Как стать автором
Обновить

Комментарии 35

Почему не тестировали McAfee DLP ?

Ответил ниже.
А почему не рассматривали лидеров Gartner — Forcepoint и Symantec?
И — импортозамещение (а forcepoint у нас никогда популярен не был).

Мой опыт работы с этими решениями:
ориентированность на русскоязычный сегмент для DLP — это важный фактор для качественной аналитики русского языка (в контексте содержания передаваемого контента).
Ответил ниже.
Ответил ниже.
А какую систему вы в итоге выбрали?
Ответил ниже.
Где Стахановец?
Ответил ниже.
Странная статья. Пункт с IW тем более, не сходятся некоторые моменты.
Обзор какого года? У инфовотч давно версия 6.5…
Ответил ниже.

Хороший обзор. Спасибо!
Но жаль что не рассмотрели Solar-dozor.

Ответил ниже.
А как же Стахановец?
сарказм
мега dlp решение в котором надо всю конфиденциальную инфу залить в одно поле, пополнять и редактировать руками
Добавлю свои 5 копеек, тестировали вышеперечисленные DLP (кроме Device Lock) на протяжении почти года, и опыт в использовании DLP примерно 3 года попытаюсь свести к следующим тезисам:
1) Для тестирования определитесь с требованиями к DLP, в нашем случае тестировали непосредственные сотрудники, а вот выбирало начальство и у него как оказалось свое виденье.
2) Проверяйте есть ли инструменты работы с базой данных. Например сотрудница по почте попыталась отправить файл размером в пару гигабайт, естественно почтовый клиент такой объём не пропустил, но по странным стечениям обстоятельств письмо пыталось отправиться все выходные каждые 10 минут, в результате DLP нагенерировал событий на терабайты, а почистить их невозможно. Техподдержка предложила свою помощь, но не будешь же к ним обращаться каждый раз.
3) В процессе эксплуатации обнаружили, что инциденты имеют свойство разрастаться в геометрической прогрессии. Например происходит сработка на сообщение в скайпе в общем чате на 10 человек (у всех стоит DLP). Так вот каждое последующее сообщение в данном чате может считаться так же инцидентом, и отфильтровать это нельзя.
4) Способов обойти DLP очень много, в процессе тестирования мы нашли примерно 15-20 способов обойти систему, это к вопросу если у вас активная блокировка и злоумышленник получает обратную связь от DLP.
5) В договор включайте пункты про техподдержку. Для вендоров техподдержка это тот крюк, на который они вас подсаживают, изначально заявляют, что никаких штрафных санкций за отказ нет, но при попытке продлить выкатывают сумму в 1.5 раза больше объясняя это тем, что их сотрудники все равно работали хоть вы и не платили. Без оплаты техподдержка отказывается отвечать даже на простые вопросы.
6) DLP даже без функции кейлогера собирает пароли и данные о платежных картах в WEB трафике, поэтому людям которые имеют доступ вы должны доверять очень и очень сильно. Забавный случай вышел: в первые дни тестирования Searchinform в трафике мы нашли данные о кредитной карте руководителя организации, хотя ими пользовался совсем другой человек.
7) Уделите внимание нагрузочному тестированию, правильно отметил MakAlex_35 необходимо нагрузить систему максимально. Например, я по ошибке дал задание об установке агентов всем пользователям. В результате выяснилось что у DLP нет очереди установки и установку отменить нельзя. Агенты ставились на протяжении трех суток, причем иногда по несколько раз, удалялись они еще дольше, система в это время веля себя крайне нестабильно, даже выделение необходимого пункта меню занимало до десятков секунд.
а вот выбирало начальство и у него как оказалось свое виденье

Тестированием DLP, как правило, занимаются инженеры, которые хорошо разбираются в «железе» и в ПО, гораздо хуже разбираются в информационной безопасности, слабо разбираются (если вообще разбираются) в причинах и следствиях утечек и не разбираются ни в кадровой, ни в экономической безопасности.
Поэтому неудивительно, что руководство в таких случаях интересует ни количество фич и качество их реализации, а соответствие возможностей тестируемой системы (в т.ч. пока ещё нереализованным) реальным задачам корпоративной безопасности и соотношение цена / возможности.
инциденты имеют свойство разрастаться в геометрической прогрессии

