Наличие архива в DLP-системах

[Ashot 110]

Форрестер

У Форрестера нет аналитиков по DLP. После Томаса Рашке (кстати он теперь на стороне кастомера неплохо пристроился ) еще срулил один человек и все. Наташа Ламберт хорошая девушка, тоже сериал "24" любит, но не шарит она в DLP и шифровании, да и нервется - другой у нее профиль. Из крупных остается только Гартнер, частично IDC, а вообще самые крутые 451 груп, но они мелкие...

[Муфуталий Рафнахутдинов 0]

Сравнивать DLP на стенде, это честно говоря смешно.

Довольно сложно как-то еще сравнить столь сложные продукты, не инсталлируя их в свою сеть. Альтернатива - сравнивать на бумажке, но это еще хуже, потому что написать можно всё что угодно. Каждую DLP тоже не поустанавливаешь, особенно если за это приходится платить временем и деньгами. И что делать? Верить "специалистам" из штата той или иной компании или интегратора? Понятно, что на любой выставке и стенде более 9000% вранья, каждый хочет продать свой продукт получше, но выбирать-то что-то надо. Особенно в преддверии наступающего года.

Я наткнулся на это обсуждение, когда искал информацию о некоей системе, которую мы хотим себе поставить. Точнее, придётся. И с точки зрения покупателя мы определились почти сразу, что нам нужно. Нужно нам а) лучше б) больше в) last but not least дешевле. Простейшие законы рынка. И мерянье пиписьками с точки зрения "мы лучше знаем, что нужно клиенту" совершенно бессмысленно, потому что кроме клиента этого никто не знает. А клиенты разные все.

Замечу, что решение Инфовотч мы сразу отмели, не вдаваясь даже в подробности. Знаете почему? Слишком дорого, непомерно. Сожрать весь бюджет на безопасность на этот год и залезть в следующий - милое дело, а что делать потом?

[Алeксaндр Кoвaлев 0]

давно мне удалось посмотрель на консоль переметрикс, так вот, после промотра консоли отпало всякое желание тестировать этот продукт и ещё пару часов я находился в шоке от увиденного, жалко тех людей которые рискнули попробовать протестировать и разобраться в этом продукте.

А чем именно так не понравилась консоль Периметрикса, если не секрет?

[Alex Pin4uk 0]

А чем именно так не понравилась консоль Периметрикса, если не секрет?

Чем не понравился периметрикс, я смотрел SafeEdge – та часть которая занимается перехватом трафика

1. Файл конфигурации системы. Сделали что-то подобное на Infowatch только гораздо более страшное. Какой то свой собственный скриптовый язык, полное отсутствие каких-либо комментариев. Короче сам ни когда не разбирешься.

2. Консоль дико перегружена какими-то настройками и понять что там к чему сложно.

3. Уведомления. Сама политика уведомлений построена на каких-то их внутренних пониманиях и определениях, с которыми тоже сначала надо разодраться. Далее происходит срабатывание на какой-то инцидент (например мыло) и ты видишь причину срабатывания которая представляет из себя нечто похожее на NA08-GF45-TR13. Вот что из этого можно понять? Далее ты начинаешь разбираться на каком основании и по какой политике задержан данный е-mail, я потратил 20 минут времени так и не понял.

4. Проблемы с отображение инцидентов. Прошел инцидент, появилось уведомление если это мыло то ещё как-то можно понять кто это мыло слал, но опять же как-то через ж…, если аська то бес шансов, видишь UIN и IP компа с которого шла отправка. А кто сидел в данный момент за этим компом, а что если IP динамические. В принципе тоже самое с HTTP постами, кто посылал ты не узнаешь, и текст поста посмотреть сложно.

5. Не перехватывает POP3. Я конечно понимаю что важно мониторить исходящую почту, но лично мне интересно мониторить и то что идет к нам, дабы после того как кто-то «попался», восстановить всю историю общения нашего инсайдера с этим человеком из внешнего мира и оценить масштаб бедствия, а в итоге остается только наедятся что при переписке они сохраняли историю

Это лишь небольшая часть того что вспомнилось. Если готовы пережить профессиональный шок, рекомендую посмотреть лично .

[Рустэм Хайретдинов 30]

Насчет DLP-Russia надо будет думать, так как до москвы не ближний путь. На инфосек точно поеду, потому как интересует не только ДЛП, а и другие решения в области ИБ. А какие вендоры будут участвовать если не секрет?

Подтвердились Websense, Cisco и Symantec. Пока не подтвердили окончательно CodeGreen, Verdasys, TrendMicro, IBM/ISS и McAfee, но переговоры ведутся. Из сопутствующих планируются Aladdin, Microsoft и AppForce. О, идея!, нужно будет еще Adobe пригласить, их LifeCycle отличная штука. Пригласили Дозор, но пока там люди, отвечающие за такого рода ивенты, в отпусках. Выступят несколько клиентов, которые делали живое тестирование на себе нескольких решений - телеком, банк, нефтянка. Пригласили еще юристов, которые вели уголовные дела, которые начались после срабатывания DLP, но они пока молчат, ответят ближе к сентябрю. Вообще, пожелание организаторов выставки - поменьше маркетинга, побольше практического опыта, поэтому выступлений пользователей будет больше, чем выступлений вендоров. Поскольку мероприятие будет 2 октября, прямо с Инфосека можно будет поехать, об этом многие в прошлом году просили.

