Anti-Malware.ru: Сравнение систем защиты от утечек (DLP)

[Алeксaндр Кoвaлев 0]

Если вы ко мне:

На самом деле вы слишком сильно сужаете применимость данного метода.

Если быть точным - то это метод снятия отпечатков со структурированных данных, то есть таблиц в любом виде.

Если о конкретной реализации - расскажу:

Сначала вы готовите csv- файл с этими самыми данными. (может быть такой промежуточный вариант вам покажется странным, но я могу вижу гораздо больше преимуществ, нежели недостатков)

Если говорить о лучших практиках как он должен примерно выглядеть:

Имя, Фамилия, Отчетство, Паспорт

Иван, Иванов, Иванович, 1010123456

Петр, Петров, Петрович, 2020234567

Сидор, Сидоров, Сидорович, 3030345678

Далее система снимет цифровой отпечаток не со всего документа, а с каждой ячейки, то есть в системе будет отдельный хэш для слова Иван, отдельный для Иванов и т.д. Разумеется такой отпечаток будет несколько больше по объему, что отпечатки с неструкрурированных документов. Но Symantec в сайзинге упоминал о 10-100 миллионах срок в одном индексе.

Пример с паспортом, на самом деле придуманный, тут лучше использовать Regexp.

Далее вы создаете правило, в котором указываете сочетание столбцов и кол-во совпаданий, то есть, если вы зададите, что в документа есть поле фамилия, имя и номер паспорта и это встречается более двух раз, то система вам найдет, например, следующие сочетания:

Иван Иванов 1010123456

Сидор Сидоров 3030345678

но более правильным будет, возможно, задать сочетания имя, фамилия а так же Regexp описывающий номер паспорта.

У меня несколько уточняющих вопросов:

1. Почему тогда это называется именно цифровыми отпечатками БД/таблицы?

2. Есть ли какие-то ограничения к БД, данные из которой можно эффективно перехватывать цифровыми отпечатками?

3. Управление данным методом происходит через нормальную консоль Symantec, или пока еще данный функционал в неё не перенесли?

[Alexander Suyazov 10]

Реализация, конечно, так себе. Потом данные сто раз поменяются, а детект будет происходить по индексу из той самой старой csv-ки.

Логичнее было бы иметь плагин к СУБД, который бы контролировал выборку на лету. Тогда нужно будет всего лишь разметить нужные сочетания столбцов в таблице и все.

Я знал, что это будет именно так.

Ок, преиущества данного подхода.

1. Нет привязки к конкретной СУБД

2. Нет проблемы получить данные не из базы, а из других источников, те же таблицы Excel

3. Отсутствие проблеммы консистентности данных. Никто не гарантирует, что за время снятие отпячатка с базы - в ней что-то не поменялось

4. зачастую невозможно с помощью одного SQL запроса получить все данные из всех баз, например не у всех есть доступ ко всем полям

5. Нет проблемы с падением производительностью базы

6. Нет проблем с DB админами. Покажите мне админом, горящих желанием дать доступ к базе непонятной системе ?

Знаете, мы уже три года назад обсуждали чем плоха или хороша система реаизованная Symantec.

[Кирилл Керценбаум 671]

Удивительно что такую дискуссию с взаимными обвинениями вызвал не очередной тест антивирусов, а довольно профессиональное, но конечно же не идеальное сравнение DLP систем. Дело в том, что как и сантивирусами, ни одна DLP система (ни российская, ни западная, ни с отпечатками, ни с лингвистическим анализом) не способная обеспечить 100 и даже 90% эффективности борьбы с утечками. Предназначение данных систем - минимизация и снижение рисков посредством реализации определенного функционала, но тот или иной функционал в зависимости от конкретной ИТ инфраструктуры, специфики бизнес-процессов и регионыльных особенностей для котого-то является плюсом, для кого-то минусом. Поэтому придираться к детялям данного сравнения не претендующего на высокотехнологичный обзор - абсолютно некорректно

Логичнее было бы иметь плагин к СУБД, который бы контролировал выборку на лету

Это спорно, обычно администраторы СУБД не позволяют сторонним приложениям иметь такого вида доступ к СУБД в режиме реального времни, именно поэтому сейчас большое распространение получили специализированные решения для мониторинга СУБД, ни одна DLP система даже близко не обеспечивает того функционала который реализуют даннные решения

[Alexander Suyazov 10]

У меня несколько уточняющих вопросов:

1. Почему тогда это называется именно цифровыми отпечатками БД/таблицы?

