Successfully reported this slideshow.

Александр Кузнецов, Александр Товстолип. Десяток способов преодоления DLP-систем.

844 views

Published on

Published in: Technology
  • Be the first to comment

  • Be the first to like this

Александр Кузнецов, Александр Товстолип. Десяток способов преодоления DLP-систем.

  1. 1. Десяток способовпреодоленияDLP-системPHDays 2013Александр Кузнецов, руководитель отдела НТЦ «Вулкан»Александр Товстолип, ведущий специалист НТЦ «Вулкан»
  2. 2. PHDays 2013 2Часть 1
  3. 3. Панацея ?!PHDays 2013 3Введение• Отельный класс ИБ-решений –Data Loss/Leak Prevention(DLP)• Разработчики DLP обещают:• многоканальный контроль (data-in-motion, data-at-rest, data-in-use)• анализ содержимого• активную защиту• тотальный контроль• и даже «146% защиту»Проверим …
  4. 4. PHDays 2013 4Что на практике?• Ошибки при внедрении (были, есть и будут – нужен контроль)• Настройки «по умолчанию» (спешка, непрофессионализм)• Отсутствие организационных мер• Не обновляются правила, словари, источники дляцифровых отпечатков и т.п. («настроил и забыл» – неработает)• Не устанавливаются DLP-агентына новые ПК (лениво, забыли, «забили»…)• Не накапливается опыт:• Не расследуются инциденты ИБ• Нет работы с пользователямиКадризмультсериала«Южныйпарк»
  5. 5. PHDays 2013 5Что на практике?• Еще у DLP есть уязвимости …
  6. 6. PHDays 2013 6«Условный жулик»…… Угоняет документ:• С текстом, содержащим ключевую фразу «Специальнодля PHD 2013»• С цифровым отпечаткомэтого текста:… Использует:•Штатные механизмы самой DLP•Штатные механизмы офисных приложений•«Продвинутые средства»
  7. 7. Мне нужно очень срочноотправить документ!!!Ну, пожалуйста …PHDays 2013 7Если нельзя, но очень хочется• Первый среди равных (директора, «звезды», …)• Штатные механизмы DLP:• уведомление («ты конечно бери, но вообще-то нельзя»)• запрос подтверждения («масло только по талонам»)• запрос временного разрешения на операции («ладно, но только на5 минут»)В сочетании с сексуальнойсоциальной инженерией –результат гарантированКадризмульфильма«Шрек2»
  8. 8. PHDays 2013 8«...Ты работаешь в Office»Некоторые функции, доступные в офисных приложениях:•Вынос текста за пределы «классической страницы»:• Формулы• Диаграммы• Макросы• Свойства документа•Замена символов (у-y, o-о, е-е и т.п.) и использованиеспецсимволов•«Сохранить как …» + «необычная» кодировка ANSI/DOS/MAC/MS/экзотические «Арабская», в том числе экспорт в PDF/XPS•Пароль на доступ•Печать в файл
  9. 9. PHDays 2013 9И другими подручными средствами…• Снимки экрана ( , «ножницы», «снимок»)• Сканирование документов без распознавания текста• Применение архиваторов (RAR, 7-ZIP и т.п.):• Архив с паролем• Цепочка архивов и на «дне» архив с паролем• Цепочка архивов и на «дне» документ с паролем• Архив из нескольких частей
  10. 10. PHDays 2013 10«Продвинутые средства»• Команда COPY (COPY /B 1.JPG + 1.RAR 2.JPG)• Стенографические утилиты (Masker 7.0, Steganоs SecuritySuite, mp3stego и др.)• Синтезаторы речи «Text to Speech» и наоборот «Speechto Text» (FlameReader, Alive Text to Speech, TextAloud идр.)• Маскировка под легальный трафик (например, DNSTunneling (iodine, NSTX, OzymanDNS ))• Загрузка под ОС *nix (Live USB Flash)• «100% внешние» решения ;)))Улыбочку, Васснимают
  11. 11. PHDays 2013 11It’s really work!ТестЗапрос подтвержденияВынос текста за границы страницыЗамена символов«Игра» с кодировкамиPRN-файл (печать в файл)Снимки экрана (screenshot)SFX-архивСпец. цепочка архивовОбман цифровых отпечатков Не применимоDLP«A»DLP«С»DLP«B»DLP«D»– Возможно за приемлемое время (менее часа)
  12. 12. PHDays 2013 12Часть 2Кадризфильма"007:Координаты"Скайфолл"
  13. 13. PHDays 2013 13«Убить» агента 007 (т.е. агента DLP)• Цель: беспрепятственно слить информацию• Задача: прекратить работу агентского ПО DLP на хосте• Чем располагаем в минимальном случае:• штатные средства ОС• права – пользователь ОС• Чем располагаем в оптимальном случае:• дополнительные утилиты• права – локальный администратор ОС
  14. 14. PHDays 2013 14ДемонстрацияКадризмультфильма“Фильм,Фильм,Фильм"
  15. 15. PHDays 2013 15Заключение. Что важно помнить?• Одним DLP «сыт не будешь»• Следует понимать ограничения DLP-систем(и компенсировать их)• DLP – мощное оружие в руках грамотной команды• Комплексная терапия предполагает:• постоянную работу с DLP (включая анализ инцидентов иобновление базы знаний)• применение других средств защиты информации• гармонизацию организационных и технических мер
  16. 16. PHDays 2013 16PSУтечка информации≠Утечка документаDLP-решение может являтьсяобъектом атаки!
  17. 17. PHDays 2013 17Спасибо за внимание!a.kuznetsov@ntc-vulkan.rua.tovstolip@ntc-vulkan.ru

×