Наличие архива в DLP-системах

[Алeксaндр Кoвaлев 0]

Некоторое время назад наша компания обращалась в Инфовотч с просьбой предоставить пробную версию. Ответ был приблизительно такой, на все про все стоить это будет около 5 000 USD. Естественно это не деньги за лицензии, а за какие-то работы по внедрению триала или консалтинг, уже точно не помню, было это около года назад, возможно с тех пор многое изменилось, если так то это радует.

Для большинства более-менее серьезных DLP-решений вполне обоснована практика пилотного проекта. Это все-таки не shareware-софт, триалку которого можно скачать с сайта разработчика и поставить за 1 минуту.

Касательно основной темы обсуждения, хочется заметить, что не стоит путать DLP с архив и систему архивации с возможность информирования об утечки. Задача DLP — предотвратить утечку информации, а не сообщать об этой утечке по факту. Получается, что мы встраиваем в машину систему информирования о столкновении, при этом забывая оснастить её тормозами.

Отредактировал Июнь 30, 2009 Алeксaндр Кoвaлев

[Новиков Андрей 0]

Для большинства более-менее серьезных DLP-решений вполне обоснована практика пилотного проекта. Это все-таки не shareware-софт, триалку которого можно скачать с сайта разработчика и поставить за 1 минуту.

Ну как сказать. MacAffe, Symantec, Websence, Softinform - денег за попробовать не просили и не просят. Получается что они все несерьёзные shareware. Ну да ладно, это личное дело каждой компании.

Касательно основной темы обсуждения, хочется заметить, что не стоит путать DLP с архив и систему архивации с возможность информирования об утечки. Задача DLP — предотвратить утечку информации, а не сообщать об этой утечке по факту. Получается, что мы встраиваем в машину систему информирования о столкновении, при этом забывая оснастить её тормозами.

Так я же не против того что DLP должно предотвращать утечки. Алгоритм то прозрачен, ловим например идущий наружу e-mail, кладем его в базу, проверяем по каким-то признакам, если все ок отпускаем наружу, если нет блокируем отправку и говорим об этом СБ. Но ведь е-mail уже лежит в базе, надо просто дать удобный инструмент его посмотреть, и все дела. Или вы считаете что если DLP система не посчитала письмо конфиденциальным его надо удалять из базы?

[Рустэм Хайретдинов 30]

Ну как сказать. MacAffe, Symantec, Websence, Softinform - денег за попробовать не просили и не просят. Получается что они все несерьёзные shareware. Ну да ладно, это личное дело каждой компании.

Так я же не против того что DLP должно предотвращать утечки. Алгоритм то прозрачен, ловим например идущий наружу e-mail, кладем его в базу, проверяем по каким-то признакам, если все ок отпускаем наружу, если нет блокируем отправку и говорим об этом СБ. Но ведь е-mail уже лежит в базе, надо просто дать удобный инструмент его посмотреть, и все дела. Или вы считаете что если DLP система не посчитала письмо конфиденциальным его надо удалять из базы?

Бесплатные пилоты - отдельная долгая тема. Когда мы только начинали, тоже делали бесплатные пилоты, самая простая стратегия выхода на рынок - сначала что-то бесплатно дать, а потом, когда люди привыкнут - отобрать или потребовать заплатить, мне так как-то кабельное телевидение продали . Корпоративный софт требует при запуске участия обученных инженеров, любой из упомянутых вендоров этого требует, поэтому они очень даже серьезные не-shareware. Сейчас западные производители готовы сами оплачивать своих инженеров, даже иностранных - это часть рыночной стратегии и их инвестиции. Я считаю, что пилот должен быть оплачен - повышается ответственность за результаты с обеих сторон. Хотя, для больших клиентов в Москве, признаюсь, исключения делали.

А про базы ситуация такая: кто-то сначала в базу кладет, а потом анализирует, а кто-то наоборот, анализирует, а потом кладет. Решениям, которые используют статистику и ключевые слова, база для анализа не нужна, поэтому у них ее и нет, только база хранения инцидентов и ссылок на соответствующие события. Решения, которые используют лингвистику и близкие ей алгоритмы, например, копирайтный анализ, без базы не могут, поэтому и база в таких решениях есть. И последние ничего не удаляют, а дают эту базу посмотреть, как вы верно подметили.

[Алeксaндр Кoвaлев 0]

Цитата(Алeксaндр Кoвaлев @ 30.06.2009, 16:07)

Для большинства более-менее серьезных DLP-решений вполне обоснована практика пилотного проекта. Это все-таки не shareware-софт, триалку которого можно скачать с сайта разработчика и поставить за 1 минуту.

Ну как сказать. MacAffe, Symantec, Websence, Softinform - денег за попробовать не просили и не просят. Получается что они все несерьёзные shareware. Ну да ладно, это личное дело каждой компании.

Так за само тестирование никто денег и не просит. Деньги разработчики берут за пилотный проект, когда вам все делают под ключ специалисты вендора, и решение работает, например, на ответвленной копии реального трафика. Или Вам в Symantec и Websense предложили самостоятельно потестировать и прислали ссылки на дистрибутивы?

Я тут больше согласен с Рустэмом по поводу ответственности. Если у заказчика есть конкретные задачи и финансирование, то к выбору DLP-решений он подходит взвешено, а вопросы о стоимости пилотов возникают не в первую очередь. Если же у заказчика есть желание попробовать много DLP-продуктов и посмотреть, что они умеют, это, на мой взгляд, не совсем верный подход.

