среда, 27 июля 2011 г.

НАША СЛУЖБА И ОПАСНА И ТРУДНА И НА ПЕРВЫЙ ВЗГЛЯД КАК БУДТО НЕ ВИДНА

Всем привет!

Честно говоря, не думал, что когда-нибудь заведу блог, но в свете последних событий захотелось высказаться по теме. 
Короче ситуация.. До недавнего времени я работал на одном крупном украинском научно-производственном предприятии. Там руководство только пришло к пониманию того, что конфиденциальную информацию об их сделках, разработках и т.п. нужно как бы защищать. Вот так и сформировали отдел, куда и пригласили в итоге меня начальником отдела…
Я вообще занимаюсь инфобезом уже лет 10, причем занимаюсь так, серьезно. Делать бесполезные заглушки для проверяющих органов для меня не вариант. Поначалу казалось, что руководство разделяет мой подход – с таким важным видом рассуждали со мной о «поднятии уровня безопасности на качественно новый уровень»… Знал бы, с каким треском придется выбивать финансирование на тот же новый сервер или прокси... Чувствовал себя гестаповцем. И ладно бы не было денег, так нет же – 100 штук на новую служебную машину есть, а те же деньги на ПО по безопасности – «да ты что?! мы не будем столько платить за воздух!». Короче умиляют меня люди, которые хотят, чтобы все было зашибись, и при этом на халяву.
Последней каплей был тендер по длп. Вообще хохма. Короче, в итоге в шорт листе осталось три продукта. Всех их потестили и подали отчеты и наши рекомендации дирекции. Я уже и не удивился, когда выбрали самый дешевый вариант от McAfee. Спрашивается, зачем было убивать столько времени на тесты и писанину?.. Самое забавное, что именно McAfee DLP я и специалисты моего отдела посчитали наименее подходящей для нашей организации. Но, конечно, кто мы такие?
В общем, после все этой клоунады, я решил, что ну его на фиг, пока не поздно пора тикать. Благо с моим опытом работы я не испытывал дефицита в предложениях.

Ну и чтобы не быть голословным приведу только часть того, что мы предоставили начальству..

РЕЗУЛЬТАТЫ ТЕСТИРОВАНИЯ MCAFEE DLP

Замечу, что самое лучшее, на мой взгляд, что есть в McAfee DLP, система унаследовала из линейки антивирусов McAfee. К слову сказать сам их антивирус весьма не плох.

Итак, ПЛЮСЫ.
  1. Распределенная нагрузка (SuperAgents). Снижает нагрузку на сервер, имхо это дает возможность работать с 1 сервером в предприятиях, где количествово компьютеров превышает 500 машин. 
  2. Есть валидация по кредиткам и не только (порядка 12 видов валидаций). 
  3. В настройке контроля монитора можно выбирать дополнительные параметры (к примеру, я хочу не каждый 15 сек или определенный интервал мониторить экран “жертвы”, а только при запуске определенных приложений – это ведь снижает не только нагрузку на компьютер, но и на аналитику, и убирает лишние срабатывания) 
  4. В McAfee DLP есть огромная документация на русском и английском по использованию и решению проблем. 
МИНУСЫ

McAfee DLP ни на что не годится как аналитический модуль. Этой системе свойственна низкая информативность. Система неудобна для украинских (и российских, и других стран СНГ) реалий, т.к. она не дает возможности анализировать и просматривать информационный трафик в целом, и передаваемую конфиденциальную информацию в частности. 
Эта система – для Запада, где перед безопасниками стоят совсем другие задачи. Там сотрудники при трудоустройстве уже знают о том, что все их действия в компании контролируются, они держатся за свою высокую зарплату, что для большинства является сдерживающим фактором, чтобы заниматься сливом информации на рабочем месте. На Западе системы ИБ скорее призваны предотвращать случайные, непредумышленные утечки, а также устанавливаются, чтобы соответствовать требованиям регуляторов. 
Перед нашими безопасниками стоят другие задачи – системно бороться с инсайдерством и быть в курсе всего происходящего в коллективе. У нашего безопасника должна быть возможность просматривать передаваемые сотрудниками организации документы, анализировать их содержание. А этого McAfee не позволяет. Когда McAfee DLP сообщает о произошедшем инциденте с конфиденциальной информацией, безопасник не может просмотреть те документы, на передачу которых сработала система. 
По моему мнению, если уж устанавливать McAfee DLP, то на тех предприятиях, где руководство предварительно готово потратить значительные средства на аудит ИБ. Т.к., внедряя McAfee DLP ты должен заранее знать, что именно ты будешь защищать – какую информацию, при передаче по каким каналам связи, при работе с конфиднциальной информацией посредством каких приложений. К сожалению, для большинства украинских предприятий – это предмет мечтаний, предпочтение отдается контролированию всего передоваемого в организации и за ее пределы трафика. А качественно проанализировать его, как я уже сказал, с помощью McAfee невозможно.

