Перейти к содержанию
Сергей Ильин

Сравнение систем защиты от утечек (DLP) 2014

Recommended Posts

Сергей Ильин

Раз сообщить, что мы завершили работу над сравнением популярных в России DLP-систем. Первая часть сравнения опубликована на нашем сайте

http://www.anti-malware.ru/comparisons/dat...tion_2014_part1

В этот раз мы серьезно расширили списков критериев сравнения, их в сумме получилось более 200. Более того, по многим критериям мы не просто писали да/нет, а старались давать детальную информацию о том, как именно это реализовано у конкретного вендора.

Надеюсь, сравнение окажется для вас полезным :)

P.S. Особая благодарность за помощь в подготовке сравнения всему коллективу Anti-Malware.ru, а также большему количеству людей на стороне вендоров!

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

Опубликована вторая часть сравнения DLP-систем http://www.anti-malware.ru/comparisons/dat...tion_2014_part2

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Alex_Goodwin
Контроль пользователей - Снимки экрана - Symantec - Нет, но можно отключить возможность делать снимки

как это понимать?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
как это понимать?

Со снимками экрана есть два подхода:

1. Контроль юзеров, что и когда они делают. В этом случае снимаются скриншоты для того, чтобы потом офицер безопасности мог поднять архив и посмотреть что человек делал в определенное время.

2. Контроль действий с информацией. В этом случае DLP-система снимает скриншоты в нужные моменты, например, при запуске определенных приложений.

Как я понимаю, в Symantec пошли по второму пути, но сделали просто запрет снятия скриншотов.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
alt7

Добрый день!

Прошу, уточнить по какому принципу (заплатил - рассматриваем) были выбраны именно эти DLP систему? Почему, например не рассматривался DeviceLock?

DeviceLock так же направлен на бизнес, конечно он не такой дорогой как InfoWatch, но у каждого свои недостатки.

Спасибо.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Нейман
но у каждого свои недостатки.

У МФИ Софт Гарда Предприятие нет недостатков!

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
Прошу, уточнить по какому принципу (заплатил - рассматриваем) были выбраны именно эти DLP систему? Почему, например не рассматривался DeviceLock?

DeviceLock так же направлен на бизнес, конечно он не такой дорогой как InfoWatch, но у каждого свои недостатки.

У нас ограниченные ресурсы. Взяли только продукты вендоров, которая являются лидерами рынка (см. наш отчет о российском DLP-рынке). DeviceLock в нашем понимании рынка туда не попадает. Его покупают в подавляющем большинстве случаев для контроля внешних устройств. Ни о каком анализе контента в данном случае речи нет.

Мы скорее взяли бы включили в сравнение Websense и McAfee, но эти производители не заинтересованы в таких открытых сравнениях. Видимо есть что скрывать :)

У МФИ Софт Гарда Предприятие нет недостатков!

У всех есть и у Гарда Предприятия тоже. Все есть в таблице ;)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Мы скорее взяли бы включили в сравнение Websense

Websense видимо не требуется в рекламе, его уже отлично продвигают в госкорпорациях (например ГК "Росатом"), а это ОЧЕНЬ приличные деньги.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
Websense видимо не требуется в рекламе, его уже отлично продвигают в госкорпорациях (например ГК "Росатом"), а это ОЧЕНЬ приличные деньги.

С госкорпорациями и другие компании работают из числа лидеров рынка, но они почему-то не против сравнений.

Я считаю это недальновидностью, стратегическим проигрышем. Тысячи людей смотрят сравнения и у них формируется определенное понимание кто есть кто на рынке. Увы, в этом понимании не будет Websense или McAfee.

Например, SearchInform в прошлом сравнении у нас не было, но они активно подключились к проекту. Тоже самое с Falcongaze, МФИ Софт и GTB (NGS Distribution).

Вообще в сознании рынка происходят позитивные изменения. Приятно удивлен, что никто не пытался манипулировать данными. Все участники проявили себя более чем адекватно. За что всем отдельное спасибо! :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
TagirK

Добрый день!

Не увидел в сравнении про интерфейс администратора. К примеру, у Инфовотча в новой версии веб-интрфейс, но у вас накладываются требования к АРМ Администратора. Поясните, пожалуйста.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
Не увидел в сравнении про интерфейс администратора. К примеру, у Инфовотча в новой версии веб-интрфейс, но у вас накладываются требования к АРМ Администратора. Поясните, пожалуйста.

Из сравниваемых нами продуктов веб-интерфейс администратора есть в Symantec DLP, InfoWatch TrafficMonitor, GTB и Дозор Джет. У остальные нужно ставить консоль на машину администратора или же подключаться к серверу напрямую (в случае SearchInform).

