По роду своей деятельности мне часто приходится сталкиваться с различными мнениями при выборе той или иной системы по защите от утечки информации (DLP). Большинство конечно являются чисто субъективными мнениями основанными на опыте работы с конкретной (конкретными) системами или мнениями сторонних, так сказать, экспертов. Вот во втором случае и кроется главная опасность для читателей такого рода мнений быть сильно запутанными в этом вопросе т.к. его качество очень сильно зависит от уровня осведомленности автора в продукте до его желания быть объективным и непристрастным в этом нелегком вопросе.
Хотя моя точка зрения заключается в том, что выбор сделать не так уж и сложно, но по этому вопросу я постараюсь позже написать отдельную статью.
Итак, что же сподвигло меня начать писать данный текст?.. Мне прислали ссылку на мнение независимого эксперта по его оценке определенной DLP системы. Мнение надо сказать, на мой взгляд, не совсем корректное т.к. уж очень изобилует явными ошибками (преднамеренными или нет – не знаю, могу только догадываться). Я хотел было вступить в дискуссию, описав те явные недостатки текста, на которые обратил внимание, но к сожалению мои комментарии удалялись.
Соответственно, другого выхода у меня нет, как развернуть этот дискус, но уже в своем блоге (где комментарии смогу удалять я J) и дать понять сторонним читателям, что уж слишком много спекуляций вокруг этой темы и формировать свое мнение опираясь на знание и опыт «профессионалов из интернета» - очень опасно. В этом я и вижу основную сложность выбора DLP системы для руководителей ИБ направления, в необходимости подвергать сомнению абсолютно все публикации и мнения и основываться только на собственном опыте использования (а за частую этого опыта и нет) или пилотного тестирования. Кстати последнее, на мой взгляд – одна из не многих тропинок в направлении правильного выбора.
Долгая предыстория, но совершенно необходимая. Перейдем непосредственно к дискуссии.
Изначальное мнение автора касательно системы dlp от McAfee я прочитал вот тут:
Рекомендую к обязательному прочтению с комментариями т.к. без этого мой ответ будет логически не понятен.
Соответственно свой отзыв я оставил, но он был удален, поэтому привожу его тут и жду ваших комментариев.
В качестве комментария к статье:
«Как человек, который более 3-х лет занимается DLP системами в целом, и Mcafee Host DLP в частности хотелось бы прокомментировать некоторые неточности статьи и комментариев к ней.
Начнем с описанных плюсов решения от McAfee:
- “Распределенная нагрузка (SuperAgents). Снижает нагрузку на сервер, имхо это дает возможность работать с 1 сервером в предприятиях, где количествово компьютеров превышает 500 машин.” Количество рабочих станций, которое может обслуживать один сервер epo вы сможете посмотреть в документе “Best practices guide McAfee ePloicy Orchestrator” начиная со страницы 11. Таким образом вы можете убедиться, что 500 машин – это очень небольшой объем клиентов, который может поддерживать 1 сервер, а упомянутый Вами механизм «SuperAgents» никакого отношения к системе DLP не имеет, а является методом создания удаленных репозиториев для хранения дистрибутивов агентов и сигнатур. Это актуально для антивирусов и hips (в распределенных сетях), в подсистеме dlp этот механизм никак не используется.
- Касательно валидации по кредитным картам и прочее. Этот механизм есть если не в каждой dlp системе, то в большинстве это точно. Только ленивый вендор не сделал валидацию алгоритма luhn10 для проверки корректности кредитной карты, поэтому я бы этот момент к плюсам не относил. Как само собой разумеющийся функционал в подобного рода системе.
- По третьему пункту Вы явно что то путаете. В системе McAfee Host DLP вести наблюдение за экраном клиента – невозможно, это не система для «подглядываний». Тем более там нет никаких настраиваемых интервалов. Есть возможность смотреть «снимки экрана» (функция print screen в ОС) сделанные пользователями над определенными приложениями, но это, согласитесь, совсем другое.
- Вот про документацию соглашусь с Вами. Жалко что ей редко пользуются, но сам факт ее наличия не может не радовать. Кстати лично я предпочитаю читать на английском, т.к. к качеству перевода у меня есть некоторые претензии, но это скорее в качестве придирки.
Перейдем к описанным Вами минусам системы DLP от McAfee:
1. Первые 4 абзаца – это строго Ваше личное мнение. И позволю себе во многом с Вами не согласиться. Если быть лаконичным, то перевести данную часть можно очень коротко: Система DLP от McAfee Вам лично - не понравилась. Все. Я тут даже причины постараюсь не затрагивать, но основная кроется в непонимании данного продукта (Вы очень часто излагаете заведомо неправильные факты) и ином (я умышленно не пишу неправильном) видение защиты информационных ресурсов от их утечки.
