Сергей Ильин

Интервью с Вениамином Левцовым, Директором департамента развития LETA IT-company

В этой теме 18 сообщений

Уважаемые коллеги!

Предлагаю вашему вниманию интервью с Вениамином Левцовым, Директором департамента развития LETA IT-company.

http://www.anti-malware.ru/node/724

Интервью полностью посвящено DLP-рынку России: его состоянию в целом, существующим игрокам, продуктам и тонкостям их внедрения. Я думаю, взгляд Вениамина на рынок должен быть интересен потому, что именно на стороне интегратора, каким являемся LETA IT-company, наилучшим образом видны потребности рынка и его тенденции.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Черт, забавно сегодня было пытаться общаться по сему интервью, еще его не читая. Честно говорил всем, с кем общался по телефону: «Не читал еще ! Нет мнения ) Дай прочесть, потом пообщаемся !». А они все о том же «Левцов на Инфовотч наехал !».

Теперь понял о чем речь Но !

Вениамин, а ты не хочешь «раскрыть» вот этот абзац ?

Возможно, многие со мной не согласятся, но в результате рынок немного от всего этого устал. Некоторые технические сложности реализации проектов на базе InfoWatch в сочетании с активным маркетингом вызвали падение доверия и к решению как таковому, и к классу продуктов в целом. Мы были тому свидетелями в последние полтора года.

Так как читается очень не однозначно. Варианты прочтения от:

«Инфовотч все делал не так, и все устали»

до «Так как рынок двигал один Инфовотч, а все остальные вендоры заняли выжидательную позицию – если что получится, мы придем на поляну Инфовотча».

Мое мнение, тезисы что ли (вдруг кому интересно ?! ;):

- InfoWatch проделал и делает колоссальную работу.

- Остальные вендоры заняли или выжидательную позицию или им просто было не России (но это специфика рынка – все компании (до покупки) компании: «Мама, Папа, я – спортивная семья»);

- Поведение (позиционирование) вендора, который появился вторым, считаю не корректным и даже тупиковым могло привести к такому позиционированию: «Websense ? А знаем-знаем ! Это которые Infowatch ругают». Не смотря на это, ребята очень быстро смогли нарастить компетенцию у партнеров – тут наверно наложилась усталость от InfoWatch. В нужное время в нужном месте.

- Положа руку на сердце, года два назад у меня было стойкое мнение: «InfoWatch дело хорошее, но мы никогда сотрудничать не будем» - получилось по другому, чему я рад :)

- Вендора номер три – желтенький такой :) . По сути, сначала за уши тащили потенциальные партнеры, а потом за уши тащил российский офис. Получилось пока половинчатое решение. Но с другой стороны он уже присутствует и два подобранных партнера – действительно сильные. Хотя очевидно они будут не единственные. Хотя иногда позиция отдельных личностей из компании мне кажется хамоватая – но может это накладывает просто, что мы раньше работали вместе – думаю пройдет ;)

- Про красных антивирусных сложно что-то сказать. Так как они только вылезли – чуть подождать надо :)

- Забавно, что большие усилия, что бы сократить свою долю на российском рынке InfoWatch делает – сам InfoWatch – при том осмысленно и грамотно.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Честно говоря не вижу никаких наездов в словах Вениамина ... DLP не внедряется на раз-два-три, заказчики это поняли - сказки не ожидается. Infowatch как драйвер рынка, естественно рискует, так как первым быть всегда тяжело. Понабиваешь шишки, а потом кто-то желтый, синий или красный будет двигаться по проложенным рельсам почти на халяву.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Честно говоря не вижу никаких наездов в словах Вениамина ... DLP не внедряется на раз-два-три, заказчики это поняли - сказки не ожидается. Infowatch как драйвер рынка, естественно рискует, так как первым быть всегда тяжело. Понабиваешь шишки, а потом кто-то желтый, синий или красный будет двигаться по проложенным рельсам почти на халяву.

Вот ! Это к вопросу кто ка читает. Я то же прочитал как ты, но еще не читая интервью слышал что кто-то прочитал это как наезд. Поэтому, мне кажется, что стоит развернуть ответ или прокомментировать.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

А на мой взгляд, как ни читай, в любом случае вывод будет один и тот же и в нем я полностью согласен с Вениамином: ИнфоВотч проделал большую работу по подготовке рынка и его информированию, за что ему большое спасибо. Однако, уникальную возможность перейти от слов к делу они упустили, видимо ошибочно полагая что запас прочности еще велик, а западные конкуренты еще долго не будут обращать внимание на российский рынок; это и было самой главной ошибкой. Теперь место придется уступить тем, кто не только хорошо знает что такое DLP, а еще и предлагает конкретные решения и продукты. Что это за компании - смотрим квадрант Лидеров Магического квадрата Гартнера

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Теперь место придется уступить тем, кто не только хорошо знает что такое DLP, а еще и предлагает конкретные решения и продукты. Что это за компании - смотрим квадрант Лидеров Магического квадрата Гартнера

Сам собой Гарднер не позволяет даже войти в тройку лидеров на антивирусном рынке России. Откуда же такой пафос по DLP? Просто так упражняться в красноречии - скучно, и главное - неприбыльно.