McAfee DLP заставила нас повозиться с ней при установке и эксплуатации:
  • Проблемы возникают, когда SQL-сервер стоит там же, где и серверная часть McAfee. 
  • Проблема с русской Windows. Невозможно прописать русского пользователя. Windows должна быть английская. Либо пользователей приходится переименовывать (по-английски). 
  • Требует эксплуатации очень мощных рабочих станций, что снижает производительность. 
  • Необходимость постоянного отслеживания новых рабочих станций в сети - Policy Enforcement. 
8 МЕТОДОВ ОБХОДА MCAFEE DLP:

Метод 1.
Общаться через любые приложения завуалированно, т.к. у McAffee DLP очень-очень слабый словарь, без морфологии, нет синонимов. 

Словари в среднем от пяти до двадцати слов. Достаточно общаться заранее оговоренными формулировками, синонимами слов.

Метод 2.
Создаем новый документ, берем часть информации от старого (разбиваем мысленно старый документ на части). Каждую часть делим еще на несколько (одну часть скриншотим, вторую часть набираем вручную), 

заносим текст в таблицу, добавляем пару абзацев с «левым» текстом, изменяем разметку страницы, добавляем в начало несколько белых страниц - и уже McAfee потерял метки и наследование на этот новый документ! 

Метод 3.
Использовать неподдерживаемые McAfee форматы (поддерживаются только 62 формата). Например, из числа форматов OpenOffice McAfee вообще ни один формат не может распознать. А это бесплатный, достаточно сильный офисный продукт.

Метод 4.
Использовать portable-версии приложений (к примеру, Skype-portable).

Метод 5.
Создаем виртуальную машину, делаем бекап диска, на котором лежит документ, и восстанавливаем на виртуалке.

Метод 6.
Отсоединиться от сети предприятия и передать данные (по умолчанию не выставлены настройки в оффлайне передавать инциденты обратно на сервер. Это необходимо дополнительно настраивать).

Метод 7.
Использовать незарегистрированные приложения. McAfee следит не только за метками, но и за приложениями, и в случае, если использовать неучтенные программы, то информация может проскочить. Например, я пользовался qip infium

Хоть и есть функция добавления различных приложений, но ведь еще необходимо выяснить, кто и какими приложениям пользуется.

Метод 8.
Запустить сперва снятие видеоряда с экрана (к примеру, программу Snagit), затем открыть документ, пролистать его и закрыть. На видео-файл метки не будет. 

Что еще вспомню, допишу попозжее. Если появятся дополнительные вопросы или возражения – готов к полемике.

По моему глубокому убеждению, при выборе DLP-системы главное не то, что это западный, распиаренный на нашем рынке продукт, а его эффективность - качество обеспечиваемой им защиты, которое подтверждается опытом использования этого решения именно на нашем постсоветском пространстве, а не на Западе. 

Удачи в выборе!

49 комментариев:

  1. Интересует контроль внешних устройств. Говорят, Макафи контролирует гораздо меньшее их число, нежели другие DLP-системы…

    ОтветитьУдалить
  2. Не проверяет. Он только реагирует в случае их использования.

    ОтветитьУдалить
  3. A chto s vozmojnostiu obnovlenia sistemi?Rabotaet?

