Перейти к содержанию
Сергей Ильин

Anti-Malware.ru: Сравнение систем защиты от утечек (DLP)

Recommended Posts

Алeксaндр Кoвaлев
Если вы ко мне:

На самом деле вы слишком сильно сужаете применимость данного метода.

Если быть точным - то это метод снятия отпечатков со структурированных данных, то есть таблиц в любом виде.

Если о конкретной реализации - расскажу:

Сначала вы готовите csv- файл с этими самыми данными. (может быть такой промежуточный вариант вам покажется странным, но я могу вижу гораздо больше преимуществ, нежели недостатков)

Если говорить о лучших практиках как он должен примерно выглядеть:

Имя, Фамилия, Отчетство, Паспорт

Иван, Иванов, Иванович, 1010123456

Петр, Петров, Петрович, 2020234567

Сидор, Сидоров, Сидорович, 3030345678

Далее система снимет цифровой отпечаток не со всего документа, а с каждой ячейки, то есть в системе будет отдельный хэш для слова Иван, отдельный для Иванов и т.д. Разумеется такой отпечаток будет несколько больше по объему, что отпечатки с неструкрурированных документов. Но Symantec в сайзинге упоминал о 10-100 миллионах срок в одном индексе.

Пример с паспортом, на самом деле придуманный, тут лучше использовать Regexp.

Далее вы создаете правило, в котором указываете сочетание столбцов и кол-во совпаданий, то есть, если вы зададите, что в документа есть поле фамилия, имя и номер паспорта и это встречается более двух раз, то система вам найдет, например, следующие сочетания:

Иван Иванов 1010123456

Сидор Сидоров 3030345678

но более правильным будет, возможно, задать сочетания имя, фамилия а так же Regexp описывающий номер паспорта.

У меня несколько уточняющих вопросов:

1. Почему тогда это называется именно цифровыми отпечатками БД/таблицы?

2. Есть ли какие-то ограничения к БД, данные из которой можно эффективно перехватывать цифровыми отпечатками?

3. Управление данным методом происходит через нормальную консоль Symantec, или пока еще данный функционал в неё не перенесли?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Alexander Suyazov
Реализация, конечно, так себе. Потом данные сто раз поменяются, а детект будет происходить по индексу из той самой старой csv-ки.

Логичнее было бы иметь плагин к СУБД, который бы контролировал выборку на лету. Тогда нужно будет всего лишь разметить нужные сочетания столбцов в таблице и все.

Я знал, что это будет именно так.

Ок, преиущества данного подхода.

1. Нет привязки к конкретной СУБД

2. Нет проблемы получить данные не из базы, а из других источников, те же таблицы Excel

3. Отсутствие проблеммы консистентности данных. Никто не гарантирует, что за время снятие отпячатка с базы - в ней что-то не поменялось

4. зачастую невозможно с помощью одного SQL запроса получить все данные из всех баз, например не у всех есть доступ ко всем полям

5. Нет проблемы с падением производительностью базы

6. Нет проблем с DB админами. Покажите мне админом, горящих желанием дать доступ к базе непонятной системе ?

Знаете, мы уже три года назад обсуждали чем плоха или хороша система реаизованная Symantec.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Кирилл Керценбаум

Удивительно что такую дискуссию с взаимными обвинениями вызвал не очередной тест антивирусов, а довольно профессиональное, но конечно же не идеальное сравнение DLP систем. Дело в том, что как и сантивирусами, ни одна DLP система (ни российская, ни западная, ни с отпечатками, ни с лингвистическим анализом) не способная обеспечить 100 и даже 90% эффективности борьбы с утечками. Предназначение данных систем - минимизация и снижение рисков посредством реализации определенного функционала, но тот или иной функционал в зависимости от конкретной ИТ инфраструктуры, специфики бизнес-процессов и регионыльных особенностей для котого-то является плюсом, для кого-то минусом. Поэтому придираться к детялям данного сравнения не претендующего на высокотехнологичный обзор - абсолютно некорректно

Логичнее было бы иметь плагин к СУБД, который бы контролировал выборку на лету

Это спорно, обычно администраторы СУБД не позволяют сторонним приложениям иметь такого вида доступ к СУБД в режиме реального времни, именно поэтому сейчас большое распространение получили специализированные решения для мониторинга СУБД, ни одна DLP система даже близко не обеспечивает того функционала который реализуют даннные решения

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Alexander Suyazov
У меня несколько уточняющих вопросов:

1. Почему тогда это называется именно цифровыми отпечатками БД/таблицы?

2. Есть ли какие-то ограничения к БД, данные из которой можно эффективно перехватывать цифровыми отпечатками?

3. Управление данным методом происходит через нормальную консоль Symantec, или пока еще данный функционал в неё не перенесли?

А я сразу сказал, что это не называется отпечатками с баз данных :) Это трудности перевода/подбора терминов.

