Перейти к содержанию

Recommended Posts

Сергей Ильин

Коллеги,

Предлагаю вашему вниманию первую часть обзора корпоративного решения SecurIT Zgate, предназначенного для защиты от утечек конфиденциальных данных на уровне шлюза (класс Network DLP).

Хотелось рассмотреть этот продукт подробнее, так как с моей точки зрения он представляет большой интерес, да и нормальных подробные обзоров этого класса решений толком нет. По теме DLP вообще сплошное бла-бла-бла и никакой конкретики. Большинство продуктов хранится за семью печатями, инфы нет, триалок нет - сплошной туман. Поэтому я очень благодарен компании SecurIT за открытую позицию. Как оказалось, правильно делают.

С моей точки зрения продукт хороший как в технологическом плане, так и в плане реализации. Но лучше ознакомиться с обзором :)

http://www.anti-malware.ru/reviews/securit_zgate_part1

zgate.jpg

Краткое содержание

1. Введение

2. Системные требования

3. Технологии SecurIT Zgate

4. Общая структура и схема работы SecurIT Zgate

5. Принцип работы системы SecurIT Zgate

6. Установка SecurIT Zgate

7. Начало работы и первоначальная настройка SecurIT Zgate

8. Настройка анализа содержимого и фильтрации

На следующей неделе будет опубликована вторая часть обзора, в котором будет подробно рассказано о настройках правил контроля и анализа трафика, действий осуществляемых при обнаружении инцидентов, а также сделаны итоговые выводы.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

Опубликована вторая часть обзора с итоговыми выводами

http://www.anti-malware.ru/reviews/securit_zgate_part2

Выводы

После ознакомления с продуктом у нас сложилось впечатление, что SecurIT Zgate сделан на крепкую пятёрку. Разработчики системно подошли к созданию продукта, хорошо изучив конкурирующие решения, и поставив себе цель создания одного из лучших продуктов в этом классе.

Возможности SecurIT Zgate очень большие. Его важной особенностью является контроль не только внешней почты, но и внутренней! Также, важным является то, что продукт, в отличие от западных аналогов, поддерживает русскую морфологию, что позволяет грамотно строить правила анализа с использованием словарей. Продукт предоставляет широчайшие возможности по настройке правил обнаружения и блокирования утечек конфиденциальных данных, вобрав в себя, пожалуй, все возможные методы анализа содержимого для такого класса продуктов (лингвистку, регулярные выражения, цифровые отпечатки и даже статистический метод).

Продукт однозначно требует грамотного подхода к настройке. Особенное внимание стоит обратить на настройку правил анализа содержимого, в том числе словарей, которые будут использоваться в анализе методом Байеса, а также на базу цифровых отпечатков. От правильности настройки будет сильно зависеть корректность анализа и эффективность работы продукта в целом.

Соответствие современным стандартам, отличные возможности контроля веб-трафика, глубокий анализ сообщений и содержимого документов, ведение архива сообщений, использование единой консоли управления для всей линейки продуктов компании SecurIT, которые вместе составляют единый комплекс – всё говорит о том, что продукт достоин применения в компаниях, которые действительно беспокоятся о своей информационной безопасности.

Из минусов, стоит отметить невозможность отслеживания HTTPS-трафика (эта возможность будет в версии 3.0), трафика Mail.Ru Агента, Windows Messenger, Yahoo! Messenger и Jabber (Google Talk, Я.Онлайн и пр.) (работа по добавлению поддержки этих сервисов уже ведётся). Также хотелось бы видеть в продукте возможность отслеживания переписки по Skype. Но, к сожалению, на данный момент, ни одна DLP-система не позволяет контролировать трафик Skype.

Ещё один минус – отчётность. Её явно не хватает для продукта такого класса. На данный момент в компаниях, использующих SecurIT Zgate применяются внешние системы построения аналитики. Остаётся лишь пожелать компании SecurIT и далее всемерно развивать и совершенствовать SecurIT Zgate. В будущем хотелось бы видеть этот продукт и для Unix-систем с поддержкой PostgreSQL.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти

  • Сообщения

    • Dima2_90
      Об особенностях сканирования исполняемых файлов антивирусами и доверии результатам VirusTotal - https://habr.com/post/346480/ Цитаты из статьи "Забавно, детект уменьшился с 60 для неупакованного файла и 41 для архива до 17 — при этом ни один из антивирусных движков не обнаружил Eicar, детекты явно имеют эвристический характер, а в ряде случаев напоминают ложное срабатывание (DrWeb, Baidu и др.)" "6 детектов из 67. Шесть, Карл! Все — эвристические. И скорее всего ничего не подозревающий пользователь посчитает файл безопасным." "современные антивирусные сканеры так и остались барахлом, которым были десяток-два лет назад, абсолютно пасующим перед простейшими видами упаковки кода. Решения в виде тестовых сред — «песочниц», эвристических анализаторов и т.д. только добавили неразберихи, ложных срабатываний, но по сути не защищают от реальной угрозы. Со старым, открытым и разжёванным до потрохов UPX как был бардак — так он и остался. А ведь я вполне мог упаковать не файл, вызывающий вредоносную активность, а непосредственно код, работать не с файлами на диске в %temp%, а в памяти, использовать не свободно доступные утилиты, а собственные или закрытые разработки — и таким образом обойти срабатывание резидентной защиты. Я вполне мог добавить интересные элементы интерфейса или скопировать таковой из распространённой программы — и обойти проактивку у неискушённого пользователя, который просто будет соглашаться с любыми запросами, доверяя тому, что запустил.

      То, что мы сделали выше — примитивный способ обмануть антивирус, который может понять и реализовать практически любой. И он сработал. Что говорить про искушённых специалистов!"
    • Dima2_90
      Ad-Aware --------- https://www.adaware.com/support/securitycenter/report_false_positives.php  Antiy-AVL --------- [email protected] Avast --------------- https://www.avast.ru/false-positive-file-form.php AVG ---------------- https://www.avg.com/ru-ru/false-positive-file-form Avira --------------- https://analysis.avira.com/en/submit BitDefender -------- https://www.bitdefender.com/submit/ ClamAV ------------ http://www.clamav.net/reports/fp DrWeb ------------- https://vms.drweb.ua/sendvirus ESET-NOD32 ------- https://www.esetnod32.ru/support/knowledge_base/new_virus/ Kaspersky --------- https://virusdesk.kaspersky.ru/ Microsoft ---------- https://www.microsoft.com/en-us/wdsi/filesubmission NANO-Antivirus ---- http://nanoav.ru/index.php?option=com_content&view=article&id=15&Itemid=83&lang=ru Symantec ---------- https://submit.symantec.com/false_positive/
    • Липковский Борис
      Вдруг понадобится, спасибо за информацию.
    • Липковский Борис
      Я собираю с разных стран магнитики. Это очень круто.
    • Липковский Борис
      Каждый находит свое увлечение.Заработок зависит от работы которую ты умеешь делать на отлично. Самое главное если есть время.
×