Цитата(Алeксaндр Кoвaлев @ 30.06.2009, 16:07)

Касательно основной темы обсуждения, хочется заметить, что не стоит путать DLP с архив и систему архивации с возможность информирования об утечки. Задача DLP — предотвратить утечку информации, а не сообщать об этой утечке по факту. Получается, что мы встраиваем в машину систему информирования о столкновении, при этом забывая оснастить её тормозами.

Так я же не против того что DLP должно предотвращать утечки. Алгоритм то прозрачен, ловим например идущий наружу e-mail, кладем его в базу, проверяем по каким-то признакам, если все ок отпускаем наружу, если нет блокируем отправку и говорим об этом СБ. Но ведь е-mail уже лежит в базе, надо просто дать удобный инструмент его посмотреть, и все дела. Или вы считаете что если DLP система не посчитала письмо конфиденциальным его надо удалять из базы?

Это было не лично Вам. Тема наличия архива в DLP немного ушла в сторону наличия DLP в архивах.

[Leo 0]

Бесплатные пилоты - отдельная долгая тема. Когда мы только начинали, тоже делали бесплатные пилоты, самая простая стратегия выхода на рынок - сначала что-то бесплатно дать, а потом, когда люди привыкнут - отобрать или потребовать заплатить, мне так как-то кабельное телевидение продали . Корпоративный софт требует при запуске участия обученных инженеров,.... .

1) Рустэм так ты подвтерждаешь то что за попробовать ИнфоВотч просит $5000 ?

2) Рустэм -- жил бы ты в древнем мире -- был бы великим оратором. Я реально преклоняюсь перед твоим искусством продавать не продукт (которого нет) а психологическую помощь и красивые слова. В плане маркетинга и развода клиента нам у тебя учиться и учиться....

3) Рустэм -- если продукт работающий и его можно установить за 2 часа как у нас (хотя у нас при всем при этом контролируется больше и намного каналов чем у Инфовотч и ты это признал не возразив ранее)-- то нет проблем давать бесплатную триалку. 2 часа удаленного ассистирования сервис-инженера стоит не так уж и много даже если купит один из 10 или из 20 из тех кто триалит. У нас например сейчас реально один сервис-инженер удаленно ставит от 10 до 25 инсталяций в неделю!!! -- И число зависит не от работы инженера или качества софта, а от работы отделов продаж и региональных продаж...

А про базы ситуация такая: кто-то сначала в базу кладет, а потом анализирует, а кто-то наоборот, анализирует, а потом кладет. Решениям, которые используют статистику и ключевые слова, база для анализа не нужна, поэтому у них ее и нет, только база хранения инцидентов и ссылок на соответствующие события. Решения, которые используют лингвистику и близкие ей алгоритмы, например, копирайтный анализ, без базы не могут, поэтому и база в таких решениях есть. И последние ничего не удаляют, а дают эту базу посмотреть, как вы верно подметили.

Рустэм -- лингвистика и т.д. на порялдок слабей чем наш поиск похожих. Тем более лингвистика это допуск ващих специалистов к секретным данным компаний... Поэтому в ряде стран СНГ (Украина, Казахстан, Белоруссия) вам сертификацию в принципе не пройти и ты сам занешь что именно из за этого параметра...

Чтобы не быть голословным для модератора данного форума (Рустэм просто это и так давно знает.. ) вот ссылка -- http://www.searchinform.ru/search-download...o-sound-rus.exe

Огромная просьба прсомотреть кейс про поиски резюме (первая часть презентации) а от тебя Рустэм комменты как сие седлать на инфовотче...

И ЕЩЕ РУСТЭМ -- ты как то в упор проигнориоовал мое предложения взаимно установить системы в моих офисах твою а в твоих мою. ИЛИ ТЫ ЧЕГО ТО БОИШЬСЯ???? СЛАБО???

Если нет -- то давай взаимно обмениваться системами. Здоровая конкуренцию я всегда приветствую -- глядишь чему то вы у нас научитесь, а что то полезное и мы увидим (хотя вашу систему мы видели у ряда бывшизх ваших заказчиков, которые в итоге перешли к нам -- и до сих пор у нас внутри компании ходит анекдот как продать на 300 компов систему за 10 млн рублей -- Рустэм ты знаешь о ком мы говорим и укого так вы и не заработали Только разглашать в публичном форуме кто ваш бывший заказчик я не имею права .

Ну да хотя твой шеф заявлеят что нацеленность на европу -- искренне желаю успехов -- нам в отличии от Вас хватает СНГ .

И В ЗАВЕРШЕНИИ -- РУСТЭМ ТАК ТЫ ОТВЕЧАЕШЬ ЗА СВОИ СЛОВА??? И В ГОСТИ К ВАМ МОЖНО В ЧЕТВЕРГ ПРИЕХАТЬ ЧТОБЫ ВЫ ПОКАЗАДИ ИНТЕГРАЦИЮ С AD???

А потом сюда же снятые при Вас скриншоты запостим сюда с комментами....

[Рустэм Хайретдинов 30]

А это сколько за 2009 год? Если ты уж говоришь про цифры то приведи их плиз. И кстати а тв знаешь и наши цифры и цифры других производителей, что так уверенно говоришь что лидер?

Насчет маркетинга -- согласен -- вы же продаете не систему не техническое решение, а красивые слова -- тут мне до тебя далеко

Свою отчетность сдаем в Форрестер и в IDC, после этого они называют нас лидерами, мне этого достаточно, никому ничего доказывать не собираюсь. Данные с рынка тоже это подтверждают: все крупные проекты на виду, их стоимость вычисляется либо косвенно, по объему и скидке, или узнать у общих партнеров или сотрудников вендора, которые переходят в другие компании. По этой же оценке в 2009 мы лидерами останемся, (известны планы, поставленные интеграторам другими вендорами, и их сумма меньше, чем заключенные нами контракты). Конечно, результаты 2009 зависит от кризиса, цены на нефть, курса доллара и госбюджетов, наши клиенты к этому чувствительны, пока мы планируем рост к прошлому году. В 2010, если гайки по сертифицированным решениям не закрутят, здорово стрельнет сегодняшняя активность Симантека, по отзывам, очень хороший продукт, несколько десятков пилотных внедрений, сильные партнеры. Мы тоже сидеть сложа руки не будем, но за лидерство в 2010 уже будет борьба.

