Dmitry Perets

DLP в интегрированных корпоративных продуктах

В этой теме 10 сообщений

Задумался над следующим вопросом: что предлагается в интегрированных корпоративных продуктах защиты в области DLP? Подчёркиваю, речь идёт именно об интегрированных продуктах защиты рабочих станций в корпоративной сети.

Но прежде всего, что можно назвать технологией DLP? Из того, что приходит на ум:

1. Контроль доступа к устройствам (возможность контроля иили запрета доступа к портативным устройствам хранения информации, к записывающим устройствам, таким как DVD-RW, и т.п.);

2. Контроль исходящего траффика;

3. Контроль доступа к хранилищам паролей и других конфиденциальных данных;

4. "Интеллектуальные" методы обнаружения конфиденциальных данных и попыток их кражи.

... дополните список.

По первому пунку на сегодняшний день я слышал только про Application & Device Control, который присутствует в Symantec Endpoint Protection. Кто-то знает другие интегрированные продукты с подобным функционалом?

По второму пункту - раньше был продукт от того же Symantec, но вроде как сейчас от него отказались, так как простое сканирование исходящего траффика не достаточно эффективно (достаточно зашифровать данные).

По третьему пункту - это PDM от ЛК. Плюс в Symantec Endpoint Protection, насколько я понял, можно указать папку с данными, за доступом к которой нужно следить (опять же Application Control). Кто ещё?

По четвёртому пункту я вообще никого не знаю сегодня, но в будущем обещают, что подобный функционал будет интегрирован (пока он встречается лишь в отдельных специализированных DLP-продуктах).

Кто что знает по этому поводу?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Тогда уж надо оговорить, что имеется в виду под интегрированным продуктом. А по сути вопроса - обсуждать пока рано. А через год DLP будет почти во всех продуктах всех лидеров. Достаточно почитать новости о массовой скупке DLP вендоров. Кстати, логично для каспера было бы прикупить, скажем, devicelock и объединить с тем же инфовотчем в уже более интересном решении. А потом все вместе толкать как решение от каспера по своим стандартным каналам. Чего велосипед-то изобретать, все под рукой. А для смартлайна, кстати, щас самое время продаться быстренько, иначе будет поздно, ибо нет у них других продуктов в запасе, в отличие от того же Zlock от секьюрита. Можно как Ad-Aware остаться бывшим лидером, никому не продавшимся, но никому нынче не нужным. Вот такой печальный расклад.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Тогда уж надо оговорить, что имеется в виду под интегрированным продуктом.

Имеется в виду продукт, который избавит от необходимости установки других продуктов защиты на рабочую станцию =) Определение, само собой, не юридической точности...

А по сути вопроса - обсуждать пока рано. А через год DLP будет почти во всех продуктах всех лидеров. Достаточно почитать новости о массовой скупке DLP вендоров.

Вопрос в том, будет ли это выполнено в виде add-on'а к уже существующему решению (как это будет у Symantec), либо это будет включено лишь в следующую версию корпоративного продукта. Либо это вообще останется отдельным продуктом (как сейчас у McAfee). Но о будущем гадать сложно, так что пока о настоящем =)

Кстати, логично для каспера было бы прикупить, скажем, devicelock и объединить с тем же инфовотчем в уже более интересном решении. А потом все вместе толкать как решение от каспера по своим стандартным каналам.

Прикупить или не прикупить - не знаю, но точно логично для ЛК выпустить интегрированный продукт - корпоративный КАВ с технологиями DLP. Может быть, корпоративная "восьмёрка" будет такой?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Прикупить или не прикупить - не знаю, но точно логично для ЛК выпустить интегрированный продукт - корпоративный КАВ с технологиями DLP. Может быть, корпоративная "восьмёрка" будет такой?

Я просто исхожу из опыта ведущих игроков. Они покупают. Каспер вроде тоже метит, вот и опыт надо перенимать.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
2. Контроль исходящего траффика;

Что мы тут подразумеваем под контролем трафика?

Если его разбор и мониторинг трафика на лету на предмет утечки, то это задача серверных продуктов. Проще поставить что-то на шлюз и слушать трафик там.

4. "Интеллектуальные" методы обнаружения конфиденциальных данных и попыток их кражи.

... дополните список.

Поспорил бы на счет того, что этот пункт нужен именно для корп. пользователей. Для домашних точно нужен, первые подвижки в эту сторону делаются с развитием Privacy Control.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Кстати, логично для каспера было бы прикупить, скажем, devicelock и объединить с тем же инфовотчем в уже более интересном решении.