    ОтветитьУдалить
  4. Из всего что написал товарищ, меня лично больше всего удручает, что система не заточена под русскоязычное пространство. Ну как это так, если не поддерживается морфология, синонимы… Т.е получается, назови взятку – поощрением, оплатой, и система уже не сработает?.. И, кстати, что насчет очепяток? :)

    ОтветитьУдалить
  5. Возможность обновления есть, однако ePolicy Orchestrator перестает работать, если после установки на Windows Server 2003 сервер обновляется до Windows Server 2008.

    ОтветитьУдалить
  6. >> Из всего что написал товарищ, меня лично больше всего удручает, что система не заточена под русскоязычное пространство. Ну как это так, если не поддерживается морфология, синонимы… Т.е получается, назови взятку – поощрением, оплатой, и система уже не сработает?.. И, кстати, что насчет очепяток? :)

    Все верно, в том числе опечатки, не поддерживаются. Кстати, по поводу словарей вот что интересно. В Макафи при наличии в словаре, например, записи «блик» будут отмечены слова «дубликат» и «публика». Это приводит к большому числу ложных срабатываний.

    ОтветитьУдалить
  7. Насколько мне известно, интеграция с AD у Макафи есть, но и там существуют какие-то свои
    моменты…

    ОтветитьУдалить
  8. Таке враження склалося, що ви або працювали на макафі, або просто вирiшили помститися незрозуміло кому (?) за те, що хтось не розділив вашу точку зору. Макафі - відмінний продукт! Антивірус дуже добрий, ДЛП-система, я впевнений, теж повинна бути на рівні. Не може компанія настільки відома й авторитетна в Україні випустити лажу, як ви це намагаєтеся ПОДАТИ. Ви ці 8 способів в інтернеті десь скопiпастили? Не вірю, що Макафі могли допустити все, про що ви тут пишете. Не того рівня компанія.

    ОтветитьУдалить
  9. Анонимный03.08.2011, 19:41

    На мой взгляд примеров неудачных проектов полно. Даже такая известная компания Microsoft имеет полно таких примеров, например, windows vista. Так и у макафи, замечательный антивирус, но никакая по сути ДЛП система. А покупка 100% макафи компанией интел ради того чтобы встроить их антивирус в свои процессоры. Так что я думаю что интел просто похоронит все непрофильные направления, оставив только антивирус...

    ОтветитьУдалить
  10. Анонимный03.08.2011, 19:44

    А у меня тода вопрос коль тут пишут что макафи фигня. Так а что лучше? Вебсенс например как на ваш взгляд?

    ОтветитьУдалить
  11. Анонимный03.08.2011, 21:22

    А каковы были другие продукты, участвовавшие в вашем конкурсе? Кто признан лучшим?

    ОтветитьУдалить
  12. Раз уж тестировали, подскажите – проверяет ли Макафи содержимое файлов, находящихся на рабочих станциях?

    ОтветитьУдалить
  13. >>Да, момент в том, что в IM приложениях и Скайп доступен только ник-нейм человека, который не всегда возможно идентифицировать с конкретным человеком.
    Насколько мне известно, интеграция с AD у Макафи есть, но и там существуют какие-то свои
    моменты…

    ОтветитьУдалить
  14. >>А у меня тода вопрос коль тут пишут что макафи фигня. Так а что лучше? Вебсенс например как на ваш взгляд?
    Та же основная проблема, что и у Макафи - русский язык. Не говорю уже про украинский.

    ОтветитьУдалить
  15. Анонимный04.08.2011, 10:29

    Ну вебсенс вообще лажа. Макафи то хоть как то работает. Тем более вебсенс это просто разведение лохов на IPO. Факты то общеимзвестные ну например

    В конце 2006 года WebSense приобрела компанию PortAuthority, выложив за нее астрономическую сумму в 90 млн долларов. Астрономическую потому, что годовой оборот PortAuthority составлял всего 6 млн долларов, а долги - целых 4 млн.

    дальше поведение вебсенсе в том же году

    Несколько месяцев назад WebSense объявил об еще одном приобретении, которым стала компания SurfControl. Эта английская компания занималась разработкой программных продуктов и сервисов «по требованию» для защиты работы в интернете и в электронной почте. Стоимость сделки — 400 млн долларов — впечатляет, особенно если учесть объем продаж WebSense, составивший в прошлом году 211 млн долларов.

