Перейти к содержанию
Н.Зенин

скрещивание DLP и ERM

Recommended Posts

Н.Зенин

Компания McAfee, владелец DLP технологий (бывшие компании Onigma и Reconnex),

заключила соглашение с Liquid Machines, - ведущим вендором рынка Enterprise Rights Management

news.cnet.com

liquidmachines.com

Итоговое решение должно сочетать в себе контроль перемещения + защиту шифрованием кофиденциальной информации от 3 решений:

1) метки - от McAfee DLP (бывшая Onigma);

2) цифровые отпечатки и категорирование - от Reconnex;

3) защита шифрованием с раздачей прав - от Liquid Machines.

Как считаете, господа, не утопия ли это - в рамках одного решения создать то,

что обеспечит столь комплексный подход к защите от утечек?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
Как считаете, господа, не утопия ли это - в рамках одного решения создать то,

что обеспечит столь комплексный подход к защите от утечек?

Думаю стратегия McAfee правильная, ИМХО с таким комплексным продуктом (если вдруг ничего не случится и он увидит свет) больше шансов окучить верхний корпоративного сегмент. Единственное, чего я не понимаю так это некоторую резкость маневров McAfee, как-то их лихорадит ... но может это и оправдано, так как с моей точки зрения бизнес-риски у McAfee выше, чем у того же Symantec, который как-то увереннее себя может чувствовать.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Н.Зенин

Такую же стратегию преследует и Perimetrix,

и в спонсированной Symantec (февраль 2008) статье "Data Drain" Рич Могул говорит что к DLP добавится отслеживание жизненного цикла информации - и получится "CMP":

"the market is transforming from data loss prevention, focused on plugging leaks, to more-robust content monitoring and protection (CMP) designed to protect data throughout its lifecycle."

Идея у многих на слуху. Но если даже быстро приносящие эффект DLP-решения названы еще "не отполированными", когда же CMP можно будет назвать состоявшимся решением для того же корпоративного сегмента? Только у Symantec на это может уйти года два-три.

2008_Information_Security_Magazine_Data_Drain_RM.pdf

2008_Information_Security_Magazine_Data_Drain_RM.pdf

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
dav
Компания McAfee, владелец DLP технологий (бывшие компании Onigma и Reconnex),

заключила соглашение с Liquid Machines, - ведущим вендором рынка Enterprise Rights Management

news.cnet.com

liquidmachines.com

Может наооборот Liquid Machines лицензировала технологии DLP у McAfee для встраивания в свое решение?

Аналогично как MS лицензировала у EMC. Причем представители Liquid Machines утверждают, что это никак не связано с шагом MS ;)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Н.Зенин
Может наооборот Liquid Machines лицензировала технологии DLP у McAfee для встраивания в свое решение?

Аналогично как MS лицензировала у EMC. Причем представители Liquid Machines утверждают, что это никак не связано с шагом MS ;)

Судя по активностям кажется, что инициатором пертнерства выступила компания McAfee:

"McAfee... announced that it will integrate its DLP data discovery and policy management solutions with a leading ERM solution from Liquid Machines"

Да и Liquid Machines в своём позиционировании всегда утверждал что DLP им не нужны ("ERM forever").

Однако, я с Вами скорее соглашусь, поскольку LM непременно будет выгодоприобетателем такого альянса.

Они пишут, что McAfee-поисковик и классификатор залежей хранимой информации будет интегрирован с LM-разграничивателем прав доступа:

"The integrated solution enables customers, using McAfee DLP Discover, to easily locate data regardless of where it is stored and then to persistently protect electronic information with Liquid Machines"

McAfee DLP Discover - ни что иное как ранее купленный Reconnex Data-at-Rest, у которого есть хорошая клиентская база. Таким образом, LM сможет хорошенько расшириться. Подружить McAfee DLP Discover с LM - конечно, задача LM. Мне кажется, они с ней смогут справиться в течение ближайшего года, - это не сложно:

Reconnex классифицировал хранимую информацию, делопроизводители подтвредили правильность разбора.

LM подхватит созданные категории конфиденциальности и применит права доступа к документам.

Жалоко только, что ни железки Reconnex, ни криптуха LM не приспособлены для России.

Далее LM говорит собственно об интеграции ERM с блокирубщей частью DLP:

"The information is then enforced with McAfee DLP Prevent to ensure transmitted information is protected according to policy", -

т.е. поверх LM планируется внедрять то ли McAfee Host DLP, то ли Reconnex Data-in-Motion.

Вот как технически выполнить интеграцию на этом этапе - совершенно неочевидно.

То ли DLP будет на шлюзовом уровне следить за тем, чтобы секретные документы случайно не уходили в открытом виде?

То ли DLP будет на уровне рабочей станции выставлять свои блокируюшие действия, если пользователю случайно дали слишком много прав?

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Рустэм Хайретдинов

Внедрение и поддержка такой системы (практически ERP от ИБ) потребует серьезного реинжениринга бизнеса и полного вовлечения всех участников бизнес-процессов в процесс защиты информации. При серьезной динамике бизнеса (в среднем французском банке, например, имеется 500 000 документов, и каждый день создается и приходит извне около 25 000 новых документов), управление документами с помощью отпечатков, меток или специальных форматов, требует наличия кучи сотрудников и полного изменения процедур обращения с информацией. Сейчас внедрение DLP ничего подобного не требуют.