Предлагаю тебе пари на два миллиона рублей, кто из нас в 2009 году сделает в России больше. Вениамина позовем в гаранты и аудиторы, как независимого эксперта и общего партнера всех DLP-вендоров. А читателей anti-malware - в свидетели.

За слова иногда имеет смысл отвечать, а то никто всерьез воспринимать не будет. Спорим или будем за квадраты прятаться?

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Михаилу Орешину и Сергею Ильину

Сегодня ожидания заказчика по DLP не совпадают с функционалом реализованных проектов, участники DLP-Russia это отмечали. Это связанно, в том числе, с прямолинейным пиаром: "замучили утечки, покупай DLP". Попользовав один продукт, сначала заказчики решили, что проблема или в продукте, или технологии (лингвистике). Те кто попробовал отпечатки или метки, загрустили еще больше - халявы не будет, никакой технологией целиком проблему не решишь, придется вкалывать самим...

К сожалению, такая ситуация усугубляется нежеланием интеграторов инвестировать в экспертизу. Максимум, чему они учатся - инсталляции и настройке. Поэтому функционал продуктов используется процентов на 20. С этим столкнулись не только мы. но и другие вендоры.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Рустэм, я думаю не стоит спускаться на уровень пустой полемики. Я лишь высказал свое мнение и прогноз, основанные на текущей ситуации на рынке, мнение Заказчиков и некоторых других факторах; все, что зависит от меня, чтобы он оказался верным - я сделаю, это уж точно :rolleyes:

То что Инфовотч в ближайшее время останется лидером рынка DLP в России я не подвергаю сомнению (тем более достойные внимания продукты и решения у компании есть), так как помимо технологических факторов, всегда остаются не менее важные - географическая близость к Заказчикам, знание особенностей работы на локальном рынке и др. Что касается квадратов и прочих геометрических фигур, то к ним конечно же нельзя относиться как к единственному показателю того, кто находится на каком месте, однако думаю подвергать сомнению тот факт, что они хорошо отражает динамику распространения тех или иных продуктов и решений среди Заказчиков

Да и рынок DLP в ближайшие годы будет таков, что места на нем хватит всем, другой вопрос что требования к технологиям у Клиентов будут все серьезнее и серьезнее...

Сегодня ожидания заказчика по DLP не совпадают с функционалом реализованных проектов, участники DLP-Russia это отмечали. Это связанно, в том числе, с прямолинейным пиаром: "замучили утечки, покупай DLP". Попользовав один продукт, сначала заказчики решили, что проблема или в продукте, или технологии (лингвистике). Те кто попробовал отпечатки или метки, загрустили еще больше - халявы не будет, никакой технологией целиком проблему не решишь, придется вкалывать самим...

И кто в этом виноват как не производители DLP решений? Многие доносят ли до клиентов, что решений проблем утечек Информации - это не только покупка и внедрение DLP продукта, но и изменение самого подхода к созданию, хранению и перемещению информации

К сожалению, такая ситуация усугубляется нежеланием интеграторов инвестировать в экспертизу. Максимум, чему они учатся - инсталляции и настройке. Поэтому функционал продуктов используется процентов на 20. С этим столкнулись не только мы. но и другие вендоры.

А много ли интеграторов способных на это? Их единицы и эти единицы и двигают новые технологии, такие как DLP, в массы. Те интеграторы, кто понимает что DLP - это не только установка и настройка, но и много работы по аудиту и обучению, наиболее востребованы сейчас на рынке, а у остальных еще есть время подготовиться к его бурному росту

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Нет, так нет - достаточно, что "уступить место" сменилось на "сделаю все возможное" :). Принято.

В несовпадении ожиданий виноват незрелый рынок. Я не верю, что злые продавцы обманывают глупых заказчиков. Все происходит с обоюдного согласия. Все знают, как надо делать, но никто этого не делает, ни продавцы, ни покупатели. Первым нужно продать лицензии, у них квоты, планы и комиссионные - отсюда нежелание вкладываться в развитие рынка и экспертизу. Левцов правильно говорит про процедуру внедрения, но и его компания ничего этого не делает. Вторым скорее нужно поставить галочку "проблема решена".

Отсюда субъективный прогноз на ближайшие два года.

