имхо, такой контроль будет работать до тех пор, пока сотрудники не знают, что эта система установлена. Если же они узнают, то найдут способы анонимно сливать инфу.
> Что, например, можно сейчас:
> Извлечь из письма приаттаченный .rar, распаковать его
> (может быть даже попытавшись угадать пароль по словарю или
> перебором до небольшой длинны. или просто заблокировать
> письмо с запароленым архивом), найти в архиве .doc файл, а
> в нем - подстрочку, подозрительно напоминающую номер
> банковского счета, или телефонный номер клиента, увязать
> это с тем, что данный отправитель в данное время на данный
> адрес не имеет права отсылать такую информацию и принять
> меры - это можно.
> Со стеганографией, особенно качественной - уже хуже. Но в
> области защиты информации "гонка вооружений" давно идет и
> по всем фронтам. Ни антивирус, ни файрвол, ни IDS в своей
> области не работают идеально, но развиваются в соответствии
> с растущими требованиями.
>
> Мне кажется, что блокирование писем - не должно быть
> основной мерой. Во-первых, как вы уже заметили, нельзя
> полагаться, что обхитрить фильтр невозможно (особенно, если
> "хитрящий" имеет обратную связь: Отправил письмо - оно не
> дошло. поменял, отправил - дошло.). А во-вторых, сложные
> фильтры могут быть написаны не очень аккуратно, и давать
> сбои (false positives).
Еще можно послать фотку другу, в которой вотермарком зашировать секретную инфу...
> Мы обычно рекомендуем если и блокировать, то только самые
> грубые нарушения. А основная мера - просто записывать
> почту. Или только подозрительную, или всю (про
> подозрительную, при этом, можно извещать админа). В
> результате, на стороне защитников есть эффект
> неожиданности. Если уж мы узнаем, что Иван Иваныч
В этом плане да, удобно Иван Иваныч облажался и отправил инфу [почти] открытым текстом, мы получили извещение - все классно. Но это все работает опять таки, пока сотрудники не начнут шифроваться, а как начнут - то от такой системы будет только вред, так как мы уже будем на нее полагаться, хотя бы потому, что заплатили за нее денег. Более того, в этом случае еще возможно организовать подставу.
> конкурентам данные сливает, так и хорошо, порадуем СБ,
> пусть оперативную игру проведут, пусть теперь наш И.И.
> конкурентам дезинформацию сливает, компенсирует ущерб. Или
> просто планы фирмы можно скорректировать, с учетом потерь.
> Ну или уволить-расстрелять - это по вкусу.
>
> > Вывод: посылаемая почта при помощи
> > веб-интерфейса через программу фильтрующую почту не
> пройдет
> > вообще.
> Я не столь категоричен в этом отношении. Сейчас мне не
> известны средства, которые бы на практике позволяли
> перехватывать вебмейловскую почту, хотя в теории -
> перехвать http траффик сабмита формы (зная типичную
> структуру формы для mail.ru, например) - не так уж и
> сложно. SSL усложняет работу, но можно либо запретить его,
> либо проксировать его (скармливая клиентскому браузеру наши
> ключи для шифрования, а не оригинальные). Конечно, пользы
> от такого SSL будет не так уж и много, но в принципе,
> задача решаема. Есть куда развиваться. :-).
>
> А пока же, "для экономии трафика и рабочего времени", лучше
> просто закрывать (или протоколировать) доступ на вебмейлы,
> и требовать использования smtp и pop3, хоть с того же
> сервера бесплатной почты. Мы сейчас думаем о создании своей
> большой базы вебмейлов. Конечно, она никогда не будет
> полной, но зато можно выпустить приказ по фирме о
> запрещении использования вебмейлов, обнаруживать нарушения
> (сотрудник ведь не знает, есть ли его вебмейл сейчас в
> базе, и не появится ли он там через час) и наказывать. У
> сотрудника "всего одна жизнь" в этой игре. Один раз уволят,
> при грубом нарушении - больше нарушений не будет.
Тогда надо отсеивать не только вебмылы, но и форумы и чаты, или же вообще запретить POST запросы :)
>
> > Нет такого опыта, увы.
> Кстати. А профессиональная деятельность не исключает такой
> опыт? Если не исключает, то почему не было? Парадоксально -
> недавно нашел исследование, так почти все опрошенные (ранга
> CIO, CSO и около того), признают, что имоченьсильно
> требуется контролировать почту, но, как правило, просто не
> знают средств для этого.
имхо, полезнее нанять специального человека, просматривающего вообще всё.
|
подробно о проекте
Анализ криптографических сетевых... 
