SlideShare uma empresa Scribd logo

Александр Кузнецов, Александр Товстолип. Десяток способов преодоления DLP-систем.

Positive Hack Days
Positive Hack Days
Tecnologia
1 de 17
Десяток способов преодоления DLP-систем PHDays 2013 Александр Кузнецов, руководитель отдела НТЦ «Вулкан» Александр Товстолип, ведущий специалист НТЦ «Вулкан»
PHDays 2013 2 Часть 1
Панацея ?! PHDays 2013 3 Введение • Отельный класс ИБ-решений – Data Loss/Leak Prevention (DLP) • Разработчики DLP обещают: • многоканальный контроль (data- in-motion, data-at-rest, data-in- use) • анализ содержимого • активную защиту • тотальный контроль • и даже «146% защиту» Проверим …
PHDays 2013 4 Что на практике? • Ошибки при внедрении (были, есть и будут – нужен контроль) • Настройки «по умолчанию» (спешка, непрофессионализм) • Отсутствие организационных мер • Не обновляются правила, словари, источники для цифровых отпечатков и т.п. («настроил и забыл» – не работает) • Не устанавливаются DLP-агенты на новые ПК (лениво, забыли, «забили»…) • Не накапливается опыт: • Не расследуются инциденты ИБ • Нет работы с пользователями Кадризмультсериала«Южныйпарк»
PHDays 2013 5 Что на практике? • Еще у DLP есть уязвимости …
PHDays 2013 6 «Условный жулик»… … Угоняет документ: • С текстом, содержащим ключевую фразу «Специально для PHD 2013» • С цифровым отпечатком этого текста: … Использует: •Штатные механизмы самой DLP •Штатные механизмы офисных приложений •«Продвинутые средства»
Мне нужно очень срочно отправить документ!!! Ну, пожалуйста … PHDays 2013 7 Если нельзя, но очень хочется • Первый среди равных (директора, «звезды», …) • Штатные механизмы DLP: • уведомление («ты конечно бери, но вообще-то нельзя») • запрос подтверждения («масло только по талонам») • запрос временного разрешения на операции («ладно, но только на 5 минут») В сочетании с сексуальной социальной инженерией – результат гарантирован Кадризмульфильма«Шрек2»
PHDays 2013 8 «...Ты работаешь в Office» Некоторые функции, доступные в офисных приложениях: •Вынос текста за пределы «классической страницы»: • Формулы • Диаграммы • Макросы • Свойства документа •Замена символов (у-y, o-о, е-е и т.п.) и использование спецсимволов •«Сохранить как …» + «необычная» кодировка ANSI/DOS/MAC/MS/ экзотические «Арабская», в том числе экспорт в PDF/XPS •Пароль на доступ •Печать в файл
PHDays 2013 9 И другими подручными средствами… • Снимки экрана ( , «ножницы», «снимок») • Сканирование документов без распознавания текста • Применение архиваторов (RAR, 7-ZIP и т.п.): • Архив с паролем • Цепочка архивов и на «дне» архив с паролем • Цепочка архивов и на «дне» документ с паролем • Архив из нескольких частей
PHDays 2013 10 «Продвинутые средства» • Команда COPY (COPY /B 1.JPG + 1.RAR 2.JPG) • Стенографические утилиты (Masker 7.0, Steganоs Security Suite, mp3stego и др.) • Синтезаторы речи «Text to Speech» и наоборот «Speech to Text» (FlameReader, Alive Text to Speech, TextAloud и др.) • Маскировка под легальный трафик (например, DNS Tunneling (iodine, NSTX, OzymanDNS )) • Загрузка под ОС *nix (Live USB Flash) • «100% внешние» решения ;))) Улыбочку, Вас снимают
PHDays 2013 11 It’s really work! Тест Запрос подтверждения Вынос текста за границы страницы Замена символов «Игра» с кодировками PRN-файл (печать в файл) Снимки экрана (screenshot) SFX-архив Спец. цепочка архивов Обман цифровых отпечатков Не применимо DLP «A» DLP «С» DLP «B» DLP «D» – Возможно за приемлемое время (менее часа)
PHDays 2013 12 Часть 2 Кадризфильма"007:Координаты"Скайфолл"
PHDays 2013 13 «Убить» агента 007 (т.е. агента DLP) • Цель: беспрепятственно слить информацию • Задача: прекратить работу агентского ПО DLP на хосте • Чем располагаем в минимальном случае: • штатные средства ОС • права – пользователь ОС • Чем располагаем в оптимальном случае: • дополнительные утилиты • права – локальный администратор ОС
PHDays 2013 14 Демонстрация Кадризмультфильма“Фильм,Фильм,Фильм"
PHDays 2013 15 Заключение. Что важно помнить? • Одним DLP «сыт не будешь» • Следует понимать ограничения DLP-систем (и компенсировать их) • DLP – мощное оружие в руках грамотной команды • Комплексная терапия предполагает: • постоянную работу с DLP (включая анализ инцидентов и обновление базы знаний) • применение других средств защиты информации • гармонизацию организационных и технических мер
PHDays 2013 16 PS Утечка информации ≠ Утечка документа DLP-решение может являться объектом атаки!
PHDays 2013 17 Спасибо за внимание! a.kuznetsov@ntc-vulkan.ru a.tovstolip@ntc-vulkan.ru