это логичный шаг, но боюсь у данного антивирусного вендора просто нету столько денег, а VC они до сих пор не привлекали. Т.е. если они привлекут достаточное кол-во денег (через VC или через другие каналы), то такая возможность не исключается (нами, по крайней мере ;)). Пока говорить не о чем, покупатель не Симантек (и даже не тренд), продавец не секьюрит ;)

А для смартлайна, кстати, щас самое время продаться быстренько, иначе будет поздно, ибо нет у них других продуктов в запасе, в отличие от того же Zlock от секьюрита.

если стоять на месте то - да, согласен. Но кто сказал, что очень скоро мир не увидит нового решения, более комплексного? ;)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Пока не выгодно. Надо подождать.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

чего подождать-то?

меня-то кстати огорчил посыл Натальи Касперской когда ее спросили об основном направлении деятельности инфовоча

ее спросили

А основной продукт компании это ...?

она ответила

Как раз Traffic Monitor - система анализа почтовой переписки. Она наиболее востребована на рынке.

Здорово конечно и объяснимо. Но рынок-то вроде все активней смотрит как раз на DLP решения уровня конечных узлов (ендпоинт), а вовсе не контроля трафика с использованием антиспам наработок.

Вот что производила компания, купленная тренд майкро http://www.provilla-inc.com/products/provilla_leakproof/

В арсенале http://www.vontu.com, купленной Симантек конечно есть и мониторинг трафика, но есть и http://www.vontu.com/products/endpoint-dat...-prevention.asp

а судя по сделанному Симантеком в SEP 11.0 для них направление ендпоинт будет более чем актуальным.

Да и ваще будут сращиваться всевозможные защитные механизмы для конечных узлов в единый комплекс.

так что Net Monitor http://www.infowatch.ru/solution?chapter=147150841 это продукт отнюдь не побочный на мой взгляд.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
меня-то кстати огорчил посыл Натальи Касперской когда ее спросили об основном направлении деятельности инфовоча

Да уж, это не может радовать. Странно, ЛК как раз можно хвастаться в части продуктов для защиты конечных точек, а все остальное пока еще далеко отстает от ближайших конкурентов, а в DLP ставка почему-то делается как раз в эту слабую сторону, к чему бы это.

В части развития DLP направления большая тройка делает упор как раз на котроль утечек на уровне рабочих станций, так как это самый эффективный способ: защиту серверов и средств обмена информацией легче придумать как обойти, нежели контроль за непосредственной деятельностью пользователя. И последние покупки - Provilla и Vontu - очень большой упор делают именно на этом.

Кстати, по слухам, интеграцию Vontu в Symantec Endpoint Protection стоит ожидать в ближайшие 6-8 месяцев.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Кстати, по слухам, интеграцию Vontu в Symantec Endpoint Protection стоит ожидать в ближайшие 6-8 месяцев.

Быстро работают. Скорее всего вопросы интеграции были уже проработаны до покупки Vontu.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!


Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.


Войти с помощью Facebook Войти Войти с помощью Twitter
Anti-Malware.ru Вконтакте   Anti-Malware.ru в Facebook   Anti-Malware.ru в Twitter   Anti-Malware.ru в LinkedIn   RSS
  • Сообщения