1. Рынок. Рывка не будет. Рынок DLP - рынок пассивного спроса, компании жили без этой технологии 40 лет, еще пару лет легко потерпят. В кризисе часть заказчиков - коммерческие банки и промпредприятия. Платежеспособные заказчики - госы, госбанки, ТЭК, телекомы - сокращают расходы. Поэтому миллионных контрактов не будет, а на много маленьких ни у кого не хватит ресурсов.

2. Интеграторы. Партнеры никого двигать не будут, займут выжидательную позицию. Мультивендорные партнеры договорятся со всеми участниками рынка, выполнив минимальные требования для поставки лицензий. Одновендорные партнеры, будут пытаться получить заказы не у заказчика, а у вендора.

3. Лидер. В этой ситуации одна крупная сделка может резко изменить рыночное положение. Шансы есть у всех, у каждого вендора свои плюсы и минусы, причем не только в продуктах, но и в лицензионной политике, партнерских программах, наличии сертификатов и т.д.. Будет много маленьких игроков - "вендор одного заказчика".

4. Фичи. Поскольку решение будут принимать не технари, бренд, близость к заказчикам и возможность адаптировать продукт будут более востребованы у платежеспособных заказчиков, чем технические фичи.

В такой ситуации любая сделка будет работать на рынок, раскручивать ситуацию "у всех есть DLP-продукты, а у нас нет", помогать остальным игрокам продавать, рекрутировать новых партнеров и т.д., Кто-бы не выиграл в относительных цифрах, в абсолютных выиграют все участники рынка.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

В кризисе, как и в абсолютно любом событие, есть и позитивная сторона. Возрастают шансы на передел рынка для тех, кто будет работать лучше других, тут я согласен с пунктов 3 у Рустема. Если кто-то имеет намерения переделить рынок под себя, то делать это надо именно в кризис, когда всем тяжело.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

А есть данные по долям рынка (такой-то продукт занимает столько-то %%) и вообще объем всего нашего DLP-рынка? ;)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
А есть данные по долям рынка (такой-то продукт занимает столько-то %%) и вообще объем всего нашего DLP-рынка? ;)

Нет данных :(.

Во-первых, в России никто не заморачивается считать DLP-рынком, у нас "аналитики" считают рынок "средств защиты от утечек", в него включают все, что каким-то боком можно отнести к этой теме. Форрестеровские вендоры, одно-канальные решения (Дозор, MIME Sweeper, IBM email Security), системы управления доступом (DeviceLock, Device Control, Zlock), corporate spyware, системы анализа корпоратиного контента без возможности блокирования (Софтинформ) и DRM - системы. Поэтому за 2007 год "аналитики" называют цифры от 20 до 120 млн.

Во вторых, из всех вышеперечисленных, кроме InfoWatch, никто о результатах продаж не отчитывается. Наверное, боятся испугать "аналитиков" объемами продаж. Поэтому "аналитики" питаются слухами, а слухи запускать - не мешки ворочать. Начинаешь проверять - начинают путать инсталляции и продажи :)). Вылезают бесплатные пилоты, годичные отсрочки платежа и т.д. Рынок - это когда платят, а не когда даришь :).

Мы скромно считаем, что в ценах заказчика занимаем в России половину рынка "околоутечных" продуктов на корпоративном рынке (от 1000 пользователей, у нас это минимальная инсталляция), Левцову отдельное спасибо за 70%. В 2008 у нас будет 280 млн рублей по уже заключенным контрактам. Боюсь, что это единственная достоверная цифра, которую мы увидим по 2008. Даже лидер по борьбе с утечками по версии CNews цифр о своем лидерстве не раскрывает. У меня есть ощущение, что Крок одного только InfoWatch Traffic Monitor продает больше, чем лидер - всего DLP. Почему тогда Крок не лидер? Надо будет спросить CNews, где они берут данные.

Я давно предлагаю всем проаудироваться и посчитаться для собственного блага, хоть под IDC, хоть под Anti-Malware. По 2008 году такой отчет будет делать DLP-Expert, но боюсь, точные данные будут только по InfoWatch, остальные "ответят уклончиво" :)).

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Поэтому за 2007 год "аналитики" называют цифры от 20 до 120 млн

интересные "аналитики", учитывая, что веcь мировой DLP за 2007-й это 150 лямов, а на 2008-й это около $210-250M ;)

где берет CNews данный понятно, это не секрет - в их опроснике можно нарисовать любые цифры. Я уж не говорю, что одни и теже деньги считаются по нескольку раз (у вендоров, у дитрибуторов и у интеграторов).

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
А много ли интеграторов способных на это? Их единицы и эти единицы и двигают новые технологии, такие как DLP, в массы. Те интеграторы, кто понимает что DLP - это не только установка и настройка, но и много работы по аудиту и обучению, наиболее востребованы сейчас на рынке, а у остальных еще есть время подготовиться к его бурному росту

Кирилл, не хотелось бы перекидывать мячик, но разве это не задача вендоров ?