    Все это есть в открытых источниках.


    Ну а далее было желание сыграть в интересную арифметику 1+1 = 5. То есть купить одно второе третее и продаться за миллиард. Но время лохов прошло и поэтому вебсенс реально свернулась... А нвые рынки хоть украина хоть россия им нужны чисто для нгалочки и раздувания щек.

    Поэтому если иеще макафи туда-сюда то вебсенс это просто вариант разведления лохов. Особенно с их ежеголдной платой...

    В общем по вебсенс всме гораздо хуже чем по макафи...

    ОтветитьУдалить
  16. А умеет ли Макафи распознавать текст в графических файлах?

    ОтветитьУдалить
  17. Анонимный04.08.2011, 10:52

    Ну вебсенсе вообще лажа. Макафи то еще хоть как то работает. А вебсенс это вообще разведение лохлв . И на рынки бывшего СССР им плевать. Им эти рынки нужны для раздувания щек и втюхивания компании за пару миллиардов каклкму то лоху. Или вообще может идет отмыв денег… НУ смотрите сами факты – все в инете можно натйи


    1) Еще одна крупная сделка связана с компанией WebSense, которая сравнительно мало известна в России, но весьма популярна за океаном. Этот разработчик имеет несколько продуктов в отдельных сегментах рынка информационной безопасности: защите от вредоносных кодов, фишинга и ряда других угроз. В конце 2006 года WebSense приобрела компанию PortAuthority, выложив за нее астрономическую сумму в 90 млн долларов. Астрономическую потому, что годовой оборот PortAuthority составлял всего 6 млн долларов, а долги - целых 4 млн


    2) Несколько месяцев назад WebSense объявил об еще одном приобретении, которым стала компания SurfControl. Эта английская компания занималась разработкой программных продуктов и сервисов "по требованию" для защиты работы в интернете и в электронной почте. Стоимость сделки - 400 млн долларов - впечатляет, особенно если учесть объем продаж WebSense, составивший в прошлом году 211 млн долларов. Это означает, что WebSense приобретает компании на заемные деньги, а управлять бизнесом в таких условиях весьма непросто. Если кому-то все время приходится расплачиваться по долгам, то все остальные задачи (будь то инвестиции в разработку, маркетинг или продажи) мгновенно уходят на второй план.

    То есть явно видно что желаие скупит пару фирм объединить и продать какому то лоху втридорого…

    ОтветитьУдалить
  18. Метод 3 вообще убил напрочь. Непонятно, что думают в макафи, ведь с конца декабря 2010 openoffice государственным стандартом стал в России.

    ОтветитьУдалить
  19. А что насчет регулярных выражений? Есть заранее созданные шаблоны?

    ОтветитьУдалить
  20. >> А каковы были другие продукты, участвовавшие в вашем конкурсе? Кто признан лучшим?


    Лучшим по мнению лиц дающих деньги признан макафии:)
    С моей точки зрения есть хорошие продукты, гораздо лучше макафи практически все что мы смотрели. Выделить какой-то из них как самый лучший я бы мог, но это будет а) мое субъективное мнение, б) реклама этого проудкта, на фоне антирекламы макафииии, чего лично мне делать бы не хотелось.

    ОтветитьУдалить
  21. >>Раз уж тестировали, подскажите – проверяет ли Макафи содержимое файлов, находящихся на рабочих станциях?

    Как я уже писал ранее, с проверкой содержимого там все плохо впринципе. Основное на что они упирают это метки. Я видел продукты которые целенаправленно проверяют содержимое всех файлов на рабоичх станциях у WebSence и SearchInform - ни чего подобного у McAfee нет.

    ОтветитьУдалить
  22. >> А умеет ли Макафи распознавать текст в графических файлах?

    Макафи не умеет распознавать текст из графики и следовательно искать по ней, получается что можно только с помощью меток, не понятно как пометить все картинки

    ОтветитьУдалить
  23. >> А что насчет регулярных выражений? Есть заранее созданные шаблоны?

    Есть. Но они ориентированы на англоязычное пространство. Русские шаблоны добавить можно, но их необходимо сперва создать, а на это нужно время.

