Перейти к содержанию

Recommended Posts

Сергей Ильин

Коллеги,

Предлагаю вашему вниманию первую часть обзора корпоративного решения SecurIT Zgate, предназначенного для защиты от утечек конфиденциальных данных на уровне шлюза (класс Network DLP).

Хотелось рассмотреть этот продукт подробнее, так как с моей точки зрения он представляет большой интерес, да и нормальных подробные обзоров этого класса решений толком нет. По теме DLP вообще сплошное бла-бла-бла и никакой конкретики. Большинство продуктов хранится за семью печатями, инфы нет, триалок нет - сплошной туман. Поэтому я очень благодарен компании SecurIT за открытую позицию. Как оказалось, правильно делают.

С моей точки зрения продукт хороший как в технологическом плане, так и в плане реализации. Но лучше ознакомиться с обзором :)

http://www.anti-malware.ru/reviews/securit_zgate_part1

zgate.jpg

Краткое содержание

1. Введение

2. Системные требования

3. Технологии SecurIT Zgate

4. Общая структура и схема работы SecurIT Zgate

5. Принцип работы системы SecurIT Zgate

6. Установка SecurIT Zgate

7. Начало работы и первоначальная настройка SecurIT Zgate

8. Настройка анализа содержимого и фильтрации

На следующей неделе будет опубликована вторая часть обзора, в котором будет подробно рассказано о настройках правил контроля и анализа трафика, действий осуществляемых при обнаружении инцидентов, а также сделаны итоговые выводы.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

Опубликована вторая часть обзора с итоговыми выводами

http://www.anti-malware.ru/reviews/securit_zgate_part2

Выводы

После ознакомления с продуктом у нас сложилось впечатление, что SecurIT Zgate сделан на крепкую пятёрку. Разработчики системно подошли к созданию продукта, хорошо изучив конкурирующие решения, и поставив себе цель создания одного из лучших продуктов в этом классе.

Возможности SecurIT Zgate очень большие. Его важной особенностью является контроль не только внешней почты, но и внутренней! Также, важным является то, что продукт, в отличие от западных аналогов, поддерживает русскую морфологию, что позволяет грамотно строить правила анализа с использованием словарей. Продукт предоставляет широчайшие возможности по настройке правил обнаружения и блокирования утечек конфиденциальных данных, вобрав в себя, пожалуй, все возможные методы анализа содержимого для такого класса продуктов (лингвистку, регулярные выражения, цифровые отпечатки и даже статистический метод).

Продукт однозначно требует грамотного подхода к настройке. Особенное внимание стоит обратить на настройку правил анализа содержимого, в том числе словарей, которые будут использоваться в анализе методом Байеса, а также на базу цифровых отпечатков. От правильности настройки будет сильно зависеть корректность анализа и эффективность работы продукта в целом.

Соответствие современным стандартам, отличные возможности контроля веб-трафика, глубокий анализ сообщений и содержимого документов, ведение архива сообщений, использование единой консоли управления для всей линейки продуктов компании SecurIT, которые вместе составляют единый комплекс – всё говорит о том, что продукт достоин применения в компаниях, которые действительно беспокоятся о своей информационной безопасности.

Из минусов, стоит отметить невозможность отслеживания HTTPS-трафика (эта возможность будет в версии 3.0), трафика Mail.Ru Агента, Windows Messenger, Yahoo! Messenger и Jabber (Google Talk, Я.Онлайн и пр.) (работа по добавлению поддержки этих сервисов уже ведётся). Также хотелось бы видеть в продукте возможность отслеживания переписки по Skype. Но, к сожалению, на данный момент, ни одна DLP-система не позволяет контролировать трафик Skype.

Ещё один минус – отчётность. Её явно не хватает для продукта такого класса. На данный момент в компаниях, использующих SecurIT Zgate применяются внешние системы построения аналитики. Остаётся лишь пожелать компании SecurIT и далее всемерно развивать и совершенствовать SecurIT Zgate. В будущем хотелось бы видеть этот продукт и для Unix-систем с поддержкой PostgreSQL.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти

  • Сообщения

    • santy
      в списке сигнатур, в данном случае 2-3 десятка записей с именем Win32/Adware.ConvertAd, а файл, который попал под детект данной сигнатуры, детектируется на VT как  NSIS/CoinMiner. захотел переименовать сигнатуру, а какую именно - не определить наугад :). ------- т.е. понятно, что переименоваться должна не строка в инфо, а запись в signs, и как следствие, потом уже и отображение названия в Инфо будет новое.
    • demkd
      такого нет, можно конечно сделать, но не ясно зачем
    • santy
      demkd, есть такая возможность,  из окна инфо, в поле сигнатура вызвать форму для переименования сигнатуры? (с учетом того, что сигнатур с одинаковыми именами может быть много, поэтому для редактирования должна быть открыта нужная запись) т.е. вызвать эту форуму:
    • santy
      у меня все шесть файликов сразу попали в подозрительные и вирусы при открытии образа. (без добавления новых сигнатур). тот случай, когда образы автозапуска нужны не только для того, чтобы писать по ним скрипты, но и для пополнения баз сигнатур и правил, т.е. чтобы использовать заложенные в программе возможности к самообучению.  
    • PR55.RP55
      Зачем ? Только для файлов которые попали в подозрительные. Логика такая:  Файл в подозрительных > uVS берёт его SHA1 ( если таковая есть ) и прогоняет весь список на совпадение > если совпадение найдено - файл попадает в подозрительные > в Инфо. файла пишется информация по какой причине файл попал в подозрительные. Да и проверку можно проводить на  готовом образе\списке.
×