Инциденты не могут разрастаться в геометрической прогрессии потому, что они назначаются руками на конкретного ответственного (в соответствии с нормативными документами ИБ) для проведения разбора / расследования.
Большое количество событий не является проблемой, если есть нормально реализованные инцидентная модель (позволяющая быстро и удобно создавать инцидент) и нормальный функционал обработки событий. Если в Вашей DLP нельзя отфильтровать события и поменять их атрибуты, то либо нужен новый релиз, либо новая DLP.
Способов обойти DLP очень много, в процессе тестирования мы нашли примерно 15-20 способов обойти систему, это к вопросу если у вас активная блокировка и злоумышленник получает обратную связь от DLP.

1. Блокировка — активное противодействие. Поэтому активная блокировка — это масло масляное.
2. Блокировка далеко не всегда дает «обратную связь», т.е. приводит к расконспирации DLP — большинство сотрудников не догадается даже после десятка-другого попыток передать запрещенную к передаче информацию. А для догадливых есть кучка других объяснений, в которые они поверят.
3. Обойти можно любую систему, и DLP не исключение. Но:
  • во-первых, из двух-трех тысяч сотрудников компании обойти DLP смогут единицы, максимум — десятки; соответственно этих вундеркиндов можно брать под более жесткий контроль;
  • во-вторых, DLP — это не единственная система корпоративной безопасности, и «гениальные находки изощренного ума» — например, в виде фотографирования экрана на мобилу, — прекрасно пресекаются / документируются.
  • в-третьих, спереть информацию — это даже не полдела, а хорошо если десятая часть, и с реализацией упертой информации, как правило, будут большие проблемы, причем чем серьезнее информация — тем больше проблем (см. например, дело Дмитрия Коробова, который тоже знал как что обходится)

необходимо нагрузить систему максимально.

Никогда вы не нагрузите систему максимально при тестовой эксплуатации. На пилоте, как правило, используется пилотная зона и «железо», соответствующее этой пилотной зоне.
Поделитесь опытом противодействия и документирования фотканья мобильником.
Например, видеоконтроль — скрытый и/или открытый. Видео хорошо просматривается в ускоренном режиме, особенно если у системы видеонаблюдения нормальный поисковый интерфейс (можно задать набор временных диапазонов просмотра и зону просмотра, если камера с широким охватом).

Одна из основных проблем будет определить эти самые временные диапазоны. Это можно сделать, например, анализом сообщений агента об открываемых приложениях.

Или подготовить и провести простенькую оперативную комбинацию («один дома в рабочем помещении). И т.д. Способов много — было бы у безопасника желание работать на результат.
А если пользователей несколько тысяч, сколько безопасников сажать вручную мотать данные с видеокамер для визуального анализа всех этих человеко-часов?
«Вручную мотают данные с видеокамер» для документирования действий при конкретной разработке или при плановом контроле.
А чтобы было понимание, кого надо разрабатывать и документировать, а кого не имеет смысла, надо много работать — заниматься профилактикой, заниматься профилированием, создавать соответствующий имидж службы, заниматься прогнозированием утечек и прочая, и прочая, и прочая.
Кстати, все перечисленные мероприятия (а их ещё много) также являются составными частями системы противодействия утечкам.

1. Насчет вопросов, почему не рассмотрели Стахановец, Solar и пр.? Ответ: Стах – не DLP, Солар – с это системой раньше имел дело мой коллега, он сказал, что у нее проблемы со стабильностью работы, потому решили не тратить время. Иностранные системы не рассматривали в принципе, одна из них стояла раньше, а теперь по понятным причинам нужен был отечественный софт. 2. «Обзор какого года? У инфовотч давно версия 6.5…» – Не спорю, просто мы тестировали то, что нам предоставил производитель на тот момент. А версия 6.5, насколько мне известно, появилась недавно. Не заново же нам тест проводить в связи с этим событием? 3. На все вопросы «Что же в итоге выбрали?» как здесь, так и в личке отвечаю: Не было у меня задачи убедить вас, что какая-то система лучше, какая-то хуже. Это сочли бы рекламностью. Кроме того, что выбрали мы, подходит именно нам. А у вас могут быть совершенно иные задачи и вы Стахановца возьмете))
Стах – не DLP,

Т.е. Device Lock, которая тестировалась, является DLP.
Солар – с это системой раньше имел дело мой коллега, он сказал, что у нее проблемы со стабильностью работы, потому решили не тратить время.

