Anti-Malware.ru: Сравнение систем защиты от утечек (DLP)

[SergeyT 0]

Сергей, если продолжать вашу логику, то DLP вообще не нужен - все равно же вынесут, если захотят! Только 1) лучше минимизировать риски 2) со случайными утечками (а их большая часть) можно эффективно бороться. Если читаете новости про утечки, то должны были замечать, что клерки частенько теряют распечатанные доки, которые "взяли домой почитать". Часто их выкидывают где-то или оставляют, а потом выходит, что инфа была конфиденциальная. Человеческая глупость безгранична и хорошо, что с ней хоть немного можно бороться при помощи технических средств, вы не находите?

О потребности в защите знаю не по наслышке или обзоров. Да вот только ни мне принадлежат вот эти слова:

Поэтому всё острее встаёт проблема инсайдеров и утечек конфиденциальной информации

Если не узнали это введение в сравнение.

Да не уж то? Самообучающихся алгоритмов полно! Самый просто я привел выше - метод Байеса в разных реализоациях, на котором построено 99% персональных антиспамов, например. Я уже не говорю про нейросети ...

Как только Вы или кто-нибудь другой сможете показать, что DLP решения сами научились определять тип информации (в соответствии с СУИБ, действующей на отдельно взятом предприятии) заберу свои слова обратно. Пока что, автор документа сам решает к какому типу данных отнести свой "многострадальный труд". А разглагольствования об AI не более чем МАРКЕТИНГ.

You are welcome! Нашли неточность - сообщите, мы поправим! А так это выглядит как треп не о чем, уж извините.

Исправлять я не собирался и не собираюсь, простым обращением к документации каждый может все увидеть сам. Как я уже говорил выше, достаточно было обратится к вендорам для проверки, чего, как я понимаю, Вы не соизволили сделать, понадеявшись, вероятно, что прокатит не заметят... А следовательно у Вас нет экспертов по данным решениям и с моей точки зрения - сравнение чистой воды фикция. Александр уже было взялся Вас поправлять, но с моей точки зрения это гнилое дело, когда кто-либо предлагает заведомо не проверенную информацию.

[Alexander Suyazov 10]

Вторая часть опубликована http://www.anti-malware.ru/comparisons/dat...tion_2011_part2

Там те же вендоры. Данные по Searchinform и RSA можно будет потом собрать и выпустить что-то типа второго эшелона сравнения.

Опять 25.

ну что же засравнение...

Возможности контроля подключаемых внешних устройств

HDD - что это ?

USB - что это ?

COM/LPT - этого точно нет у симантика. И у остальных, скорее всего, тоже.

WiFi, Bluetooth и др - аналогично

Локальные принтеры - почему тут не упомянуты сетевые принтеры ? Кто-то будет некрасиво выглядеть ?

Ограничения доступа в зависимости от типа съемного носителя (производитель, серия, модель, экземпляр) и Возможность разрешать копирование только на доверенные носители - в чем разница ?

Где контроль записи на локальный диск ? Это очень важный функционал.

Контроль источников хранимых данных - как это соотносится с внешними устройствами ?

Мониторинг состояния в режиме онлайн - что это ?

уведомлений о необычных попытках доступа - что это ?

Контроль целостности и "клиент скрыт от несанкционированного доступа" - это разные вещи.

Предоставляемые возможности по реагированию на инциденты - почему у симантик не упомянута возможность выполнения скрипта, пересылка почты на другие шлюзы, выполнение скриптов на рабочих станциях ?

Анализ событий, зафиксированных системой - у симантика это возможно не только через веб-консоль. Есть выгружаемые события и т.д. Уверен, чот это есть у многих других

почему не указывается возможность интеграции с каталогами, отличными от AD ?

Почему у симантика не указана совместимость с SIEM системами ? С их антивирусом ?

[ALEX(XX) 60]

Как я уже говорил выше, достаточно было обратится к вендорам для проверки, чего, как я понимаю, Вы не соизволили сделать, понадеявшись, вероятно, что прокатит не заметят..

Обращение к вендорам было неоднократное. Вендоры вычитывали сей документ и вносили правки

[karmacoma 10]

Обращение к вендорам было неоднократное. Вендоры вычитывали сей документ и вносили правки

Обращались ли вы к McAfee?

[SergeyT 0]

Обращение к вендорам было неоднократное. Вендоры вычитывали сей документ и вносили правки

Тогда почему у Александра столько вопросов только по одному Symantec DLP? Или же Вы обращались только к отечественному автоDLP-прому? Также не поверю, что Websense оставил бы явную ересь о своем продукте.

