По роду своей деятельности мне часто приходится сталкиваться с различными мнениями при выборе той или иной системы по защите от утечки информации (DLP). Большинство конечно являются чисто субъективными мнениями основанными на опыте работы с конкретной (конкретными) системами или мнениями сторонних, так сказать, экспертов. Вот во втором случае и кроется главная опасность для читателей такого рода мнений быть сильно запутанными в этом вопросе т.к. его качество очень сильно зависит от уровня осведомленности автора в продукте до его желания быть объективным и непристрастным в этом нелегком вопросе.
Хотя моя точка зрения заключается в том, что выбор сделать не так уж и сложно, но по этому вопросу я постараюсь позже написать отдельную статью.
Итак, что же сподвигло меня начать писать данный текст?.. Мне прислали ссылку на мнение независимого эксперта по его оценке определенной DLP системы. Мнение надо сказать, на мой взгляд, не совсем корректное т.к. уж очень изобилует явными ошибками (преднамеренными или нет – не знаю, могу только догадываться). Я хотел было вступить в дискуссию, описав те явные недостатки текста, на которые обратил внимание, но к сожалению мои комментарии удалялись.
Соответственно, другого выхода у меня нет, как развернуть этот дискус, но уже в своем блоге (где комментарии смогу удалять я J) и дать понять сторонним читателям, что уж слишком много спекуляций вокруг этой темы и формировать свое мнение опираясь на знание и опыт «профессионалов из интернета» - очень опасно. В этом я и вижу основную сложность выбора DLP системы для руководителей ИБ направления, в необходимости подвергать сомнению абсолютно все публикации и мнения и основываться только на собственном опыте использования (а за частую этого опыта и нет) или пилотного тестирования. Кстати последнее, на мой взгляд – одна из не многих тропинок в направлении правильного выбора.
Долгая предыстория, но совершенно необходимая. Перейдем непосредственно к дискуссии.
Изначальное мнение автора касательно системы dlp от McAfee я прочитал вот тут:
Рекомендую к обязательному прочтению с комментариями т.к. без этого мой ответ будет логически не понятен.
Соответственно свой отзыв я оставил, но он был удален, поэтому привожу его тут и жду ваших комментариев.
В качестве комментария к статье:
«Как человек, который более 3-х лет занимается DLP системами в целом, и Mcafee Host DLP в частности хотелось бы прокомментировать некоторые неточности статьи и комментариев к ней.
Начнем с описанных плюсов решения от McAfee:
- “Распределенная нагрузка (SuperAgents). Снижает нагрузку на сервер, имхо это дает возможность работать с 1 сервером в предприятиях, где количествово компьютеров превышает 500 машин.” Количество рабочих станций, которое может обслуживать один сервер epo вы сможете посмотреть в документе “Best practices guide McAfee ePloicy Orchestrator” начиная со страницы 11. Таким образом вы можете убедиться, что 500 машин – это очень небольшой объем клиентов, который может поддерживать 1 сервер, а упомянутый Вами механизм «SuperAgents» никакого отношения к системе DLP не имеет, а является методом создания удаленных репозиториев для хранения дистрибутивов агентов и сигнатур. Это актуально для антивирусов и hips (в распределенных сетях), в подсистеме dlp этот механизм никак не используется.
- Касательно валидации по кредитным картам и прочее. Этот механизм есть если не в каждой dlp системе, то в большинстве это точно. Только ленивый вендор не сделал валидацию алгоритма luhn10 для проверки корректности кредитной карты, поэтому я бы этот момент к плюсам не относил. Как само собой разумеющийся функционал в подобного рода системе.
- По третьему пункту Вы явно что то путаете. В системе McAfee Host DLP вести наблюдение за экраном клиента – невозможно, это не система для «подглядываний». Тем более там нет никаких настраиваемых интервалов. Есть возможность смотреть «снимки экрана» (функция print screen в ОС) сделанные пользователями над определенными приложениями, но это, согласитесь, совсем другое.
- Вот про документацию соглашусь с Вами. Жалко что ей редко пользуются, но сам факт ее наличия не может не радовать. Кстати лично я предпочитаю читать на английском, т.к. к качеству перевода у меня есть некоторые претензии, но это скорее в качестве придирки.
