Сравнение существующих решений DLP

[Рустэм Хайретдинов 30]

Интересная российская особенность. Клиенты могут неразобраться с продуктами, уже присутствующими на рынке, но ждать, когда появится тот продукт, который им кажется будет интереснее и с большим числом функций. "Все в одном" далеко не всегда бывает лучше специализированных решений. Не исключено, что использование вообще всех технологий в одном продукте усложнит работу с ним и значительно повысит чило ошибок второго рода.

Михаил, добрый день. Не нашел твоей почты, поэтому пишу сюда. Есть вопрос.

Мы сейчас встраиваем лицензированные фингепринты и выявили их неприятную особенность. Как только база отпечатков не умещается в память сервера, идет сильное увеличение времени сравнения. Поскольку мы работаем в основном с компаниями с десятками тысяч документов, с которыми нужно снять отпечатки (10% от размера хранилища), такая производительность наших клиентов не устроит. Т.е. пилот на 100 рабочих мест, пару каналов и 100 документов вызовет восторг, но через год система заткнется.

Решена ли эта проблема в WS CPS или это естетственное ограничение технологии? Если второе, то видится распараллеливание процесса сравнения отпечатков с образцами, но все равно база будет увеличиваться. Можно на rust-собака-infowatch.ru, это чисто технический вопрос.

[Прибочий Михаил 20]

Про продукты WebSense я знаю немного, нас никогда не сталкивали заказчики и есть всего один общий партнер. Поэтому согласен со всем вышеописанным, не хотел тебя обидеть.

Рустэм, да какие ж обиды? Тем более, если ты со мной согласился

По заказчикам - нас с вами уже сталкивали. С учетом непаханности российского рынка пока даже не знаю, стоит ли радоваться. И по партнерам - общих у нас гораздо больше. Почти все наши российские партнеры начинали с InfoWatch. Таких, кто только сейчас планирует развивать DLP направление, не ознакомившись с InfoWatch хотя бы год-два назад - единицы.

Не знаю, как назывался продукт, и это не была Россия, при встрече назову банк. Мы говорили о недостатках технологий, а не конкретных продуктов.

Не Россиия и не Websense - тогда это все объясняет

WebSense говорит, что PreciseID (не уверен, что написал правильно) - это не просто фингепринты, а специальная технология, основанная на фингепринтах, поэтому, наверняка, работая в банках, они докрутили технологию работ с формами.

Да PreciseID целый набор технологий, но основная из них все-таки fingerprint. А с формами работает, как я понимаю, тоже именно fingerprint. Хотя, здесь не буду настаивать.

Мы тоже разбавляем лингвистику другими технологиями, чтобы минимизировать ошибки. Теперь, вот прикручиваем фингепринты специально для арабов, поскольку реализовывать арабскую морфологию в нашем движке не нашлось желающих, а существующие лингвистические движки чудовищно непроизводительны.

Практически все известные мне DLP вендоры (правда, тех, кого я мало-мальски нормально знаю, откровенно мало) либо используют fingerprinting, либо заявляют о его использовании в скором будущем.

Про разбор инцидентов поясню подробнее. Ты понял "инцидент" как случай пересылки конкретного документа, тут вопросов нет. А для безопасника "инцидент" - факт того, что конфиденциальная информация оказалась вне компании. Во втором случае нужно найти "то, не знаю что". Например (реальный случай), "кто выносил информацию по новой маркетинговой программе за последние 2 недели". Заранее не известно, послан ли был конкретный документ, или секреты могли быть описана своими словами, а также какой сотрудник это слил и по какому каналу. Тут без полнотекстового архива не обойтись.

Тут разговор долгий, можно сказать, мировозренческий. Что и как должно ловиться, что такое "инцидент", какие функции должны быть в продукте и что, возможно, предпочтительнее не делать совсем... Предлагаю (приглашаю) обсудить за пивом.

[Прибочий Михаил 20]

Михаил, добрый день. Не нашел твоей почты, поэтому пишу сюда. Есть вопрос.

Мы сейчас встраиваем лицензированные фингепринты и выявили их неприятную особенность. Как только база отпечатков не умещается в память сервера, идет сильное увеличение времени сравнения. Поскольку мы работаем в основном с компаниями с десятками тысяч документов, с которыми нужно снять отпечатки (10% от размера хранилища), такая производительность наших клиентов не устроит. Т.е. пилот на 100 рабочих мест, пару каналов и 100 документов вызовет восторг, но через год система заткнется.

Решена ли эта проблема в WS CPS или это естетственное ограничение технологии? Если второе, то видится распараллеливание процесса сравнения отпечатков с образцами, но все равно база будет увеличиваться. Можно на rust-собака-infowatch.ru, это чисто технический вопрос.

Рустэм, да, в Websense это решили. Websense больше ориентировалась как раз на крупных заказчиков, в активе есть 40-50 тыс. клиенты (это кого я знаю). В т.ч. с защищаемым медиаконтентом, где размеры файлов на порядки больше просто текстовых документов.

Я посмотрю, что есть в открытых источниках и пришлю/выложу информацию.

Писать мне можно на Mikhail_Pribochiy собака associates тчк ру