Заказчику придется выбирать - подгонка бизнес-процессов компании под модель софта и наоборот, попытки реализовать проект системы as is. Например, в автоматизации бизнеса ERP - явные полюса в конце 90-х были SAP R3 и 1С. Сейчас их позиции начали сближаться, но заказчики у них исторически разные - топ-менеджеры и бухгалтеры соответственно. В бизнес-безопасности (ИБ или ЗИ), в отличии от инфраструктурной (ИТ-безопасности), продавцы будут заходить с двух сторон - через бизнес и через безопасность. Но поскольку McAffee известна больше, как компания по защите инфраструктуры (т.е. ее заказчики - CISO), ей будет проблематично заставить работать бизнес. Поэтому, IMHO, скорее успеха добьется Documentum, интегрированный с RSA Tablus, (заказчик - CPO), чем безопасные компании, которые лезут на чужую полянку.

На DLP-Expert.ru была ветка, сравнивающая затраты и результат по внедрению документооборота с функцией защиты (заказчик - бизнес подразделение) и защищенного документооборота (заказчик - ИБ). Затраты примерно одинаковые, но в первом случае результат - оптимизация процессов, отказ от дублирующих согласований, ускорение прохождения документов и т.д., т.е. понятные бизнесу метрики. Во втором - абстрактная защита от утечек, которую невозможно точно померить до и после внедрения.

Защищенный документооборот - довольно негибкая вещь, поэтому сейчас его внедряют либо с ограниченным функционалом (только трекинг), либо на ограниченном пространстве (30-40 компьютеров, только делопроизводство или Первый отдел).

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти

  • Сообщения

    • santy
      1. на самом деле можно и не удалять, а редактировать единственный критерий для создания запросов. Было бы только удобно формировать такой запрос.... например, "все объекты с цифровой, которая не входит в белый список". здесь ты одним значением не найдешь их фильтруя все объекты сквозным образом по ИНФО, как минимум необходимо два условия, а значит и два значения вводить для запроса. 2. подсветки нет, но это наверное не самое главное. для скорости анализа важно, (хотя бы строку из инфо, которая соответствует критерию).... когда ИНФО содержит много информации. для формирования скрипта- не критично. 3. старых и новых критериев нет. все действующие. ненужные удалить. хотя может и полезно было бы ставить check "отключить" или "включить" данное правило в базе.
        вся эта работа выполняется на стадии формирования списка объектов автозапуска. все исполняемые файлы, которые встречаются по ссылкам в реестре, в cmdLine, и проч. Если ты набрал в поиске по наименованию "cmd.exe", ты уже нашел данный объект в списке со всей его историей (ИНФО), собранной на стадии формирования образа автозапуска.... в какие параметры, ссылки входит в реестре или в cmdLine. цитата "выше Разве?" взята из предложения по деструктивным действиям чистых файлов, когда эти деструктивные действия находятся с помощью критериев, но чистый хэш снимает статус, подтверждающий дейструктивность действия данного файла в анализируемой системе.
    • PR55.RP55
      Недостатки uVS:
      1) Невозможно задать временный критерий. После поиска созданный критерий нужно удалять... Решение: При создании критерия добавить чек бокс:  НЕ вносить изменений в snms [ V ] 2) В Инфо. нет подсветки по типу поиска в браузере ( подсветить всё найденное ) 3) Поиск идёт по всем критериям -  по старым и по новым. Когда критериев много ( а их много ) такой поиск теряет смысл. Разве ? Нет смысла искать в других полях по: каталог; имя производителя; цифровой подписи; хэш. Напомню:  " Пока что вижу эти: wmic.exe, vssadmin.exe, cmd.exe, svchost.exe + powershell.exe+ netsh.exe конечно, остальные можно по мере поступления добавить.  "      
    • santy
      1. уточни, о каком функционале по ИНФО идет речь. одно дело фильтрующий поиск, т.е. список объектов фильтруется (сейчас) по определенному полю, и поиск выполняется сразу после введения одного символа, далее, уже по двум добавленным символам. и т.д. запрос же выполняется после введения некоторого значения. (не единственного символа.) запросов в таком виде сейчас нет, они могли бы быть, если будет реализована функция фильтрации по единственному критерию. (т.е. в этом случае мы получаем результат не по всем критериям, а по одному из списка) ----- здесь не факт, что фильтрующий поиск будет работать настолько быстро при проверке введенного символа по всем полям. 2. приведи примеры, когда введенное значение имеет смысл фильтровать по всем полям ИНФО. скажем если мы ищем имя файла, то нет смысла его искать в качестве вхождения в другие поля, аналогично и имя каталога, и имя производителя, и цифровой подписи, хэшей. и т.д. т.о. может получиться, что мы только увеличим время обновления зафильтрованного списка, и не получив ожидаемого лучшего результата.
    • gromm
    • gromm
×