Recomendados

Бекдоры в пхп. Остаться незамеченным или проникновение без боли
Бекдоры в пхп. Остаться незамеченным или проникновение без болиБекдоры в пхп. Остаться незамеченным или проникновение без боли
Бекдоры в пхп. Остаться незамеченным или проникновение без боли
defcon_kz
 
Информационная безопасность в веб - основы
Информационная безопасность в веб - основыИнформационная безопасность в веб - основы
Информационная безопасность в веб - основы
Alex Chistyakov
 
Корпоративное воровство. Как взять его под контроль
Корпоративное воровство. Как взять его под контроль Корпоративное воровство. Как взять его под контроль
Корпоративное воровство. Как взять его под контроль
Solar Security
 
#1 razvedka i sbor dannih
#1 razvedka i sbor dannih#1 razvedka i sbor dannih
#1 razvedka i sbor dannih
Uladzislau Murashka
 
MID_McAfee_DLP_Vlad_Radetskiy_RU
MID_McAfee_DLP_Vlad_Radetskiy_RUMID_McAfee_DLP_Vlad_Radetskiy_RU
MID_McAfee_DLP_Vlad_Radetskiy_RU
Vladyslav Radetsky
 
пр человек смотрящий для Risc
пр человек смотрящий для Riscпр человек смотрящий для Risc
пр человек смотрящий для Risc
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Этичный хакинг
Этичный хакингЭтичный хакинг
Этичный хакинг
Positive Hack Days
 
Добро пожаловать в практическую безопасность (Сергей Белов)
Добро пожаловать в практическую безопасность (Сергей Белов)Добро пожаловать в практическую безопасность (Сергей Белов)
Добро пожаловать в практическую безопасность (Сергей Белов)
Kristina Pomozova
 

Recomendados

Бекдоры в пхп. Остаться незамеченным или проникновение без боли
Бекдоры в пхп. Остаться незамеченным или проникновение без болиБекдоры в пхп. Остаться незамеченным или проникновение без боли
Бекдоры в пхп. Остаться незамеченным или проникновение без боли
defcon_kz
 
Информационная безопасность в веб - основы
Информационная безопасность в веб - основыИнформационная безопасность в веб - основы
Информационная безопасность в веб - основы
Alex Chistyakov
 
Корпоративное воровство. Как взять его под контроль
Корпоративное воровство. Как взять его под контроль Корпоративное воровство. Как взять его под контроль
Корпоративное воровство. Как взять его под контроль
Solar Security
 
#1 razvedka i sbor dannih
#1 razvedka i sbor dannih#1 razvedka i sbor dannih
#1 razvedka i sbor dannih
Uladzislau Murashka
 
MID_McAfee_DLP_Vlad_Radetskiy_RU
MID_McAfee_DLP_Vlad_Radetskiy_RUMID_McAfee_DLP_Vlad_Radetskiy_RU
MID_McAfee_DLP_Vlad_Radetskiy_RU
Vladyslav Radetsky
 
пр человек смотрящий для Risc
пр человек смотрящий для Riscпр человек смотрящий для Risc
пр человек смотрящий для Risc
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Этичный хакинг
Этичный хакингЭтичный хакинг
Этичный хакинг
Positive Hack Days
 
Добро пожаловать в практическую безопасность (Сергей Белов)
Добро пожаловать в практическую безопасность (Сергей Белов)Добро пожаловать в практическую безопасность (Сергей Белов)
Добро пожаловать в практическую безопасность (Сергей Белов)
Kristina Pomozova
 
Алексей Бережной — «HTTP-протокл»
Алексей Бережной — «HTTP-протокл»Алексей Бережной — «HTTP-протокл»
Алексей Бережной — «HTTP-протокл»
Yandex
 
Андрей Дугин. SPAN-агрегация и анализ сетевого трафика на наличие угроз: возм...
Андрей Дугин. SPAN-агрегация и анализ сетевого трафика на наличие угроз: возм...Андрей Дугин. SPAN-агрегация и анализ сетевого трафика на наличие угроз: возм...
Андрей Дугин. SPAN-агрегация и анализ сетевого трафика на наличие угроз: возм...
Positive Hack Days
 
Истории из жизни. Как взламывают сети крупных организаций.
Истории из жизни. Как взламывают сети крупных организаций.Истории из жизни. Как взламывают сети крупных организаций.
Истории из жизни. Как взламывают сети крупных организаций.
Dmitry Evteev
 
Как выбрать Web Application Firewall
Как выбрать Web Application FirewallКак выбрать Web Application Firewall
Как выбрать Web Application Firewall
Positive Hack Days
 
Возможно, время не на твоей стороне. Реализация атаки по времени в браузере
Возможно, время не на твоей стороне. Реализация атаки по времени в браузереВозможно, время не на твоей стороне. Реализация атаки по времени в браузере
Возможно, время не на твоей стороне. Реализация атаки по времени в браузере
Positive Hack Days
 
Flash умер. Да здравствует Flash!
Flash умер. Да здравствует Flash!Flash умер. Да здравствует Flash!
Flash умер. Да здравствует Flash!
Positive Hack Days
 
Метод машинного обучения для распознавания сгенерированных доменных имен
Метод машинного обучения для распознавания сгенерированных доменных именМетод машинного обучения для распознавания сгенерированных доменных имен
Метод машинного обучения для распознавания сгенерированных доменных имен
Positive Hack Days
 