Перейдем к описанным Вами минусам системы DLP от McAfee:
1. Первые 4 абзаца – это строго Ваше личное мнение. И позволю себе во многом с Вами не согласиться. Если быть лаконичным, то перевести данную часть можно очень коротко: Система DLP от McAfee Вам лично - не понравилась. Все. Я тут даже причины постараюсь не затрагивать, но основная кроется в непонимании данного продукта (Вы очень часто излагаете заведомо неправильные факты) и ином (я умышленно не пишу неправильном) видение защиты информационных ресурсов от их утечки.
2. Объединю в один блок, для простоты чтения:
«McAfee DLP заставила нас повозиться с ней при установке и эксплуатации:»
· «Проблемы возникают, когда SQL-сервер стоит там же, где и серверная часть McAfee.» Я, как по большей части технический специалист, выскажу мнение, что Вы не достаточно хорошо понимание как работает Система DLP в связке с БД MS SQL. У меня подобного рода проблем не возникает. Справедливости ради надо отметить, что при установке и настройке необходимо обладать техническими знаниями достаточными для того, чтобы правильно все сделать (Вы почините болид формулы 1 в своем гараже?). Соглашусь, что эта работа (по установке и настройке системы) требует грамотного системного администратора или привлечении стороннего интегратора, но вот вопрос: сможет ли неискушенный техническими знаниями безопасник поднять к примеру VPN в филиал? Нет?.. Это ведь не говорит о том, что механизм VPN чертовски сложен и неприемлем для защиты информации.
· «Проблема с русской Windows. Невозможно прописать русского пользователя. Windows должна быть английская. Либо пользователей приходится переименовывать (по-английски).» Тут вы явно ошибаетесь. Все очень даже хорошо поддерживает русские ОС начиная с версии продукта 3.0 (до этого были такие проблемы) Сейчас актуальный билд 9.1, скоро будет 9.2 Никаких проблем с русскоязычными ОС на моих стендах нет. Как вы думаете, почему так отличаются наши сведения? Надеюсь предположений, что я нагло вру и пишу чего не знаю не возникнет ;) Хотя высказывайте свое мнение, я готов к конструктивной критике.
· “Требует эксплуатации очень мощных рабочих станций, что снижает производительность.” Тут все зависит от понятия «очень мощной». Вендором заявлены минимальные требования к ресурсам. Да, агент использует ресурсы ПК при работе и это нормально. Агент выполняет большое число математических операций при анализе и обработке данных. Это просто факты, но никак не плюс или минус системы. Агент для нормальной работы требует 512 ОЗУ (при XP) и 1024 ОЗУ (при Висте или 7) и что то там по процессору (кажется не менее 1 Ггц). Еще раз сконцентрирую внимание, что это определенные вендором условия на которые необходимо обращать внимание при выборе системы. И если у вас парк из машин с прошлого тысячелетия, то да, это решение для защиты информации вам не подойдет. +1 один момент: любую, самую мощную машину можно нагрузить так, что там пакет ms word минутами открываться будет, поэтому еще есть зависимость от «состояния» ОС и установленного софта на рабочей станции.
· Необходимость постоянного отслеживания новых рабочих станций в сети - Policy Enforcement. Тут Вы опять путаете… Понятие Policy Enforcement – это определение того, применена ли политика к данной рабочей станции или нет. Это выводится в отчетах для понимания на каких рабочих станциях существующие политики применены. Обнаружением систем, на которых нет установленных агентов McAfee занимается компонент Rogue System Detection (RSD). Он встроен в epo (т.е. его не надо покупать) и определяет системы, на которых не установлены агенты. При правильной настройке все очень удобно. К примеру: Администраторы вводят в домен новую рабочую станцию. RSD ее обнаруживает и автоматически (Для этого пароль локального администратора должен быть универсальным для всех станций) устанавливает необходимые агенты в зависимости от ip адреса клиента, установленной на ней ОС и других параметров. Таким образом не надо в образ ОС постоянно вносить новые билды софта, все автоматически установится при включении станции в домен и «появлении» ее в сети.
«N методов обхода.» Я постараюсь вкратце. Часть из них заведомо ложные, часть из них надо проверить (спасибо за идею, обязательно как выйду из отпуска – проверю на стендах), часть – сплошная риторика. Про то, что если в слове «взятка» сделать 9 опечаток, то получится слово «результат» и говорить не стоит т.к. никакая система dlp этого не отследит, а все эти поиски похожих и синонимов – чистый воды маркетинг не имеющий к практике никакого отношения.
