Anti-Malware.ru: Сравнение систем защиты от утечек (DLP)

[Александр Шабанов 120]

Пользователь открывает у себя на рабочей станции документы.

Пользователь отключается от локальной сети и втыкает патч-корд напрямую с рабочей станции в NAS, который принес из дома.

пользователь сохраняет все данные через данное сетевое подключение на NAS.

Пользователь отключается от NAS и включается обратно в локальную сеть.

В этом случае рабочая станция будет отключена от домена, далее все зависит от групповых политик и прав юзера.

[strat 275]

ошибочка

В силу широкого спектра решаемых DLP-системами задач, мы не делали их итогового ранживания.

в процессе чтения возможностей у меня возникла мысль о возможном сценарии атаки:

ссылка письмом - вирус - шифрованное соединение с сервером злоумышленников - утечка документов доступных с места пользователя.

вопрос - кто из исследуемых и чем это сможет это заблокировать? или останутся только логи о произошедшем доступе к конфиденциальной информации с зараженного компа?

п.с. речь о вирусе неопределяемом ав

[Alexander Suyazov 10]

В этом случае рабочая станция будет отключена от домена, далее все зависит от групповых политик и прав юзера.

права пользователя тут ни при чем.

Политиками вы блокируете всю сетевую активность ?

Прямо не верится. Такой сценарий малоприменим в жизни.

[SergeyT 0]

Ну если вы не можете связать HDD-SATA-RJ45-Ethernet-NAC, то видимо ничего не получиться, увы.

Практически при помощи скотча можно привязать Жесткий диск, SATA кабель, сетевую карту и патчкорд скажем к Cisco NAC. Да вот только это никакого отношения к сути обсуждаемого сравнения не имеет. И полученное приспособление никаким образом не защитит конфиденциальную информацию. Хотя сетевиков наверняка позабавит...

[Александр Шабанов 120]

Практически при помощи скотча можно привязать Жесткий диск, SATA кабель, сетевую карту и патчкорд скажем к Cisco NAC.

Почитайте что ли хоть посты своего коллеги...что такое NAC можете даже у нас прочитать.

права пользователя тут ни при чем.

Политиками вы блокируете всю сетевую активность ?

Прямо не верится. Такой сценарий малоприменим в жизни.

Групповыми политиками AD можно сделать практически все что угодно, я имею ввиду применение скриптов после отключения от контроллера домена.

В любом случае, если уйти от деталей, тот функционал по контролю копирования на шары, на который вы намекаете, малоэффективен в текущем виде и не решает проблемы копирования по сети.

[SergeyT 0]

В любом случае, если уйти от деталей, тот функционал по контролю копирования на шары, на который вы намекаете, малоэффективен в текущем виде и не решает проблемы копирования по сети.

Как Вы можете давать заключение об эффективности того или иного решения? Вы лично провели тестирование данного функционала, что голословно заявляете об этом?

Лично я видел, как DLP решение контролирует передачу по CIFS протоколу. И то что этот функционал действительно реализован и работает знаю не из обзоров "новоявленных гуру DLP", а из личного опыта.

Я до сих пор не получил от Вас ответа, какие лично Вы решения эксплуатировали (внедряли, тестировали ...). Вы постоянно уходите от прямого ответа. Ответьте прямо, что Вы ни одного решения не видели или же видели и какие. Это что Коммерческая тайна? Или Вы боитесь, что Ваш имидж спецов тут же рухнет?

[Александр Шабанов 120]

Я до сих пор не получил от Вас ответа, какие лично Вы решения эксплуатировали (внедряли, тестировали ...). Вы постоянно уходите от прямого ответа. Ответьте прямо, что Вы ни одного решения не видели или же видели и какие. Это что Коммерческая тайна? Или Вы боитесь, что Ваш имидж спецов тут же рухнет?

Представьтесь для начала, информация обо мне открыта, у "знакомых" тоже можете поинтересоваться. Я анонимам не собираюсь ничего доказывать.

[SergeyT 0]

Представьтесь для начала, информация обо мне открыта, у "знакомых" тоже можете поинтересоваться. Я анонимам не собираюсь ничего доказывать.