Доставка зловредов через облака
Доставка зловредов через облакаДоставка зловредов через облака
Доставка зловредов через облака
Positive Hack Days
 
Противодействие хищению персональных данных и платежной информации в сети Инт...
Противодействие хищению персональных данных и платежной информации в сети Инт...Противодействие хищению персональных данных и платежной информации в сети Инт...
Противодействие хищению персональных данных и платежной информации в сети Инт...
Dmitry Evteev
 
Практические особенности внедрения систем класса DLP
Практические особенности внедрения систем класса DLPПрактические особенности внедрения систем класса DLP
Практические особенности внедрения систем класса DLP
DialogueScience
 
Практические особенности внедрения систем класса DLP
Практические особенности внедрения систем класса DLPПрактические особенности внедрения систем класса DLP
Практические особенности внедрения систем класса DLP
DialogueScience
 
McAfee Data Protection (DLP & Encryption)
McAfee Data Protection (DLP & Encryption)McAfee Data Protection (DLP & Encryption)
McAfee Data Protection (DLP & Encryption)
Vladyslav Radetsky
 
Device Lock. DLP-технологии. Построение эффективной системы защиты от утечек...
Device Lock. DLP-технологии. Построение эффективной системы защиты от утечек...Device Lock. DLP-технологии. Построение эффективной системы защиты от утечек...
Device Lock. DLP-технологии. Построение эффективной системы защиты от утечек...
Expolink
 
Обзор современных технологий и продуктов для защиты от инсайдеров_2014.09.16
Обзор современных технологий и продуктов для защиты от инсайдеров_2014.09.16Обзор современных технологий и продуктов для защиты от инсайдеров_2014.09.16
Обзор современных технологий и продуктов для защиты от инсайдеров_2014.09.16
DialogueScience
 
Device lock 7 2013 code ib нн
Device lock 7 2013 code ib ннDevice lock 7 2013 code ib нн
Device lock 7 2013 code ib нн
Expolink
 
Сергей Вахонин (Смарт Лайн Инк) "Эффективная защита от утечек данных"
Сергей Вахонин (Смарт Лайн Инк) "Эффективная защита от утечек данных"Сергей Вахонин (Смарт Лайн Инк) "Эффективная защита от утечек данных"
Сергей Вахонин (Смарт Лайн Инк) "Эффективная защита от утечек данных"
Expolink
 
Человек смотрящий/очный семинар RISC
Человек смотрящий/очный семинар RISCЧеловек смотрящий/очный семинар RISC
Человек смотрящий/очный семинар RISC
RISClubSPb
 
Device lock (code-ib пермь)
Device lock (code-ib пермь) Device lock (code-ib пермь)
Device lock (code-ib пермь)
Expolink
 
спроси эксперта. все, что вы хотели узнать про Dlp, но не у кого было спросить
спроси эксперта. все, что вы хотели узнать про Dlp, но не у кого было спросить спроси эксперта. все, что вы хотели узнать про Dlp, но не у кого было спросить
спроси эксперта. все, что вы хотели узнать про Dlp, но не у кого было спросить
Solar Security
 
пр Спроси эксперта DLP
пр Спроси эксперта DLPпр Спроси эксперта DLP
пр Спроси эксперта DLP
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Владимир Велич - Критерии выбора DLP-систем
Владимир Велич - Критерии выбора DLP-системВладимир Велич - Критерии выбора DLP-систем
Владимир Велич - Критерии выбора DLP-систем
Expolink
 
пр вебинар эволюция Dlp iw 07 2013
пр вебинар эволюция Dlp iw 07 2013пр вебинар эволюция Dlp iw 07 2013
пр вебинар эволюция Dlp iw 07 2013
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 

Mais conteúdo relacionado

Destaque

Алексей Бережной — «HTTP-протокл»
Алексей Бережной — «HTTP-протокл»Алексей Бережной — «HTTP-протокл»
Алексей Бережной — «HTTP-протокл»
Yandex
 
Андрей Дугин. SPAN-агрегация и анализ сетевого трафика на наличие угроз: возм...
Андрей Дугин. SPAN-агрегация и анализ сетевого трафика на наличие угроз: возм...Андрей Дугин. SPAN-агрегация и анализ сетевого трафика на наличие угроз: возм...
Андрей Дугин. SPAN-агрегация и анализ сетевого трафика на наличие угроз: возм...
Positive Hack Days
 
Истории из жизни. Как взламывают сети крупных организаций.
Истории из жизни. Как взламывают сети крупных организаций.Истории из жизни. Как взламывают сети крупных организаций.
Истории из жизни. Как взламывают сети крупных организаций.
Dmitry Evteev
 
Возможно, время не на твоей стороне. Реализация атаки по времени в браузере
Возможно, время не на твоей стороне. Реализация атаки по времени в браузереВозможно, время не на твоей стороне. Реализация атаки по времени в браузере
Возможно, время не на твоей стороне. Реализация атаки по времени в браузере
Positive Hack Days
 
Метод машинного обучения для распознавания сгенерированных доменных имен
Метод машинного обучения для распознавания сгенерированных доменных именМетод машинного обучения для распознавания сгенерированных доменных имен
Метод машинного обучения для распознавания сгенерированных доменных имен
Positive Hack Days
 