2. Есть ли какие-то ограничения к БД, данные из которой можно эффективно перехватывать цифровыми отпечатками?

3. Управление данным методом происходит через нормальную консоль Symantec, или пока еще данный функционал в неё не перенесли?

А я сразу сказал, что это не называется отпечатками с баз данных Это трудности перевода/подбора терминов.

В оригинале это называется EDM - Exact Data Matching.

я предпочитаю термин - отпечатки со структурированных данных.

Данные из БД не перехватываются. Зачем ? Вы контролируете отправляемые данные, то есть, например, электронную почту. Или вы в качестве вложения пошлете файлы БД MS SQL ?

Все управление идет через веб-консоль, не знаю, наколько она нормальна для вас

[Сергей Ильин 1538]

Я бы согласился только с этими минусами "плагинной архитектуры" контроля структурированных данных

1. Нет привязки к конкретной СУБД

5. Нет проблемы с падением производительностью базы

6. Нет проблем с DB админами. Покажите мне админом, горящих желанием дать доступ к базе непонятной системе ?

Остальное ИМХО скорее относится к врожденным свойствам данной реализации, весьма спорные преимущества.

Это спорно, обычно администраторы СУБД не позволяют сторонним приложениям иметь такого вида доступ к СУБД в режиме реального времни, именно поэтому сейчас большое распространение получили специализированные решения для мониторинга СУБД, ни одна DLP система даже близко не обеспечивает того функционала который реализуют даннные решения

Я так понимаю речь идет о классе продуктов Database Firewalls. Все же у них совсем другая функция - регистрировать аномалии запросов, возможные взломы БД. А функция контроля утечек уже из этого следует. Такие решения не предназначены для контроля того, куда потом идут данные вытащенные из БД. А обсуждаемые выше DLP системы как это могут делать.

Т.е. если легитимный юзер вытащит из БД персональные данные клиентов, то DB Firewall промолчит - ему можно, это его работа, все штатно. Далее с этими данными он может делать что угодно уже. И вот здесь тормознуть его противоправные действия сможет DLP система

[Alexander Suyazov 10]

Я бы согласился только с этими минусами "плагинной архитектуры" контроля структурированных данных

Остальное ИМХО скорее относится к врожденным свойствам данной реализации, весьма спорные преимущества.

То есть в вашем понимании проблем с консистентностью данных нет ? Тут вы явно заблуждаетесь

Если в процессе съема отпечатков часть полей, или соответствия полей изменится - будет каша. А как проанализировать, что у вас каша ?

По мне так это как раз главное преимущество данной системы.

Кстати, как вы думаете, почему бэкапы делают не с данных, а со снапшотов ? А файл в данном случае и выступает снапшотом.

[Кирилл Керценбаум 671]

Т.е. если легитимный юзер вытащит из БД персональные данные клиентов, то DB Firewall промолчит - ему можно, это его работа, все штатно. Далее с этими данными он может делать что угодно уже. И вот здесь тормознуть его противоправные действия сможет DLP система

Так и DLP система может промолчать если данный юзер может оперировать с этими данными. Речь идет о том что данные технологии конечно же взаимодополняют, но не взаимозаменяют друг друга, однако с учетом того что превалирующие объемы конфиденциальной информации хранится именно в СУБД, то DF может обеспечивать не меньший, а в некоторых случаях больший уровень защищенности по сравнению с DLP система, так как они с момента свеого появления и до настоящего момента наиболее эффективны для контроля передачи именно неструктурированных данных, а СУБД представляет собой совокупность данных структурированных

[Winsent the Pooh 0]

Чтобы перевести дискуссию в конструктивное русло хотел бы попросить участников высказать свои предложения о том, какой функционал стоит рассмотреть более подробно в первую очередь. Особенно интересно услышать его от практикующих специалистов

А может вам просто провести пилоты внутри компании и посмотреть как оно будет работать?

Заодно оцените и саппорт вендоров, думаю он вас удивит

[RSB 15]

Алексей и Илья!

Спасибо за отличный обзор! ПОнятно, что это первая попытка сравнения систем и классификации функционала. Считаю, что она удалась, особенно смотря какие дебаты развернулись после опубликования.

Если в следующий раз нужна помощь по McAfee DLP, обратитесь пожалуйста ко мне.