Как мы DLP-систему выбирали (практический опыт) +51



Привет, Хабр! Не так давно возникла довольно типичная ситуация — руководство дало команду «Выбрать систему защиты данных от утечки». Основной критерий выбора — способность решить задачу не допустить утечек критически важной (по мнению руководства) документации, файлов и тому подобного. Как следовало из устного ЦУ руководителя, журналы и разная аналитическая функциональная оснащённость — вторична. Цитируя шефа, «для отлова злоумышленников мы можем и видеокамеры повесить, решайте задачу так, чтоб не разбираться с утечками, а исключить их». Разумеется, все прекрасно понимают, что 100% исключения риска утечек достичь нереально, поэтому — речь о минимизации риска утечки информации.



Немного о компании: мы среднего размера — порядка 300 рабочих станций (на некоторых работают посменно), плюс для части сотрудников организован удалённый доступ к виртуальным рабочим средам через Citrix Desktop. В качестве побочного эффекта рассматривался некоторый комплаенс по 152ФЗ и соответствующая организация защиты персональных данных.

К государству отношения не имеем, другие отраслевые регуляторные требования тоже в принципе нас не затрагивают. Цена вопроса и вообще процесс закупки — дело компетентного подразделения. Соответственно стоимость решения и модная нынче тема импортозамещения нас не ограничивали, и мы могли рассматривать любые разработки: как отечественные, так и зарубежные. У нас (маленького отдела ИБ в составе аж трёх человек) не было желания заполнять разные опросники и формы от вендоров и интеграторов, поэтому решили освежить память факт-чекингом (с темой DLP в принципе были уже знакомы, но без особого практического опыта). Это значит — своими руками прощупать только те DLP-системы, которые либо относительно легко («без регистрации и смс» и засветки компании перед продавцом) достать для самостоятельного теста на собственном стенде, либо можно посмотреть в работе у коллег из других организаций. Важно: учитывая, что дальнейшие внедрение и эксплуатация будут выполняться собственными силами, мы хотели именно самостоятельно протестировать на стенде, а не заниматься просмотром «правильно отлаженных» демо-версий «из рук» и брошюр, чтобы самим убедиться, что заявленные функции действительно реализованы и работают как нам надо.

Системы, построенные на базе мониторинга приложений, снимков экрана, клавиатуры и т.п. смотреть даже не пытались — просто потому, что они не решают ключевую поставленную задачу, как бы их разработчики не позиционировали на рынке. Имеются в виду Стахановец и его клон от Инфовотч Person Monitor, StaffCop, TimeInformer, KickIdler и им подобные. Это не означает, что данные системы плохие — просто они не решают ключевую задачу «не допустить утечки!» конфиденциальных данных, но могут быть (возможно) неплохим инструментом для других задач с пассивным наблюдением.

Между делом ознакомились с независимыми аналитическими и обзорными материалами… их оказалось негусто. Из читабельного — две публикации на Хабре (раз и два) и уже устаревший и весьма поверхностный обзор на Anti-Malware с отдельным сравнением в табличной форме.

В число интересующих нас вошли: зарубежные Symantec DLP, Forcepoint DLP, McAfee DLP, Sophos Endpoint Protection, российские (или как бы российские) Solar Dozor, Zecurion DLP, InfoWatch Traffic Monitor, DeviceLock DLP, Контур информационной безопасности СёрчИнформ, Falcongaze SecureTower.

По мере появления у нас на руках дистрибутива свежей версии или приглашения к коллегам, проводились собственно тесты заявленных функций и возможностей. В качестве источника дополнительной информации принимались публикации и записи вебинаров вендоров и их партнеров, а также данные агентства ОБС, то есть экспертное мнение коллег с опытом.

Сразу перечислю, какие DLP-системы посмотреть не удалось.

  1. Солар Дозор (Solar Dozor). Ну очень тяжёлая система. В описаниях жёсткий акцент на аналитические возможности. На сайте разработчика заявлено «Модульная архитектура позволяет распределить нагрузку и развернуть Solar Dozor на любом старом железе», а по документации требуется выделить сервер с 8 ядрами и 32 Гб памяти. И это только чтоб обеспечить запуск минимальной конфигурации, плюс поставить дополнительный прокси и почтовый сервер… Видимо, у нас не настолько старое железо :) Отказались от таких ресурсопотребителей. Хотя по слухам, можно запустить на конфиге 6 ядер/24 Гб.
  2. Symantec DLP. С первого же клика на сайте открывается форма с кучей вопросов и нет ни намёка на триалку. Покупайте и пробуйте. Спасибо, заверните обратно.
  3. Forcepoint DLP (он же
    Websense). На сайте также нет ни намёка на триал, но есть форма для запроса демонстрации, чтобы посмотреть «из рук» интегратора. Опять же, спасибо, но нет.
  4. Zecurion DLP. Снова ни намёка на триал без прилипания сейлов, ни возможности посмотреть у коллег.
  5. Digital Guardian — вообще нереально достать триал.
  6. Ещё небольшой список из квадранта Гартнер, которые слишком трудно достать, и «молодые» российские продукты, ещё не прошедшие серьёзной обкатки на массовом рынке.