Доставка зловредов через облака
Доставка зловредов через облакаДоставка зловредов через облака
Доставка зловредов через облака
Positive Hack Days
 
Противодействие хищению персональных данных и платежной информации в сети Инт...
Противодействие хищению персональных данных и платежной информации в сети Инт...Противодействие хищению персональных данных и платежной информации в сети Инт...
Противодействие хищению персональных данных и платежной информации в сети Инт...
Dmitry Evteev
 

Destaque (9)

Алексей Бережной — «HTTP-протокл»
Алексей Бережной — «HTTP-протокл»Алексей Бережной — «HTTP-протокл»
Алексей Бережной — «HTTP-протокл»
 
Андрей Дугин. SPAN-агрегация и анализ сетевого трафика на наличие угроз: возм...
Андрей Дугин. SPAN-агрегация и анализ сетевого трафика на наличие угроз: возм...Андрей Дугин. SPAN-агрегация и анализ сетевого трафика на наличие угроз: возм...
Андрей Дугин. SPAN-агрегация и анализ сетевого трафика на наличие угроз: возм...
 
Истории из жизни. Как взламывают сети крупных организаций.
Истории из жизни. Как взламывают сети крупных организаций.Истории из жизни. Как взламывают сети крупных организаций.
Истории из жизни. Как взламывают сети крупных организаций.
 
Как выбрать Web Application Firewall
Как выбрать Web Application FirewallКак выбрать Web Application Firewall
Как выбрать Web Application Firewall
 
Возможно, время не на твоей стороне. Реализация атаки по времени в браузере
Возможно, время не на твоей стороне. Реализация атаки по времени в браузереВозможно, время не на твоей стороне. Реализация атаки по времени в браузере
Возможно, время не на твоей стороне. Реализация атаки по времени в браузере
 
Flash умер. Да здравствует Flash!
Flash умер. Да здравствует Flash!Flash умер. Да здравствует Flash!
Flash умер. Да здравствует Flash!
 
Метод машинного обучения для распознавания сгенерированных доменных имен
Метод машинного обучения для распознавания сгенерированных доменных именМетод машинного обучения для распознавания сгенерированных доменных имен
Метод машинного обучения для распознавания сгенерированных доменных имен
 
Доставка зловредов через облака
Доставка зловредов через облакаДоставка зловредов через облака
Доставка зловредов через облака
 
Противодействие хищению персональных данных и платежной информации в сети Инт...
Противодействие хищению персональных данных и платежной информации в сети Инт...Противодействие хищению персональных данных и платежной информации в сети Инт...
Противодействие хищению персональных данных и платежной информации в сети Инт...
 

Semelhante a Александр Кузнецов, Александр Товстолип. Десяток способов преодоления DLP-систем.

Практические особенности внедрения систем класса DLP
Практические особенности внедрения систем класса DLPПрактические особенности внедрения систем класса DLP
Практические особенности внедрения систем класса DLP
DialogueScience
 
Device lock 7 2013 code ib нн
Device lock 7 2013 code ib ннDevice lock 7 2013 code ib нн
Device lock 7 2013 code ib нн
Expolink
 
Сергей Вахонин (Смарт Лайн Инк) "Эффективная защита от утечек данных"
Сергей Вахонин (Смарт Лайн Инк) "Эффективная защита от утечек данных"Сергей Вахонин (Смарт Лайн Инк) "Эффективная защита от утечек данных"
Сергей Вахонин (Смарт Лайн Инк) "Эффективная защита от утечек данных"
Expolink
 
Человек смотрящий/очный семинар RISC
Человек смотрящий/очный семинар RISCЧеловек смотрящий/очный семинар RISC
Человек смотрящий/очный семинар RISC
RISClubSPb
 
Device lock (code-ib пермь)
Device lock (code-ib пермь) Device lock (code-ib пермь)
Device lock (code-ib пермь)
Expolink
 
Device lock codeib - екатеринбург 2014
Device lock codeib - екатеринбург 2014Device lock codeib - екатеринбург 2014
Device lock codeib - екатеринбург 2014
Expolink
 

Semelhante a Александр Кузнецов, Александр Товстолип. Десяток способов преодоления DLP-систем. (20)

Практические особенности внедрения систем класса DLP
Практические особенности внедрения систем класса DLPПрактические особенности внедрения систем класса DLP
Практические особенности внедрения систем класса DLP
 
Практические особенности внедрения систем класса DLP
Практические особенности внедрения систем класса DLPПрактические особенности внедрения систем класса DLP
Практические особенности внедрения систем класса DLP
 
McAfee Data Protection (DLP & Encryption)
McAfee Data Protection (DLP & Encryption)McAfee Data Protection (DLP & Encryption)
McAfee Data Protection (DLP & Encryption)
 
Device Lock. DLP-технологии. Построение эффективной системы защиты от утечек...
Device Lock. DLP-технологии. Построение эффективной системы защиты от утечек...Device Lock. DLP-технологии. Построение эффективной системы защиты от утечек...
Device Lock. DLP-технологии. Построение эффективной системы защиты от утечек...
 