Так что консоль + гармотный рассказ специалиста по предоставляемым возможностям это уже больщое дело, становится хоть понятно с чем предётся столкнуться при тестировании.

Как раз это и увидите, развернуть стенды планируют все участники.

У меня как раз есть более чем четкое понимание что и как надо делать в рамках моей компании. Следующим шагом считаю НЕОБХОДИМЫМ помотреть несколько продуктов чтобы понять как каждый из них будет решать поставленую задачу. Вообще говоря не стоит так сильно занижать кавалификацию сотрудников службы безопансоти, а то все время веет "Вы ничего не понимаете что вам надо, давайте сдлаем консалтинг, а потом раскажем как у вас все плохо и будем что-нить внедрять", мне страшно подумать сколько это будет стоить для нас (командировка не самых дешевых, я полагаю, специалис тов из москвы+консалтинг+лицензии+внедрение)

Заказчик всегда прав - он сам решает, как тратить свои деньги. Что нужно делать - лучше вас никто не знает, никакой консультант быстро в ваш бизнес не въедет. В квалификации ваших сотрудников я не сомневаюсь, я вел проекты в Иркутске, Хабаровске, Сургуте и т.д. и был приятно удивлен профессиональными качествами местных специалистов. Поэтому если мои посты показались вам высокомерными - дико извиняюсь.

Решение о консалтинге всегда за заказчиком. Я курс специальный читаю - "Типовые ошибки при внедрении систем защиты от внутренних угроз", для тех кто все-таки хочет только продукт, без консалтинга, на последних курсах было 11 компаний. Бросьте мне свою почту в личку, я пришлю вам Executive Summary результатов аудита электронной и веб-почты почты в компании, которая считала, что самостоятельно защитила эти каналы с помощью продукта X, просто инсталлировав его и обучив трем сотням шаблонов документов. Такие аудиты все же лучше проводить до внедрения.

Реального опыта полно, есть желание - обращайтесь, и материалов пришлю и с пользователями, в том числе и "конкурентов" познакомлю. Безо всяких обязательств, в порядке экспертной помощи.

У Форрестера нет аналитиков по DLP. После Томаса Рашке (кстати он теперь на стороне кастомера неплохо пристроился ) еще срулил один человек и все. Наташа Ламберт хорошая девушка, тоже сериал "24" любит, но не шарит она в DLP и шифровании, да и нервется - другой у нее профиль. Из крупных остается только Гартнер, частично IDC, а вообще самые крутые 451 груп, но они мелкие...

Факт, с аналитикой беда. Мы Томаса пригласили выступить 2 октября, сейчас договариваемся о деталях.

Довольно сложно как-то еще сравнить столь сложные продукты, не инсталлируя их в свою сеть. Альтернатива - сравнивать на бумажке, но это еще хуже, потому что написать можно всё что угодно. Каждую DLP тоже не поустанавливаешь, особенно если за это приходится платить временем и деньгами. И что делать? Верить "специалистам" из штата той или иной компании или интегратора? Понятно, что на любой выставке и стенде более 9000% вранья, каждый хочет продать свой продукт получше, но выбирать-то что-то надо. Особенно в преддверии наступающего года.

Я наткнулся на это обсуждение, когда искал информацию о некоей системе, которую мы хотим себе поставить. Точнее, придётся. И с точки зрения покупателя мы определились почти сразу, что нам нужно. Нужно нам а) лучше б) больше в) last but not least дешевле. Простейшие законы рынка. И мерянье пиписьками с точки зрения "мы лучше знаем, что нужно клиенту" совершенно бессмысленно, потому что кроме клиента этого никто не знает. А клиенты разные все.

Замечу, что решение Инфовотч мы сразу отмели, не вдаваясь даже в подробности. Знаете почему? Слишком дорого, непомерно. Сожрать весь бюджет на безопасность на этот год и залезть в следующий - милое дело, а что делать потом?

И это еще не самое дорогое решение

[Leo 0]

Поскольку мероприятие будет 2 октября, прямо с Инфосека можно будет поехать, об этом многие в прошлом году просили. ....

Непонятно только зачем делать это не на инфосекьюрити. Чем менее мероприятие афилировано с кем то из вендоров тем оно более правильное. А Dlp russia это детище инфовотча....

Посему например наше решение однозначно -- по максимум учавствуем в инфосекьюрити и предлагаем всем производителям совместно с организаторами сделать круглый стол где будут все вендоры. Только вести этот круглый стол должен никак не представитель одного из вендоров.