговоренном
    >порядке. Но нарушение еще нужно выявить и доказать. С другой стороны
    >данная система дает привилигированный доступ ко всей информации в системе, и
    >это уже серьезное нарушение информационной безопасности. Если уж кто печется о
    >безопасности, для этого существуют специализированные системы электронного документооборота. Считаю данный продукт
    >утилитой для наведения порядка в уже существующей помойке и выявления имеющихся
    >нарушений, но никак не инструмент для обеспечения информационной безопасности в рамках
    >более-менее вменяемой политики безопасности.

    согласен, очень разумно

     
  • 4.32, ssx (??), 19:54, 07/05/2010 [^] [^^] [^^^] [ответить]  
  • +/
    >Считаю данный продукт
    >утилитой для наведения порядка в уже существующей помойке и выявления имеющихся
    >нарушений, но никак не инструмент для обеспечения информационной безопасности в рамках
    >более-менее вменяемой политики безопасности.

    проблема в отсутствии систем документооборота, к-ые бы включали в себя, контроль за всеми видами информации. Т.е. что-то будет всегда проходить мимо нее. Я не прав? назовите тогда стоящие системы.

     
     
  • 5.36, PereresusNeVlezaetBuggy (ok), 01:21, 08/05/2010 [^] [^^] [^^^] [ответить]  
  • +/
    >>Считаю данный продукт
    >>утилитой для наведения порядка в уже существующей помойке и выявления имеющихся
    >>нарушений, но никак не инструмент для обеспечения информационной безопасности в рамках
    >>более-менее вменяемой политики безопасности.
    >
    >проблема в отсутствии систем документооборота, к-ые бы включали в себя, контроль за
    >всеми видами информации. Т.е. что-то будет всегда проходить мимо нее. Я
    >не прав? назовите тогда стоящие системы.

    Не говоря о том, что админ всё равно будет иметь (возможность иметь) полный доступ к любым данным...

     
     
  • 6.38, Pasha (??), 09:51, 11/05/2010 [^] [^^] [^^^] [ответить]  
  • +/
    >Не говоря о том, что админ всё равно будет иметь (возможность иметь)
    >полный доступ к любым данным...

    Грамотная политика информационной безопасности должна исключать доступ персон(в том числе и админа) к информации, которая не имеет прямого отношения к его непосредственным обязанностям. Есть масса способов реализовать данные политики даже в небольших компаниях, не имеющих достаточных финансовых средств и ресурсов на серьезные системы. Тот же самый PGP уже достаточно серьезно ограничит доступ к информации любопытных, оставляя возможность администраторам заниматься своими непосредственными обязанностями. Относительно дешево и сердито. Есть масса аппаратно-программных средств, которые при грамотной политике информационной безопасности так же дают возможность спать спокойно в счастливом неведении контента системным администраторам. Понятное дело что это все упирается в ресурсы и финансы, но если, опять же, в компании практикуется управление рисками, то все можно посчитать и выяснить целесообразность. А покупать или устанавливать пушки для стрельбы по воробьям, по крайней мере непрофессионально. Если в компании нет политик безопасности, нет управления рисками, нет необходимых механизмов воздействия на сотрудников, все подобные системы не более чем очередная забава для повышения экспириенса сист.администратора. Пользы для бизнеса в этом не будет, а возможно будут даже проблемы(могут уволиться ключевые сотрудники, посчитав подобную практику вмешательством в их личные дела. И такое бывает.).

     
     
  • 7.39, PereresusNeVlezaetBuggy (ok), 12:10, 11/05/2010 [^] [^^] [^^^] [ответить]  
  • +/
    >>Не говоря о том, что админ всё равно будет иметь (возможность иметь)
    >>полный доступ к любым данным...
    >
    >Грамотная политика информационной безопасности должна исключать доступ персон(в том числе и админа)
    >к информации, которая не имеет прямого отношения к его непосредственным обязанностям.
    >Есть масса способов реализовать данные политики даже в небольших компаниях, не
    >имеющих достаточных финансовых средств и ресурсов на серьезные системы. Тот же
    >самый PGP уже достаточно серьезно ограничит доступ к информации любопытных, оставляя
    >возможность администраторам заниматься своими непосредственными обязанностями. Относительно дешево и сердито.

    Угу. Только ведь настраивать/поддерживать это всё равно будет кто? :) Да, при должной организации нехорошему админу придётся чуть сложнее, но не более.

    > Есть масса аппаратно-программных средств, которые при грамотной политике информационной безопасности так же
    >дают возможность спать спокойно в счастливом неведении контента системным администраторам.

    Это если сами админы не интересуются контентом.

    Реальную опасность представляют ведь не столько любопытные сами по себе квалифицированные работники (хотя, конечно, ничего хорошего в подглядывании за коллегами нет), сколько: а) недостаточно квалифицированные в работе с ПК работники, от уборщицы до директора; б) квалифицированные работники, занимающиеся промышленным шпионажем. Подобные системы как раз отпугивают вторых и спасают от первых.

     

  • 1.34, Аноним (-), 21:45, 07/05/2010 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Tрудовой договор, честность работника, доверие начальства никакого отношения к системе DLP не имеют.
    Если кто в этом сомневается, пусть наизусть процитирует свой трудовой договор, положения внутреннего распорядка и просто приказы, относящиеся к сфере безопасности в его конкретном подразделении. Не можете? Потому что забыли, не знали и т.п.?
    Вот, именно для этого и сущетсвуют системы DLP.
    Внедрение любой такой системы происходит постепенно. Первое время - это просто сбор статистики, чтобы понять все информационные потоки и требования к защите утечек информации в них. Потом переход от простого мониторинга к появлению предупреждающих правил. И только после этого переход к каким-то жестким правилам, да и то последний этап может длится очень долго. Причем полного перехода на жетские правила может и не произойти, если будет достигнут положительный эффект ранее.

     
     
  • 2.41, mirr0r (ok), 13:11, 11/05/2010 [^] [^^] [^^^] [ответить]  
  • +/
    ЫЫЫ!!!
    А потом кто-нибудь напишет вирусяку для клиента.
    Вот тогда начнется геморрой. :)
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру