Сергей Ильин

Технические средства контроля утечек информации

В этой теме 19 сообщений

Коллеги, у нас опубликована интересная обзорная статья по техническим средствам контроля утечек информации. Ее автор - Вениамин Левцов, Директор по развитию направления ИБ, LETA IT-company.

Краткое содержание статьи:

1. Что такое DLP-системы?

2. Близкие или смежные системы защиты

3. От защиты информации к управлению рисками

4. Основные пути утечки информации

5. Методы распознавания защищаемой информации

6. Как работает DLP-система?

7. С чего начать?

http://www.anti-malware.ru/node/569

На мой взгляд в статье сделан очень интересный и полезный для потенциальных заказчиков разбор плюсов и минусов различных технологий борьбы с утечками конфиденциальных данных, есть ценовые ориентиры по внедрениям продуктов различных вендоров.

Что скажете, есть какие-то замечания или уточнения по содержанию статьи?

Жаль подробно не описаны решения Symantec для полноты картины.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Лета серьезно взялась за этот рынок.

Как будто только что... По сути лидеры. "По сути" - так как сам рынок не бог весь какой...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
так как сам рынок не бог весь какой

по спросу аль по предложению? :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Лета серьезно взялась за этот рынок.

Давно, всерьез и думаю надолго. И с полной серьезностью и отдачей...

так как сам рынок не бог весь какой...

Вот тут Вы Михаил ошибаетесь, сильно ошибаетесь, рынок-то как раз уже почти полностью сформировавшийся в плане спроса, а вот с предложением, особенно услуг по внедрению, все значительно скромнее

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Вот мне тоже кажется, что Михаил малость ошибается насчет рынка

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Софистика.

Но выскажу свою позицию. Рынок оценивается в оборотах и сделках. Их, мягко говоря, не вал – думаю все DLP поставщики, это подтвердят, если не в форуме, то немо согласившись. Слово почти, Кирилл… Тут как с беременностью. Тупо сколько у тебя опортюните по Вонту ? До хрена, я знаю. А форкастов ? Угу… С клиентами состояние легкого дурдома, как только возникает кто-то кто только начинает задумываться о DLP на него по очереди налетает сине/желто/зеленная (может еще красная, решения есть, но не слышал о пресейлах) команда, частенько концентрируясь не на бенефитах решения, а на различиях в цветах. У потенциального заказчика взрывается мозг – и мыль одна: «Да прикольно, но мы подождем пока еще десяток компаний внедрит…»… В целом, рынок по стилю работы не сильно отличается от AV, но нужна большая компетенция и сам объем рынка.

Базовая мысль доносить, что такое DLP в едином ключе, а потом пилить рынок. Понятно. что рынок все равно сформируется, но единая позиция (я не говорил картель : ) позволит быстрее ему сформироваться без оговорок «почти» и через строки читающиеся: «Вендор молодец, вот партнеры фишку не секут».

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Лично на мой взгляд о формировании отечественного рынка DLP можно хоть как-то говорить с этого года. До это по сути была только одна компания, название которой для многих стало синонимом этого самого рынка. А сейчас есть из чего реально выбирать, появилось больше информации, мероприятия пошли по теме (большая конференция DLP-Expert уже скоро). Клиенты в конце концов стали реально понимать что это и зачем нужно бизнесу. Естественно, до зрелого рынка еще очень далеко, но он формируется.

Я бы хотел обратить ваше внимание на некоторые концептуальные моменты обсуждаемой статьи, а именно:

4. Основные пути утечки информации

В моем понимании пути утечки информации или модель нарушителя (пункт 4) несколько подогнана под существующий функционал имеющихся на рынке решений. Комплексный анализ путей утечки информации обнаруживает еще целый набор таковых, например, визуальный контакт (видео/фото/аудио съемка), банальный инсайд (подкуп сотрудников). Утечка это ведь не только передача информационного носителя, но и просто несанкционированный доступ к информации. Кто-то прочитал бумажку на принтере, документ на незалоченном компьютере коллеги, а потом спокойно рассказал кому-то по телефону из дома. Это разве не утечка?

Потом насколько я понимаю, некоторые заказчики ставят DLP не для устранения утечек, а для последующего разбора инцидентов. Об этом у нас на форуме были разговоры, Рустем писал точно. Контроль за личной перепиской сотрудников вообще говоря противозаконен, так как право на неприкосновенность личной жизни гарантировано конституцией. Это я к тому, что можно было об этом написать в пункте 1 (Что такое DLP-системы и для чего они нужны?).