Честно говоря меня во многом смущает список представленных DLP решений. На рынке не мало хороших игроков (например McAfee и многие другие), достойных для рассмотрения, но Вы их обошли своим вниманием.

[Alexander Suyazov 10]

Кстати, мелочь такая...

Но почему нет ни слова о контроле терминальных серверов ?

[Сергей Ильин 1538]

А специализированные консоли, знаете ли, очень удобны. К ним привыкаешь очень быстро и совсе не хочется возвращаться к поделкам "3-х программистов".

Соглашусь. Хорошая юзательная консоль сильно облегчает жизнь. Я уже не говорю про наглядность представления результатов работы систем и подготовки отчетов.

Некий Вася пупкин ставит его и не может разобраться. Что получается - в форуме возникает тему - арксайт - плохой продукт. Не работает и т.д.

Васи в этом случае скажут в том же форуме, что у него кривые руки и на этом закончится все

Как только Вы или кто-нибудь другой сможете показать, что DLP решения сами научились определять тип информации (в соответствии с СУИБ, действующей на отдельно взятом предприятии) заберу свои слова обратно.

Не хотел рекламировать отдельные решения, но у того же Инфовотч есть механизм автоматической категоризации информации. Если кратко, то вы подсовываете системе конфиденциальные доки, которые смогли нашли и создаете с них БКФ (базу контентной фильтрации). Если доков нет, то можно погемороиться, но создать базу руками, забивая нужные слова, маски и регулярные выражения. Дальше если какая-то передаваемая инфа будет отнесена к данной тематике, то будет тревога Категорий можно создавать несколько.

Обращались ли вы к McAfee?

Да, обращались. Я же уже писал об этом.

[SergeyT 0]

Кстати, мелочь такая...

Но почему нет ни слова о контроле терминальных серверов ?

Действительно...

[Александр Шабанов 120]

HDD - что это ? Возможности контроля подключаемых внешних устройств

HDD - что это ?

USB - что это ?

COM/LPT - этого точно нет у симантика. И у остальных, скорее всего, тоже.

WiFi, Bluetooth и др - аналогично

HDD - съемные жесткие диски, вы наверно в курсе что их можно подключать через IEEE 1394?

Александр, вы не видели ни у одного представленного продукта запретить/разрешить COM/LPT?

Подключаемый Wife, Bluetooth ту да же, поставьте тот же DeveceLock что ли...покрутите.

Локальные принтеры - почему тут не упомянуты сетевые принтеры ? Кто-то будет некрасиво выглядеть ?

Объясните разницу перехвата печатаемых документов на конечной точке из очереди для локальных принтеров и сетевых?

Ограничения доступа в зависимости от типа съемного носителя (производитель, серия, модель, экземпляр) и Возможность разрешать копирование только на доверенные носители - в чем разница ?

White/Black листинг, не?

Мониторинг состояния в режиме онлайн - что это ?

Время обновления состояния клиента.

и т.д.

Анализ событий, зафиксированных системой - у симантика это возможно не только через веб-консоль. Есть выгружаемые события и т.д. Уверен, чот это есть у многих других

почему не указывается возможность интеграции с каталогами, отличными от AD ?

Почему у симантика не указана совместимость с SIEM системами ? С их антивирусом ?

Разумно, можно дополнить.

[SergeyT 0]

Не хотел рекламировать отдельные решения, но у того же Инфовотч есть механизм автоматической категоризации информации. Если кратко, то вы подсовываете системе конфиденциальные доки, которые смогли нашли и создаете с них БКФ (базу контентной фильтрации). Если доков нет, то можно погемороиться, но создать базу руками, забивая нужные слова, маски и регулярные выражения. Дальше если какая-то передаваемая инфа будет отнесена к данной тематике, то будет тревога Категорий можно создавать несколько.

Ну что могу сказать InfoWatch снова открыл нам Америку. Спасибо. Низкий поклон. Да вот только, данного рода технологии применялись, даже лучше скажу уже НЕ применяются западными компаниями. Так как уже давно доказали свою низкую производительность и высокий уровень ложных срабатываний.

Может они что еще такого изобрели? Уже даже интересно стало.

[Сергей Ильин 1538]

Кстати, мелочь такая...

Но почему нет ни слова о контроле терминальных серверов ?

Хм .. не знаю насколько это важно. Возможно стоит добавить.

Честно говоря меня во многом смущает список представленных DLP решений. На рынке не мало хороших игроков (например McAfee и многие другие), достойных для рассмотрения, но Вы их обошли своим вниманием.

Про МсAfee см. мой ответ выше. Какие еще достойные игроки есть на российском рынке, уточните пожалуйста? Может мы чего не знаем ...

