Конкретный сайт, с конкретной нейронкой, конечно, можно закрыть изнутри офисной сетки, но в общем случае задача утечки информации по каналам общего назначения так не решается (Особенно если сотрудник, вот я, например, работает на своём устройстве вне офиса). Ну или решается путём перерезания всех кабелей, ведущих к защищаемой системе из внешнего мира (кстати, по линиям электропитания тоже можно данные передавать, есичо), что в общем случае крайне плохо влияет на способность системы и её сотрудников (даже находящихся внутри периметра) выполнять свои задачи.
Не совсем понимаю, в чём проблема - удалённый рабочий стол, как вариант. Ну да, пароли таким образом не защитить - но зачем, когда identity/security access management. По пользовательской и кодовой базе - ну хз, от объёма зависит, плюс там тоже можно разделить доступ к веткам.
В общем, если экономить на секофах - будут факапы. Ну и да, когда поймают парочку инсайдеров и хорошенько вздрючат вплоть до открытия уголовного дела с соответствующим пиаром, остальные, полагаю, взвесят "за" и "против".
Но опять-таки, это если нормально делать - нормально будет. А если делать через одно место - понятное дело, результат будет не очень.
Как вы собираетесь отсекать утечку инфы по разрешенным каналам? Если ChatGPT разрешен к применению, непонятно как контролировать что в него течет, если ChatGPT не разрешен к применению падает производительность. Вместо ChatGPT можно подставить что угодно, хоть LinkedIn.
Эмм... А в чём проблема сделать MitM-proxy DLP? Может я чего-то не понимаю, но оно уже достаточно давно есть и вполне себе работает, насколько я понимаю. Ну, может не на сто процентов - но, тут, как обычно, tradeoff удобства и безопасности.
У вас есть полный контроль траффика и задача определять пишут ли люди в Linkedin то, что полезно для компании или то, что составляет угрозу её безопасности. Я не знаю способов решить эту задачу - все что я встречал в плане безопасности это контроль доступа разной степени успешности.
Мы как-то плавно и незаметно перешли с задачи контроля утечек информации через chatgpt к задаче определения, кто что пишет в linkedin. Если что, вторую задачу я решать не предлагал.
Тут следует уточнить, как используется chatgpt. "о, напиши мне парсер текстового файла", "о, вот тебе бизнес-план, добавь мне общих тезисов", "о, вот тебе код, который я написал, переделай его из питона в c++" (я хз, он вообще такое умеет?). Это разные задачи и да, думаю, что с DLP не все решаются.
В худшем случае, всё, как обычно - считаются риски убытков от утечек, риски просадки производительности сравнивается и принимается решение.
А как вы себе представляете задачу DLP? Это может быть не пущать куда-то, или на ходу цензурировать отправляемое куда-то, или хотя бы вовремя стучать Куда Следует об отправке не туда не того. Если вы не баните тупо доступ к ChatGPT/LinkedIn/whatever (а также окольные пути, по которым можно до него достучаться), но хотите делать DLP, то вам надо выяснять, что же туда шлют.
Ну да, именно так. Агент на endpoint и/или посередине между ним и внешним миром. От фотографирования экрана телефоном не спасёт, но остальное - более-менее под контролем. То, что я видел - вполне себе работает, хоть я и не пытался их пентестить (да и пентестер из меня никакой, понятное дело), но чисто спецификации если смотреть, вполне себе рабочие решения. И да, это я лет пять-семь назад этой темой более-менее плотно интересовался, сейчас явно прогресс есть.
Поменяйте linkedin, на ChatGpt. Ничего не изменилось - если вы открываете доступ к ChatGpt вам будет очень сложно контролировать какие запросы к ней идет. Речь шла именно о контроле утечки информации через разрешенный ресурс.
Хрен знает, о какой информации-то речь? Картинка, текст, музыкальный файл, какие-то данные разрозненные - чего защищаем-то? Давайте уточним задачу, а то как-то размыто всё получается.
Так это вы начали тред с того, что DLP давно уже существует и все проблемы решит. Можете уточнить задачу на свой вкус и предложить, как её решать.
Вот выше вы предложили удалённый рабочий стол, например. При таком решении, данные должны будут храниться исключительно на доверенной машине внутри тщательно законопаченного сетевого периметра, однако, сам-то пользователь будет не там. Конечно, часть путей потенциальной утечки это закрывает (с одновременным снижением производительности), но не помешает, например, скриншотить тот самый удалённый рабочий стол или обсуждать рабочие задачи с другого устройства с кем угодно: начиная от коллег (дабы хоть немного поднять оную производительность с пола), продолжая чат-гопотой и заканчивая StackOverflow и LinkedIn.