Базовая мысль доносить, что такое DLP в едином ключе, а потом пилить рынок.

ИМХО неблагодарная роль. Кто-то донесет мысль, потратит миллионы, а другие потом попилят рынок на халяву :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
ИМХО неблагодарная роль. Кто-то донесет мысль, потратит миллионы, а другие потом попилят рынок на халяву

Я не зря там упомянул слово картель :) Но по DLP сейчас так и происходит. Рынок греет IW, остальные этим пользуются. Так как рынок еще не созрел, кто получит большие деньги не понятно.

С другой стороны смарт-карты. Рынок разогрел Alladin - и он получает основные деньги.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Я не зря там упомянул слово картель :) Но по DLP сейчас так и происходит. Рынок греет IW, остальные этим пользуются. Так как рынок еще не созрел, кто получит большие деньги не понятно.

С другой стороны смарт-карты. Рынок разогрел Alladin - и он получает основные деньги.

Всем привет. Поскольку на этоу тему пишут 5-6 человек, предлагаю всем попить пива и все обсудить друг с другом. Например, картель :)). После цензуры стенограмму можно будет выложить сюда :). Давайте сделаем вендорский DLP-expert.

Про статью. Статья хорошая, работает на рынок. Если интересно, выложу шесть статей, расширяющие каждый тезис статьи Вениамина и программу восьмичасового курса "Введение в защиту от утечек информации", который читаю в нескольких учебных заведениях. Кстати, в курсе есть кусок из презентации Вениамина, по которой он учит продавцов Леты, я очень ценю его вклад в развитие рынка. За добрые слова о нашем решении Ку два раза.

Про Лету. Первыми инвестировали в экспертизу, поэтому продвинулись дальше остальных. Антон Соколов приехал в Инфовотч заключать партнерское соглашение через три дня после пресс-конференции об открытии Инфовотч в 2004 году. Сейчас они начали разбрасываться, стали партнерами всего, что шевелится в этом направлении. Поэтому просели с Инфовотч по объему продаж, не входят даже в пятерку лучших продавцов Инфовотч :(. Не мне учить их делать бизнес, но мне кажется, что большой ассортимент приводит к тому, что для каждого вендора они неключевые, ведоры поддерживают более лояльных, а в этом бизнесе вендорская экспертиза пока сильнее партнерской. Соответственно, расходы растут, маржа падает, качество экспертизы тоже - нельзя одной группе внедренцев глубоко знать пять продуктов.

Про рынок. Поддержу Михаила - он практик. Рынка нет, в головах у заказчиков каша. Вариант 1: Они хотят купить брендованный продукт, о котором читали в интернете, но не могут внятно объяснить, зачем и как будут его использовать. Вариант 2: Они знают, чего хотят, но их требованиям не удовлетворяет ни один продукт. Поэтому основная задача продавца - убедить заказчика снизить требования под тот продукт, который они продают.

Про интерес к решениям. Есть некоторая эйфория из-за интереса заказчика к появившемся продуктам, особенно Vontu и TrendMicro. Но это не спрос. Контрольный вопрос - есть ли спецификация на продукт. Посчитайте объем утвержденных спецификаций и увидите, что рынок просто мизерный и неопределившийся.

Про экспертизу. Кирилл прав - с экспертизой беда. Интеграторы экспертизу пока не развивают, предпочитают продать лицензию, а работы отдать вендору. У вендоров просто недостаточно ресурсов - один два инженера. На рынке всего пара десятков обученных вендорами инженеров. Из них всего десяток человек, которые могут не только инсталлировать и обучить продукт, но и написать use case и другие процедуры, найти место продукта в системе ИБ заказчика и интегрировать продукт с другими решениями. А реально делавших это руками - и того меньше :(. Когда меня в прошлом году выперли из Инфовотч, я даже подумывал сделать специального DLP-интегратора, который бы продавал свои услуги крупным интеграторам. Если кто-то соберется рискнуть - пылится бизнес-план.