Про тебя честно ничего не знаю, твой рынок не мониторим. Если кто-нибудь из клиентов запросит твою справку из налоговой, поинтересуюсь, раз ты настаиваешь.

Хочешь продуктами меряться - отдай продукты на тестирование в anti-malware, осенью они будут делать отчет о продуктах, представленных на российском рынке. Все DLP-вендоры будут показывать свои решения на DLP-Russia 2009, приезжай, все сразу и посмотришь. В этом году денег на доклад накопите?

Про Скайп вы молодцы. Но это расширяет область поиска, а не защиты. Кого и отчего защищает возможность найти в Скайпе документ, похожий на образец? Это ни система защиты, ни даже система сбора доказательств для внутренних расследований, не говоря уже о гражданском и уголовном праве. Ты же не считаешь MS Live Search системой защиты?

За добрые слова спасибо. Мы продаем опробованную на десятках заказчиков методику борьбы с внутренними нарушителями (не только утечками), реализованную техническими средствами. Заметь, не раздаем, а ПРОДАЕМ, за деньги, за 2008 год продали в два раза больше, чем все остальные, вместе взятые. Можно обмануть один раз одного заказчика, но сотню заказчиков не обманешь и не купишь. Или ты хочешь сказать, что сотня офицеров безопасности в крупнейших компаниях страны - идиоты, купившиеся на красивые слова? Признайся, что погорячился.

Сделал хороший продукт - продавай, богатей, радуйся. Не покупают - меняйся под рынок или меняй рынок, как мы. Короче расти, становись большим и милости просим в сообщество адекватных DLP-производителей.

1) Рустэм так ты подвтерждаешь то что за попробовать ИнфоВотч просит $5000 ?

2) Рустэм -- жил бы ты в древнем мире -- был бы великим оратором. Я реально преклоняюсь перед твоим искусством продавать не продукт (которого нет) а психологическую помощь и красивые слова. В плане маркетинга и развода клиента нам у тебя учиться и учиться....

3) Рустэм -- если продукт работающий и его можно установить за 2 часа как у нас (хотя у нас при всем при этом контролируется больше и намного каналов чем у Инфовотч и ты это признал не возразив ранее)-- то нет проблем давать бесплатную триалку. 2 часа удаленного ассистирования сервис-инженера стоит не так уж и много даже если купит один из 10 или из 20 из тех кто триалит. У нас например сейчас реально один сервис-инженер удаленно ставит от 10 до 25 инсталяций в неделю!!! -- И число зависит не от работы инженера или качества софта, а от работы отделов продаж и региональных продаж...

Рустэм -- лингвистика и т.д. на порялдок слабей чем наш поиск похожих. Тем более лингвистика это допуск ващих специалистов к секретным данным компаний... Поэтому в ряде стран СНГ (Украина, Казахстан, Белоруссия) вам сертификацию в принципе не пройти и ты сам занешь что именно из за этого параметра...

Чтобы не быть голословным для модератора данного форума (Рустэм просто это и так давно знает.. ) вот ссылка -- http://www.searchinform.ru/search-download...o-sound-rus.exe

Огромная просьба прсомотреть кейс про поиски резюме (первая часть презентации) а от тебя Рустэм комменты как сие седлать на инфовотче...

И ЕЩЕ РУСТЭМ -- ты как то в упор проигнориоовал мое предложения взаимно установить системы в моих офисах твою а в твоих мою. ИЛИ ТЫ ЧЕГО ТО БОИШЬСЯ???? СЛАБО???

Если нет -- то давай взаимно обмениваться системами. Здоровая конкуренцию я всегда приветствую -- глядишь чему то вы у нас научитесь, а что то полезное и мы увидим (хотя вашу систему мы видели у ряда бывшизх ваших заказчиков, которые в итоге перешли к нам -- и до сих пор у нас внутри компании ходит анекдот как продать на 300 компов систему за 10 млн рублей -- Рустэм ты знаешь о ком мы говорим и укого так вы и не заработали Только разглашать в публичном форуме кто ваш бывший заказчик я не имею права .

Ну да хотя твой шеф заявлеят что нацеленность на европу -- искренне желаю успехов -- нам в отличии от Вас хватает СНГ .

И В ЗАВЕРШЕНИИ -- РУСТЭМ ТАК ТЫ ОТВЕЧАЕШЬ ЗА СВОИ СЛОВА??? И В ГОСТИ К ВАМ МОЖНО В ЧЕТВЕРГ ПРИЕХАТЬ ЧТОБЫ ВЫ ПОКАЗАДИ ИНТЕГРАЦИЮ С AD???

А потом сюда же снятые при Вас скриншоты запостим сюда с комментами....

Смешной...

[Leo 0]

Хочешь продуктами меряться - отдай продукты на тестирование в anti-malware, осенью они будут делать отчет о продуктах, представленных на российском рынке.

Это с радостью и в любой момент.

Про Скайп вы молодцы. Но это расширяет область поиска, а не защиты. Кого и отчего защищает возможность найти в Скайпе документ, похожий на образец? Это ни система защиты, ни даже система сбора доказательств для внутренних расследований, не говоря уже о гражданском и уголовном праве. Ты же не считаешь MS Live Search системой защиты?