Строго говоря, любую систему DLP можно обойти. По крайней мере я точно смогу это сделать т.к. достаточно давно и подробно занимаюсь этими вопросами. Но тут дело в чем. Конечные потребители данной системы – это не специалисты по ИБ, не ит специалисты, а работники компании. Вот за основу своих рассуждений и надо брать их образ мыслей при желании что то унести. А такого инсайдера как я технически ограничить практически невозможно. (Я сказал практически ;)
DLP система это всего лишь инструмент для защиты и ее эффективность будет равна произведению функционала на качество адаптации к нуждам компании. По функционалу, на мой взгляд, явных лидеров на этом рынке нет, каждый может сказать о уникальности «цветовой окраски уведомлений» именно его решения.
PS: Вопрос для размышления: Если вы обратитесь к специалисту в области автомобилей (высококвалифицированному) с вопросом: Какой автомобиль лучше: спорт купе, джип или грузовик?, что он вам ответит?... – смотря для чего.
Если вы обратитесь к высококвалифицированному специалисту в области DLP систем с вопросом: Какая DLP система самая лучшая?, что он вам ответит?...
С уважением,
Александр.»
познавательное чтиво. интересно, что ответят вам.
ОтветитьУдалить>>Если вы обратитесь к высококвалифицированному специалисту в области DLP систем с вопросом: Какая DLP система самая лучшая?, что он вам ответит?
ответ понятен. для чего в таком случае McAfee? следуя вашей логике эта система лучшая для какой-то задачи. для какой?
и ещё один вопрос, который меня интересует из любопытства: насколько по вашему мнению у McAfee хорошо с украинским языком? (в том блоге как-то не особо этот вопрос поднимался)
Alexey:
ОтветитьУдалить"ответ понятен. для чего в таком случае McAfee? следуя вашей логике эта система лучшая для какой-то задачи. для какой?" - задача у всех dlp систем одна, но вот условия использования этих систем в каждом случае разные. На мой взгляд оправданно использовать McAfee Host DLP в следующих случаях:
- Есть территориально распределенные офисы со своими маршрутами доступа в интернет (не централизованно)
- Рабочие станции удовлетворяют требованиям по "железу" и "софту"
- Необходим контроль сменных носителей (данное решение имеет 2 составляющие - dlp и device control). Так же и лицензируется, т.о. можно начать с контроля съемных носителей (минимальные финансовые вложения) и далее расширить лицензии до полного функционала host dlp. Переустанавливать ничего не надо будет, просто ввести новый ключ и настроить политики.
- При ограниченности финансовых ресурсов (что свойственно для небольших компаний) т.к. уже было отмечено данное решение значительно (в несколько раз) привлекательно по цене, нежели конкуренты.
- Если вы используете (или планируете использовать) какие либо продукты McAfee, то Host dlp интегрируется в инфраструктуру ePolicy Orchestrator (это управление продуктами по безопасности от McAfee) и имеете единую консоль к нескольким решениям. Минимизирует затраты на эксплуатацию систем.
Ну и об условиях, когда вполне резонно надо посматривать в сторону шлюзовых DLP:
- необходимость контроля исключительно сетевого трафика
- в случае если старые рабочие станции или нет AD (она обязательна для McAfee Host DLP)
- в случае если крайне не желательно устанавливать дополнительное ПО на пользовательские рабочие станции (бывают и такие ситуации)
- в случае если имеется огромный пул конфиденциальной информации и контролировать ее надо при помощи механизма цифровых отпечатков. Т.е. у Mcafee Host DLP есть лимит на объем создаваемых цифровых отпечатков (около 250 Мб исходных данных). Это понятно т.к. вся "математика" идет на хосте пользователя, то и ресурсы там зачастую не безграничны. Со шлюзовыми решениями проще, т.к. они работают на производительных серверах и ресурсов там гораздо больше, то и лимит по цифровым отпечаткам жестко не ограничен.
касательно Украинсого языка:
ОтветитьУдалитьв принципе, все DLP системы сейчас работают по следующим механизмам:
1. Цифровые отпечатки (очень удобная и перспективная технология, т.к. может обнаруживать части конфиденциальных документов, т.е. при частичном совпадении)
2. По ключевым словам
3. По словорям (Собственно тоже самое, что и 2. только составляется словарь определенных терминов и система реагирует в случае, если в отправляемом документе встречается N(определяется настройками системы) слов из определенного словаря). В этом случае весь текст относится к данному словарю и применяются политики
4. Регулярные выражения. Определяют формат, а не точное значение информации. Удобно контролировать не статические данные: паспортные данные, номера кредиток, соц. страхования, лицензионные ключи к ПО и т.д. Вообщем все, что имеет определенный формат.
