Информационная безопасность



PC Acme - часть 2


Вот тут-то и проявляются два основных недостатка программы.

Во-первых, абсолютно непонятно, как в огромном множестве событий сотрудник безопасности сможет выделить те, которые являются нарушением политики IT-безопасности, привели к утечке и т. п. Другими словами, продукт PC Acme не работает с политиками вообще. Его задача лишь в том, чтобы составить максимально подробный протокол и скрытно передать его на центральный компьютер. Заметим, что в течение дня одна рабочая станция может сгенерировать десятки тысяч протоколируемых событий, а в корпоративной сети таких станций может быть несколько тысяч и даже больше. Очевидно, что проанализировать все это собственными руками невозможно. Между тем встроенные фильтры событий позволяют осуществлять лишь самые примитивные операции, например, отделить события, связанные с конкретным приложением (скажем, Microsoft Word).

Во-вторых, даже если сотруднику безопасности удастся обнаружить утечку, он все равно уже не сможет ее предотвратить. Ведь агент PC Acme зафиксировал совершенное в прошлом действие, и конфиденциальная информация уже давно дошла до получателя. Конечно, можно предъявить претензии самому инсайдеру, но блокировать утечку таким способом невозможно.

Итак, программа PC Acme не только не обладает комплексностью, но и не препятствует утечке в принципе. Более того, журналы событий, которые ведутся каждым представленным в обзоре продуктом, всегда достаточно подробны, чтобы вычислить инсайдера постфактум и служить доказательством при его обвинении. Причем в этих журналах, в отличие от протокола PC Acme, зафиксированы действия лишь с конфиденциальными данными, а не все системные события подряд.

Можно было бы предположить, что продукт PC Acme подойдет для маленьких компаний, где за действиями, например десяти пользователей, вполне реально проследить, периодически проверяя журнал событий. Однако выделение функций IT-безопасности в отдельную должность офицера для малого бизнеса - это нонсенс.




Содержание  Назад  Вперед