Причем тут документы похожие на образец? Хотя кстати через скайп может и файл быть отправлен... И конфиденциальная информация может быть отправлена не только по e-mail а в том числе и через скайп. И во многих компаниях скайп используется и отсутствие возможности контроля данного канала негативно сказывается на информационной безопасности.

Про принтер таже фигня -- можно распечатать ряд вещей и унести. И контролировать надо не на уровне приложений а на уровне принтеров.

За добрые слова спасибо. Мы продаем опробованную на десятках заказчиков методику борьбы с внутренними нарушителями (не только утечками), реализованную техническими средствами. Заметь, не раздаем, а ПРОДАЕМ, за деньги, за 2008 год продали в два раза больше, чем все остальные, вместе взятые.

РУСТЭМ так на сколько вы продали? Просто понятие в 2 раза больше чем непонять что непонятно..... Если вы сдаете в ряд аналитически агентств то уж опубликуй тут вашу цифру продаж. А то ты постоянно оперируешь понятиями " лидер " , " больше " и т.д. но так н и одной цифры и не привел...

Сделал хороший продукт - продавай, богатей, радуйся. Не покупают - меняйся под рынок или меняй рынок, как мы. Короче расти, становись большим и милости просим в сообщество адекватных DLP-производителей.

Ну спасибо дорогой что разрешил продавать, а то я все думал могу ли без твоего разрешения продавать или нет -- а сейчас понял что могу

Теперь про вопросы которые ты игнорируешь в упор...

Так в гости к тебе приехать можно, чтобы твои технический специалисты показали интеграцию с ИнфоВотч с AD? А ты вроде как приглашал, но когда я начал конкретно про четверг спрашивать то ты в кусты... КАКОЕ ВРЕМЯ В ЧЕТВЕРГ УДОБНО ДЛЯ МОЕГО ПРИЕЗДА??? Или есть проблемы с оплатой сервис-инженера? Ну так я готов тебе компенсировать по зарплате полдня работы твоего сервис-инженера который мне все покажет

И что насчет идеи взаимно обменяться лицензиями на полные версии продуктов???? Я готов в любой момент. Мы заодно и убедимся что вы ставитесь за день... РУСТЭМ -- когда????

[Alex Pin4uk 0]

Добрый день всем форумчанам)

Был я тут независимы читателем, но решил тоже поучаствовать в обсуждении. Находится наша компания далеко от москвы, на урале. Редкий интегратор заглядывает в наши края, по этому большенство проблем приходится решать самостоятельно. Некоторое время тому, мы решили заняться вопросом ИБ, так как произошло несколько утечек и руководство решило заняться этим вопросом вплотную и даже денег выделили.

Когда стал вопрос выбора системы первое на что пал взгляд - Инфовотч. Естественно ехать за бесплатно к нам никто не захотел, денег тратить на попробовать нам не разрешили, пришлось выбирать из того что можно поставить самим. След был Softinform, у ребят не все так гладко как они пишут. За 2 часа поставить не получилось реально потратили около 2 дней пока все настроили, но объективно там были и наши косяки, хотя их ТП терпеливо по телефону нам все объясняла. В итоге пользуемся уже месяцев 6 – довольны.

Теперь по поводу того что anti-malware.ru планирует провести сравнение и обзор. Написанные обзоры это конечно хорошо. Мое предложение к всем разработчикам подумать и сделать где-то большой стенд со всеми продуктами, чтобы каждый желающий мог прийти и посмотреть, понажимать на кнопки и субъективно решить для себя что ему больше нравится. Возможно сделать это в рамка InfoSecurity или какого- нибудь другого мероприятия, мне кажется тогда к нему интерес возрастет в РАЗЫ. В общем подумайте.

[Новиков Андрей 0]

Я считаю, что пилот должен быть оплачен - повышается ответственность за результаты с обеих сторон. Хотя, для больших клиентов в Москве, признаюсь, исключения делали.

Тогда у меня такой вопрос. Прихожу я в салон покупать машину, согласитесь, важный выбор, жизнь от этого зависит зачастую. Да я знаю что Вольво считается самой безопасной машиной, а дэу матиз наверное не очень, хотя продаются и те и те. Так вот решил я купить вольво, прихожу в салом и говорю, можно мне посидеть в машине, проехать на ней, а мне говорят. Вот почитайте рекламные буклеты, там все написано, а если хотите посидеть или прокатиться будьте добры заплатить нам 5% от стоимости. Наверное вам бы это не очень понравилось.

А про базы ситуация такая: кто-то сначала в базу кладет, а потом анализирует, а кто-то наоборот, анализирует, а потом кладет. Решениям, которые используют статистику и ключевые слова, база для анализа не нужна, поэтому у них ее и нет, только база хранения инцидентов и ссылок на соответствующие события. Решения, которые используют лингвистику и близкие ей алгоритмы, например, копирайтный анализ, без базы не могут, поэтому и база в таких решениях есть. И последние ничего не удаляют, а дают эту базу посмотреть, как вы верно подметили.

Тогда у меня к вам вопрос. На ваш взгляд нужна база или нет? На сколько мне известно инфовотч как раз используют лингвистику, следовательно база всего что было перехвачено у вас есть. А просмотр есть только для инцидентов?

[Н.Зенин 30]

Теперь по поводу того что anti-malware.ru планирует провести сравнение и обзор. Написанные обзоры это конечно хорошо. Мое предложение к всем разработчикам подумать и сделать где-то большой стенд со всеми продуктами, чтобы каждый желающий мог прийти и посмотреть, понажимать на кнопки и субъективно решить для себя что ему больше нравится. Возможно сделать это в рамка InfoSecurity или какого- нибудь другого мероприятия, мне кажется тогда к нему интерес возрастет в РАЗЫ. В общем подумайте.

