Задача была не столько свой ящик скрыть, сколько сторонних людей. Но спасибо за бдительность. Что-то выдавало в Штирлице советского разведчика. Не то мужественный профиль, не то решительная походка, не то волочащийся за ним парашют.
Просто журналисту надо о чём-то писать. Поэтому разбираться в терминологии, а-ля схемы-скрипты, может быть и хотелось бы, но нет необходимости. Народ клюёт на "появилась новая мошенническая схема", значит так и будут писать, даже если знают, что это всего лишь очередной сценарий. Часто они вовсе приходят с запросом "что нового в социальной инженерии появилось за этот год?"
А на тему "почему не заметили?" нечего сказать. Видимо, не бросалось в глаза. Вспомнил сразу историю про сотрудницу HP, которая с 2017 по 2021 смогла потратить $5 млн. На Хабре была новость даже.
Интересный эксперимент. ИМХО, здесь приёмы внешней и внутренней аттракции сработали + риторика. Информацию доносит не "чужой" безопасник, а "свой" коллега, к которому отношение изначально более лояльное.
Был ли негатив к "бадди"? То есть, ретранслировались ли у коллег на них страхи перед ИБ? "Стукач", "теперь напрямую ИБшникам о нас докладывать будешь" и прочее? Неужели все сотрудники во всех отделах восприняли "бадди" позитивно?
Подозреваю, что тут по-своему ИБ истолковала "блокирует". В понимании безопасников "блокировать" - это когда они настроили правило блокировки. А тут весьма похоже, что внешний сервис мониторил подмену SSL-сертификата, который и подменял Инфовотч, чтобы перехватывать информацию. По сути, все DLP реализуют MITM-атаку. Но на случай SSL pinning в DLP обычно предусмотрены системные и пользовательские исключения.
"Мы протестировали 10 решений и обнаружили, что девять из них крайне уязвимы к атакам deepfake", - сообщил The Verge главный операционный директор Sensity Франческо Кавалли.
У некоторых организаций есть формы обратной связи. Например у Сбера. Где-то просто можно нарваться на новость, как у МТС. Правда найти их - то ещё испытание. Ещё можно написать в органы (надо выбрать из списка "Управление по организации борьбы с противоправным использованием информационно-коммуникационных технологий").
Как вы к такому выводу смогли прийти? Даже если одновременно попробовать все способы, что описаны в статье, 5 агентов не наберётся. А что до DCAP, то агента вовсе может не быть. Подобные системы могут работать через сетевую службу.
Я больше склоняюсь к мысли, что эти инциденты подтверждают высказывание, что нельзя быть на 100% защищённым. Думаю, что отдел ИБ нормальную работу проделал и лёгкие\средние дыры позакрывал. В итоге осталось что-то уникально, что сложно было предугадать. Например, человеческую безалаберность Клары.
А в настройках будет видна разве описанная ситуация? Напомню, Карлу не официально предоставили доступ к ящику Клары правилами почтового сервера. Карл раздобыл пароль и сам настроил второй ящик.
Цифровыми отпечатками бы не поймали. Другими инструментами поймали бы. Но тут всегда можно довести ситуацию до абсурда и обставить безопасников. Например, если бы злоумышленник склеивал несколько файлов паровозом в hex-редакторе, а потом бы передавал получившийся файл через черновик в веб-почте (foldering), то безопасники вряд ли бы заметили утечку.
Имел ввиду, что нагрузка потом будет не со стороны библиотеки цифровых отпечатков (где хранятся хеши "оригиналов"), а со стороны DLP, которая весь поток перехватываемых документов должна будет в моменте обсчитывать и снимать хеши, чтобы сравнивать их с "оригинальными" из библиотеки.
Задача была не столько свой ящик скрыть, сколько сторонних людей. Но спасибо за бдительность. Что-то выдавало в Штирлице советского разведчика. Не то мужественный профиль, не то решительная походка, не то волочащийся за ним парашют.