Обзор современных технологий и продуктов для защиты от инсайдеров_2014.09.16
Обзор современных технологий и продуктов для защиты от инсайдеров_2014.09.16Обзор современных технологий и продуктов для защиты от инсайдеров_2014.09.16
Обзор современных технологий и продуктов для защиты от инсайдеров_2014.09.16
 
Device lock 7 2013 code ib нн
Device lock 7 2013 code ib ннDevice lock 7 2013 code ib нн
Device lock 7 2013 code ib нн
 
Сергей Вахонин (Смарт Лайн Инк) "Эффективная защита от утечек данных"
Сергей Вахонин (Смарт Лайн Инк) "Эффективная защита от утечек данных"Сергей Вахонин (Смарт Лайн Инк) "Эффективная защита от утечек данных"
Сергей Вахонин (Смарт Лайн Инк) "Эффективная защита от утечек данных"
 
Человек смотрящий/очный семинар RISC
Человек смотрящий/очный семинар RISCЧеловек смотрящий/очный семинар RISC
Человек смотрящий/очный семинар RISC
 
Device lock (code-ib пермь)
Device lock (code-ib пермь) Device lock (code-ib пермь)
Device lock (code-ib пермь)
 
спроси эксперта. все, что вы хотели узнать про Dlp, но не у кого было спросить
спроси эксперта. все, что вы хотели узнать про Dlp, но не у кого было спросить спроси эксперта. все, что вы хотели узнать про Dlp, но не у кого было спросить
спроси эксперта. все, что вы хотели узнать про Dlp, но не у кого было спросить
 
пр Спроси эксперта DLP
пр Спроси эксперта DLPпр Спроси эксперта DLP
пр Спроси эксперта DLP
 
Владимир Велич - Критерии выбора DLP-систем
Владимир Велич - Критерии выбора DLP-системВладимир Велич - Критерии выбора DLP-систем
Владимир Велич - Критерии выбора DLP-систем
 
пр вебинар эволюция Dlp iw 07 2013
пр вебинар эволюция Dlp iw 07 2013пр вебинар эволюция Dlp iw 07 2013
пр вебинар эволюция Dlp iw 07 2013
 
Задачи бизнеса и эволюция DLP: какова следующая ступень?
Задачи бизнеса и эволюция DLP: какова следующая ступень?Задачи бизнеса и эволюция DLP: какова следующая ступень?
Задачи бизнеса и эволюция DLP: какова следующая ступень?
 
Device Lock - Построение эффективной системы защиты от утечек данных
Device Lock - Построение эффективной системы защиты от утечек данныхDevice Lock - Построение эффективной системы защиты от утечек данных
Device Lock - Построение эффективной системы защиты от утечек данных
 
Device lock codeib - екатеринбург 2014
Device lock codeib - екатеринбург 2014Device lock codeib - екатеринбург 2014
Device lock codeib - екатеринбург 2014
 
Защита от утечки конфиденциальной информации. Особенности внедрения решений з...
Защита от утечки конфиденциальной информации. Особенности внедрения решений з...Защита от утечки конфиденциальной информации. Особенности внедрения решений з...
Защита от утечки конфиденциальной информации. Особенности внедрения решений з...
 
Надежная защита от утечек информации в условиях современных тенденций ИТ
Надежная защита от утечек информации в условиях современных тенденций ИТНадежная защита от утечек информации в условиях современных тенденций ИТ
Надежная защита от утечек информации в условиях современных тенденций ИТ
 
DLP 9.4 - новые возможности защиты от утечек
DLP 9.4 - новые возможности защиты от утечекDLP 9.4 - новые возможности защиты от утечек
DLP 9.4 - новые возможности защиты от утечек
 
Анализ уязвимостей ИБ распределенного ПО (2012)
Анализ уязвимостей ИБ распределенного ПО (2012)Анализ уязвимостей ИБ распределенного ПО (2012)
Анализ уязвимостей ИБ распределенного ПО (2012)
 

Mais de Positive Hack Days

Мастер-класс «Трущобы Application Security»
Мастер-класс «Трущобы Application Security»Мастер-класс «Трущобы Application Security»
Мастер-класс «Трущобы Application Security»
Positive Hack Days
 
Эвристические методы защиты приложений
Эвристические методы защиты приложенийЭвристические методы защиты приложений
Эвристические методы защиты приложений
Positive Hack Days
 
От экспериментального программирования к промышленному: путь длиной в 10 лет
От экспериментального программирования к промышленному: путь длиной в 10 летОт экспериментального программирования к промышленному: путь длиной в 10 лет
От экспериментального программирования к промышленному: путь длиной в 10 лет
Positive Hack Days
 
Уязвимое Android-приложение: N проверенных способов наступить на грабли
Уязвимое Android-приложение: N проверенных способов наступить на граблиУязвимое Android-приложение: N проверенных способов наступить на грабли
Уязвимое Android-приложение: N проверенных способов наступить на грабли
Positive Hack Days
 
Требования по безопасности в архитектуре ПО
Требования по безопасности в архитектуре ПОТребования по безопасности в архитектуре ПО
Требования по безопасности в архитектуре ПО
Positive Hack Days
 
Формальная верификация кода на языке Си
Формальная верификация кода на языке СиФормальная верификация кода на языке Си
Формальная верификация кода на языке Си
Positive Hack Days
 
Механизмы предотвращения атак в ASP.NET Core
Механизмы предотвращения атак в ASP.NET CoreМеханизмы предотвращения атак в ASP.NET Core
Механизмы предотвращения атак в ASP.NET Core
Positive Hack Days
 