в нашей компании развернуты стенды почти со всеми решениями DLP доступными в России.

здесь можно посмотреть как некоторые из российских разработок:

InfoWatch Traffic Monitor - используем и поддерживаем актуальный стенд с 2005 года;

SearchInform - пробовали 1,5 года назад, стенда сейчас нет, возможно возобновим;

SecurIT - Zlock есть, но Zgate еще не получили.

так и западные решения из квадранта Гартнера:

Symantec Data Loss Prevention - стенд всегда наготове в полном наборе с рабочими примерами

Websense Data Security Suite - аналогично, стенд наготове;

RSA DLP Suite - стенд только на виртуальных машинах, 2 из 3 модулей. Продукту пока не хватает русской адаптации;

McAfee DLP - есть стенд DLP Host (агентской части), а новые Network компоненты (бывш.Reconnex) еще не долетели до России;

Trend Micro LeakProof - стенд развернут;

CA (бывш.Orchestria) - нет стенда;

Verysept - пока нет стенда;

Остальных представителей квадранта Гартнера (Code Green Networks, Vericept, Fidelis, GTB Technologies, Palisade Systems, Workshare) - не удалось раздобыть в России.

Дабы не превышать свои полномочия форумчанина, и не отвлекаться от темы "Наличие архива в DLP-системах", обзор результатов тестирования DLP систем можно продложить в новой теме или пишите в личку.

Кстати, в тему... из опробованных нами западных систем, архива всей исходящей корреспонденции нет ни у одного западного DLP решения, - там архивируются только инциденты нарушения установленных политик безопасности.

[Alex Pin4uk 0]

в нашей компании развернуты стенды почти со всеми решениями DLP доступными в России.

Может я не внимательный, но не нашел названия вашей компании. Я планирую через месяц-другой поездку в Москву, был бы очень признателен если бы вы мне показали всю эту крастоту!!!

[Новиков Андрей 0]

в нашей компании развернуты стенды почти со всеми решениями DLP доступными в России.

Кстати, в тему... из опробованных нами западных систем, архива всей исходящей корреспонденции нет ни у одного западного DLP решения, - там архивируются только инциденты нарушения установленных политик безопасности.

А из российских у кого есть архив?

Тогда и к вам тогда вопрос, на ваш взгляд эта функция необходима в DLP или нет?

И ещё вопрос. Вы платили кому-нибудь из разработчиков чтобы развернуть их ПО, тут высказывают мнение что это обязательно, иначе стенд некачественный будет

[Leo 0]

в нашей компании развернуты стенды почти со всеми решениями DLP доступными в России.

здесь можно посмотреть как некоторые из российских разработок:

InfoWatch Traffic Monitor - используем и поддерживаем актуальный стенд с 2005 года;

SearchInform - пробовали 1,5 года назад, стенда сейчас нет, возможно возобновим;

С тех пор много воду утекло... Готовы Вам дать последнюю версию нашей системы -- пишите мне -- буду рад с Вами пообщаться

leo собака softinform.com

SecurIT - Zlock есть, но Zgate еще не получили.

так и западные решения из квадранта Гартнера:

Symantec Data Loss Prevention - стенд всегда наготове в полном наборе с рабочими примерами

Websense Data Security Suite - аналогично, стенд наготове;

RSA DLP Suite - стенд только на виртуальных машинах, 2 из 3 модулей. Продукту пока не хватает русской адаптации;

McAfee DLP - есть стенд DLP Host (агентской части), а новые Network компоненты (бывш.Reconnex) еще не долетели до России;

Trend Micro LeakProof - стенд развернут;

CA (бывш.Orchestria) - нет стенда;

Verysept - пока нет стенда;

Остальных представителей квадранта Гартнера (Code Green Networks, Vericept, Fidelis, GTB Technologies, Palisade Systems, Workshare) - не удалось раздобыть в России.

Очень интересно. Господин Зенин -- вы в отличии от Рустэма надеюсь не побоитесь пригласить меня в гости посмотреть на развернутые системы? Сообщите как с Вами связаться. Если Вас не затруднит напишите мне на мыло ваши координаты -- leo собака softinform.com

Заранее спасибо.

И ещё вопрос. Вы платили кому-нибудь из разработчиков чтобы развернуть их ПО, тут высказывают мнение что это обязательно, иначе стенд некачественный будет

Андрей -- по моему очевидно, что деньги за попробовать берут только те кто не уверен в своем качестве и хочет заработать хоть что то и прикрывает это умными словами про консалтинг и т.д...

Во всяком случае лично мы никогда не брали за попробовать и брать не собираемся -- деньги надо зарабатывать не на этом

Причем заявляю публично, что я готов санкционировать установку нашей системы в офисах конкурентов по первому их запросу в случае если они также будут готовы свою систему установить в нашем офисе...

Я открыт для общения и обмена системами...

[Н.Зенин 30]

Может я не внимательный, но не нашел названия вашей компании. Я планирую через месяц-другой поездку в Москву, был бы очень признателен если бы вы мне показали всю эту крастоту!!!

Компания LETA, ссылка www.leta.ru - в моем профиле.

Мы специализируемся на защите от утечки информации, поэтому и держим у себя активные стенды систем DLP, демонстрации проходят каждую неделю.

Приезжайте, милости просим. Предупредите только за недельку, в какой день будете.

Демоснтрация каждого продукта по практическим сценариям занимает 1-2 часа, поэтому за 1 день больше 3 решений нам еще не удавалось показать.