Про картель. Пока игрокам более эффективно рынок расширять, вместе убеждая заказчиков, что нужно покупать такие продукты. Причем достаточно просто убедить заказчика купить несколько продуктов, т.к. "в лоб", по функциям, они друг с другом не конкурируют. Поливание конкурирующих продуктов - интересная, но не прибыльная альтернатива. Заказчик вместо того, чтобы купить один продукт, вообще не покупает ничего, считая, что все продукты пока сыроваты. "10 вопросов к Инфовотч" от бывших коллег или "Forrester-ские письма" от Associates - типичный образец кидания какашками :))). Давно предлагаю вместе развивать рынок, но пока всем интереснее бегать по нашим заказчикам :). Устанете - присоединяйтесь, это не антивирусный рынок, которому вы посвятили последние 10 лет, тут место есть всем. Поверьте человеку, которы продал этого добра почти на 25 миллионов.

Всем удачи,

Рустэм

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Всем привет. Поскольку на этоу тему пишут 5-6 человек, предлагаю всем попить пива и все обсудить друг с другом. Например, картель ). После цензуры стенограмму можно будет выложить сюда . Давайте сделаем вендорский DLP-expert.

Я слабо представляю, что вам может помешать это сделать. Ну кроме пропасти взаимного недоверия :)

Про экспертизу. Кирилл прав - с экспертизой беда. Интеграторы экспертизу пока не развивают, предпочитают продать лицензию, а работы отдать вендору. У вендоров просто недостаточно ресурсов - один два инженера.

А это вытекает из малого рынка, так как вкладываться серьезно во что-то мутное не то что страшно, а скорее не понятно зачем. Плюс, а как же без этого, не внятная позиция вендоров.

Про картель. Пока игрокам более эффективно рынок расширять, вместе убеждая заказчиков, что нужно покупать такие продукты. Причем достаточно просто убедить заказчика купить несколько продуктов, т.к. "в лоб", по функциям, они друг с другом не конкурируют.

Рустэм, твоя позиция по дополняюшим продуктам, ты знаешь, мне близка. Тут ты ее описал несколько поверхностно, и правильно сделал, но в целом я ее горячо поддерживаю. Мысль стоит донести (вбить) не многим коллегам по рынку, хотя тут есть конечно проблемы. В стане DLP вендоров, DLP в основном занимаются люди технические...

Растраивает позиция по DLP-эксперт и DLP Russia... В приватных беседах представители вендора признают, что отсуствие единой политики и попытка тупой конкуренции основная проблема внедрения и продаж и сия инициатива в целом позитивна. Но участвовать не хотят по причине того, что организовал IW (KAV) - вдруг нас всех кинут... То что эксперты, приглашенные в клуб, являются уже клиентами другого, отличного от IW решения, как аргумент работает слабо...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Растраивает позиция по DLP-эксперт и DLP Russia... В приватных беседах представители вендора признают, что отсуствие единой политики и попытка тупой конкуренции основная проблема внедрения и продаж и сия инициатива в целом позитивна. Но участвовать не хотят по причине того, что организовал IW (KAV) - вдруг нас всех кинут... То что эксперты, приглашенные в клуб, являются уже клиентами другого, отличного от IW решения, как аргумент работает слабо...

Тебе говорят одно, а делают другое :).

Symantec и WebSense (от имени Associates) стали спонсорами DLP-Russia (respect, коллеги), на этой неделе будет пресс-релиз. Trend Micro присоединится тоже, если им к ноябрю будет что показать. Microsoft собирался сделать мастеркласс по внедрению RMS. Oracle с Форсом заявились показать решения от инсайдеров стендом, но пока окончательно не подтвердили. McAfee будет через партнера со стендом, но будет! Переговаривались еще два российских производителя, но потом их задушило земноводное.

Для начала больше и не надо - все уважаемые участники налицо. Симантек обещал привезти гуру из Vontu, поэтому мест в пленарном выступлении уже нет. Тебе советую присоседится, пока есть свободные мастер-классы.

После конфы будет понятнее, кто останется с Советом, а кому это не нужно. С Симантеком точно договорились о поддержке Совета - чувствуется стратегическое мышление. Есть разница, когда вендор представлен офисом, а не независимой компанией, у которой, в общем случае, интересы с вендорскими не совпадают. Есть взаимопонимание с Трендом, их пока сдерживает отсутствие живого продукта, но это скоро пройдет :). Совет - самый быстрый способ выйти на рынок, запустить продажи "от пользователя к пользователю", большинству это понятно.

В январе эксперты уже придумали еще одно мероприятие Совета - деловую игру на несколько дней. Симантек уже участвует. Думаю, другие тоже подтянутся.