Донести до рынка какой-то общий вижн. Донести то партнеров (в данном случае интеграторов), что собственно им стоит сделать и зачем. Обычно же сотрудничество с новым вендором или со старым, но по старым решениям сводится к следующим предложениям (тут не только про DLP)

1) Надо обучить 1 sale-а и двух технарей – сдать экзамены

2) Давайте мы что-нибудь за фигачим вместе, мы компенсируем половину по затратам

3) Готовы ездить с вами по presale-ам куда угодно

4) В целом, сами предлагайте, как вы нас будете продавать, а мы посмотрим…

5) Подробный рассказ о ТТХ продукта…

Скучно :-/ И не конструктивно. Давай возьмем твою презу с DLP Russia – просто под руку подвернулась. Если тебе кажется, что это наезд на тебя представь что я обсуждаю презу Миши Кондрашина по Ликпрув. Или Миши Прибочего по DSS.

Итак

1) Первые 3 слайда стандартная статистика/пугалочка и слова как это важно

2) Короткое описание, что это за решение– пару фраз буквально…

3) Далее матерные технические слова по самой системе и что с чем интегрируется…

4) Ну и под конец добить всех гартнером и клиентами…

Да это стандарт презентаций – но это мог быть любой продукт DLP, да даже не DLP, в эту схему антивирус ляжет, антиспам – что угодно.

Мы скромно считаем, что в ценах заказчика занимаем в России половину рынка "околоутечных" продуктов на корпоративном рынке (от 1000 пользователей, у нас это минимальная инсталляция), Левцову отдельное спасибо за 70%. В 2008 у нас будет 280 млн рублей по уже заключенным контрактам. Боюсь, что это единственная достоверная цифра, которую мы увидим по 2008. Даже лидер по борьбе с утечками по версии CNews цифр о своем лидерстве не раскрывает. У меня есть ощущение, что Крок одного только InfoWatch Traffic Monitor продает больше, чем лидер - всего DLP. Почему тогда Крок не лидер? Надо будет спросить CNews, где они берут данные.

То есть весь рынок около DLP ~ 20-22 мил $ на 2008 год…

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
То есть весь рынок около DLP ~ 20-22 мил $ на 2008 год…

уверен, что меньше! Мне кажется, что идет подмена понятий,когда рынок Information Protection & Control (IPC) выдается за DLP. Но это мое частное мнение ;)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

"Первое: никаких тестовых сред. Запускать надо только на реальной информационной системе компании и реальных документах.

Второе: только мониторинг. Случайная ошибочная блокировка важного письма генерального директора может убить проект на взлете.

Третье: секретность. Сотрудники не должны быть осведомлены о запуске системы.

Четвертое: срочность. У DLP проектов есть негативный налет «долгостроя». Максимальный срок запуска и тестирования не должен превышать трех месяцев, что вполне реально при работе с большинством представленных продуктов. "

Очень интересно чем обусловлено рождение 1,3 и 4-го принципов.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
уверен, что меньше! Мне кажется, что идет подмена понятий,когда рынок Information Protection & Control (IPC) выдается за DLP. Но это мое частное мнение ;)

Так и есть, я и сказал "околоутечных" продуктов, DLP конечно меньше. Из форрестеровских вендоров в 2008 году в России были сделки у InfoWatch, Websense и McAffee, до конца года будут сделки по Vontu, может и TrendMicro что-то продать успеет. Периметрикс считаем? Они обещали в этом году сделать 5 миллионов долларов, но продукт позже запланированного появился, тем не менее двух клиентов они называли на Infosec Moscow, клиентам можно тупо позвонить.

Ты скажи вендоров, которых относишь к DLP, вместе и подсчитаем. На корпоративном рынке все сделки известны, известны все цены, политика лицензирования и количество проданных лицензий, тут не напишешь, как в cnews, что угодно, всегда есть у кого спросить :).

А вот как считать в СМБ - пока непонятно.

Хотя все это абсолютно ненужные упражнения. Реально DLP продукты конкурируют не только между собой, а еще и с кучей продуктов, от DRM до HIPS (сам однажды выиграл тендер против CA HIPS). Поэтому это и есть рынок, который интересно считать - сколько денег тратят российские компании на борьбу с утечками.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
интересные "аналитики", учитывая, что веcь мировой DLP за 2007-й это 150 лямов, а на 2008-й это около $210-250M ;)

Это охренительный прорыв - обычно для корпоративных ИБ систем российский рынок составляет 1-2% от мирового, а тут только наши аудированные продажи составляют > 5% от мирового рынка. А мы DLP - у нас и справка от Форрестера есть :). В 2007 были сделки по Websense CPS, т.е. наш рынок DLP - составляет >7% от мирового, при том, что ни по населению, ни по ВВП, ни по каким другим показателям мы не приближаемся к этому соотношению. Тогда получается, что DLP-единственный рынок, где Россия потребляет такую высокую долю мирового потребления. Ну хорошо, самую большую из хайтековских продуктов. Ведь есть еще Майбахи и Бентли :).