    • Wenderoy
      Обновляю: https://mega.nz/#!0FYBnRzT!Kh8GaRMVOzm99QJZX0NsDD51vDaFzPI-Vil02kw53rQ
    • Sergey22101979s
      Площадку надо свою делать и развивать её. А потом продавать места на ней. И не важно какую площадку - сайт, группу в соцсети, или что-то тому подобное.
    • homeobed
      На дому за копейки работать - дело нехитрое) Вот чтобы зарабатывать приличные деньги, на одних комментариях далеко не уедешь)
    • Mike
      Вышел McAfee VirusScan Enterprise 8.8.0 Patch 10  
    • Wenderoy
      Да, лучше удалить. Но это, разумеется, решает администрация... Я никакой не тролль, ANDYBOND прекрасно это понимает, просто именно с ним был разлад безо всякой причины, подробности приводить не буду, но теперь он старается как можно больше "навредить" мне. Собственно, вот отзывы про PS - https://www.mywot.com/ru/scorecard/provisionsecurity.ru Думаю, комментарии будут излишними. Есть очень много свидетелей, которых "примерная" администрация Provisionsecurity даже "поливала" нецензурной лексикой, у меня есть все скриншоты и т. д. И после всего этого надо подумать, а стоит ли верить таким людям? Это я в качестве отступления. Главное - то, что я устал здесь распинаться, тратя свое личное время, что идет только на руку уже упомянутым участниками форума. Все, что мне надо было доказать, я доказал, пользователи моего приложения знают и понимают мои цели и стремления, я ни от кого ничего не скрываю. Поэтому программу уже используют многие, а это значит, что дело поставлено на рельсы. Самое смешное, что на каждый мой аргумент, который я не поленился снабдить всей необходимой информацией в форме ссылок, скриншотов, записей, копий писем, сообщений лабораторий etc, в ответ мне летят одни и те же фразы: "мошенник", "вирусописатель", "тролль". Так кто же больше попадает под значение последнего слова? Просто упомяну еще пару вещей. Когда я объяснял, почему продукт детектит пустой файл, все равно меня никто не слышал. Каким же, интересно, образом мне следует растолковать это? Были приведены доказательства, что я часть баз собираю с ресурса VirusShare (благо, имеются очень хорошие источники самой разнообразной информации), где AVP в свое время почему-то пометил файл как Trojan... (где-то на предыдущих страницах все чрезвычайно подробно описано). Так вот, копируя MD5, в комплект попала и хеш-сумма пустого файла, вследствие чего как бы Вы его ни переименовывали, все рано будет сработка продукта (кстати, ее уже нет). Далее. Насчет "мошенник" и "вирусописатель". Если зимние переписки (не просто отчетов автоматического анализа лабораторий) с вирусным аналитиком McAfee ни о чем Вам не говорят, это, как говорится, не мои проблемы. Другие вендоры, да практически все (даже популярные Avast, Qihoo и др.) устанавливаются втихомолку вместе с другим ПО (DRP Solutions, различные дополнения для монетизации в пакеты дистрибутивов), но их Вы почему-то "вирусописателями"  не называете. И последнее. Насчет "мошенник". Я никого не принуждаю устанавливать KAR, каждый делает это добровольно. Лицензионное соглашение и Privacy Statment присутствуют на сайте, там все четко и ясно описано. На сервер высылаются исключительно анонимные отчеты, как и в любых других разработках аналогичного типа, не более того.  Kuranin Anti-Ransomware распространяется абсолютно бесплатно, никакой рекламы ни в продукте, ни даже на сайте, т. к. это мое хобби. Поэтому здесь не вижу ничего, связанного с мошенничеством. Это очень краткое обобщение, все мои подробные ночные отписки на однотипные бессмысленные сообщения можно посмотреть, листая предыдущие ни много ни мало двенадцать страниц. @VMS, радует, что еще есть адекватные люди, которые умеют слушать. Да, к сожалению, это не те времена, когда жизнь кипела в каждом уголке Anti-Malware и других подобных форумов. Обидно, что перевились разработчики-добровольцы, которые были очень активны в 2004-2014 годах. Сейчас в основном крупные компании все вытеснили, да есть те, кто просто сдался (Александр Калинин, его судьба мне не известна, но смею предположить, что он воплотил свое хобби в жизнь; Kerish, который, правда, стал чрезвычайно полезной утилитой Kerish Doctor, а ведь совсем немногие знают прошлое этого творения; ScreamAV, бесплатныq антивирус то ли из Индонезии, то ли с Филиппин; путем долгого анализа удалось выяснить, что создатели данного антивируса примкнули к проекту SmadAV;  SMK антивирус, когда-то известный в узких кругах; "Зоркий глаз" Петелина Александра;  AWS Core, приостановивший свое развитие и т. п.) Вообще обожаю древние сайты, особенно варианты на narod.ru и им подобные, пропахшие стариной и историей. Очень приятные ощущения, как будто бы открыл давно забытую, но вновь найденную на чердаке книгу с пожелтевшими от времени листами.  А еще очень много полезных ресурсов, которых уже нет, но они сохранились в "архиве". Все это "богатство" сложно отыскать, но зато там есть чрезвычайно много полезной информации... Вот, кстати, один из примеров: https://web.archive.org/web/20040905203536/http://www.winchanger.narod.ru:80/ Или https://web.archive.org/web/20070624081145/http://winchanger.whatis.ru:80/ Как бонус прилагаю собственную коллекцию малоизвестных продуктов любителей информационной безопасности, среди них, кстати, все вышеупомянутые образцы! https://mega.nz/#!tZBkkCKa!0WzfYt4A1zK4aCvVLtu3FLt7pfPIp7wWtyPIr9c-cbo Может, кому пригодится...