Локальные принтеры - почему тут не упомянуты

Да, нужно было выделить, но там у всех будут плюсы, если не лезть в дебри.

Контроль целостности и "клиент скрыт от несанкционированного доступа" - это разные вещи.

Вы же понимаете, что "клиент скрыт от несанкционированного доступа" - это попытка для некоторых выглядеть лучше

Предоставляемые возможности по реагированию на инциденты - почему у симантик не упомянута возможность выполнения скрипта, пересылка почты на другие шлюзы, выполнение скриптов на рабочих станциях ?

Fixed.

почему не указывается возможность интеграции с каталогами, отличными от AD ?

Не стали детализировать по AD. Стоит об этом отдельно написать, там есть где копнуть. Вспоминает SearchInform с их "кошерной" интеграцией с AD

Почему у симантика не указана совместимость с SIEM системами ? С их антивирусом ?

Там будет очень долгий список их продуктов. Можно указать, но все и так это знают, кто рассматривает Symantec.

Возможности контроля подключаемых внешних устройств

HDD - что это ?

USB - что это ?

Не стали детализировать.

[Александр Шабанов 120]

Все равно такие продукты без пилота не покупаются и не продаются. А на пилоте все вскроется, в любом случае.

Мне кажется DeviceLock не тот случай, лично ставил на небольшую сеть часа за 3 без документации, все предельно просто, но это оффтоп

[karmacoma 10]

Сергей, прошу прощения за назойливость, но к кому конкретно в McAfee вы обращались?

Данная информация мне нужна для установления факта действительно ли такое обращение имело место быть.

ФИО не обязательно писать в открытую. Пожалуйста отправьте мне это в "личку".

[Сергей Ильин 1538]

Ну что могу сказать InfoWatch снова открыл нам Америку. Спасибо. Низкий поклон. Да вот только, данного рода технологии применялись, даже лучше скажу уже НЕ применяются западными компаниями. Так как уже давно доказали свою низкую производительность и высокий уровень ложных срабатываний.

Напрасно иронизируете. Symantec почему то наоборот начал с отпечатков, а теперь развивает лингвистику, внедряет VLM, зачем? Дурачки они что ли?

Дело в том, что новые данные или динамически создаваемые (сюда же отнести можно почти весь исходящий HTTP трафик и все IM, к слову так) вы не отловите с помощью отпечатков или меток. Кейс реальный: открываю конфиденциальный документ и в аське пересказываю его содержимое, как всех в школе учили писать реферат. И все, прощай все "продвинутые" алгоритмы.

Поэтому тут нужна какая-то "проактивная защита". Для этой цели ничего кроме лингвистики + статистики пока не придумали, увы. Будущее за гибридами (отпечатки + лингвистика) и все давно уже это поняли. Почти все уже DLP решения в сравнении - это технологические гибриды в той или иной степени.

Может они что еще такого изобрели? Уже даже интересно стало.

И вообще я не защищаю Инфовотч или кого-то еще из вендоров.

[Alexander Suyazov 10]

HDD - съемные жесткие диски, вы наверно в курсе что их можно подключать через IEEE 1394?

А еще IDE, SATA, SCSI, SAS, ESATA, Ethernet, а теперь еще и Thunderbolt

Я думаю это все более или менее распространенные протоколы для подключения дисков. Неужели все поддерживается ?

Александр, вы не видели ни у одного представленного продукта запретить/разрешить COM/LPT?

Подключаемый Wife, Bluetooth ту да же, поставьте тот же DeveceLock что ли...покрутите.

А теперь объясните мне, каким образом продукты Symantec DLP и Websence DSS контролируют запись на WiFi, Bluetooth и т.д.

Про инфовоч и згейт не знаю. (злок может, уверен)

Объясните разницу перехвата печатаемых документов на конечной точке из очереди для локальных принтеров и сетевых?

в таком случае почему написали локальные ? Давайте уберем это слово и я буду удовлетворен.

[SergeyT 0]

Хм .. не знаю насколько это важно. Возможно стоит добавить.

Действительно тонкие клиенты это вчерашний день. Даешь персональные компы!!! НЕТ тонким клиентам!!! Нет банковской и другим сферам поборникам тонко-клиентной идеологии! УРА товарищи!

[Александр Шабанов 120]

А еще IDE, SATA, SCSI, SAS, ESATA, Ethernet, а теперь еще и Thunderbolt

Я думаю это все более или менее распространенные протоколы для подключения дисков. Неужели все поддерживается ?А еще IDE, SATA, SCSI, SAS, ESATA, Ethernet, а теперь еще и Thunderbolt

Я думаю это все более или менее распространенные протоколы для подключения дисков. Неужели все поддерживается ?

