Сергей Ильин

Сравнение систем защиты от утечек (DLP) 2014

В этой теме 21 сообщений

Раз сообщить, что мы завершили работу над сравнением популярных в России DLP-систем. Первая часть сравнения опубликована на нашем сайте

http://www.anti-malware.ru/comparisons/dat...tion_2014_part1

В этот раз мы серьезно расширили списков критериев сравнения, их в сумме получилось более 200. Более того, по многим критериям мы не просто писали да/нет, а старались давать детальную информацию о том, как именно это реализовано у конкретного вендора.

Надеюсь, сравнение окажется для вас полезным :)

P.S. Особая благодарность за помощь в подготовке сравнения всему коллективу Anti-Malware.ru, а также большему количеству людей на стороне вендоров!

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Контроль пользователей - Снимки экрана - Symantec - Нет, но можно отключить возможность делать снимки

как это понимать?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
как это понимать?

Со снимками экрана есть два подхода:

1. Контроль юзеров, что и когда они делают. В этом случае снимаются скриншоты для того, чтобы потом офицер безопасности мог поднять архив и посмотреть что человек делал в определенное время.

2. Контроль действий с информацией. В этом случае DLP-система снимает скриншоты в нужные моменты, например, при запуске определенных приложений.

Как я понимаю, в Symantec пошли по второму пути, но сделали просто запрет снятия скриншотов.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Добрый день!

Прошу, уточнить по какому принципу (заплатил - рассматриваем) были выбраны именно эти DLP систему? Почему, например не рассматривался DeviceLock?

DeviceLock так же направлен на бизнес, конечно он не такой дорогой как InfoWatch, но у каждого свои недостатки.

Спасибо.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
но у каждого свои недостатки.

У МФИ Софт Гарда Предприятие нет недостатков!

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Прошу, уточнить по какому принципу (заплатил - рассматриваем) были выбраны именно эти DLP систему? Почему, например не рассматривался DeviceLock?

DeviceLock так же направлен на бизнес, конечно он не такой дорогой как InfoWatch, но у каждого свои недостатки.

У нас ограниченные ресурсы. Взяли только продукты вендоров, которая являются лидерами рынка (см. наш отчет о российском DLP-рынке). DeviceLock в нашем понимании рынка туда не попадает. Его покупают в подавляющем большинстве случаев для контроля внешних устройств. Ни о каком анализе контента в данном случае речи нет.

Мы скорее взяли бы включили в сравнение Websense и McAfee, но эти производители не заинтересованы в таких открытых сравнениях. Видимо есть что скрывать :)

У МФИ Софт Гарда Предприятие нет недостатков!

У всех есть и у Гарда Предприятия тоже. Все есть в таблице ;)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Мы скорее взяли бы включили в сравнение Websense

Websense видимо не требуется в рекламе, его уже отлично продвигают в госкорпорациях (например ГК "Росатом"), а это ОЧЕНЬ приличные деньги.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Websense видимо не требуется в рекламе, его уже отлично продвигают в госкорпорациях (например ГК "Росатом"), а это ОЧЕНЬ приличные деньги.

С госкорпорациями и другие компании работают из числа лидеров рынка, но они почему-то не против сравнений.

Я считаю это недальновидностью, стратегическим проигрышем. Тысячи людей смотрят сравнения и у них формируется определенное понимание кто есть кто на рынке. Увы, в этом понимании не будет Websense или McAfee.

Например, SearchInform в прошлом сравнении у нас не было, но они активно подключились к проекту. Тоже самое с Falcongaze, МФИ Софт и GTB (NGS Distribution).

Вообще в сознании рынка происходят позитивные изменения. Приятно удивлен, что никто не пытался манипулировать данными. Все участники проявили себя более чем адекватно. За что всем отдельное спасибо! :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Добрый день!

Не увидел в сравнении про интерфейс администратора. К примеру, у Инфовотча в новой версии веб-интрфейс, но у вас накладываются требования к АРМ Администратора. Поясните, пожалуйста.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Не увидел в сравнении про интерфейс администратора. К примеру, у Инфовотча в новой версии веб-интрфейс, но у вас накладываются требования к АРМ Администратора. Поясните, пожалуйста.

Из сравниваемых нами продуктов веб-интерфейс администратора есть в Symantec DLP, InfoWatch TrafficMonitor, GTB и Дозор Джет. У остальные нужно ставить консоль на машину администратора или же подключаться к серверу напрямую (в случае SearchInform).

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Илья, привет! А скажи, как получилось, что в "Сравнении систем защиты от утечек (DLP)" вошли средства мониторинга, которые DLP не являются. Напомню, что согласно официальному и общепринятому термину "DLP", одной из характеристик таких средств защиты (а не мониторинга) является обязательная возможность блокировать передачу информации. Причем не просто всей, а с учетом контента и контекста...

Таким образом DLP являются лишь половина, приведенных в обзоре решений.

Вопрос принципиально важный, путать читателей не следует.

Кстати, в проектах документов ФСТЭК по сертификации DLP присутствует обязательное требование по блокировке информации...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Таким образом DLP являются лишь половина, приведенных в обзоре решений.

Вопрос принципиально важный, путать читателей не следует.