    ОтветитьУдалить
  24. Если пользователь существенно отредактировал конфиденциальный документ, то система его вряд ли отловит? Цифровые то отпечатки тут не помогут…

    ОтветитьУдалить
  25. >> Если пользователь существенно отредактировал конфиденциальный документ, то система его вряд ли отловит? Цифровые то отпечатки тут не помогут…

    Да, по цифровым отпечаткам Макафи срабатывает только при почти 80-90 процентах совпадения с документам. Если документ существенно отредактирован – то цифровые отпечатки уже не сработают. С другой стороны – могут сработать метки, которые унаследует конфиденциальные документ после редактирования. Но если использовать метод 2 – то и метки, в принципе, можно обмануть, они теряются, наследование прекращается.

    ОтветитьУдалить
  26. Анонимный08.08.2011, 12:39

    Коллеги, а кто-нибудь пробовал InfoWatch, Zgate/ZLock, Дозор-Джет и прочие наши системы?

    ОтветитьУдалить
  27. Анонимный08.08.2011, 12:41

    >> Но если использовать метод 2 – то и метки, в принципе, можно обмануть, они теряются, наследование прекращается.

    У меток же главная проблема в том, что они неконтролируемо разрастаются, нет механизма их автоматизированного удаления, разве нет? Всегда думал, что это технология применима только с активным использованием персонала (грубо говоря, начальников, которые будут в ручную ставить и снимать метки) и только для избранных документов.

    ОтветитьУдалить
  28. Был на демонстрации DLP Symantec в Leta. Спикер рассказывал, рассказывал, а потом решил продукт продемонстрировать. Взял текст, отметил как конфиденциальный, обновил фингерпринты, запистил - сработал. Спрашивает у зала: "Ну, что ещё изменить?" Ему отвечают: "Поменяй расширение на .exe" Он, улыбаясь, меняет. Запускает фильтр - срабатывает. Из зала "А вы первые два символа поменяйте на те, которые в начале исполнимого файла стоят" Мужик, переспрашивая, меняет. Запускает фильтр и он лажается...
    Нет совершенства в нашем мире.

    ОтветитьУдалить
  29. Анонимный11.08.2011, 09:23

    Автор вам нужно учиться и учиться.

    И контроль устройств в HDLP есть, и вложение документов можно в инцидентах просматривать (правило store evidence) и форматов файлов более 360, а не 62, и portable версии можно контролировать - это настраивается за 3 минуты...

    Напрашивается вопрос - какую версию вы вообще тестировали? Уж не 2-3 года назад это было?

    Банке Тинькофф это решение используют и довольны, а там даже не 100 рабочих станций... Волгоградэнергосбыт - тоже самое...

    Так что пишите еще.

    ОтветитьУдалить
  30. Анонимный11.08.2011, 12:55

    Как человек, который более 3-х лет занимается DLP системами в целом, и Mcafee Host DLP в частности хотелось бы прокомментировать некоторые неточности статьи и комментариев к ней.
    Начнем с описанных плюсов решения от McAfee:
    1. “Распределенная нагрузка (SuperAgents). Снижает нагрузку на сервер, имхо это дает возможность работать с 1 сервером в предприятиях, где количествово компьютеров превышает 500 машин.” Количество рабочих станций, которое может обслуживать один сервер epo вы сможете посмотреть в документе “Best practices guide McAfee ePloicy Orchestrator” начиная со страницы 11. Таким образом вы можете убедиться, что 500 машин – это очень небольшой объем клиентов, который может поддерживать 1 сервер, а упомянутый Вами механизм «SuperAgents» никакого отношения к системе DLP не имеет, а является методом создания удаленных репозиториев для хранения дистрибутивов агентов и сигнатур. Это актуально для антивирусов и hips (в распределенных сетях), в подсистеме dlp этот механизм никак не используется.
    2. Касательно валидации по кредитным картам и прочее. Этот механизм есть если не в каждой dlp системе, то в большинстве это точно. Только ленивый вендор не сделал валидацию алгоритма luhn10 для проверки валидности кредитной карты, поэтому я бы этот момент к плюсам не относил. Как само собой разумеющийся функционал в подобного рода системе.
    3. По третьему пункту Вы явно что то путаете. В системе McAfee Host DLP вести наблюдение за экраном клиента – невозможно, это не система для «подглядываний». Тем более там нет никаких настраиваемых интервалов. Есть возможность смотреть «снимки экрана» (функция print screen в ОС) сделанные пользователями над определенными приложениями, но это, согласитесь, совсем другое.
    4. Вот про документацию соглашусь с Вами. Жалко что ей редко пользуются, но сам факт ее наличия не может не радовать. Кстати лично я предпочитаю читать на английском, т.к. к качеству перевода у меня есть некоторые претензии, но это скорее в качестве придирки.
    Перейдем к описанным Вами минусам системы DLP от McAfee:
    1. Первые 4 абзаца – это строго Ваше личное мнение. И позволю себе во многом с Вами не согласиться. Если быть лаконичным, то перевести данную часть можно очень коротко: Система DLP от McAfee Вам не понравилась. Все. Я тут даже причины постараюсь не затрагивать, но основная кроется в непонимании данного продукта (Вы очень часто излагаете заведомо неправильные факты) и ином (я умышленно не пишу неправильном) видение защиты информационных ресурсов от их утечки. Я позже постараюсь объяснить свою точку зрения на этот вопрос.