Mais de Positive Hack Days (20)

Инструмент ChangelogBuilder для автоматической подготовки Release Notes
Инструмент ChangelogBuilder для автоматической подготовки Release NotesИнструмент ChangelogBuilder для автоматической подготовки Release Notes
Инструмент ChangelogBuilder для автоматической подготовки Release Notes
 
Как мы собираем проекты в выделенном окружении в Windows Docker
Как мы собираем проекты в выделенном окружении в Windows DockerКак мы собираем проекты в выделенном окружении в Windows Docker
Как мы собираем проекты в выделенном окружении в Windows Docker
 
Типовая сборка и деплой продуктов в Positive Technologies
Типовая сборка и деплой продуктов в Positive TechnologiesТиповая сборка и деплой продуктов в Positive Technologies
Типовая сборка и деплой продуктов в Positive Technologies
 
Аналитика в проектах: TFS + Qlik
Аналитика в проектах: TFS + QlikАналитика в проектах: TFS + Qlik
Аналитика в проектах: TFS + Qlik
 
Использование анализатора кода SonarQube
Использование анализатора кода SonarQubeИспользование анализатора кода SonarQube
Использование анализатора кода SonarQube
 
Развитие сообщества Open DevOps Community
Развитие сообщества Open DevOps CommunityРазвитие сообщества Open DevOps Community
Развитие сообщества Open DevOps Community
 
Методика определения неиспользуемых ресурсов виртуальных машин и автоматизаци...
Методика определения неиспользуемых ресурсов виртуальных машин и автоматизаци...Методика определения неиспользуемых ресурсов виртуальных машин и автоматизаци...
Методика определения неиспользуемых ресурсов виртуальных машин и автоматизаци...
 
Автоматизация построения правил для Approof
Автоматизация построения правил для ApproofАвтоматизация построения правил для Approof
Автоматизация построения правил для Approof
 
Мастер-класс «Трущобы Application Security»
Мастер-класс «Трущобы Application Security»Мастер-класс «Трущобы Application Security»
Мастер-класс «Трущобы Application Security»
 
Формальные методы защиты приложений
Формальные методы защиты приложенийФормальные методы защиты приложений
Формальные методы защиты приложений
 
Эвристические методы защиты приложений
Эвристические методы защиты приложенийЭвристические методы защиты приложений
Эвристические методы защиты приложений
 
Теоретические основы Application Security
Теоретические основы Application SecurityТеоретические основы Application Security
Теоретические основы Application Security
 
От экспериментального программирования к промышленному: путь длиной в 10 лет
От экспериментального программирования к промышленному: путь длиной в 10 летОт экспериментального программирования к промышленному: путь длиной в 10 лет
От экспериментального программирования к промышленному: путь длиной в 10 лет
 
Уязвимое Android-приложение: N проверенных способов наступить на грабли
Уязвимое Android-приложение: N проверенных способов наступить на граблиУязвимое Android-приложение: N проверенных способов наступить на грабли
Уязвимое Android-приложение: N проверенных способов наступить на грабли
 
Требования по безопасности в архитектуре ПО
Требования по безопасности в архитектуре ПОТребования по безопасности в архитектуре ПО
Требования по безопасности в архитектуре ПО
 
Формальная верификация кода на языке Си
Формальная верификация кода на языке СиФормальная верификация кода на языке Си
Формальная верификация кода на языке Си
 
Механизмы предотвращения атак в ASP.NET Core
Механизмы предотвращения атак в ASP.NET CoreМеханизмы предотвращения атак в ASP.NET Core
Механизмы предотвращения атак в ASP.NET Core
 
SOC для КИИ: израильский опыт
SOC для КИИ: израильский опытSOC для КИИ: израильский опыт
SOC для КИИ: израильский опыт
 
Honeywell Industrial Cyber Security Lab & Services Center
Honeywell Industrial Cyber Security Lab & Services CenterHoneywell Industrial Cyber Security Lab & Services Center
Honeywell Industrial Cyber Security Lab & Services Center
 
Credential stuffing и брутфорс-атаки
Credential stuffing и брутфорс-атакиCredential stuffing и брутфорс-атаки
Credential stuffing и брутфорс-атаки
 

Último

Ransomware_Q3 2023. The report [RU].pdf
Ransomware_Q3 2023. The report [RU].pdfRansomware_Q3 2023. The report [RU].pdf
Ransomware_Q3 2023. The report [RU].pdf
Хроники кибер-безопасника
 
Malware. DCRAT (DARK CRYSTAL RAT) [RU].pdf
Malware. DCRAT (DARK CRYSTAL RAT) [RU].pdfMalware. DCRAT (DARK CRYSTAL RAT) [RU].pdf
Malware. DCRAT (DARK CRYSTAL RAT) [RU].pdf
Хроники кибер-безопасника
 
CVE. The Fortra's GoAnywhere MFT [RU].pdf
CVE. The Fortra's GoAnywhere MFT [RU].pdfCVE. The Fortra's GoAnywhere MFT [RU].pdf
CVE. The Fortra's GoAnywhere MFT [RU].pdf
Хроники кибер-безопасника
 
Cyber Defense Doctrine Managing the Risk Full Applied Guide to Organizational...
Cyber Defense Doctrine Managing the Risk Full Applied Guide to Organizational...Cyber Defense Doctrine Managing the Risk Full Applied Guide to Organizational...
Cyber Defense Doctrine Managing the Risk Full Applied Guide to Organizational...
Ирония безопасности
 