Результаты тестирования сводились в таблицу типа функция — система/соответствие, получилось довольно много. Проверяли, как каждая тестируемая DLP выполняет поставленные задачи для большого спектра каналов утечки данных, какие другие возможности есть, как с системой в принципе работается… Тест — это, разумеется, не полноценный пилот, что-то могли упустить, за это сразу прошу прощения.
Отдельно подчеркну, что описываемое в этой статье мнение является субъективным и построено на личных впечатлениях сотрудников одного подразделения по итогам прогона нескольких базовых тестов и общего обзора системы. Все выводы построены от «примерки на себя» и выполнения основной поставленной задачи «не допустить утечки», на полноту не претендуют.

Проверяли простые вещи, прямо соответствующие поставленной задаче: блокировка канала как такового для указанных пользователей («этим нельзя!»); отправка теневой копии перехваченного документа в архив; уведомление для ИБ при срабатывании запрета.

Проверялись:

  • запись на флешку;
  • печать документов на принтере (локальный по USB и сетевой);
  • отправка на SMTP и MAPI;
  • отправка на вебпочту (смотрели Mail.ru, Gmail, Яндекс.Почту);
  • отправка в соцсети (смотрели Facebook и Вконтакте);
  • заливка в облака (смотрели Яндекс.Диск и Dropbox);
  • отправка файлов через формы по HTTP;
  • заливка на FTP сервер;
  • мессенджеры: чат, отправка файла, общение голосом или по видео (смотрели Skype, Whatsapp, Telegram);
  • контроль в терминальной сессии (будет ли срабатывание при выдёргивании документа из буфера обмена в терминальной сессии и при записи на диск, проброшенный с удалённого рабочего места в терминальную сессию).

При успешном прохождении базового теста проводился дополнительный стресс-тест с элементами нагрузки и усложнений для аналитического модуля системы:

  1. По проверяемым каналам отправлялся многоуровневый архив с изменённым расширением, с экселевским файлом гигантского размера внутри, где целевой текст был спрятан среди тысяч ячеек мусорного текста. Ожидалось срабатывание на заданные слова, номера телефонов и адреса электронной почты компании.


  2. По проверяемым каналам отправлялся скан распечатки документа на две странички, отсканированный обычным МФУ «вверх ногами». Ожидалось срабатывание на номера паспортов и водительских удостоверений.

  3. По проверяемым каналам отправлялся заполненный договор, а шаблон договора предварительно «скармливается» системе.


В качестве дополнительных полезных функций (помимо проверки соответствия первичному критерию, см. выше) смотрели аналитические возможности, работу с архивом и отчётность. Функцию сканирования рабочих станций (например, как система обнаружит документ с паспортными данными на рабочей станции) решили отложить на другой заход, сейчас эта задача не является первостепенной (и критичной в целом).

Тестовый стенд простенький, в качестве сервера — виртуалка с выделенными 8 Гб памяти, в качестве подопытного кролика — типовой комп на i5 / 2.3 GHz / 4 Gb RAM и с 32-битной Windows 10.

Ну и вот какие DLP-системы в итоге удалось просмотреть-пощупать на своём стенде или у коллег, и соответствующие впечатления по ним: McAfee DLP, Sophos Endpoint Protection, InfoWatch Traffic Monitor, DeviceLock DLP, Контур информационной безопасности СёрчИнформ, Falcongaze SecureTower. Для начала опишу общие впечатления, потом обзор собственно тестовых прогонов.

McAfee DLP


На тесты досталась версия McAfee Data Loss Prevention 10.0.100.

Сразу хочу отметить, что это очень тяжёлая и в установке, и в настройке система. Чтобы её поставить и использовать, надо сначала развернуть McAfee ePolicy Orchestrator как собственную платформу управления. Может, для организаций, где полностью внедряется экосистема решений от McAfee, это будет осмысленно и удобно, но ради одного продукта… удовольствие из разряда сомнительных. Ситуацию несколько облегчает то, что пользовательская документация весьма продуманная и описывает весь порядок установки, а инсталлятор сам ставит все необходимые ему внешние компоненты. Но долго… Правила задавать — задача тоже не из лёгких.

Понравилось: возможность задать условные приоритеты для правил, а потом использовать эти приоритеты как параметры фильтрации событий в журнале. Сама фильтрация сделана весьма приятно и удобно. Возможность дать пользователю переслать файл при запрете, если предоставит некое объяснение (user-justification).