5. Метки на файлах. Этот метод изначально был в самых ранних версиях продукта и эффективен, когда информация структурирована (т.е. нет общей "файловой помойки", в которой есть как конфиденциальные документы, так и общедоступные) - самый распостроненный вариант Вам скажу ;) или есть определенное приложение, которое сохраняет только конфиденциальные данные.
Вот к примеру на одном из последних проектов мы прикручивали Host DLP к SAP. Заказчик изначально определил, что все, что сохраняет SAP должно считаться конфиденциальным и перемещение этих данных необходимо протоколировать. Тут то и пригодился этот метод.
Соответсвенно для всех методов язык - не принципиальный вопрос (если только вендор строго не ограничивает то, что с таким то языком их продукт не работает). Поэтому в теории, я не вижу большой разницы использования Русского, Украинского или Английсого. Но повторю, это надо проверить (я такого тестирования не проводил) или запросить информацию у Вендора или его партнеров в Украине.
Какая DLP система на данный момент является оптимальной для внедрения учитывая функционал и специфику русского языка ?
ОтветитьУдалитьПо Mcafee все в принципе понятно , было бы хорошо если вы описали опыт эксплуатации и внедрения разных DLP систем - их плюсы и не достатки (субъективно) .
"Какая DLP система на данный момент является оптимальной для внедрения учитывая функционал и специфику русского языка ?"
ОтветитьУдалитьЯ уже писал, что выбирать систему DLP нужно отталкиваясь от множества факторов, на вскидку это:
- бюджет
- количество рабочих станций, которым необходимо быть под контролем данной системы
- территориальная распределенность рабочих станций по городам (филиалам)
- техническое характеристики большинства рабочих станций
- логические схемы движения web и smtp трафика
- принятые стандарты использования ПО (браузеры, почтовые клиенты)
- местонахождение информации, передачу которой необходимо контролировать (мониторить, предотвращать)
- легитимные способы ее передачи и перемещения (от кого кому и по каким каналам)
...
- последнее по пункту, но пожалуй главное по значению, это понимание заказчиком того, какая информация является для него конфиденциальной, а какая нет. Каким образом ее можно определить в системе DLP (регулярные выражения, слова, словари, цифровые отпечатки, формат документа, местонахождение информации)
Как видите, критерия учета "специфика русского языка" попросту нет, т.к. все из мне известных (с которыми я работал или имею возможность близко познакомиться) DLP систем делают это одинаково хорошо.
Все, что пишут некоторые отечественные вендоры в своих маркетинговых материалах о том, что именно их продукт на все 100% учитывает специфику русского языка, я считаю именно маркетинговым ходом, не более.
Поймите, что технологии цифровых отпечатков вообще нет никакой разницы на каком языке документ, на русском, английском, украинском или белорусском. То, что в русском языке есть корень слова и включив именно его в критерий поиска информации я буду отлавливать все его производные в различных падежах и склонениях является определяющим в том, что любую DLP систему можно будет настроить с учетом "морфологии".
Создать наборы словарей, с необходимыми весами слов, которые необходимы и важны именно вам, сможете только вы (пользователи DLP системы), а никак не вендор DLP решения. Вендор на мой взгляд, должен предоставить инструмент для построения безопасности информации, а вот ее реализация (если мы говорим о качественном подходе), то тут уже никуда не денешься - это целиком в зоне ответственности заказчика. Ничего не поделаешь, уж слишком все индивидуально в данном вопросе и потребности в безопасности информации вашего бизнеса можете знать только вы сами.
Конечно можно дать универсальные советы (резюме-вакансия, конфиденциально-для служебного пользования...) - но это все будет уж очень поверхностно.
Касательно опыта внедрения...
ОтветитьУдалитьВы знаете, если вот критично взглянуть на свой 4-5 летний опыт внедрения ПО по безопасности, то ключевым моментом в каждом проекте будет не софт, а команда заказчика.
Если проекты заключались по известному и к сожалению действенному в нашей стране методу (http://rospil.info/), то и двигалось в них все очень вяло. Никому ничего не надо, все делается из под палки. Это очень чувствуется при ходе самого проекта и от качества ПО тут мало что зависит.
В проектах, где Заказчик замативирован на результат все возникающие организационные и технические проблемы удавалось решать. Просто вместо поиска виноватых занимались поиском решения конкретной ситуации и во всех таких случаях - находили.