Зачем контролировать внутренние (служебные) интерфейсы? Речь идет о внешних носителях. Thunderbolt думаю, что никто не поддерживает.

Про Ethernet это круто, с таким успехом можно принести ноутбук и скопировать туда все, если это позволяют политики безопасности сети.

[Alexander Suyazov 10]

Хм .. не знаю насколько это важно. Возможно стоит добавить.

Все крупные клиенты нас спрашивают. Значит важно.

Поэтому я и задавал вопрос в самом начале, кто и как подбирал критерии сравнения ?

Зачем контролировать внутренние (служебные) интерфейсы? Речь идет о внешних носителях. Thunderbolt думаю, что никто не поддерживает.

Про Ethernet это круто, с таким успехом можно принести ноутбук и скопировать туда все, если это позволяют политики безопасности сети.

SAS, SATA, ESATA - интерфейсы для горячего подключения дисков.

При этом порты есата точно есть снаружи, а сас и сата могут быть вынесены.

Поэтому я спрашивал, почему нет ни слова по контроль записи на локальные диски ?

[SergeyT 0]

Про Ethernet это круто, с таким успехом можно принести ноутбук и скопировать туда все, если это позволяют политики безопасности сети.

Да вот только некоторые DLP позволяют контролировать передачу на сетевые ресурсы. И как следствие позволят принять превентивные меры.

Все больше убеждаюсь, в том, что Вы эти решения сами в глаза не видели.

[Alexander Suyazov 10]

Про Ethernet это круто, с таким успехом можно принести ноутбук и скопировать туда все, если это позволяют политики безопасности сети.

Можно еще проще.

NAS домашние очене недороги ныне.

И ничто не мешает принести его на работу, подключить напрямую к компьютеру и перелить туда данные.

Админы об этом даже не узнают.

И да, для таких операций вам не потребуется даже админских прав на рабочей станции.

[Александр Шабанов 120]

SAS, SATA, ESATA - интерфейсы для горячего подключения дисков.

При этом порты есата точно есть снаружи, а сас и сата могут быть вынесены.

Вы вообще чувствуете разницу на уровне ОС между SATA и USB?

Можно еще проще.

NAS домашние очене недороги ныне.

И ничто не мешает принести его на работу, подключить напрямую к компьютеру и перелить туда данные.

Админы об этом даже не узнают.

Вы пробовали подключить внешний cетевой жесткий диск (именно об этом была речь) в сети с NAC? Много скопировали?

Да вот только некоторые DLP позволяют контролировать передачу на сетевые ресурсы. И как следствие позволят принять превентивные меры. Все больше убеждаюсь, в том, что Вы эти решения сами в глаза не видели.

Не надо переводить дискуссию в другую плоскость уважаемые внедренцы, вы знаете как определяется Windows жесткий диск подключенный по RJ-45? Скиньте маску, неохота тыкать вас носом просто так. Какие именно продукты, обозначенные в сравнение, мы не видели?

[SergeyT 0]

Не надо переводить дискуссию в другую плоскость уважаемые внедренцы, вы знаете как определяется Windows жесткий диск подключенный по RJ-45? Скиньте маску, неохота тыкать вас носом просто так. Какие именно продукты, обозначенные в сравнение, мы не видели?

Западные уж точно..

[Александр Шабанов 120]

Западные уж точно..

Symantec? Вы там рядом похоже с Александром сидите.

[Сергей Ильин 1538]

Мы не внедряем DLP клиентам, поэтому понятно, что практического опыта у ребят из Леты, Крока или Инфосистем Джет побольше. Они все щупали руками, спорить тут не о чем. Но внедренцам свойственно зацикливаться на одном-двух продуктах, которые они хорошо знаю

[SergeyT 0]

Symantec? Вы там рядом похоже с Александром сидите.

Нет, не рядом. Но если не ошибаюсь, и у Symantec есть функционал, позволяющий контролировать запись на сетевые ресурсы. Так что, смех явно не уместен.

Скажите честно с какими решениями Вы лично работали (внедряли, тестировали, эксплуатировали ...)

Мы не внедряем DLP клиентам, поэтому понятно, что практического опыта у ребят из Леты, Крока или Инфосистем Джет побольше. Они все щупали руками, спорить тут не о чем. Но внедренцам свойственно зацикливаться на одном-двух продуктах, которые они хорошо знаю

Да и они не берут на себя смелость делать такие сравнения, а Вы не гордые, взяли на себя столь тяжелый крест.

Ну что сказать, права купил - ездить не купил.