Главное собраться вместе и не испугаться друг друга :). Тема есть. Например, в требованиях ФЗ "О персональных данных" есть что угодно (шторки, защищенные телефонные линии, шифрование, антивирусы, ограничение физического доступа и т.д.), только не DLP. Если в требованиях появится наличие DLP - рынок к 10 году увеличится на порядок. В Совете есть представители Думы и регуляторов (не все согласились вывеситься на сайте, но они есть), поэтому нужно только задать правильное направление.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Если интересно, выложу шесть статей, расширяющие каждый тезис статьи Вениамина и программу восьмичасового курса "Введение в защиту от утечек информации", который читаю в нескольких учебных заведениях. Кстати, в курсе есть кусок из презентации Вениамина, по которой он учит продавцов Леты, я очень ценю его вклад в развитие рынка.

Очень интересно, был бы признателен на упомянутые статьи и программу обучающего курса.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Symantec и WebSense (от имени Associates) стали спонсорами DLP-Russia (respect, коллеги), на этой неделе будет пресс-релиз. Trend Micro присоединится тоже, если им к ноябрю будет что показать. Microsoft собирался сделать мастеркласс по внедрению RMS. Oracle с Форсом заявились показать решения от инсайдеров стендом, но пока окончательно не подтвердили. McAfee будет через партнера со стендом, но будет! Переговаривались еще два российских производителя, но потом их задушило земноводное.

Супер супер супер :) То что ты мне сегодня расказал - крайне "отпозитивило" :)

Для начала больше и не надо - все уважаемые участники налицо. Симантек обещал привезти гуру из Vontu, поэтому мест в пленарном выступлении уже нет. Тебе советую присоседится, пока есть свободные мастер-классы.

Ну вишь все решили сегодня, так что мы с вами :) Так что 5-6 го плотно все пообщаемся.

Что бы понятнее было Поликом Про примет участие в DLP Russia 08 - основная заслуга Рустэма, псиб, уговорил :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Что бы понятнее было Поликом Про примет участие в DLP Russia 08 - основная заслуга Рустэма, псиб, уговорил :)

Не пожалеешь, :). До конца недели вывесим списки зарегистрировавшихся компаний - есть кого погрузить. 5-го вечером будет междусобойчик для членов экспертного совета и спонсоров, тебе обязательно нужно быть - познакомишься с людьми, которые распределяют крупнейшие ИБ бюджеты в России. Сегодня присоединился еще Аладдин, тебе привет от Леши Комарова и Жени Скибы.

Осень полна событий и новинок - новые продукты и новые вендоры на этом поле. Хочется всего успеть и ничего не пропустить. Коллеги из Анти-Малваре, планируются ли ваши корреспонденты на InfoSecurity Moscow и DLP-Russia? Очень хочется к концу года получить (создать?) дайджест всех событий и кратенький обзор всех продуктов на этом рынке. Собираетесь ли что-то делать в этом направлении? Чем можем помочь?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
и спонсоров, тебе обязательно нужно быть - познакомишься с людьми, которые распределяют крупнейшие ИБ бюджеты в России. Сегодня присоединился еще Аладдин, тебе привет от Леши Комарова и Жени Скибы.

Нда уже месяц пересечься не можем, а надо бы :) Псиб. А Аладдин о чем будет вещать ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Коллеги из Анти-Малваре, планируются ли ваши корреспонденты на InfoSecurity Moscow и DLP-Russia? Очень хочется к концу года получить (создать?) дайджест всех событий и кратенький обзор всех продуктов на этом рынке. Собираетесь ли что-то делать в этом направлении? Чем можем помочь?

Конечно, я буду на обоих мероприятиях обязательно. Что касается дайджеста событий и каталога продуктов, то мы точно будем это делать. В помощь нам очень бы не помешали хорошие описания продуктов для каталога (на стничку не больше), желательно со парой скришотов.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Чегой-то модераторы недосмотрели. За тему статьи вышло обсуждение.

Относительно статьи: Вениамину большое спасибо. Получилось красиво: "популярно о сложном".

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!


Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.


Войти с помощью Facebook Войти Войти с помощью Twitter
Anti-Malware.ru Вконтакте   Anti-Malware.ru в Facebook   Anti-Malware.ru в Twitter   Anti-Malware.ru в LinkedIn   RSS