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!


Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.


Войти с помощью Facebook Войти Войти с помощью Twitter
Anti-Malware.ru Вконтакте   Anti-Malware.ru в Facebook   Anti-Malware.ru в Twitter   Anti-Malware.ru в LinkedIn   RSS
  • Сообщения

    • evseev.pl
      Ищем дизайнера в команду.   Разыскиваются крутые веб дизайнеры для творческого проекта в красочных проектах студии LegalRC.
      Тематические разделы:
      Кристальный звездопад
      Снежная королева
      Колумбийский барон
      Снуб Дог продакшен
      Марсианин
      Шишкин
      Hydra магазин моментальных кладов Пример дизайна студии: http://shamarc.shop/
      http://bioticrc.com/
      http://bro24.cc/
      http://speedliner24.co/
      http://vitalya-bro.bz/ Оплата попроектаная, от 70к за крутой дизайн.
      Пиши свой джабер под темой и ссылку на портфолио, мы обязательно свяжемся с тобой!
       
    • AM_Bot
      Пользуясь интернетом, вы наверняка услышите о существовании вредоносных веб-сайтов. Сервис Virustotal, например, хорошо известен в Сети тем, что с помощью него можно узнать, какой сайт является вредоносным, а какой безобидным. Но что на самом деле значит факт признания сайта «злонамеренным»? Какие конкретно действия выполняют эти сайты? Давайте попробуем разобраться, как работают такие сайты, как их вычислить и защитить себя.  Каким образом действует вредоносный сайтСайты, заражающие пользователей без взаимодействия с нимиКак можно защитить себяВыводыКаким образом действует вредоносный сайтМожно выделить два основных типа вредоносных сайтов. Первым требуется взаимодействие с пользователем для осуществления заражения, вторым же не нужно никаких действий пользователя. При посещении злонамеренного сайта можно заразиться несколькими способами, например, нажать на рекламный баннер, загрузив себе на компьютер вредоносную программу. Если сайт фишинговый, он может похитить ваши учетные данные, маскируясь под онлайн-банкинг или что-то подобное. Также для заражения порой достаточно просто нажать на ссылку, перейти на сайт и… всё, больше никаких действий не потребуется, все остальное сделает сервер злоумышленника.Рисунок 1. Предупреждение браузера о подозрительном сайтеВ случае загрузки вредоносного файла механизм прост: вы заразите свой компьютер, как только запустите такой файл (это не обязательно должен быть exe-файл, это вполне может быть изображение или PDF). Если же мы говорим о вредоносной рекламе, тут все немного сложнее — часто такая реклама, изначально являясь безобидной, располагается на вполне легитимных и заслуживающих доверия сайтах, только затем оснащаясь вредоносной составляющей, заражающей посетителей этого легитимного сайта. В некоторых случаях для заражения необходимо нажать на такое рекламное объявление, при этом вы будете перенаправлены на злонамеренный веб-сайт. В других случаях от вас не потребуется даже этого, заражение произойдет автоматически, в фоновом режиме.Сайты, заражающие пользователей без взаимодействия с нимиКогда мы говорим о сайтах, способных заражать домашние компьютеры, не требуя каких-либо действий от пользователя, мы задаемся вопросом, как они работают. Ответ заключается в основном в двух технологиях — JavaScript и Flash. Когда вы посещаете сайт, созданный с использованием только HTML (в настоящее время очень редко можно встретить сайт без JavaScript, однако давайте говорить теоретически), основное поведение веб-приложения заключается в том, что вы запрашиваете страницу, а сервер отображает ее в качестве ответа.На стороне клиента в этом случае ничего опасного не происходит. Использование только HTML приводит к многочисленным ограничениям при рендеринге веб-страницы, поэтому вполне вероятно, что веб-разработчик захочет использовать JavaScript — язык, который поможет ему сделать его веб-страницы более запоминающимися и функциональными.Если позволить скриптам выполняться на стороне сервера, это будет сильно перегружать его, поэтому JavaScript выполняет скрипты на стороне клиента (таким образом, скрипт запускается непосредственно на вашем компьютере), что приводит к оптимизации работы сервера.Следовательно, мы имеем ситуацию, в которой вредоносный сайт может выполнить скрипт на компьютере пользователя без его ведома. Более того, злоумышленники сейчас часто используют обфускацию кода, запутывая его и шифруя, поэтому даже при анализе исходного вредоносной кода страницы пользователь не обнаружит ничего подозрительного.Как можно защитить себяГоворя о безопасности в случае, когда сайт пытается заразить вас после определенного действия с вашей стороны, совет простой — избегайте нажатия на рекламные баннеры и загрузки непонятного содержимого на ваш компьютер. Если вам очень хочется нажать на рекламное объявление, рекомендуется сделать это на виртуальной машине или проверить на раннее упомянутом Virustotal, это позволит трезво оценить потенциальный риск.