А доказывать ничего не надо. Этот ответ уже доказательство вашей "высокой" компетенции в вопросах DLP. Человек, пишущий такого рода сравнения, должен понимать, что такого рода вопросы рано или поздно возникнут. И как следствие должен быть готов на них ответить.

Я сюда не знакомыми мерятся пришел.

"знакомых"

И очень надеюсь, что общих знакомых у нас нет. А то я бы в них сильно разочаровался.

[Александр Шабанов 120]

Я сюда не знакомыми мерятся пришел.

А делаете именно это.

И очень надеюсь, что общих знакомых у нас нет. А то я бы в них сильно разочаровался.

Что же, очень буду рад посмотреть на ваше творчество, если такое имеется или планируется, время покажет.

[Сергей Ильин 1538]

Я до сих пор не получил от Вас ответа, какие лично Вы решения эксплуатировали (внедряли, тестировали ...).

Тестировали все продукты из сравнения. Что касается эксплуатации, то мы не в банке работаем, не в РЖД и не в Нефтянке даже. И вообще мерятся компетенцией с анонимом бессмысленно. Вот Alexander Suyazov известный человек, и у него точно есть опыт внедрения.

И вообще непонятна ваше логика. Если вы пару раз даже поставили Websense или Symantec и смогли по мануалу там сделать какие-то настройки, то это не значит, что у вас длиннее и толще, чем у большинства на этом форуме

И очень надеюсь, что общих знакомых у нас нет. А то я бы в них сильно разочаровался.

Поверьте что есть. Индустрия очень тесная.

[Alexander Suyazov 10]

Групповыми политиками AD можно сделать практически все что угодно, я имею ввиду применение скриптов после отключения от контроллера домена.

В любом случае, если уйти от деталей, тот функционал по контролю копирования на шары, на который вы намекаете, малоэффективен в текущем виде и не решает проблемы копирования по сети.

Не соглашусь.

Стандартно скрипты хранятся на сетевой папке (да и на SYSVOL пойдет)

Соответственно для того, что бы рабочая станция могла выполнить скрипты при отключении - необходимо разработать метод распространения скриптов на рабочие станции и их обновления. Ок, это проблемно, добавляет много головной боли, но допустим.

Если я выдерну сетевой шнур из рабочей станции - политики внезапно не применятся. Применение политик - вообще процесс непостоянный. Они применяются с заданной периодичностью. И для того, что бы политики обновились - станция, как минимум, должна видеть рабочий контроллер домена.

Да, допускаю, что можно поставить в планировщик скрипт, который будет контролировать доступ к контроллеру домена, например.

Но это вообще не имеет отношения к политикам. Так что тут над придумывать очередные обходные пути.

Я не говорю, что данный функционал в DLP системах идеален. Я говорю о том, что он необходим. И его наличие здорово упрощает жизнь пользователям, администраторам и безопасникам. Так что стоило бы его указать в рамках 92 важных параметров.

Тестировали все продукты из сравнения. Что касается эксплуатации, то мы не в банке работаем, не в РЖД и не в Нефтянке даже.

Данный вопрос всплывет еще раз после опубликования метода тестирования систем. Думаю тогда появится вопросов даже больше.

Если вы пару раз даже поставили Websense или Symantec и смогли по мануалу там сделать какие-то настройки, то это не значит, что у вас длиннее и толще, чем у большинства на этом форуме

поверьте, не пару. Сергей компентен в продуктах вебсенс так же, как я в симантик длп.

[Александр Шабанов 120]

Я не говорю, что данный функционал в DLP системах идеален. Я говорю о том, что он необходим. И его наличие здорово упрощает жизнь пользователям, администраторам и безопасникам. Так что стоило бы его указать в рамках 92 важных параметро

Соглашусь, можно добавить.

[Сергей Ильин 1538]

поверьте, не пару. Сергей компентен в продуктах вебсенс так же, как я в симантик длп.

Тогда стоило бы занять конструктивную позицию, а не обливать других свежей органикой. Если есть замечания по Websense в рамках сравнения, то поправим. Если есть пожелания для дальнейшей детализации, то также готовы выслушать.

P.S. Заметьте, я не встаю в позу, мы открыты для диалога и сотрудничества.

[Feeble 20]

Групповыми политиками AD можно сделать практически все что угодно, я имею ввиду применение скриптов после отключения от контроллера домена.