[Сергей Ильин 1538]

Leo, дело в том, что Николай Зенин представляет системного интегратора, который работает со многими вендорами, именно поэтому у них и есть описанный выше стенд. В то время так горячо нелюбимый вами по какой-то причине Инфовотч - вендор, которому как-то не с руки показывать свои продукты и технологии потенциальным конкурентам. Можете, конечно, посмотреть Инфовотч у кого-то из клиентов или у той де Леты-ИТ, если они позволят, но требовать это от самого вендора как-то неправильно

Причем заявляю публично, что я готов санкционировать установку нашей системы в офисах конкурентов по первому их запросу в случае если они также будут готовы свою систему установить в нашем офисе...

Мы очень далеко ушли от темы, но какой смысл в этом, зачем?

Если уж очень хочется, то рекомендую завести отдельный топик тут "Обмен опытом и наработками в индустрии DLP".

[Н.Зенин 30]

И ещё вопрос. Вы платили кому-нибудь из разработчиков чтобы развернуть их ПО, тут высказывают мнение что это обязательно, иначе стенд некачественный будет

О, нет, как и ответил Сергей Ильин, мы являемся интегратором, поэтому это нам приплачивают .

Оплата за работы по развертыванию DLP неизбежна, - ведь специалисты от разработчика будут задействованы в развертывании нетривиального продукта. Но иногда (когда достаточно свободных специалистов) вендор или интегратор могут брать расходы на себя. На качестве это вряд ли скажется, ведь все заинтересованы в хороших результатах тестирования.

А из российских у кого есть архив?

Хорошие архивы электронной корреспонденции – у Инфовотч и Дозор Джет. Все наши клиенты, которым мы внедрили InfoWatch, с удовольствием используют их архив.

С результатами практического использования архивов других российских решений (Perimetrix SafeSpace, SecirIT Zgate) я не знаком.

Тогда и к вам тогда вопрос, на ваш взгляд эта функция необходима в DLP или нет?

По моему мнению, архив электронной корреспонденции – вещь предшествующая внедрению DLP-системы, и потому не необходимая для DLP.

Но если мы приходим к неподготовленному заказчику и с нуля внедряем систему DLP, то да, - в особенности для людей в погонах, привыкших работать по старинке, безусловно, архив нужен.

А по большому счету ни любимые нами DLP системы, ни DLP+архив – не панацея от утечки информации.

Для гарантии защищенности может потребоваться сочетание нескольких технических решений:

1 ¬– системы шифрования устройств и дисков/файлов (либо использовать Information Rights Management – но это пока сложно поддерживать)

2 – собственно системы DLP (в составе сетевого анализатора и агентов, устанавливаемых на рабочие станции)

3 – системы контроля портов и подключаемых устройств к конечным рабочим станциям

4 – системы контроля запросов к базам данных (для крупнейших предприятий)

А для подготовки к внедрению коммерческой системы DLP очень желательно выполнить ряд низкобюджетных мероприятий организационного характера (большая часть которых вполне посильна и без привлечения внешнего интегратора):

1 – выполнить качественную оценку рисков в применении к перемещениям конфиденциальной информации (в каких бизнес-процессах какими сотрудниками осуществляется доступ и перемещение по каким каналам какого рода информации)

2 – составить перечень (рубрикатор) типов конфиденциальной информации. Этот рубрикатор ляжет в основу создания системы DLP

3 – описать (письменно) политику использования конфиденциальной информации. Политика опять же ляжет в основу внедряемой DLP системы.

4 – провести инструктаж сотрудников и заключить (если не было) приложение к трудовому договору о конфиденциальности.

5 – сформировать собственные требования к системе DLP и прочим системам борьбы с утечками.

Далее можно оценить предложенные на рынке решение на соответствие своим требованиям.

PS

Помимо архива, есть еще несколько классов решений (IRM, IAM, SIM, Port&Device Control, Web-filtering), с которыми DLP должна (но это – в будущем) быть интегрирована.

[Leo 0]

Leo, дело в том, что Николай Зенин представляет системного интегратора, который работает со многими вендорами, именно поэтому у них и есть описанный выше стенд. В то время так горячо нелюбимый вами по какой-то причине Инфовотч - вендор, которому как-то не с руки показывать свои продукты и технологии потенциальным конкурентам.

А кто сказал что нелюбимый? Наоборот инфовотч как раз мой любимый вендор. Если до нас к клиенту приходил инфовотч то с таким клиентом нашим экаунт-менеджерам работать ну намного проще. И к таланту Рустэма как очень сильного специалиста по продажам я отношусь с большим уважением.

А насчет не с руки -- так это же показатель слабости продукта, которую таким образом сам Рустэм признает. Мы вот не боимся показывать наш продукт никому из конкурентов, в том числе и инфовотчу. Рустэм -- если возникнет желание посмотреть наш продукт -- велкам..

И Рустэм -- как всеже тови слова что я могу приехать в гости и все посмотреть? А то как то нелогично ты вроде меня в гости пригласил, но игнорируешь все мои обращения про дату приезда в гости.... Если решишься -- пиши -- я с радостью приеду и посмотрю как с AD интегрирован Инфовотч.

Вендор то по любому сможет же лучше показать чем интегратор...

[Рустэм Хайретдинов 30]

Мое предложение к всем разработчикам подумать и сделать где-то большой стенд со всеми продуктами, чтобы каждый желающий мог прийти и посмотреть, понажимать на кнопки и субъективно решить для себя что ему больше нравится. Возможно сделать это в рамка InfoSecurity или какого- нибудь другого мероприятия, мне кажется тогда к нему интерес возрастет в РАЗЫ. В общем подумайте.