Однако здесь вы можете столкнуться с редиректом или серией редиректов, тогда Virustotal вам вряд ли поможет. Можно, конечно, положиться на работу вашего антивируса и брандмауэра, однако мы все прекрасно понимаем, к чему это обычно приводит.Рисунок 2. Наиболее популярные векторы атакЧто касается второго сценария, когда для заражения от вас не требуется никаких действий, тут рекомендация такова — всегда обновляйте браузер. Большинство таких атак нацелены на уязвимое программное обеспечение, причем используются хорошо известные уязвимости. Поэтому специалисты в области информационной безопасности не устают повторять — обновляйте все, что обновляется у вас в системе.Но и тут есть оговорка — данная стратегия не спасет вас от уязвимостей нулевого дня (0-day). В этом случае можно посмотреть на то, какие браузеры наиболее популярны, и пользоваться менее популярным, так как злоумышленники изначально нацелены на то, чтобы охватить как можно более обширную аудиторию пользователей.В качестве еще одного способа можно создать в браузере некий черный список известных вредоносных сайтов, что гарантированно убережет вас от посещения таких сайтов, однако придется постоянно обновлять такой список, внося новые сайты. Кроме этого, у Google есть такой список сайтов, так что поисковая система непременно отобразит вам предупреждение при попытке посетить злонамеренный веб-сайт.ВыводыОзнакомившись с основными принципами работы вредоносных сайтов, вы сможете сделать правильный выбор, который поможет обеспечить безопасность вашего компьютера. В целом все строится вокруг прописных истин (не посещать сомнительные сайты, обновлять программы), но иногда и популярные легитимные сайты взламывают, размещая на них вредоносный код. Так что просто стоит учитывать общие моменты и понимать степень риска. Читать далее
    • ViktorFazz
      Я постоянно захожу на портал bookmakers24.ru смотрю рейтинги букмекерских контор. Даже когда в командировки езжу, захочу с телефона и ставлю ставки.
    • ViktorFazz
      я себе недавно построил тоже)))
    • AM_Bot
      В статье рассказано о возможностях системы StaffCop Enterprise 4.1 в части аналитики поведения пользователей и выявления аномалий. StaffCop Enterprise — это специализированный продукт с функциями UEBA, DLP и SIEM. Он предназначен для решения комплекса задач по защите от утечек информации, расследования инцидентов внутри организации, контроля бизнес-процессов и мониторинга использования рабочего времени сотрудниками.   ВведениеСбор данныхСтатистический анализИнтеллектуальный анализ. Автоматический детектор аномалийПредупреждение и расследованиеДополнительные возможности StaffCopВыводы  ВведениеОдна из основных, самых серьезных угроз для бизнеса сегодня — это утечки конфиденциальной информации. Как правило, источниками таких угроз являются недобросовестные сотрудники компаний — инсайдеры. Инсайдером может стать абсолютно любой сотрудник: и молодой сисадмин, и сотрудница бухгалтерии. Мотивы у них могут быть совершенно различные: подкуп со стороны конкурентов или заинтересованных лиц, шантаж, личная выгода и многое другое.Традиционно для защиты от утечек применяются системы класса DLP. Но чем сложнее и изощреннее становятся методы атак, тем сложнее DLP-решениям контролировать потенциальные каналы утечек. Классический алгоритм выявления инсайдеров и предотвращения утечек (настроить правило контроля/блокировки — получить уведомление об утечке) работает уже не так эффективно: выявить утечку данных сложно и долго, если, например, «слив» произошел через разрешенные каналы (USB-носители, мессенджеры) и пользователь при этом имел санкционированный доступ к ресурсам.Одним из новых, но достаточно эффективных методов детектирования инсайдеров стал анализ поведения пользователей и выявление аномалий в их поведении. Подход подразумевает, что необычная активность, не соответствующая стандартному профилю, может более точно указывать на потенциальные инциденты информационной безопасности. По классификации Gartner, этот класс решений называется User and Entity Behavior Analytics (UEBA). Это новый тренд, активно набирающий обороты на рынке информационной безопасности. Решения этого класса анализируют образцы поведения пользователей, применяя специализированные алгоритмы и статистический анализ для детектирования значительных аномалий в поведении, указывающих на потенциальные угрозы. Таким образом, UEBA призваны заблаговременно обнаружить и предупредить об отклонениях в поведении.StaffCop Enterprise, о котором мы подробно поговорим в этой статье, — это специализированный продукт с функциями UEBA, DLP и SIEM. Он помогает решать комплекс задач по предотвращению утечек информации, расследованию инцидентов, если таковые произошли, а также контролировать бизнес-процессы и то, как рабочее временя используется сотрудниками. Сбор данныхИнформационная безопасность складывается из двух взаимодополняющих частей: предупреждение и расследование инцидентов. Оба механизма работают быстро и эффективно благодаря архитектуре StaffCop: агенты на рабочих станциях собирают информацию (события), а вся обработка происходит на выделенном сервере.