В оригинале это называется EDM - Exact Data Matching.

я предпочитаю термин - отпечатки со структурированных данных.

Данные из БД не перехватываются. Зачем ? Вы контролируете отправляемые данные, то есть, например, электронную почту. Или вы в качестве вложения пошлете файлы БД MS SQL ?

Все управление идет через веб-консоль, не знаю, наколько она нормальна для вас :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

Я бы согласился только с этими минусами "плагинной архитектуры" контроля структурированных данных

1. Нет привязки к конкретной СУБД

5. Нет проблемы с падением производительностью базы

6. Нет проблем с DB админами. Покажите мне админом, горящих желанием дать доступ к базе непонятной системе ?

Остальное ИМХО скорее относится к врожденным свойствам данной реализации, весьма спорные преимущества.

Это спорно, обычно администраторы СУБД не позволяют сторонним приложениям иметь такого вида доступ к СУБД в режиме реального времни, именно поэтому сейчас большое распространение получили специализированные решения для мониторинга СУБД, ни одна DLP система даже близко не обеспечивает того функционала который реализуют даннные решения

Я так понимаю речь идет о классе продуктов Database Firewalls. Все же у них совсем другая функция - регистрировать аномалии запросов, возможные взломы БД. А функция контроля утечек уже из этого следует. Такие решения не предназначены для контроля того, куда потом идут данные вытащенные из БД. А обсуждаемые выше DLP системы как это могут делать.

Т.е. если легитимный юзер вытащит из БД персональные данные клиентов, то DB Firewall промолчит - ему можно, это его работа, все штатно. Далее с этими данными он может делать что угодно уже. И вот здесь тормознуть его противоправные действия сможет DLP система :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Alexander Suyazov
Я бы согласился только с этими минусами "плагинной архитектуры" контроля структурированных данных

Остальное ИМХО скорее относится к врожденным свойствам данной реализации, весьма спорные преимущества.

То есть в вашем понимании проблем с консистентностью данных нет ? Тут вы явно заблуждаетесь

Если в процессе съема отпечатков часть полей, или соответствия полей изменится - будет каша. А как проанализировать, что у вас каша ?

По мне так это как раз главное преимущество данной системы.

Кстати, как вы думаете, почему бэкапы делают не с данных, а со снапшотов ? А файл в данном случае и выступает снапшотом.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Кирилл Керценбаум
Т.е. если легитимный юзер вытащит из БД персональные данные клиентов, то DB Firewall промолчит - ему можно, это его работа, все штатно. Далее с этими данными он может делать что угодно уже. И вот здесь тормознуть его противоправные действия сможет DLP система

Так и DLP система может промолчать если данный юзер может оперировать с этими данными. Речь идет о том что данные технологии конечно же взаимодополняют, но не взаимозаменяют друг друга, однако с учетом того что превалирующие объемы конфиденциальной информации хранится именно в СУБД, то DF может обеспечивать не меньший, а в некоторых случаях больший уровень защищенности по сравнению с DLP система, так как они с момента свеого появления и до настоящего момента наиболее эффективны для контроля передачи именно неструктурированных данных, а СУБД представляет собой совокупность данных структурированных

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Winsent the Pooh
Чтобы перевести дискуссию в конструктивное русло хотел бы попросить участников высказать свои предложения о том, какой функционал стоит рассмотреть более подробно в первую очередь. Особенно интересно услышать его от практикующих специалистов

А может вам просто провести пилоты внутри компании и посмотреть как оно будет работать?

Заодно оцените и саппорт вендоров, думаю он вас удивит :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
RSB

Алексей и Илья!

Спасибо за отличный обзор! ПОнятно, что это первая попытка сравнения систем и классификации функционала. Считаю, что она удалась, особенно смотря какие дебаты развернулись после опубликования.

Если в следующий раз нужна помощь по McAfee DLP, обратитесь пожалуйста ко мне.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • Ego Dekker
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • PR55.RP55
      .xml  файлы taskschd.msc Могут быть подписаны  цифровой подписью. Думаю будет нелишним, если uVS будет это фиксировать. т.е. проверять не только подпись целевого файла, но и подпись самого файла\задачи. и писать в ИНфО .  
    • demkd
      ---------------------------------------------------------
       4.15.2
      ---------------------------------------------------------
       o Исправлена ошибка при работе с образом автозапуска.
         Для некоторых процессов команда unload не добавлялась в скрипт при нажатии кнопки "принять изменения".  o Добавлена плашка окна на таскбаре для окна удаленного рабочего стола.
         (при работе с удаленной системой) -----------------------------------------------------------
      Есть проблема с локализацией глюка в редких случаях приводящему к аварийному завершению uVS при активном флаге "Проверять весь HKCR".
      На основе дампов его найти не получается, нужна копия реестра системы с такой проблемой, если кому-то попадется такая проблема, то присылайте архив с копией реестра системы мне на почту.  
×