Предложение абсолютно рабочее. В прошлом году на конференции DLP-Russia были одновременно показаны решения InfoWatch, Symantec, Websense и Verdasys. В этом году мероприятие пройдет 2 октября, сразу после Инфосека, думаю, будет больше продуктов, подтвердились еще пять вендоров. Вне конференции тоже можно посмотреть решения у интеграторов. Многие имеют по два-три продукта на действующем стенде, они обычно заточены продавать один-два продукта, которые приносят им максимальную прибыль, а остальные держат для ассортимента и "оттенения" других продуктов.

Однако, стенды мало что вам покажут, кроме консолей, предустановленных отчетов и предварительно созданных инцидентов в том виде, в котором выгодно их показывать. Большие заказчики проводят тестирование нескольких продуктов на своем живом трафике в боевом режиме. Обычно в таком режиме смотрят два решения (знаю случай, когда смотрели три) больше - нереально по ресурсам. Иногда принимают решения - брать два продукта, настолько разные решения они представляют.

Мое мнение, что если вы хотите посмотреть много продуктов, то, наверное, просто еще не определились, что именно вы хотите от DLP-системы.

- Какую информацию хотите защищать (статичные документы, куски из статичных документов, динамичные документы)

- В каком режиме планируется использовать (блокирование, пропуск с созданием инцидентов, архивирование с возможностью поиска по архиву)

- Как устроена система определения, конфиденциальный документ или нет (например, есть папочка, все документы в которой являются конфиденциальными, а остальные конфиденциальными не считаются)

- Есть ли у вас в компании исчерпывающий перечень документов, подлежащий защите, насколько часто он меняется.

- и т. д.

У некоторых интеграторов есть услуга pre-DLP, которая описывает то, как хранится и как движется информация в вашей компании. Получив отчет, вы сами выбираете, что менять организационно, что контролировать политиками, а что защищать DLP-системой. Эту услугу получить бесплатно, наверное, не удастся. Зато потом вы сами составите техтребования, проведете конкурс и выберете продукт, а не будете перебирать подряд продукты.

Под каждые техтребования есть максимум одно-два решения, под некоторые - нет ни одного . Если вас устраивает софт, который вы сейчас используете, значит, он совпадает с вашей постановкой задачи.

Советую не спрашивать, какой DLP-продукт вам подходит, у заинтересованных интеграторов, они продадут не то, что нужно вам, а то, что нужно им. Сам работал в мультивендорном интеграторе и помню, как приходила команда заменять в проектах сетевое оборудование на другого вендора, поскольку висела угроза потери статуса золотого партнера из-за невыполнения плана продаж.

[Leo 0]

Предложение абсолютно рабочее. В прошлом году на конференции DLP-Russia были одновременно показаны решения InfoWatch, Symantec, Websense и Verdasys.

Рустэм не занимайся профанацией -- Dlp-Russia это ведь полностью аффилированое с Инфовотч мероприятие. Помню отлично как уволившийся от вас Дима Харченко меня агитировал там поучавствовать со словами " Лев ну для тебя мы готовы дать скидку и чтобы ты платил не 200 000 рублей а например 100 000.

Кто в своем уме будет платить конкуренту (неважно даже сколько) за чужой бенефис?

А вот насчет того что предложение рабочее согласен на 100%. И наиболее верное место для создания такого вот совместного стэнда это выставка инфосекьюрити. Тут не вопрос чтобы кроме собственного стэнда еще сделать один стэнд со всеми производителями где каждый платит например за 3 метра и от каждого производителя один комп + менеджер.

А далее можно еще лучше сделать -- можно в виде конференции чтобы в течении получаса каждый произволдитель показывал с трибуны свой софт, а далее на час-полтора круглый стол.

Вот под этим мероприятием я точно подпишусь. Только наверно Инфовотч не захочет такого открытого сравнения софта или всеже рискнешь -- Рустэм?

Мое мнение, что если вы хотите посмотреть много продуктов, то, наверное, просто еще не определились, что именно вы хотите от DLP-системы.

Супер высказывание! Так и веет чем то советским когда не было выбора. А вообще зачем тогда магазины, автосалоны и т.д.?? Там наверно также если ты хочешь тест-драйв на нескольких марках автомобилей, то тоже значит сам не знаешь чего хочешь??? А когда костюм покупаешь -- тоже зачем мерять -- определись просто по паратметрам и цвету. Предлагаю вообще закрыть все магазины и приучить людей четко понимать что им надо и не дурить голову бедным производителям

Покупая решение на за 5 копеек более чем логично чтобы человек месяц с ним поработал и понял нужно ли оно ему. И причем бесплатно. Продавать кота в мешке это ну просто некорректно.

[Мидхат 5]

2Leo

Сравнивать DLP на стенде, это честно говоря смешно.

Но ваш архив конечно работает более чем достойно!

Мы например на Инфосекьюрити скорее всего не пойдем, ибо нецелесообразно.

Так что -1

А вот DLP Russia - возможно. Если конечно условия все таки пришлют

И мне все равно кто проводит - главное кто приходит!!!!

Экономика решает все!

И у Вас есть прекрасный повод порвать всех на этой неделе!

Как я понимаю тройка гартнера будет в полном составе.

[Leo 0]

Сравнивать DLP на стенде, это честно говоря смешно.

Вообще то говоря сравнивать можно все. Что тут смешного? Более того в смежной области которая до инфобюеза была нашей основной -- полнотекстовый поиск по неструктурированной информации -- есть ряд тестов которые измеряют производтельность, качество и т.д. систем.

Просто там более слозжившийся рынок. На рынке же инфобеза тоже думаю года через 2-3 будет набюор тестов и не6зависимые эксперты которые смогут на ождном стенде проверить как реагирует каждая из систем на утечку конфиденуиальной информации, как хорошо это определеяет и т.д..