Не понравилось: уже упомянутая необходимость устанавливать собственную платформу управления, во многом дублирующую AD. Встроенный OCR-модуль — отсутствует, контроль сканированных документов — мимо. Выявили ряд ограничений вроде контроля почты только в Outlook (переписка через The Bat! пролетела мимо агентского контроля), зависимость от конкретных версий браузеров, отсутствие контроля переписки в Skype (перехватываются только файлы).

Резюме: на первый взгляд McAfee DLP показался нам весьма интересным решением, несмотря на упомянутые выше недостатки. Огорчило, что пропали визарды для задания политик – в когда-то исследованных старых версиях было на наш взгляд удобнее, чем в нынешней веб-консоли. Ключевой недостаток — практически весь контроль реализован через контроль приложений, а не на уровне протоколов или драйверов. Позволяет блокировать проброшенные устройства в среде Citrix.

Sophos Endpoint Protection


На тесты взяли версию Sophos Endpoint Protection 10.

Решение комплексное, основой является антивирус. Устанавливать пришлось долго. В руководстве даже не указаны системные требования — за ними извольте на сайт. Политики задаются на основе логики per computer :(

Понравилось: как и в McAfee, есть возможность дать пользователю переслать файл при запрете. На этом, пожалуй, все.

Не понравилось: нет никаких сложностей в обходе контроля устройств агентом — остановить антивирус от Sophos, затем включить драйвер устройства в Device Manager — и вуаля, полный доступ к запрещённой флешке. Как-то сложно и мутно сделано с реализацией и настройкой правил анализа содержимого, которые в итоге ещё и не выполняются по факту. Удивительно, но нет теневых копий. Уведомления в виде email alerting и SNMP messaging надо конфигурировать из антивируса этого же разработчика. Перечень контролируемых устройств беден, почта контролируется через встраивание в почтовые клиенты. Контроль доступа к сайтам сделан попросту как фаерволл. Встроенный OCR-модуль — отсутствует, контроль сканированных документов — мимо. Руководство пользователя вызывает грусть — никаких подробностей в нём не сыскать. Нет даже описания, что подразумевается под тем или иным встроенным правилом — то ли это проверка по словарю, то ли по регулярному выражению…

Резюме: Неудачное, на наш взгляд, решение. По сути, это довесок к антивирусу, да еще и полным отсутствием возможности создания доказательной базы по инцидентам. Политики задаются не по пользователям, а по машинам — это неприемлемо. Ну, собственно, от бесплатной добавки к антивирусу много и не ожидалось, но надежда умирает последней.

InfoWatch Traffic Monitor


Самый, пожалуй, раскрученный на сегодня DLP-комплекс на нашем рынке, а значит от него мы больше всего и ожидали. Возможности просто взять и посмотреть — нет, зато сайт изобилует красотой от маркетологов. На тесты с трудом, но удалось получить версию InfoWatch Traffic Monitor 6.9 Enterprise. Возможно, есть версия новее — но об этом нам не известно, не нашли за килотоннами всё того же маркетинга. А вот технической информации на сайте как-то маловато. В ходе теста обнаружилось, что и в документации такая же проблема — если что-то неясно, найти ответ в руководстве практически нереально, детализация в целом отсутствует. Это значительно снижает возможности самостоятельной эксплуатации.

Понравилось: очень качественный, продуманный интерфейс, с хорошей структурированностью. Удобные дашборды, где можно настроить определённый запрос, время его обновления — и далее наблюдать картину целиком. Хороший ассортимент виджетов для консоли. Есть возможность отправить запрос пользователя на предоставление доступа к устройству прямиком из агентского модуля. Возможность задать различных получателей для уведомлений в зависимости от типа события и членства юзера в OU. Солидный набор отчётов. Хорошие возможности для работы с архивом, поддерживается большой набор инструментов анализа содержимого данных в архиве. Есть создание скриншотов с рабочих станций.


Не понравилось: по сути, это не один продукт, а связка Infowatch Traffic Monitor и Infowatch Device Monitor, причём работающая на двух операционках (Windows и Red Hat Linux), поэтому установка и настройка для запуска сложноваты. Консолей управления тоже две. Широко разрекламированная разработчиком логика «проверили содержимое, только тогда блокируем, не мешаем бизнес-процессам» на самом деле где-то в зародыше. Анализ содержимого для контроля устройств попросту отсутствует — доступ к устройствам запретить для юзеров можно, есть Белые списки, но что внутри записываемого на флешку документа — агент Infowatch Device Monitor попросту не знает. Для сетевых каналов примерно такая же проблема — проверка содержимого реализована только для SMTP и HTTP. Как говорят давно знакомые с этим решением коллеги, сейчас хотя бы появилась возможность блокировать сетевые каналы — раньше был только мониторинг. Фактически — эта возможность ограничена HTTP, FTP, SMTP, плюс файлообменники и некоторые мессенджеры. Повторюсь, возможности блокировки передачи данных на основании проверки их содержимого в, например, мессенджерах, нет — только SMTP и HTTP. Это не плохо, но не очень соответствует описанию в брошюрах, и этого мало для полноценного охвата каналов утечки. Агентский модуль реализован на самом деле как некий микс разных агентов.