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Andrey Prozorov

Илья, привет! А скажи, как получилось, что в "Сравнении систем защиты от утечек (DLP)" вошли средства мониторинга, которые DLP не являются. Напомню, что согласно официальному и общепринятому термину "DLP", одной из характеристик таких средств защиты (а не мониторинга) является обязательная возможность блокировать передачу информации. Причем не просто всей, а с учетом контента и контекста...

Таким образом DLP являются лишь половина, приведенных в обзоре решений.

Вопрос принципиально важный, путать читателей не следует.

Кстати, в проектах документов ФСТЭК по сертификации DLP присутствует обязательное требование по блокировке информации...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
Таким образом DLP являются лишь половина, приведенных в обзоре решений.

Вопрос принципиально важный, путать читателей не следует.

Андрей, не согласен с тобой. Точнее это просто неверно. Твоя информация сильно устарела. Открываем http://www.anti-malware.ru/comparisons/dat...tion_2014_part1 и смотрим строку "Работа в режим блокировки". Блокировки нет только у МФИ Софт. Да и то, они ее добавили уже в новой версии.

Поэтому все сравниваемые продукты умеют блокировать и их можно относить к DLP даже по формальным признакам. Другое дело, что блокировка блокировке рознь. У большинства блокировать можно не все контролируемые каналы и протоколы, нюансов здесь много. Об этом также есть пункт в сравнении http://www.anti-malware.ru/comparisons/dat...14_part2#part35 смотрим "Блокировка соединения".

А если смотреть на вещи менее формально, то все эти продукты давно воспринимаются на рынке как DLP. А режим блокировки вообще практически невостребован на практике. Такова российская специфика рынка. Поэтому можно, конечно, много говорить о том "вирус" - это вредоносная программа, заражающая файлы. Но на практике в обиходе все будут называть вирусами любую вредоносную программу, независимо от ее типа.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Матвей

Доброго времени суток!

Коллеги, мне поставили задачу - подумать над внедрением DLP системы. Необычно, что инициатива пришла от собственников Банка. Они передали это председателю правления, он по цепочке начальнику отдела, а тот уже мне изложил. Сразу хочу обозначить: банк у нас небольшой, головной офис и 4 дополнительных (всего около 300 человек). Но начальство всё равно задумалось о возможности утечки инфы. Мне соответственно поручили продумать систему и рассчитать бюджет.

Ваше сравнение прочитал, информация полезная, но сложности остались. Может у кого подобный опыт уже есть? что посоветуете?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

Для небольшего банка западные системы (Symantec, Websense) отпадают, получится слишком дорого и тяжело по ресурсам. Чтобы определиться с дальнейшим выбором нужно конктеризировать критерии:

1. Какую информацию нужно защищать и где они лежит.

2. Какие каналы потенциальной утечки существуют, проранжировать эти каналы

3. Нужна ли блокировка или только мониторинг с последующим постанализом и разбором полетов

Далее у нас останется несколько вариантов, из которых и будем выбирать. Так же стоит обратить внимание на наличие предустановленых шаблонов именно для Банков, у некоторых это есть, например, у InfoWatch. Это поможет серьезно сэкономить на внедрении и настройке.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Semen Semenych

Коллеги, а будет ли проведено тестирование и сравнение 2015?

кстати. соглашусь с доводом, что в данном тестировании половина блокировать ничего не могут. могу привести живые примеры.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
SearchInform
кстати. соглашусь с доводом, что в данном тестировании половина блокировать ничего не могут. могу привести живые примеры.

Блокировка - это не всегда хорошо. Хоть в нашем продукте и есть такая возможность, но мы настоятельно не рекомендуем клиентам очень уж активно применять эту функцию. Проблемы очевидны - ложные срабатывания, которые неизбежны в работе DLP, приведут к остановке рабочего процесса. Нужно, например, сотруднику передать коллеге файл, а система распознает такую операцию как угрозу и не дает передать. Пока решишь вопрос со службой безопасности, полдня пройдет. Снижение же "порога паранойи" системы лишь приведет к ослаблению контроля, многая конфиденциальная информация будет проникать за пределы компании.