Так, теперь к технической стороне вопроса. Конечно всегда проще внедрять шлюзовые решения т.к. требуется за частую зеркальный трафик и твой сервер никому не мешает, на бизнес процессы не влияет. Но и минусом то, что количество каналов, которые перекрывает шлюз, гораздо меньшее чем агентское решение, да и не перехватывает, а мониторит. Если необходима блокировка, то это в разрыв, а с этим зачастую предпочитают не связываться т.к. боятся (я понимаю, еще одна точка отказа, тут надо 7 раз все измерить...)
Агенты имеют больший функционал и могут контролировать почти все, но тут возникает вопрос совместимости ПО, вопрос уменьшения ресурсов конечного ПК и конечно любой глюк на любой машине, с момента начала инсталяции агентов, будет неизбежно списан на действие устанавливаемых агентов. И презумпция невиновности тут не работает :) это тебе придется доказать, что письмо не доставляется не по причине установки агента, а по причине того, что Зинаида Ивановна адрес неправильно набирает :) Ну я шучу конечно, но в этой шутке есть доля самой шутки ;)
а для такой системы вы бы какую DLP посоветовали
ОтветитьУдалить1. Сервер AD.
2. Почтовый сервер.
3. Файловый сервер.
4. Web сервер
5. 50 рабочих мест.
Функцией сети будет взаимодействие с поставщиками и партнерами и передача отчетной информации.
Раб. станции и сервера территориально находятся в одном месте.
Безопасность ставится на первое место, поэтому в целом вся сеть будет подгоняться под требования систем безопасности.
Бюджет так же будет подгоняться под требования системы безопасности, а не система под бюджет.
Добрый день!
УдалитьТут скорее всего упор должен быть сделан на агентские составляющие т.к. парк ПК не большой и особых сложностей в установке\контроле агентов быть не должно. И по прямым финансовым затратам небольшие внедрения вполне разумно делать именно на агентских DLP.
Вполне может подойти и McAfee и SearchInform (если это им интересно по количеству лицензий) и DeviceLock DLP Suite...
Думаю если бы Вы описали какие каналы передачи отчетной информации используются (ну или каналы, которые необходимо мониторить\блокировать), то определиться с выбором было бы легче.
1. e-mail (с вложениями) корпоративный и общедоступные через web-интерфейс(mail.ru, gmail, rambler и т.п.)
Удалить2. HTTP/S, PTP
3. IM-месенджеры (ICQ, MSN, Jabber, Mail.ru-Агент и др.)
4. социальные сети, форумы и т.п.
5. принтеры (сетевые, локальные)
6. отчуждаемые носители информации (USB, CD/DVD, и др.), подключение внешних устройств
7. буфер обмена
8. skype?
Возможность автоматически блокировать несанкционированную передачу конфиденциальной информации
С некоторыми ограничениями подойдет McAfee.
ОтветитьУдалитьПо Search Inform и другим надо посмотреть актуальный release notes , на вскидку так же в большинстве требований будет удовлетворять Ваишим требованиям.
Я бы порекомендовал Вам следующее:
1. Выберите несколько (3-4) варианта.
2. Запросите цены и требования к установке решения, посчитайте совокупную стоимость владения на 3 года
3. Каждое решение будет иметь ограничения, оцените их критичность для Ваших потребностей
4. Наиболее подходящее Вам - пилотируйте на выделенной зоне (5-10) машин.
Если Вас все устроило, то Вы определились. Если нет, то переходите к пилоту следующего по списку решения.
PS. В пользу McAfee могу добавить пару слов: Если есть потребность в безопасности (шифрование, антивирус, application control, Hips...) Все это есть у Mcafee и этим парком программ будет проще управлять из единой консоли управления. У конкурентов этого нет.
определиться сложно, особенно учитывая, что у меня нет такого опыта совсем.
ОтветитьУдалитьа как вы смотрите на Symantec DLP? там тоже есть общая консоль управления (антивирус).
Symantec DLP так же очень сильное решение. Но оно изначально развивалось со стороны шлюзовой компоненты и его использование оправдано (на мой взгляд) только в комплексе шлюзовых и агентских компонент. Ну и были (я не знаю как на сегодняшний день) ограничение на минимальную сумму сделки т.о. части вендоров вы (50 рабочих мест) будите попросту не интересны. Вот ради интереса запросите цены на Websense, Infowatch, Symantec DLP...
ОтветитьУдалитьзапросили от Symantec DLP и Контура инф. безопасности. цена сильно разнится в стоимости внедрения, а лицензии примерно одинаково стоят
ОтветитьУдалить