IPsec + NAP

[Alexander Suyazov 10]

IPsec + NAP

Ура, наконец то

Маленький вопрос про IPSec. Если мы говорим о DLP системах - как нам получать данные с зеркального порта ? Напоминаю, нам необходимо получать данные ДО прокси-сервера.

[Вадим Волков 176]

Какая дискуссия развернулась

С дилетантской точки зрения, и такие сравнительные таблички полезны, но желательно - без явных ошибок.

Несмотря на то, что "первый блин" не явно идеален, но если вендоры и интеграторы заинтересованы в качественном обзоре, то в их интересах предоставлять более подробную информацию, а не просто рекламные материалы.

Критикам могу заметить, что они в ряде высказываний правы, но пока на Anti-malware не опубликовали это сравнение, они даже и не пытались донести до пользователей подобного рода информацию. Или выдавали обобщенные маркетинговые статьи.

Авторам Anti-malware желаю развить этот список до нормального полноценного обзора, в котором будет не только расставлены плюсики, но и разъяснено, чем плюсик в одном продукте отличается от плюсика в другом. Поэтому я и предлагал расширить плюсики до оценок. Если при этом список авторов будет расширен, то это пойдет обзору только на пользу и количество критикующих поуменьшится.

[Сергей Ильин 1538]

пока на Anti-malware не опубликовали это сравнение, они даже и не пытались донести до пользователей подобного рода информацию. Или выдавали обобщенные маркетинговые статьи.

Вот вот ... мутная водичка более выгодна, в ней проще существовать.

Авторам Anti-malware желаю развить этот список до нормального полноценного обзора, в котором будет не только расставлены плюсики, но и разъяснено, чем плюсик в одном продукте отличается от плюсика в другом. Поэтому я и предлагал расширить плюсики до оценок. Если при этом список авторов будет расширен, то это пойдет обзору только на пользу и количество критикующих поуменьшится.

Как я уже писал выше, это работа будет делаться на следующих этапах.

Чтобы перевести дискуссию в конструктивное русло хотел бы попросить участников высказать свои предложения о том, какой функционал стоит рассмотреть более подробно в первую очередь. Особенно интересно услышать его от практикующих специалистов

[Alexander Suyazov 10]

Какая дискуссия развернулась

С дилетантской точки зрения, и такие сравнительные таблички полезны, но желательно - без явных ошибок.

Несмотря на то, что "первый блин" не явно идеален, но если вендоры и интеграторы заинтересованы в качественном обзоре, то в их интересах предоставлять более подробную информацию, а не просто рекламные материалы.

Критикам могу заметить, что они в ряде высказываний правы, но пока на Anti-malware не опубликовали это сравнение, они даже и не пытались донести до пользователей подобного рода информацию. Или выдавали обобщенные маркетинговые статьи.

Авторам Anti-malware желаю развить этот список до нормального полноценного обзора, в котором будет не только расставлены плюсики, но и разъяснено, чем плюсик в одном продукте отличается от плюсика в другом. Поэтому я и предлагал расширить плюсики до оценок. Если при этом список авторов будет расширен, то это пойдет обзору только на пользу и количество критикующих поуменьшится.

Помоему вы невнимательно читали переписку. Ни одному интегратору никаких вопросов не задавали.

Часть вендоров тоже не получали эту табличку.

На нашем сайте давно висит сравнение части DLP систем. Оно не новое, но если вы обратитесь - мы бы предоставили черновик более нового сравнения. Кстати, данное сравнение - вполне себе маркетоидное. Просто эти материалы наконец свели в табличку.

Засим я отрицаю вину интеграторов.

Чтобы перевести дискуссию в конструктивное русло хотел бы попросить участников высказать свои предложения о том, какой функционал стоит рассмотреть более подробно в первую очередь. Особенно интересно услышать его от практикующих специалистов

Что же вы не сделали это до публикации ?

Во-первых необходимо получить полноценный обзор по "интеллектуальным" системам обучения. Как это работает, насколько эффективно применять. На каких типах документов есть смысл использовать.

Работа на терминальных серверах/тонких клиентах.

Корректность работы с популярными русскоязычными веб-почтами и форумами.

Реальное потребление ресурсов агентами на рабочих станциях. Подтвережденеи комфортности работы пользователя при установке агентов.