    ОтветитьУдалить
  31. Анонимный11.08.2011, 12:56

    2. Объединю в один блок, для простоты чтения:
    «McAfee DLP заставила нас повозиться с ней при установке и эксплуатации:»
    • «Проблемы возникают, когда SQL-сервер стоит там же, где и серверная часть McAfee.» Я, как по большей части технический специалист, выскажу мнение, что Вы не достаточно хорошо понимание как работает Система DLP в связке с БД MS SQL. У меня подобного рода проблем не возникает. Справедливости ради надо отметить, что при установке и настройке необходимо обладать техническими знаниями достаточными для того, чтобы правильно все сделать (Вы почините болид формулы 1 в своем гараже?). Соглашусь, что эта работа (по установке и настройке системы) требует грамотного системного администратора, но вот вопрос: сможет ли неискушенный техническими знаниями безопасник поднять к примеру VPN в филиал? Нет?.. Это ведь не говорит о том, что механизм VPN чертовски сложен и неприемлем для защиты информации.
    • «Проблема с русской Windows. Невозможно прописать русского пользователя. Windows должна быть английская. Либо пользователей приходится переименовывать (по-английски).» Тут вы явно ошибаетесь. Все очень даже хорошо поддерживает русские ОС начиная с версии продукта 3.0 (до этого были такие проблемы) Сейчас актуальный билд 9.1, скоро будет 9.2 Никаких проблем с русскоязычными ОС на моих стендах нет. Как вы думаете, почему так отличаются наши сведения? Надеюсь предположений, что я нагло вру и пишу чего не знаю не возникнет ;) Хотя высказывайте свое мнение, я готов к конструктивной критике.
    • “Требует эксплуатации очень мощных рабочих станций, что снижает производительность.” Тут все зависит от понятия «очень мощной». Вендором заявлены минимальные требования к ресурсам. Да, агент использует ресурсы ПК при работе и это нормально. Агент выполняет большое число математических операций при анализе и обработке данных. Это просто факты, но никак не плюс или минус системы. Агент для нормальной работы требует 512 ОЗУ (при XP) и 1024 ОЗУ (при Висте или 7) и что то там по процессору (кажется не менее 1 Ггц). Еще раз сконцентрирую внимание, что это определенные вендором условия на которые необходимо обращать внимание при выборе системы. И если у вас парк из машин с прошлого тысячелетия, то да, это решение для защиты информации вам не подойдет. +1 один момент: любую, самую мощную машину можно нагрузить так, что там пакет ms word минутами открываться будет, поэтому еще есть зависимость от «состояния» ОС и установленного софта на рабочей станции.
    • Необходимость постоянного отслеживания новых рабочих станций в сети - Policy Enforcement. Тут Вы опять путаете… Понятие Policy Enforcement – это определение того, применена ли политика к данной рабочей станции или нет. Это выводиться в отчетах для понимания на каких рабочих станциях существующие политики применены. Обнаружением систем, на которых нет установленных агентов McAfee занимается компонент Rogue System Detection (RSD). Он встроен в epo (т.е. его не надо покупать) и определяет системы, на которых не установлены агенты. При правильной настройке все очень удобно. К примеру: Администраторы вводят в домен новую рабочую станцию. RSD ее обнаруживает и автоматически (Для этого пароль локального администратора должен быть универсальным для всех станций) устанавливает необходимые агенты в зависимости от ip адреса клиента, установленной на ней ОС и других параметров. Таким образом не надо в образ ОС постоянно вносить новые билды софта, все автоматически установиться при включении станции в домен и «появлении» ее в сети.