Ну вот надо защитить сорс-код, допустим. Ну вот и контролируем его "вынос" за пределы среды разработки агентом. Копипаста и всё такое. Много он там наскриншотит? Не, если у нас настолько критичный код, что даже его скриншот может нанести ущерб - запираем сотрудников в офисе и контролируем физический периметр точно так же, как и всё остальное. Как всегда - tradeoff между безопасностью и удобством.
И да, я как-то не совсем представляю задачу, в которой одновременно код был и сверхсекретный и очень маленький, чтобы влезть на скриншот, да ещё и скорость разработки и зависимость от stack owerflow была какая-то запредельная. Как же люди разрабатывали-то раньше, когда этого всего не было? Все эти System/360, HP-UX, VMS, всякие там ораклы и так далее - оно работало же как-то и, если меня спросить, сильно лучше нынешнего дендрофекального производства.
> Как же люди разрабатывали-то раньше, когда этого всего не было? Все эти System/360, HP-UX, VMS, всякие там ораклы и так далее
Возможно, они меньше заморачивались проблемой DLP, а больше - работой :) Да и сливать было некуда: ни ChatGPT, ни даже SO тогда не предлагали костыли для тех, кому лень подумать, так что думать приходилось.
Мне, кстати, тоже лень обычно думать, когда иду на SO. Это всегда конкретные закидоны конкретных платформ/библиотек. Когда на тот же спринг переезжали, то я и видосики смотрел, и что-то читал, чтобы понять концепции, но после того, как я их уже знаю, конкретный заёб спринга проще спросить на SO, где на те же самые грабли уже тыщи человек наступили, чем самому разбираться. А вот в ChatGPT могут пойти за концепцией, а в поиске её - слить лишнего.
Стоп-стоп, вопрос был в другом - как люди умудрялись писать более-менее качественный и производительнный код без доступа к интернет и копипасты со stackoverflow, при чём тут DLP?
И заодно - почему нынче код из дерьма состоит на 99.999%?
Что касается DLP, то японцы, в своё время, весьма успешно скомуниздили у межделмаша не только мейнфреймы с софтом, но даже документацию к ним, за что хоть и получили по голове, но убытки, тем не менее, причинили.
В случае ChatGpt очевидно текст. Я вижу как минимум два вектора - исходный код, но это в будущем если выигрыш от запихивания его в Gpt будет существенным(пока мне такое не продемонстрировали) или, что гораздо более реально, коммерческая тайна, всякие планы и контракты. Второе сейчас активно течет по социальным сетям просто у всех.
DLP, вроде как, давно уже существует, не?
Reply
Reply
Не совсем понимаю, в чём проблема - удалённый рабочий стол, как вариант. Ну да, пароли таким образом не защитить - но зачем, когда identity/security access management. По пользовательской и кодовой базе - ну хз, от объёма зависит, плюс там тоже можно разделить доступ к веткам.
В общем, если экономить на секофах - будут факапы. Ну и да, когда поймают парочку инсайдеров и хорошенько вздрючат вплоть до открытия уголовного дела с соответствующим пиаром, остальные, полагаю, взвесят "за" и "против".
Но опять-таки, это если нормально делать - нормально будет. А если делать через одно место - понятное дело, результат будет не очень.
Reply
Как вы собираетесь отсекать утечку инфы по разрешенным каналам? Если ChatGPT разрешен к применению, непонятно как контролировать что в него течет, если ChatGPT не разрешен к применению падает производительность. Вместо ChatGPT можно подставить что угодно, хоть LinkedIn.
Reply
Эмм... А в чём проблема сделать MitM-proxy DLP? Может я чего-то не понимаю, но оно уже достаточно давно есть и вполне себе работает, насколько я понимаю. Ну, может не на сто процентов - но, тут, как обычно, tradeoff удобства и безопасности.
Reply
У вас есть полный контроль траффика и задача определять пишут ли люди в Linkedin то, что полезно для компании или то, что составляет угрозу её безопасности. Я не знаю способов решить эту задачу - все что я встречал в плане безопасности это контроль доступа разной степени успешности.
Reply
Мы как-то плавно и незаметно перешли с задачи контроля утечек информации через chatgpt к задаче определения, кто что пишет в linkedin. Если что, вторую задачу я решать не предлагал.