Контроль развертывания агентов. Какая возможна отчетность.

Стоимость решений.

Поддержка виртуализации, в том числе VDI и серверной.

Корректность сканирования (Discover) всех заявленных систем.

Это то, что сходву вспомнил из требований заказчиков.

[Сергей Ильин 1538]

Что же вы не сделали это до публикации ? smile.gif

какой функционал стоит рассмотреть более подробно в первую очередь

Я задаю вопрос о будущих статьях.

Во-первых необходимо получить полноценный обзор по "интеллектуальным" системам обучения. Как это работает, насколько эффективно применять. На каких типах документов есть смысл использовать.

Да, это интересно будет.

Реальное потребление ресурсов агентами на рабочих станциях. Подтвережденеи комфортности работы пользователя при установке агентов.

Согласен.

Контроль развертывания агентов. Какая возможна отчетность.

Тоже согласен, тут может получить неплохой мини-тест.

Корректность сканирования (Discover) всех заявленных систем.

Этот функционал мне лично вообще очень интересен в плане сравнения. По сути функция Data Discovery может поддерживать систему в актуальном состоянии автоматически, но это в теории.

[Dmitry C. 0]

если вы обратитесь - мы бы предоставили черновик более нового сравнения.

Можно эту новое сравнение получить или хотябы сказать сильно ли отличается от предыдущей редакций.

От себя добавлю что пишу диплом частично связаный с DLP системами.

[Dmitry C. 0]

Кстате почему в обзор не включены цены, примерные хотя бы, машин на 500.

[Сергей Ильин 1538]

Кстате почему в обзор не включены цены, примерные хотя бы, машин на 500.

Цена лицензии на сам продукт вас в большинстве случаев только дезориентирует. Помимо самой лицензии на DLP-решение придется еще покупать железо и лицензии на стороннее ПО, например, тот же Oracle. Кроме того цена зависит очень сильно от ваших потребностей, т.е. от набору модулей приобретаемой системы.

[Алeксaндр Кoвaлев 0]

Александр,

Как эксперт по Symantec, расскажите, пожалуйста, по какому принципу работают цифровые отпечатки баз данных.

[Alexander Suyazov 10]

Александр,

Как эксперт по Symantec, расскажите, пожалуйста, по какому принципу работают цифровые отпечатки баз данных.

Если вы ко мне:

На самом деле вы слишком сильно сужаете применимость данного метода.

Если быть точным - то это метод снятия отпечатков со структурированных данных, то есть таблиц в любом виде.

Если о конкретной реализации - расскажу:

Сначала вы готовите csv- файл с этими самыми данными. (может быть такой промежуточный вариант вам покажется странным, но я могу вижу гораздо больше преимуществ, нежели недостатков)

Если говорить о лучших практиках как он должен примерно выглядеть:

Имя, Фамилия, Отчетство, Паспорт

Иван, Иванов, Иванович, 1010123456

Петр, Петров, Петрович, 2020234567

Сидор, Сидоров, Сидорович, 3030345678

Далее система снимет цифровой отпечаток не со всего документа, а с каждой ячейки, то есть в системе будет отдельный хэш для слова Иван, отдельный для Иванов и т.д. Разумеется такой отпечаток будет несколько больше по объему, что отпечатки с неструкрурированных документов. Но Symantec в сайзинге упоминал о 10-100 миллионах срок в одном индексе.

Пример с паспортом, на самом деле придуманный, тут лучше использовать Regexp.

Далее вы создаете правило, в котором указываете сочетание столбцов и кол-во совпаданий, то есть, если вы зададите, что в документа есть поле фамилия, имя и номер паспорта и это встречается более двух раз, то система вам найдет, например, следующие сочетания:

Иван Иванов 1010123456

Сидор Сидоров 3030345678

но более правильным будет, возможно, задать сочетания имя, фамилия а так же Regexp описывающий номер паспорта.

[Сергей Ильин 1538]

Сначала вы готовите csv- файл с этими самыми данными.

Реализация, конечно, так себе. Потом данные сто раз поменяются, а детект будет происходить по индексу из той самой старой csv-ки.

Логичнее было бы иметь плагин к СУБД, который бы контролировал выборку на лету. Тогда нужно будет всего лишь разметить нужные сочетания столбцов в таблице и все.