Мы например на Инфосекьюрити скорее всего не пойдем, ибо нецелесообразно.

На мой взгляд данная выставка наиболее адекватное мероприятие в России и мы там точно будем. Мидхат -- велкам на наш стэнд на инфосекьюрити -- к выставке у нас будет много нового. Мы люди открытые -- покажем вам все новое!

[Ashot 110]

Просто там более слозжившийся рынок. На рынке же инфобеза тоже думаю года через 2-3 будет набюор тестов и не6зависимые эксперты которые смогут на ождном стенде проверить как реагирует каждая из систем на утечку конфиденуиальной информации, как хорошо это определеяет и т.д..

Согласен полностью. Разве что заменить твое слово "инфобез" на "DLP" или еще лучше "борьба с утечками", т.к. в ИБ это очень маленький кусок и есть области, где с тестами и экпертами уже все нормально (шифрование, как пример). А так да, повторюсь - все так и есть, как ты написал...

[Рустэм Хайретдинов 30]

Согласен полностью. Разве что заменить твое слово "инфобез" на "DLP" или еще лучше "борьба с утечками", т.к. в ИБ это очень маленький кусок и есть области, где с тестами и экпертами уже все нормально (шифрование, как пример). А так да, повторюсь - все так и есть, как ты написал...

На развитых рынках экспертами выступают не вендоры, а клиенты и аналитики, тесты делают не интеграторы, а независмые тестовые лаборатории. Есть Гарднер и Форрестер, но они только заполненные опросники изучают, ни продуктов, но внедрений они не видели.

А пока вся экспертиза: три производителея, два дистрибутора, один интегратор и пара сочувствующих из смежных областей.

Будет рынок больше, будет и экспертиза.

[Рустэм Хайретдинов 30]

Рустэм не занимайся профанацией -- Dlp-Russia это ведь полностью аффилированое с Инфовотч мероприятие.

Супер высказывание! Так и веет чем то советским когда не было выбора. А вообще зачем тогда магазины, автосалоны и т.д.?? Там наверно также если ты хочешь тест-драйв на нескольких марках автомобилей, то тоже значит сам не знаешь чего хочешь??? А когда костюм покупаешь -- тоже зачем мерять -- определись просто по паратметрам и цвету. Предлагаю вообще закрыть все магазины и приучить людей четко понимать что им надо и не дурить голову бедным производителям

Покупая решение на за 5 копеек более чем логично чтобы человек месяц с ним поработал и понял нужно ли оно ему. И причем бесплатно. Продавать кота в мешке это ну просто некорректно.

Никто не скрывает, что Инфовотч выступает соорганизатором DLP-Russia. DLP-Expert, в котором больше 30 руководителей ИБ компаний, внедривших у себя DLP-решения - слишком занятые люди, чтобы заниматься логистикой конференции. Это не мешает участвовать другим вендорам, т.к. аудитория гораздо качественное неспециализированных конференций, во многом это денежные клиенты, еще не определившаеся с решением.

Выбор продукта на корпоративном рынке отличается от рынка товаров народного потребления, примеры с которого ты приводишь. Никто никогда не строит три домны, чтобы выбрать одну, хотя одна домна стоит больше всего DLP-рыка. Никто никогда не даст тебе месяц поездить на карьерном самосвале на своем карьере, только на специальном полигоне производителя. Три ERP-системы никто бесплатно внедрять не будет. На корпоративном рынке присутствуют другие способы выбирать - аналитика, референс-визиты и пилотное внедрение. Есть еще репутация и бренд. Добро пожаловать на корпоративный рынок

[Alex Pin4uk 0]

Предложение абсолютно рабочее. В прошлом году на конференции DLP-Russia были одновременно показаны решения InfoWatch, Symantec, Websense и Verdasys. В этом году мероприятие пройдет 2 октября, сразу после Инфосека, думаю, будет больше продуктов, подтвердились еще пять вендоров.

Насчет DLP-Russia надо будет думать, так как до москвы не ближний путь. На инфосек точно поеду, потому как интересует не только ДЛП, а и другие решения в области ИБ. А какие вендоры будут участвовать если не секрет?

Однако, стенды мало что вам покажут, кроме консолей, предустановленных отчетов и предварительно созданных инцидентов в том виде, в котором выгодно их показывать.

Тут не соглашусь, это лучше чем ничего, либо просто красочные буклеты и маркетинговые материалы. Не давно мне удалось посмотрель на консоль переметрикс, так вот, после промотра консоли отпало всякое желание тестировать этот продукт и ещё пару часов я находился в шоке от увиденного, жалко тех людей которые рискнули попробовать протестировать и разобраться в этом продукте. Так что консоль + гармотный рассказ специалиста по предоставляемым возможностям это уже больщое дело, становится хоть понятно с чем предётся столкнуться при тестировании.

Мое мнение, что если вы хотите посмотреть много продуктов, то, наверное, просто еще не определились, что именно вы хотите от DLP-системы.

У меня как раз есть более чем четкое понимание что и как надо делать в рамках моей компании. Следующим шагом считаю НЕОБХОДИМЫМ помотреть несколько продуктов чтобы понять как каждый из ниху будет решать поставленую задачу. Вообще говоря не стоит так сильно занижать кавалификацию сотрудников службы безопансоти, а то все время веет "Вы ничего не понимаете что вам надо, давайте сдлаем консалтинг, а потом раскажем как у вас все плохо и будем что-нить внедрять", мне страшно подумать сколько это будет стоить для нас (командировка не самых дешевых, я полагаю, специалис тов из москвы+консалтинг+лицензии+внедрение)

Советую не спрашивать, какой DLP-продукт вам подходит, у заинтересованных интеграторов

Спасибо за совет, не буду!