Тут следует уточнить, как используется chatgpt. "о, напиши мне парсер текстового файла", "о, вот тебе бизнес-план, добавь мне общих тезисов", "о, вот тебе код, который я написал, переделай его из питона в c++" (я хз, он вообще такое умеет?). Это разные задачи и да, думаю, что с DLP не все решаются.
В худшем случае, всё, как обычно - считаются риски убытков от утечек, риски просадки производительности сравнивается и принимается решение.
Reply
Если вы не баните тупо доступ к ChatGPT/LinkedIn/whatever (а также окольные пути, по которым можно до него достучаться), но хотите делать DLP, то вам надо выяснять, что же туда шлют.
Reply
Ну да, именно так. Агент на endpoint и/или посередине между ним и внешним миром. От фотографирования экрана телефоном не спасёт, но остальное - более-менее под контролем. То, что я видел - вполне себе работает, хоть я и не пытался их пентестить (да и пентестер из меня никакой, понятное дело), но чисто спецификации если смотреть, вполне себе рабочие решения. И да, это я лет пять-семь назад этой темой более-менее плотно интересовался, сейчас явно прогресс есть.
Reply
Поменяйте linkedin, на ChatGpt. Ничего не изменилось - если вы открываете доступ к ChatGpt вам будет очень сложно контролировать какие запросы к ней идет. Речь шла именно о контроле утечки информации через разрешенный ресурс.
Reply
Хрен знает, о какой информации-то речь? Картинка, текст, музыкальный файл, какие-то данные разрозненные - чего защищаем-то? Давайте уточним задачу, а то как-то размыто всё получается.
Reply
Вот выше вы предложили удалённый рабочий стол, например. При таком решении, данные должны будут храниться исключительно на доверенной машине внутри тщательно законопаченного сетевого периметра, однако, сам-то пользователь будет не там. Конечно, часть путей потенциальной утечки это закрывает (с одновременным снижением производительности), но не помешает, например, скриншотить тот самый удалённый рабочий стол или обсуждать рабочие задачи с другого устройства с кем угодно: начиная от коллег (дабы хоть немного поднять оную производительность с пола), продолжая чат-гопотой и заканчивая StackOverflow и LinkedIn.
Reply
Ну вот надо защитить сорс-код, допустим. Ну вот и контролируем его "вынос" за пределы среды разработки агентом. Копипаста и всё такое. Много он там наскриншотит? Не, если у нас настолько критичный код, что даже его скриншот может нанести ущерб - запираем сотрудников в офисе и контролируем физический периметр точно так же, как и всё остальное. Как всегда - tradeoff между безопасностью и удобством.
И да, я как-то не совсем представляю задачу, в которой одновременно код был и сверхсекретный и очень маленький, чтобы влезть на скриншот, да ещё и скорость разработки и зависимость от stack owerflow была какая-то запредельная. Как же люди разрабатывали-то раньше, когда этого всего не было? Все эти System/360, HP-UX, VMS, всякие там ораклы и так далее - оно работало же как-то и, если меня спросить, сильно лучше нынешнего дендрофекального производства.
Reply
Возможно, они меньше заморачивались проблемой DLP, а больше - работой :) Да и сливать было некуда: ни ChatGPT, ни даже SO тогда не предлагали костыли для тех, кому лень подумать, так что думать приходилось.
Мне, кстати, тоже лень обычно думать, когда иду на SO. Это всегда конкретные закидоны конкретных платформ/библиотек. Когда на тот же спринг переезжали, то я и видосики смотрел, и что-то читал, чтобы понять концепции, но после того, как я их уже знаю, конкретный заёб спринга проще спросить на SO, где на те же самые грабли уже тыщи человек наступили, чем самому разбираться. А вот в ChatGPT могут пойти за концепцией, а в поиске её - слить лишнего.
Reply
Стоп-стоп, вопрос был в другом - как люди умудрялись писать более-менее качественный и производительнный код без доступа к интернет и копипасты со stackoverflow, при чём тут DLP?
И заодно - почему нынче код из дерьма состоит на 99.999%?
Что касается DLP, то японцы, в своё время, весьма успешно скомуниздили у межделмаша не только мейнфреймы с софтом, но даже документацию к ним, за что хоть и получили по голове, но убытки, тем не менее, причинили.
Reply
В случае ChatGpt очевидно текст. Я вижу как минимум два вектора - исходный код, но это в будущем если выигрыш от запихивания его в Gpt будет существенным(пока мне такое не продемонстрировали) или, что гораздо более реально, коммерческая тайна, всякие планы и контракты. Второе сейчас активно течет по социальным сетям просто у всех.
Reply
Leave a comment