October 30th, 2010

white

Эффект домино

Не всегда под сабжевым названием понимают цепную реакцию. Есть и иное значение термина, связанное именно с утечками информации.

Рассказывают, что в городе Вашингтоне сотрудники правительственных учреждений, которые задерживались на службе, имели (да и ныне имеют) привычку заказывать себе пиццу с доставкой. А крупнейшая компания в этом бизнесе – некое ОАО "Доминоз пицца". Так вот, пик заказов в соответствующих районах города после окончания рабочего дня оказался верным признаком изменения политической обстановки. Работники доставки заметили совершенно чёткую корреляцию: как только возникает вал вечерних заказов пиццы, через несколько дней где-то в мире обязательно происходит звездец. Войнушка там или переворот или иное затрагивание интересов США. Заметив, поделились этим наблюдением с прессой.

И была утечка. И был скандал. Примета оказалась настолько верная, что соответствующая статистика заказов была засекречена. (Понятно, что запретить военным и разведчикам заказывать себе пиццу может лишь тоталитарное государство, не имеющее понятия о правах человека.)

А теперь посмотрим на данный эффект с точки зрения утечек информации. Собственно секретная информация охраняемый периметр не пересекала. Но из квази-открытых данных легко получались секретные, даже безо всякого анализа. А вот если бы у них стояла DLP... И если бы они делали заказы только через старый добрый веб-интерфейс, без этих новомодных телефонов, то утечка вполне была бы замечена в виде нарушения типичного "статистического портрета" трафика.

Выявление статистических аномалий позволяет понять, что пришла беда, ещё не понимая, в чём именно она состоит. Например, в некоторых особо продвинутых инфосистемах тот же статанализ обнаружил и заблокировал трафик знаменитого червя "Slammer" ещё до того, как стало известно, что это за червь, и какую уязвимость он эксплуатирует.