    ОтветитьУдалить
  32. Анонимный11.08.2011, 12:57

    N методов обхода. Я постараюсь вкратце. Часть из них заведомо ложные, часть из них надо проверить (спасибо за идею, обязательно как выйду из отпуска – проверю на стендах), часть – сплошная риторика. Про то, что если в слове «взятка» сделать 9 опечаток, то получится слово «результат» и говорить не стоит т.к. никакая система dlp этого не отследит, а все эти поиски похожих и синонимов – чистый воды маркетинг не имеющий к практике никакого отношения.
    Строго говоря любую систему DLP можно обойти. По крайней мере я точно смогу это сделать т.к. достаточно давно и подробно занимаюсь этими вопросами. Но тут дело в чем. Конечные потребители данной системы – это не специалисты по ИБ, не ит специалисты, а работники компании. Вот за основу своих рассуждений и надо брать их образ мыслей при желании что то унести. А такого инсайдера как я технически ограничить практически невозможно. (Я сказал практически ;)
    DLP система это всего лишь инструмент для защиты и ее эффективность будет равна произведению функционала на качество адаптации к нуждам компании. По функционалу явных лидеров на этом рынке нет, каждый может сказать о уникальности «цветовой окраски уведомлений» именно его решения.
    PS: Вопрос для размышления: Если вы обратитесь к специалисту в области автомобилей (высококвалифицированному) с вопросом: Какой автомобиль лучше: спорт купе, джип или грузовик?, что он вам ответит?... – смотря для чего.
    Если вы обратитесь к высококвалифицированному специалисту в области DLP систем с вопросом: Какая DLP система самая лучшая?, что он вам ответит?...

    С уважением,
    Александр.

    ОтветитьУдалить
  33. Анонимный11.08.2011, 13:05

    Ой, а мои коментарии кто-то трет ;) Мистика прям какая то.

    ОтветитьУдалить
  34. Этот комментарий был удален автором.

    ОтветитьУдалить
  35. Написал подробный ответ на Ваш текст. Ознакомиться можно тут: http://meoquidem.blogspot.com/2011/08/dlp.html
    Интересны будут Ваши комментарии.

    ОтветитьУдалить
  36. 2 UkrBizSec

    >>Все верно, в том числе опечатки, не поддерживаются. Кстати, по поводу словарей вот что интересно. В Макафи при наличии в словаре, например, записи «блик» будут отмечены слова «дубликат» и «публика». Это приводит к большому числу ложных срабатываний.

    напоминает первые антиматы с их "Ваня, подстра[цензура] меня сегодня на работе" и ""Аврора" - не самый удачный пример боевого кора[цензура]".

    Закопаешься в логах.

    ОтветитьУдалить
  37. Дорогой аноним, ваши коменты гугл посчитал за спам, простите, уже исправил.

    ОтветитьУдалить
  38. по поводу поддержки внешних устройств, автор ничего не говорил
    плохого про них. Сейчас все ДЛП системы контролируют внешние
    устройства.
    А вот по поводу подержки форматов файлов вы погорячились! макафи
    подерживает 61 формат, никак не 360. Будьте внимательны

    и версия которая ставилась 4.5.0 (build 753)

    Вот картинки:
    http://www.hostingfailov.com/photo/c2b360e0d5
    http://www.hostingfailov.com/photo/e1487ddfd0
    http://www.hostingfailov.com/photo/387aac7cb7
    http://www.hostingfailov.com/photo/c629d4b2e6

    ОтветитьУдалить
  39. Этот комментарий был удален автором.