Каждый тип события имеет свой набор измерений, по которым события разных типов могут быть связаны между собой. Каждое событие имеет стандартный набор измерений — данные о компьютере, пользователе, дате и времени, а также собственные атрибуты характерных для данных событий. Например, события типа «почта» имеют дополнительные измерения — данные о приложении, атрибуты, специфичные для диалогов: направление (входящие/исходящие), отправитель, получатель, формат сообщения, канал общения, участники переписки. Рисунок 1. Контроль каналов утечки информации Типы событий в StaffCop Enterprise:время активности — данные о наличии активности;ввод с клавиатуры;вход/выход из системы;посещение сайтов;операции с файлами;сеть — события, связанные с сетевыми подключениями, содержат информацию об IP-адресе подключения и сокете;снимок экрана;снимок с веб-камеры;запись с микрофона;внешние диски — данные об операциях со съемными USB-накопителями;установка ПО — факты установок и деинсталляции программного обеспечения;буфер обмена;интернет-пейджер;почта;перехваченный файл;устройства — данные о подключении и отключении USB-устройств, в том числе тех, которые не являются накопителями;активность — данные, собранные при помощи модуля контроля присутствия на рабочем месте;системный лог — используется для хранения логов агента при отладке;печать документов. Статистический анализВ основе StaffCop Enterprise лежит технология комплексного многомерного анализа данных OLAP, которая позволяет строить многомерные отчеты «на лету» и обрабатывать огромные объемы данных за секунды.Давайте рассмотрим несколько примеров, как в StaffCop можно анализировать поведение пользователей и быстро выявлять их опасные действия на основе статистики с помощью конструктора отчетов, различных таблиц и графиков.Поиск и расследование аномалий на примере файловых операцийЗадача: проанализировать операции копирования файлов с участием съемных носителей. Найдем отклонения от нормального поведения и всплески активности, узнаем, кто это был, что и когда было скопировано.Самым наглядным способом будет построить линейный график количества событий копирования файлов на съемные носители.  Сделать это очень просто — указать интересующий интервал времени, в конструкторе отчетов ограничить набор данных по измерениям «операции копирования», «тип диска: Removable» и выбрать вид отображения «Линейный график». Рисунок 2. Линейный график количества событий копирования файлов Невооруженным взглядом видно значительное превышение фактов копирования файлов в один из дней. При нажатии на вершину графика можно перейти к списку всех операций копирования в этот день.Для детализации данных можно просто кликнуть на нужный узел графика. На картинке ниже мы «провалились» глубже и визуализировали полученные данные с помощью гистограммы, разбив в конструкторе данные по пользователям. Рисунок 3. Детализация данных: гистограмма Если вы предпочитаете числовые значения графическому представлению можно воспользоваться таблицами. Рисунок 4. Визуализация отчета: числовые значения Стоит отметить, что все графики и таблицы имеют собственный конструктор для быстрой детализации и уточнения данных. Рисунок 5. На тепловой диаграмме можно оценить интенсивность и время всех операций исследуемого пользователя В нашем случае пользователь непрерывно копировал файлы с 11:15 до 13:37. В просмотрщике событий легко догадаться, что это исходные коды одного из дистрибутивов Linux, которые были скопированы с жесткого диска на флэш-накопитель Kingston DataTraveler 2.0 USB Device. Рисунок 6. Детализация события в StaffCop Enterprise Таким образом можно быстро и эффективно находить нетипичную активность пользователей или программ. Такие действия применимы практически к любым видам событий.Опасные действия чаще всего возникают при спонтанной активизации:обращения к личной почте;сетевая активность приложений;подключение съемных USB-устройств: флэшек, телефонов и т. п.;использование принтера;активность во внерабочее время. Интеллектуальный анализ. Автоматический детектор аномалийДля того чтобы упростить работу сотрудника службы безопасности для аналитики действий пользователей и выявления отклонений в StaffCop реализован автоматический детектор аномалий. Он анализирует поведение пользователя за выбранный период времени и показывает отклонения от нормального поведения. Рисунок 7. Автоматический детектор аномалий в StaffCop Enterprise Например, каждый сотрудник ежедневно использует одни и те же приложения примерно одинаковое число раз. Если число операций многократно превышает стандартное значение, то StaffCop Enterprise выдает такое событие за аномальное поведение, что может являться потенциальной угрозой.