MS Navigating Incident Response [RU].pdf
MS Navigating Incident Response [RU].pdfMS Navigating Incident Response [RU].pdf
MS Navigating Incident Response [RU].pdf
Ирония безопасности
 
Cyberprint. Dark Pink Apt Group [RU].pdf
Cyberprint. Dark Pink Apt Group [RU].pdfCyberprint. Dark Pink Apt Group [RU].pdf
Cyberprint. Dark Pink Apt Group [RU].pdf
Хроники кибер-безопасника
 
ИСТОЧНИКИ ИННОВАЦИОННОСТИ КИТАЯ (ПО ВЕРСИИ DGAP) | The Sources of China’s Inn...
ИСТОЧНИКИ ИННОВАЦИОННОСТИ КИТАЯ (ПО ВЕРСИИ DGAP) | The Sources of China’s Inn...ИСТОЧНИКИ ИННОВАЦИОННОСТИ КИТАЯ (ПО ВЕРСИИ DGAP) | The Sources of China’s Inn...
ИСТОЧНИКИ ИННОВАЦИОННОСТИ КИТАЯ (ПО ВЕРСИИ DGAP) | The Sources of China’s Inn...
Ирония безопасности
 
2023 Q4. The Ransomware report. [RU].pdf
2023 Q4. The Ransomware report. [RU].pdf2023 Q4. The Ransomware report. [RU].pdf
2023 Q4. The Ransomware report. [RU].pdf
Хроники кибер-безопасника
 
СИСТЕМА ОЦЕНКИ УЯЗВИМОСТЕЙ CVSS 4.0 / CVSS v4.0 [RU].pdf
СИСТЕМА ОЦЕНКИ УЯЗВИМОСТЕЙ CVSS 4.0 / CVSS v4.0 [RU].pdfСИСТЕМА ОЦЕНКИ УЯЗВИМОСТЕЙ CVSS 4.0 / CVSS v4.0 [RU].pdf
СИСТЕМА ОЦЕНКИ УЯЗВИМОСТЕЙ CVSS 4.0 / CVSS v4.0 [RU].pdf
Хроники кибер-безопасника
 

Último (9)

Ransomware_Q3 2023. The report [RU].pdf
Ransomware_Q3 2023. The report [RU].pdfRansomware_Q3 2023. The report [RU].pdf
Ransomware_Q3 2023. The report [RU].pdf
 
Malware. DCRAT (DARK CRYSTAL RAT) [RU].pdf
Malware. DCRAT (DARK CRYSTAL RAT) [RU].pdfMalware. DCRAT (DARK CRYSTAL RAT) [RU].pdf
Malware. DCRAT (DARK CRYSTAL RAT) [RU].pdf
 
CVE. The Fortra's GoAnywhere MFT [RU].pdf
CVE. The Fortra's GoAnywhere MFT [RU].pdfCVE. The Fortra's GoAnywhere MFT [RU].pdf
CVE. The Fortra's GoAnywhere MFT [RU].pdf
 
Cyber Defense Doctrine Managing the Risk Full Applied Guide to Organizational...
Cyber Defense Doctrine Managing the Risk Full Applied Guide to Organizational...Cyber Defense Doctrine Managing the Risk Full Applied Guide to Organizational...
Cyber Defense Doctrine Managing the Risk Full Applied Guide to Organizational...
 
MS Navigating Incident Response [RU].pdf
MS Navigating Incident Response [RU].pdfMS Navigating Incident Response [RU].pdf
MS Navigating Incident Response [RU].pdf
 
Cyberprint. Dark Pink Apt Group [RU].pdf
Cyberprint. Dark Pink Apt Group [RU].pdfCyberprint. Dark Pink Apt Group [RU].pdf
Cyberprint. Dark Pink Apt Group [RU].pdf
 
ИСТОЧНИКИ ИННОВАЦИОННОСТИ КИТАЯ (ПО ВЕРСИИ DGAP) | The Sources of China’s Inn...
ИСТОЧНИКИ ИННОВАЦИОННОСТИ КИТАЯ (ПО ВЕРСИИ DGAP) | The Sources of China’s Inn...ИСТОЧНИКИ ИННОВАЦИОННОСТИ КИТАЯ (ПО ВЕРСИИ DGAP) | The Sources of China’s Inn...
ИСТОЧНИКИ ИННОВАЦИОННОСТИ КИТАЯ (ПО ВЕРСИИ DGAP) | The Sources of China’s Inn...
 
2023 Q4. The Ransomware report. [RU].pdf
2023 Q4. The Ransomware report. [RU].pdf2023 Q4. The Ransomware report. [RU].pdf
2023 Q4. The Ransomware report. [RU].pdf
 
СИСТЕМА ОЦЕНКИ УЯЗВИМОСТЕЙ CVSS 4.0 / CVSS v4.0 [RU].pdf
СИСТЕМА ОЦЕНКИ УЯЗВИМОСТЕЙ CVSS 4.0 / CVSS v4.0 [RU].pdfСИСТЕМА ОЦЕНКИ УЯЗВИМОСТЕЙ CVSS 4.0 / CVSS v4.0 [RU].pdf
СИСТЕМА ОЦЕНКИ УЯЗВИМОСТЕЙ CVSS 4.0 / CVSS v4.0 [RU].pdf
 

Александр Кузнецов, Александр Товстолип. Десяток способов преодоления DLP-систем.