Вот буквально один из недавних наших случаев. В крупной строительной компании, 10-15 тысяч сотрудников, руководство начало подозревать, что происходит утечка конфиденциальной информации из коммерческого отдела. За помощью обратились в отдел безопасности, в котором стоял наш "Контур". В результате анализа перехваченных данных было установлено, что источник утечек – один из сотрудников, который собрался в ближайшее время увольняться, а вся его корпоративная переписка была перенаправлена на личный почтовый ящик. В дальнейшем на этого сотрудника было заведено уголовное дело. До этого инцидента компания была твердо убеждена, что передачу информации необходимо не отслеживать, а исключительно блокировать. Однако в данном случае передаваемые данные не были строго конфиденциальны и свободно передвигались внутри организации, и программа-блокиратор не среагировала бы на утечку. Отсутствие блокировки помогло же не только вычислить злоумышленника, но и взыскать с него понесенные убытки.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Eugene.Kozyratskiy

А что скажите по DeviceLock?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

Eugene.Kozyratskiy, DeviceLock мы хотим сравнить в следующей части сравнения в этом году. Есть спрос на информацию об этом продукте со стороны рынка.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Азат

Добрый день. Выбор между Symantec и InfoWatch, как думаете для госоргана что лучше внедрить?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

@Азат, в свете последних тенденций на импортозамещение закупка американского софта для контроля конфиденциальных данных может быть истолкована неправильно ;) Но сертификат ФСТЭК у Symantec DLP есть http://www.anti-malware.ru/certified/information_security_russiaВсе зависит от уровня секретности, нужно ли что-то еще или нет помимо этого сертификата.

 

Если же говорить о функцинальности, но здесь много нюансов. Однозначно нельзя рекомендовать, не зная детали:

Какие каналы будут контролироваться?

Какая конфигурация защиты предпочтительнее (на уровне сети, на конечных точках, гибридная)?

Нужна ли блокировка утечек или  система будет использоваться исключительно для пост-анализа (как обычно это делается)?

Какая интеграция с другими продуктами нужна?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти

  • Сообщения

    • accimeque
      Buy atopex europe online, buy atopex ir


      What can be better than being sure that the drugs you buy are effective and of high quality!


      Top Offers For Atopex - MORE INFORMATION



      We are ready to provide you with all the medications you need to stay healthy and happy!





      Lifeboat skipper, 51, quits the RNLI because 'it is in the grip of political correctness' She the North Bianca Andreescu Joins the Raptors in Canadian Sports Lore 'Wearable chair' that straps to ones backside is dividing social media users after going viral Devastated family tell of heartbreak after father and son die in New South Wales light air crash How to haggle around the world Like eating balls of compressed sawdust Pompeo Calls Attacks on Saudi Arabia atopex Act of War and Seeks Coalition to Counter Iran Breathtaking sound for the posh hi-fi crowd Red Bull Salzburg Gets Its Wings Atopex 100mg lowest prices. Dawid Malan emerges as surprise target for Yorkshire with Middlesex future uncertain 13-Year-Olds Are Arrested Over Hong Kong Protests Man, 25, got a glass thermometer stuck in his bladder Firm advertised huge returns. It won an award in Monaco. The SEC calls it a fraud Jofra Archer is staying cool despite a seismic summer for England's Ashes hero Contraceptive pills may raise the risk of type 2 diabetes
    • Quinzy
      А хотели бы вы научиться рисовать в зрелом возрасте? Многие ведь жалеют, что когда-то их родители не отдали в художку или просто в местности, где жили, не было такой возможности, чтобы учиться рисовать. И вот мне интересно, есть ли у взрослых людей такое желание? Сам я даже университет закончил по специальности преподаватель изобразительного искусства. Но по профессии не работаю, ибо платят мало. Вот прочитал про одну бизнес-идею https://b-mag.ru/hudozhestvennaja-shkola-dlja-vzroslyh-plan-v-6-shagov/ про открытие частной художественной школы для взрослых. Думаете стоит попытать счастье и открыть что-то подобное? 
    • Liza2u
      Тут все зависит от политики компании, есть те что работают на совесть, а есть тем что важна только быстая прибыль, без оглядки на репутацию. Мне как то довелось заказывать синии розы, так я столько намучалась пока не нашла этих ребят flowers.ua/ru/articles/sinie-rozy . Были всегда на созвоне, предупредили что опоздают на пять минут и за это чуть скинули цену, так что впечатления в целом положительные.
      Тут мне кажеться нужно смотреть сколько компания на рынке и искать отзывы. 
    • Quinzy
      Я вам вот что скажу. Когда производитель решает за сколько продавать ту или иную технику, включая компьютер, то он рассчитывает и доходы населения. И если в той же Германии или Финляндии зарплаты 3-4 тысячи евро, то у нас не более 500. И там такой же компьютер будет стоит условные 500 евро, а у нас 100. Ориентация на доходы населения идёт. Понимаете?! Так что, берите лучше у нас. За границей найдете только б\у недорогую технику. И не знаю, как вы ищите, что не можете себе нормальный компьютер найти. Я себе без проблем нашёл хороший мощный компьютер Qbox https://qbox.ua/ua/product/kompyuter-qbox-a0165/ на базе процессора AMD с оперативой DDR4 на 4 GB и жестким на террабайт. Так мне его с лихвой хватает. И на игры, и для работы. 
    • Momo
      Можно, только я не могу найти для себя хороший компьютер для себя.
×