Поиск и расследование аномалий на примере копирования в облакоРабочая инструкция офицера безопасности предприятия может включать различный набор инструкций. В этом примере одной из таких еженедельных рутинных задач является проверка фактов копирования файлов в облачные сервисы.Детектор аномалий позволяет в автоматическом режиме находить отклонения от стандартного поведения пользователей. Для того чтобы эта функция корректно работала, необходимо задать представительный промежуток времени, чтобы система смогла построить паттерны поведения и найти в них отклонения от нормы. Поэтому выбираем 30-дневный период. Рисунок 8. Выбор временного периода для запуска Детектора аномалий Чтобы запустить Детектор аномалий, необходимо нажать соответствующую опцию в выпадающем меню Отчеты. Рисунок 9. Запуск «Детектор аномалий» в StaffCop Enterprise В появившемся отчете находим, что пользователь Oksana в семь раз превысила свою же норму копирования файлов в облачный сервис Dropbox.com. Рисунок 10. Отчет по аномалиям в StaffCop Enterprise Простой комбинацией фильтров в Конструкторе располагаем данные в отчете таким образом, чтобы название считанного с жесткого диска файла появлялось в таблице операций рядом с именем передаваемого в облачный сервис файла. Рисунок 11. В отчете StaffCop Enterprise видно, кто, когда и какие файлы передавал за периметр сети На приведенном скриншоте видно, что в 12:58:28 12 сентября 2017 г. файл «Технико-коммерческое предложение StaffCop Enterprise.docx» был считан с жестокого диска компьютера пользователя Oksana, а в следующую секунду (12:58:29) этот же файл был передан в облачный сервис.Вывод: при помощи Детектора аномалий, встроенного в StaffCop Enterprise 4.1, возможно выявлять инциденты автоматически. Предупреждение и расследованиеДля предупреждения угроз StaffCop имеет емкую библиотеку встроенных фильтров и предоставляет широкие возможности для построения собственных: это может быть ключевая фраза, файл или любое другое событие на компьютере пользователя.Кроме того, в системе предусмотрены также исключающие фильтры (анти-фильтры) — можно исключить из выборки заведомо неинтересные события. Таким образом, возможно коррелировать и фильтровать любые события, содержащиеся в базе данных. Рисунок 12. Исключающие фильтры (анти-фильтры) в StaffCop Enterprise 4.1 Способ оповещения о сработавшем фильтре можно настроить в зависимости от срочности: отправкой сообщения на электронную почту офицера ИБ или уведомлением в панели администратора StaffCop. Дополнительные возможности StaffCopStaffCop Enterprise позволяет также легко контролировать дисциплину сотрудников, выявлять блокирующие факторы и расследовать причины их появления:Учет рабочего времени сотрудников в онлайн-режиме (табель учета рабочего времени, детализированные отчеты о рабочем времени каждого сотрудника).Контроль присутствия на рабочем месте.Снимки экрана.Просмотр удаленного рабочего стола и удаленное управление.Подключение к рабочему столу пользователя осуществляется прямо из консоли администратора в браузере, при желании можно захватить управление компьютером. Рисунок 13. Удаленное подключение к рабочему столу сотрудника компании ВыводыStaffCop Enterprise представляет собой мощный набор инструментов для анализа событий и информации, что позволяет оценивать и контролировать продуктивность сотрудников за компьютерами, быстро и точно расследовать инциденты информационной безопасности внутри предприятия, а также решить широкий спектр задач, связанных с ИБ-аналитикой. С помощью StaffCop Enterprise можно контролировать критичные информационные ресурсы на предмет подозрительной активности и нетипичного поведения.Система имеет гибкую настройку фильтров и оповещений, поэтому возможную утечку или вторжение удается обнаружить на ранней стадии, чем существенно сократить последствия. Глобальная система записи всех возможных событий позволяет в случае произошедшего инцидента быстро добраться до источника утечки и точно назвать время, автора и объем утраченной информации. Тепловые карты активности, графы взаимодействий сотрудников и движения информации, настраиваемые графики событий, предустановленные и пользовательские фильтры — все это помогает отследить любой сценарий поведения. Для анализа не нужно обладать специальными знаниями: достаточно понимать, что ищешь, и просто выбирать поля в форме.Таким образом, StaffCop Enterprise позволяет сократить время, требуемое как на обнаружение реальной угрозы, так и на дальнейшее расследование инцидентов с критичными данными. Читать далее