2. Объединю в один блок, для простоты чтения:
«McAfee DLP заставила нас повозиться с ней при установке и эксплуатации:»
· «Проблемы возникают, когда SQL-сервер стоит там же, где и серверная часть McAfee.» Я, как по большей части технический специалист, выскажу мнение, что Вы не достаточно хорошо понимание как работает Система DLP в связке с БД MS SQL. У меня подобного рода проблем не возникает. Справедливости ради надо отметить, что при установке и настройке необходимо обладать техническими знаниями достаточными для того, чтобы правильно все сделать (Вы почините болид формулы 1 в своем гараже?). Соглашусь, что эта работа (по установке и настройке системы) требует грамотного системного администратора или привлечении стороннего интегратора, но вот вопрос: сможет ли неискушенный техническими знаниями безопасник поднять к примеру VPN в филиал? Нет?.. Это ведь не говорит о том, что механизм VPN чертовски сложен и неприемлем для защиты информации.
· «Проблема с русской Windows. Невозможно прописать русского пользователя. Windows должна быть английская. Либо пользователей приходится переименовывать (по-английски).» Тут вы явно ошибаетесь. Все очень даже хорошо поддерживает русские ОС начиная с версии продукта 3.0 (до этого были такие проблемы) Сейчас актуальный билд 9.1, скоро будет 9.2 Никаких проблем с русскоязычными ОС на моих стендах нет. Как вы думаете, почему так отличаются наши сведения? Надеюсь предположений, что я нагло вру и пишу чего не знаю не возникнет ;) Хотя высказывайте свое мнение, я готов к конструктивной критике.
· “Требует эксплуатации очень мощных рабочих станций, что снижает производительность.” Тут все зависит от понятия «очень мощной». Вендором заявлены минимальные требования к ресурсам. Да, агент использует ресурсы ПК при работе и это нормально. Агент выполняет большое число математических операций при анализе и обработке данных. Это просто факты, но никак не плюс или минус системы. Агент для нормальной работы требует 512 ОЗУ (при XP) и 1024 ОЗУ (при Висте или 7) и что то там по процессору (кажется не менее 1 Ггц). Еще раз сконцентрирую внимание, что это определенные вендором условия на которые необходимо обращать внимание при выборе системы. И если у вас парк из машин с прошлого тысячелетия, то да, это решение для защиты информации вам не подойдет. +1 один момент: любую, самую мощную машину можно нагрузить так, что там пакет ms word минутами открываться будет, поэтому еще есть зависимость от «состояния» ОС и установленного софта на рабочей станции.
· Необходимость постоянного отслеживания новых рабочих станций в сети - Policy Enforcement. Тут Вы опять путаете… Понятие Policy Enforcement – это определение того, применена ли политика к данной рабочей станции или нет. Это выводится в отчетах для понимания на каких рабочих станциях существующие политики применены. Обнаружением систем, на которых нет установленных агентов McAfee занимается компонент Rogue System Detection (RSD). Он встроен в epo (т.е. его не надо покупать) и определяет системы, на которых не установлены агенты. При правильной настройке все очень удобно. К примеру: Администраторы вводят в домен новую рабочую станцию. RSD ее обнаруживает и автоматически (Для этого пароль локального администратора должен быть универсальным для всех станций) устанавливает необходимые агенты в зависимости от ip адреса клиента, установленной на ней ОС и других параметров. Таким образом не надо в образ ОС постоянно вносить новые билды софта, все автоматически установится при включении станции в домен и «появлении» ее в сети.
«N методов обхода.» Я постараюсь вкратце. Часть из них заведомо ложные, часть из них надо проверить (спасибо за идею, обязательно как выйду из отпуска – проверю на стендах), часть – сплошная риторика. Про то, что если в слове «взятка» сделать 9 опечаток, то получится слово «результат» и говорить не стоит т.к. никакая система dlp этого не отследит, а все эти поиски похожих и синонимов – чистый воды маркетинг не имеющий к практике никакого отношения.
Строго говоря, любую систему DLP можно обойти. По крайней мере я точно смогу это сделать т.к. достаточно давно и подробно занимаюсь этими вопросами. Но тут дело в чем. Конечные потребители данной системы – это не специалисты по ИБ, не ит специалисты, а работники компании. Вот за основу своих рассуждений и надо брать их образ мыслей при желании что то унести. А такого инсайдера как я технически ограничить практически невозможно. (Я сказал практически ;)
DLP система это всего лишь инструмент для защиты и ее эффективность будет равна произведению функционала на качество адаптации к нуждам компании. По функционалу, на мой взгляд, явных лидеров на этом рынке нет, каждый может сказать о уникальности «цветовой окраски уведомлений» именно его решения.
PS: Вопрос для размышления: Если вы обратитесь к специалисту в области автомобилей (высококвалифицированному) с вопросом: Какой автомобиль лучше: спорт купе, джип или грузовик?, что он вам ответит?... – смотря для чего.
Если вы обратитесь к высококвалифицированному специалисту в области DLP систем с вопросом: Какая DLP система самая лучшая?, что он вам ответит?...
С уважением,
Александр.»
