Мне тоже интересно, пока не видел решений DLP, позволяющий поймать подобные манипуляции. Можно попробовать ограничить доступ к файлам определенных типов только с использованием списка разрешенных приложений, да и то почти всегда можно нахимичить что-то. Пока IRM/DRM выглядит более надежно, но сложнее и проблемнее в целом. Может, в облаках дела получше, не проверял.
Согласен, сейчас активно в винсервер пихается функционал, традиционно «закрепленный» за продуктами других вендоров по безопасности, для которых, соответственно, существуют свои специалисты. Но, ничего страшного, лишь бы было удобно и соответствовало заявленному функционалу.
пару слов добавлю:
McAfee ESM — название их SIEM — очень круто, если есть другие продукты МакАфи:)
Без них это довольно обычный SIEM, у которого есть доп. навороты — анализатор трафика и мониторинг СУБД.
Анализатор трафика — это железка, которая по SPAN мониторит трафик и разбирает его на составляющие — тут письмо, тут картинку в фейсбук запостили, тут по RDP приконнектились. СУБД — отслеживаются транзакции, доступы и т.д.
Лично мне не показалось, что есть какие то сложности, модули довольно стандартные — менеджер, ресивер для событий и лог-менеджер для сырых логов. Также есть их комбинации — менеджер+ресивер, ресивер+лог-менеджер и все в одном.
Расчет не такой уж и сложный, главное определиться, сколько событий ловим и где территориально ловим.
Также знаком с QRadar, не скажу, что сильно отличается по функционалу.
Очень ИМХО — МакАфи быстрее, и интерфейс, и отчеты. Также МакАфи заявляют о дикой производительности топовых железок, но чего не видел, того не видел…
Кстати, есть еще такая штука как Splunk — вот это где рай для линуксоида :) Мне нравилось когда-то им заниматься :) Очень много возможностей по кастомизации, но это одновременно и минус, так что…
APT — advanced persistent threat. Довольно стандартные принципы работы таргетированных атак. Подобное встречал уже в нескольких крупных компаниях, отлавливается только комплексом средств — антивирус, HIPS, Network IPS, web-шлюз, почтовый шлюз, чем-нибудь скоррелировать все это… Сведя данные становится понятно, что и как происходило и откуда начинать бороться. Ну а кто заказчик, остается только гадать.
Немного знаком с технологией, но с корпоративной точки зрения — т.е. с централизованным управлением. Так вот, кроме того, что можно нажать на кнопку, и все заблокируется, можно установить время отсутствия связи с сервером управления, после которого произойдет блокировка.
Против утечки данных конечно же спасет шифрование.
Вот как раз для этого и нужны «аггрегаторы», упомянутые в статье. Обычно их называют SIEM, системы собирают логи, приводят их в читаемый вид, обеспечивают поиск и т.д. + к всему этому корреляция — сопоставление событий и действий пользователей для выявления потенциально опасных процессов и нарушений. Есть у многих производителей, McAfee ESM, HP ArcSight, Symantec (забыл как), IBM Qradar, Splunk.
Не сильно понял, как будет работать, но, если после добавления на телефон аккаунта гугл будешь залогинен во все совместимые приложения, то это будет круто!
Так же, как и ключ:) Разве что использовать только WiFi и на телефон пин код/пароль установить. Или, если NFC/Bluetooth активировать можно только после ввода пин-кода/пароля, то кража телефона тоже не поможет.
После знакомства с DLP, как-то язык не поворачивается назвать утилиту поиска в папке DLP, пусть даже Lite. Хоть бы возможность выбора группы компьютеров или списка сетевых шар добавили, сканирование по расписанию…
Простите, но меня смутила фраза
>IP55 и IP57 уровни защиты от пыли и влаги соответственно
Вроде же в коде указывается сразу и пыле- и влагозащищенность?
Что все-таки в итоге?
Falcongaze SecureTower — похож на гибрид традиционного DLP и решения слежки за пользователями по типу Spector360 или LanAgent :) Обычно DLP не контролирует производительность труда, поэтому выглядит данный продукт как-то раздуто с одной стороны и не очень удобно с другой. Хотя, опять же это дело привычки:)
Мое мнение — для небольших компаний подходит продукт McAfee DLP Endpoint. Дешево (сам продукт 400-500 тыс.р. на 250 мест), просто, возможности довольно обширные, да и контроль устройств включен. Для начала достаточно, в дальнейшем возможно расширение сетевой частью.
McAfee ESM — название их SIEM — очень круто, если есть другие продукты МакАфи:)
Без них это довольно обычный SIEM, у которого есть доп. навороты — анализатор трафика и мониторинг СУБД.
Анализатор трафика — это железка, которая по SPAN мониторит трафик и разбирает его на составляющие — тут письмо, тут картинку в фейсбук запостили, тут по RDP приконнектились. СУБД — отслеживаются транзакции, доступы и т.д.
Лично мне не показалось, что есть какие то сложности, модули довольно стандартные — менеджер, ресивер для событий и лог-менеджер для сырых логов. Также есть их комбинации — менеджер+ресивер, ресивер+лог-менеджер и все в одном.
Расчет не такой уж и сложный, главное определиться, сколько событий ловим и где территориально ловим.
Также знаком с QRadar, не скажу, что сильно отличается по функционалу.
Очень ИМХО — МакАфи быстрее, и интерфейс, и отчеты. Также МакАфи заявляют о дикой производительности топовых железок, но чего не видел, того не видел…
Кстати, есть еще такая штука как Splunk — вот это где рай для линуксоида :) Мне нравилось когда-то им заниматься :) Очень много возможностей по кастомизации, но это одновременно и минус, так что…
Статья отличная, спасибо, интересно почитать.
Против утечки данных конечно же спасет шифрование.
>IP55 и IP57 уровни защиты от пыли и влаги соответственно
Вроде же в коде указывается сразу и пыле- и влагозащищенность?
Что все-таки в итоге?