Андрей, не согласен с тобой. Точнее это просто неверно. Твоя информация сильно устарела. Открываем http://www.anti-malware.ru/comparisons/dat...tion_2014_part1 и смотрим строку "Работа в режим блокировки". Блокировки нет только у МФИ Софт. Да и то, они ее добавили уже в новой версии.

Поэтому все сравниваемые продукты умеют блокировать и их можно относить к DLP даже по формальным признакам. Другое дело, что блокировка блокировке рознь. У большинства блокировать можно не все контролируемые каналы и протоколы, нюансов здесь много. Об этом также есть пункт в сравнении http://www.anti-malware.ru/comparisons/dat...14_part2#part35 смотрим "Блокировка соединения".

А если смотреть на вещи менее формально, то все эти продукты давно воспринимаются на рынке как DLP. А режим блокировки вообще практически невостребован на практике. Такова российская специфика рынка. Поэтому можно, конечно, много говорить о том "вирус" - это вредоносная программа, заражающая файлы. Но на практике в обиходе все будут называть вирусами любую вредоносную программу, независимо от ее типа.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Доброго времени суток!

Коллеги, мне поставили задачу - подумать над внедрением DLP системы. Необычно, что инициатива пришла от собственников Банка. Они передали это председателю правления, он по цепочке начальнику отдела, а тот уже мне изложил. Сразу хочу обозначить: банк у нас небольшой, головной офис и 4 дополнительных (всего около 300 человек). Но начальство всё равно задумалось о возможности утечки инфы. Мне соответственно поручили продумать систему и рассчитать бюджет.

Ваше сравнение прочитал, информация полезная, но сложности остались. Может у кого подобный опыт уже есть? что посоветуете?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Для небольшего банка западные системы (Symantec, Websense) отпадают, получится слишком дорого и тяжело по ресурсам. Чтобы определиться с дальнейшим выбором нужно конктеризировать критерии:

1. Какую информацию нужно защищать и где они лежит.

2. Какие каналы потенциальной утечки существуют, проранжировать эти каналы

3. Нужна ли блокировка или только мониторинг с последующим постанализом и разбором полетов

Далее у нас останется несколько вариантов, из которых и будем выбирать. Так же стоит обратить внимание на наличие предустановленых шаблонов именно для Банков, у некоторых это есть, например, у InfoWatch. Это поможет серьезно сэкономить на внедрении и настройке.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Коллеги, а будет ли проведено тестирование и сравнение 2015?

кстати. соглашусь с доводом, что в данном тестировании половина блокировать ничего не могут. могу привести живые примеры.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
кстати. соглашусь с доводом, что в данном тестировании половина блокировать ничего не могут. могу привести живые примеры.

Блокировка - это не всегда хорошо. Хоть в нашем продукте и есть такая возможность, но мы настоятельно не рекомендуем клиентам очень уж активно применять эту функцию. Проблемы очевидны - ложные срабатывания, которые неизбежны в работе DLP, приведут к остановке рабочего процесса. Нужно, например, сотруднику передать коллеге файл, а система распознает такую операцию как угрозу и не дает передать. Пока решишь вопрос со службой безопасности, полдня пройдет. Снижение же "порога паранойи" системы лишь приведет к ослаблению контроля, многая конфиденциальная информация будет проникать за пределы компании.

Вот буквально один из недавних наших случаев. В крупной строительной компании, 10-15 тысяч сотрудников, руководство начало подозревать, что происходит утечка конфиденциальной информации из коммерческого отдела. За помощью обратились в отдел безопасности, в котором стоял наш "Контур". В результате анализа перехваченных данных было установлено, что источник утечек – один из сотрудников, который собрался в ближайшее время увольняться, а вся его корпоративная переписка была перенаправлена на личный почтовый ящик. В дальнейшем на этого сотрудника было заведено уголовное дело. До этого инцидента компания была твердо убеждена, что передачу информации необходимо не отслеживать, а исключительно блокировать. Однако в данном случае передаваемые данные не были строго конфиденциальны и свободно передвигались внутри организации, и программа-блокиратор не среагировала бы на утечку. Отсутствие блокировки помогло же не только вычислить злоумышленника, но и взыскать с него понесенные убытки.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Eugene.Kozyratskiy, DeviceLock мы хотим сравнить в следующей части сравнения в этом году. Есть спрос на информацию об этом продукте со стороны рынка.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Добрый день. Выбор между Symantec и InfoWatch, как думаете для госоргана что лучше внедрить?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

@Азат, в свете последних тенденций на импортозамещение закупка американского софта для контроля конфиденциальных данных может быть истолкована неправильно ;) Но сертификат ФСТЭК у Symantec DLP есть http://www.anti-malware.ru/certified/information_security_russiaВсе зависит от уровня секретности, нужно ли что-то еще или нет помимо этого сертификата.

 

Если же говорить о функцинальности, но здесь много нюансов. Однозначно нельзя рекомендовать, не зная детали:

Какие каналы будут контролироваться?

Какая конфигурация защиты предпочтительнее (на уровне сети, на конечных точках, гибридная)?

Нужна ли блокировка утечек или  система будет использоваться исключительно для пост-анализа (как обычно это делается)?

Какая интеграция с другими продуктами нужна?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!


Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.


Войти с помощью Facebook Войти Войти с помощью Twitter
Anti-Malware.ru Вконтакте   Anti-Malware.ru в Facebook   Anti-Malware.ru в Twitter   Anti-Malware.ru в LinkedIn   RSS