  • 1. Десяток способов преодоления DLP-систем PHDays 2013 Александр Кузнецов, руководитель отдела НТЦ «Вулкан» Александр Товстолип, ведущий специалист НТЦ «Вулкан»
  • 3. Панацея ?! PHDays 2013 3 Введение • Отельный класс ИБ-решений – Data Loss/Leak Prevention (DLP) • Разработчики DLP обещают: • многоканальный контроль (data- in-motion, data-at-rest, data-in- use) • анализ содержимого • активную защиту • тотальный контроль • и даже «146% защиту» Проверим …
  • 4. PHDays 2013 4 Что на практике? • Ошибки при внедрении (были, есть и будут – нужен контроль) • Настройки «по умолчанию» (спешка, непрофессионализм) • Отсутствие организационных мер • Не обновляются правила, словари, источники для цифровых отпечатков и т.п. («настроил и забыл» – не работает) • Не устанавливаются DLP-агенты на новые ПК (лениво, забыли, «забили»…) • Не накапливается опыт: • Не расследуются инциденты ИБ • Нет работы с пользователями Кадризмультсериала«Южныйпарк»
  • 5. PHDays 2013 5 Что на практике? • Еще у DLP есть уязвимости …
  • 6. PHDays 2013 6 «Условный жулик»… … Угоняет документ: • С текстом, содержащим ключевую фразу «Специально для PHD 2013» • С цифровым отпечатком этого текста: … Использует: •Штатные механизмы самой DLP •Штатные механизмы офисных приложений •«Продвинутые средства»
  • 7. Мне нужно очень срочно отправить документ!!! Ну, пожалуйста … PHDays 2013 7 Если нельзя, но очень хочется • Первый среди равных (директора, «звезды», …) • Штатные механизмы DLP: • уведомление («ты конечно бери, но вообще-то нельзя») • запрос подтверждения («масло только по талонам») • запрос временного разрешения на операции («ладно, но только на 5 минут») В сочетании с сексуальной социальной инженерией – результат гарантирован Кадризмульфильма«Шрек2»
  • 8. PHDays 2013 8 «...Ты работаешь в Office» Некоторые функции, доступные в офисных приложениях: •Вынос текста за пределы «классической страницы»: • Формулы • Диаграммы • Макросы • Свойства документа •Замена символов (у-y, o-о, е-е и т.п.) и использование спецсимволов •«Сохранить как …» + «необычная» кодировка ANSI/DOS/MAC/MS/ экзотические «Арабская», в том числе экспорт в PDF/XPS •Пароль на доступ •Печать в файл
  • 9. PHDays 2013 9 И другими подручными средствами… • Снимки экрана ( , «ножницы», «снимок») • Сканирование документов без распознавания текста • Применение архиваторов (RAR, 7-ZIP и т.п.): • Архив с паролем • Цепочка архивов и на «дне» архив с паролем • Цепочка архивов и на «дне» документ с паролем • Архив из нескольких частей
  • 10. PHDays 2013 10 «Продвинутые средства» • Команда COPY (COPY /B 1.JPG + 1.RAR 2.JPG) • Стенографические утилиты (Masker 7.0, Steganоs Security Suite, mp3stego и др.) • Синтезаторы речи «Text to Speech» и наоборот «Speech to Text» (FlameReader, Alive Text to Speech, TextAloud и др.) • Маскировка под легальный трафик (например, DNS Tunneling (iodine, NSTX, OzymanDNS )) • Загрузка под ОС *nix (Live USB Flash) • «100% внешние» решения ;))) Улыбочку, Вас снимают
  • 11. PHDays 2013 11 It’s really work! Тест Запрос подтверждения Вынос текста за границы страницы Замена символов «Игра» с кодировками PRN-файл (печать в файл) Снимки экрана (screenshot) SFX-архив Спец. цепочка архивов Обман цифровых отпечатков Не применимо DLP «A» DLP «С» DLP «B» DLP «D» – Возможно за приемлемое время (менее часа)
  • 12. PHDays 2013 12 Часть 2 Кадризфильма"007:Координаты"Скайфолл"
  • 13. PHDays 2013 13 «Убить» агента 007 (т.е. агента DLP) • Цель: беспрепятственно слить информацию • Задача: прекратить работу агентского ПО DLP на хосте • Чем располагаем в минимальном случае: • штатные средства ОС • права – пользователь ОС • Чем располагаем в оптимальном случае: • дополнительные утилиты • права – локальный администратор ОС
  • 15. PHDays 2013 15 Заключение. Что важно помнить? • Одним DLP «сыт не будешь» • Следует понимать ограничения DLP-систем (и компенсировать их) • DLP – мощное оружие в руках грамотной команды • Комплексная терапия предполагает: • постоянную работу с DLP (включая анализ инцидентов и обновление базы знаний) • применение других средств защиты информации • гармонизацию организационных и технических мер
  • 16. PHDays 2013 16 PS Утечка информации ≠ Утечка документа DLP-решение может являться объектом атаки!
  • 17. PHDays 2013 17 Спасибо за внимание! a.kuznetsov@ntc-vulkan.ru a.tovstolip@ntc-vulkan.ru