Вы своему руководству отказ от тестирования Solar Dozor также обосновывали?
Спасибо, что рассмотрели в обзоре нашу систему «КИБ СёрчИнформ» и отдельное спасибо, что отметили, что требует доработки. Всё справедливо, и мы уже занимаемся решением описанных проблем.
Что касается блокировки каналов: в планах на 2017 год – дальнейшее развитие prevention. Мы готовы выслушать предложения по работе в данном направлении как от текущих, так и от потенциальных клиентов.
Относительно сложного интерфейса: в следующем году сократим количество консолей до необходимого минимума. Важно, не потерять функциональность системы, поэтому данные работы идут постепенно.
Чтобы с системой было удобно работать, любой пользователь может обратиться в отдел внедрения, где ему помогут разобраться в неясных вопросах. Кроме того, мы разработали специальные программы обучения для аналитиков и технических специалистов, чтобы работа с КИБ приносила максимум пользы и результата.
С уважением, технический директор «СёрчИнформ» Иван Мершков.
Забавное тестирование — сравнили теплое с зеленым, мягкое с духовитым и т.д. И потрачено «всего-то» каких-то полгода!

Особенно впечатлило сравнение IW с Device Lock — зачем тестировать «ушастый» Запорожец, если тестируется (уже или в планах) тачка бизнес-класса? Наверное, людям заняться больше нечем.

Жалко что Гарда Предприятие не посмотрели. Мне как её разработчику интересно было бы увидеть такое сравнение с конкурентами.
А в протестированных продуктах есть какие-нибудь средства анализа содержимого дисков виртуальных машин? Ситуация: есть ВМ (VMware, например). На неё инсайдер скидывает конфиденциальную информацию и выкладывает образ на фтп или файлообменник для «потестировать у заказчика». Как себя поведёт DLP?
Если разработчики могут ответить, то от них ответы тоже пригодились бы.
Вариант 1. ВМ «корпоративная», на ней штатно стоит агент.
Агент штатно задетектит всё, что нужно.

Вариант 2. ПК, с которого «инсайдер» что-то скидывает, «корпоративный», на нем штатно стоит агент.
Агент штатно задетектит всё, что нужно.

Т.е. в общем у инсайдера не должно быть прав администратора для развертывания ВМ, и если хотя бы на одном узле есть агент системы, то должно быть успешное детектирование.

Вариант 3. Агентов на участниках копирования нет (почему — не важно).
Сетевые компоненты DLP (или другие СЗИ) должны зафиксировать аномальный трафик (если ничего не зашифровано, то и конфиденциальную информацию) с ВМ на фтп или шару.
Варианты понятны, спасибо
У IW есть компонент Краулер (Crawler) который сканит инфу и сигнализирует, если что-то лежит там где не должно
У Dozor тоже есть компонент для этих целей. Одна бабка сказала, что работает он быстрее.
Спасибо, что рассмотрели возможность использования решения InfoWatch и представили качественную обратную связь. Специалисты InfoWatch внимательно следят за изменениями в области информационной безопасности предприятий, обеспечивая максимальную защиту своих клиентов. В новой версии решения InfoWatch Traffic Monitor версии 6.5 стало возможным с помощью единого центра управления настроить политики анализа передаваемых данных для работы в разрыв на агенте. Также были добавлены новые каналы перехвата, которых, возможно, вам не хватало в пятой версии. Следующая версии InfoWatch Traffic Monitor будет еще более функциональной с учетом текущих запросов и пожеланий заказчиков.
Зарегистрируйтесь на Хабре, чтобы оставить комментарий

Публикации