    ОтветитьУдалить
  40. to UkrBizSec:
    И тут немного Вас подправлю.

    Версия 4.5.0 - это версия ePolicy Orchestator - системфы управления продуктами McAfee. ePO - выполняет только административные функции (установка, удаление агентов). Функции по dlp выполняет компонент (Extension) - Host DLP. Его версию Вы сможете посмотреть зайдя в DLP Policy->help-> about (кажется так, пишу по пямяти)

    ОтветитьУдалить
  41. Добрый день.

    Проверил два описанных сценария:
    1. Поддержка Украинского языка (снятие цифровых отпечатков)
    2. Поддержка формата odf

    В обоих случаях все работает штатно, настроенные правила блокировки отрабатываются, теневые копии инцидентов создаются.

    Видео теста тут: http://www.youtube.com/watch?v=j2Pi6QGT-14

    ps Что еще не поддерживается\не работает? О_0

    ОтветитьУдалить
  42. Анонимный16.12.2011, 09:10

    Подскажите пожалуйста, как с обстоят дела с почтовыми програмамми (В частности интересует TheBat). Опыта большего нет, но пока подозрение такое, что McAfee в этом вопросе неэфективно - вложенные файлы отправляются по почте без ограничений и подтверждения.

    ОтветитьУдалить
  43. Приветствует всех!
    Коллеги, передо мной стоит задача по внедрению DLP- решения в компании. Так как практического опыта у меня почти нет в этом направлении, прошу помощи тех кто имеет не только теоретические, но и практические знания по внедрению DLP. Задача такая:
    Необходимо развернуть систему DLP со следующими исходными данными:
    1. Active Directory
    2. 200 PC
    3. 20 серверов различного назначения
    4. 20 принтеров (7 локальных)
    5. Выход в интернет и почта - через прокат сервер
    6. 5 каналов связи с другими офисами
    7. Наличие офисного wi-fi.

    Коллеги, может быть подскажите какое нибудь решение?

    ОтветитьУдалить
  44. Анонимный27.02.2012, 11:54

    BBk, я сталкивался с несколькими продуктами DLP, разработчики сидят в России. Посмотри следующих:

    Securit (Zlock и Zgate продукты. Так же, если нужно шифрование, то Zserver)
    Searchinform (неплохой продукт, но не умеет блокировать утечку, а только уведомляет о ней. Кроме того, они в качестве контроля USB используют продукт DeviceLock)
    InfoWatch (но про них слышал, что продукт у них плохой, а точнее его практически и нету. Но тут нужно узнавать подробнее).

    ОтветитьУдалить
  45. Анонимный12.03.2012, 10:24

    Могу сказать про SearchInform. Функция блоркировки уже как пару месяцев есть, но только для почты. От devicelock отказались, теперь полностью свое решение по контролю переферии.

    ОтветитьУдалить
    Ответы
    1. Анонимный05.04.2012, 15:41

      Любая система подойдёт, по сути.
      Но...

      McAfee - если есть ноутбуки, которые с собой будут увозить сотрудники, поскольку у остальных игроков рынка нет хранилища цифровых отпечатков на устройствах (ну и о метках я умолчу, ибо споров вокруг технологии слишком много).

      Ну и можно защиту дополнить полнодисковым шифрованием + защитой от запуска не корпоративных (не разрешённых) приложений (продукты так же есть в портфеле, и управляются из той же консоли).

      Удалить
  46. Анонимный11.05.2012, 16:13

    Слова автора подтверждаю полностью своим примером. Мы оооочень намучились с McAfee. Больше скажу когда перешли на отечественную разработку Стахановец (при том что DLP его с натяжкой назову) толку получилось на порядок больше. Внимательно изучайте отзывы реальных пользователей при выборе DLP.

    ОтветитьУдалить
  47. Доброго дня!
    Поделитесь, пожалуйста, русским мануалом по McAfee HDLP. Или где можно глянуть?

    ОтветитьУдалить
  48. Анонимный29.05.2013, 08:31

    http://www.youtube.com/watch?v=walicmrh60w

    ОтветитьУдалить