Просто журналисту надо о чём-то писать. Поэтому разбираться в терминологии, а-ля схемы-скрипты, может быть и хотелось бы, но нет необходимости. Народ клюёт на "появилась новая мошенническая схема", значит так и будут писать, даже если знают, что это всего лишь очередной сценарий.
Часто они вовсе приходят с запросом "что нового в социальной инженерии появилось за этот год?"
Генподрядчик - Amazon. Они умеют в ИИ через Индию.
Чуть выше рассказывают.
А на тему "почему не заметили?" нечего сказать. Видимо, не бросалось в глаза. Вспомнил сразу историю про сотрудницу HP, которая с 2017 по 2021 смогла потратить $5 млн. На Хабре была новость даже.
Интересный эксперимент. ИМХО, здесь приёмы внешней и внутренней аттракции сработали + риторика. Информацию доносит не "чужой" безопасник, а "свой" коллега, к которому отношение изначально более лояльное.
Был ли негатив к "бадди"? То есть, ретранслировались ли у коллег на них страхи перед ИБ? "Стукач", "теперь напрямую ИБшникам о нас докладывать будешь" и прочее? Неужели все сотрудники во всех отделах восприняли "бадди" позитивно?
Подозреваю, что тут по-своему ИБ истолковала "блокирует". В понимании безопасников "блокировать" - это когда они настроили правило блокировки. А тут весьма похоже, что внешний сервис мониторил подмену SSL-сертификата, который и подменял Инфовотч, чтобы перехватывать информацию. По сути, все DLP реализуют MITM-атаку. Но на случай SSL pinning в DLP обычно предусмотрены системные и пользовательские исключения.
А есть ли какие-то тесты, подтверждающие это? Вот другое мнение: https://habr.com/ru/articles/667326/
У некоторых организаций есть формы обратной связи. Например у Сбера. Где-то просто можно нарваться на новость, как у МТС. Правда найти их - то ещё испытание. Ещё можно написать в органы (надо выбрать из списка "Управление по организации борьбы с противоправным использованием информационно-коммуникационных технологий").
Почему-то мне всё больше ситуация напоминает известный мем
Hidden text
Как вы к такому выводу смогли прийти? Даже если одновременно попробовать все способы, что описаны в статье, 5 агентов не наберётся. А что до DCAP, то агента вовсе может не быть. Подобные системы могут работать через сетевую службу.
Название намекает, что пользование клиентом это всё равно, что клеймо получить?
Новое прочтение Ложкина. Не время оплачивать по биометрии.
Для тех, кто, как и я, заинтересовался, вот прямая ссылка: https://www.abstractspoon.com/
"Алярм! Алярм! Орёл под угрозой выпадения из гнезда!"
Я больше склоняюсь к мысли, что эти инциденты подтверждают высказывание, что нельзя быть на 100% защищённым. Думаю, что отдел ИБ нормальную работу проделал и лёгкие\средние дыры позакрывал. В итоге осталось что-то уникально, что сложно было предугадать. Например, человеческую безалаберность Клары.
В этом "выдуманном" деле чуть по-другому вышло: Карл просто знал логин\пароль Клары и на своей машине в Outlook добавил ещё одну учётную запись.
А в настройках будет видна разве описанная ситуация? Напомню, Карлу не официально предоставили доступ к ящику Клары правилами почтового сервера. Карл раздобыл пароль и сам настроил второй ящик.
Цифровыми отпечатками бы не поймали. Другими инструментами поймали бы. Но тут всегда можно довести ситуацию до абсурда и обставить безопасников. Например, если бы злоумышленник склеивал несколько файлов паровозом в hex-редакторе, а потом бы передавал получившийся файл через черновик в веб-почте (foldering), то безопасники вряд ли бы заметили утечку.
Имел ввиду, что нагрузка потом будет не со стороны библиотеки цифровых отпечатков (где хранятся хеши "оригиналов"), а со стороны DLP, которая весь поток перехватываемых документов должна будет в моменте обсчитывать и снимать хеши, чтобы сравнивать их с "оригинальными" из библиотеки.
...то пора его отчислить за непосещаемость физры.