Резюме: В целом решение выглядит (особенно выглядит) очень даже неплохо. Контроль устройств на базовом уровне — хорошо, для сетевых каналов мониторинг — хорошо, а блокировка — удовлетворительно. В терминальных сессиях позволяет запретить доступ к проброшенным дискам, или предоставить доступ только на чтение, работает теневое копирование (одновременно для флешек и для проброшеных дисков). Огорчает отсутствие проверки содержимого для большинства из контролируемых каналов, особенно устройств — при том, что в маркетинговых документах заявлена именно логика. Будем надеяться, что это своего рода роадмап, и рано или поздно разработчики догонят маркетологов. А пока — пиарщикам пятёрка, разработчикам тройка с плюсом. Или наоборот. Как посмотреть.

DeviceLock DLP


На тесты была взята версия 8.3 (последнее обновление, выпущенное в декабре 2018 года), скачанная сайта разработчика.

Довольно узкоспециализированная система, только защита от утечек и ничего более — никаких скриншотов, контроля приложений… Впрочем, если верить информации с вебинаров от разработчика, функции контроля юзеров через скриншоты в обозримом будущем должна появиться. Установка — проще простого. Куча вариантов управления, консоли олдскульные, для работы с ними нужен хоть какой-то опыт сисадмина — тогда всё становится очевидно и просто. В целом впечатление весьма простой в эксплуатации системы.

Понравилось: детализация в настройках контролей. Не просто условно контроль, например, Skype — но раздельно контроль, события, теневые копии, алерты, проверка содержимого — и по раздельным составляющим скайпа — чат, файлы, звонки… Перечень контролируемых устройств и сетевых каналов построен разумно, и весьма большой. Встроенный OCR-модуль. Блокировки по содержимому действительно работают, хоть и с некоторой нагрузкой на рабочие станции. Алерты могут приходить практически моментально. Агенты совершенно независимы по отношению к серверной части, могут жить собственной жизнью, сколько потребуется. Сделано автоматическое переключение режимов — можно смело отпускать сотрудника с ноутбуком, политики переключатся сами на другие настройки. Блокировки и мониторинг в системе разведены ещё на уровне консоли — нет никакой сложности для каких-то каналов включить запрет для отдельных товарищей, а другим товарищам задать настройки только для мониторинга. Также самостоятельными выглядят правила анализа содержимого и работают как на запрет, так и наоборот на разрешение передачи при закрытом в принципе канале.


Не понравилось: нет визардов. Чтобы настроить какую-то политику, надо сразу понимать, что требуется получить, заходить в соответствующий раздел консоли и тыкать галочки, выбирать юзеров и т.п. Пошаговый вариант создания политики напрашивается. С другой стороны — можно проверить, что реально задано в плане контроля. Поиск по архиву ограничен полнотекстовым поиском по содержимому теневых копий, поискать по шаблону документа или с помощью словарей возможности нет. Более-менее выручает развитая система фильтров, но это далеко не контентные фильтры. Неизбежная нагрузка на рабочие станции при работе контентно-зависимых правил (терминология разработчика).


Резюме: Система простая в эксплуатации, четко работающая, с богатым арсеналом возможностей именно для защиты от утечки информации. По меткому замечанию одного из коллег, сделана по принципу «настроил и забыл». Учитывая, что все политики задаются per user, для изменения доступных операций для пользователя достаточно просто перекинуть его в другую User group домена, для которой настроены другие правила контроля, от простых контролей до правил с анализом содержимого. В терминальных сессиях позволяет выставлять права доступа для проброшенных дисков (блокировка или только на чтение), для буфера обмена (тут всё довольно гибко в зависимости от направления копирования, от типа передаваемых данных), работает теневое копирование, работают блокировки по содержимому при записи на проброшенные диски и при передаче данных через буфер обмена.

Контур информационной безопасности СёрчИнформ


Смотрели у коллег, поэтому сроки были весьма сжатыми. Хотел сначала написать «на тесты досталась версия ХХХХ», но не смог. Просто потому, что КИБ Сёрчинформ — это не система, а комплексный обед набор нескольких практически самостоятельных систем. Вплоть до отдельных консолей для разных задач — насчитали аж 5 штук. Коллеги говорят, раньше консолей было ещё больше… Ключевой в этом комплексе модуль EndpointController — версии 5.49. У остальных своя нумерация. Кстати, и дистрибутив тоже из кучки архивов… Соответственно устанавливать такую систему нелегко — без документации не обойтись. Она, в свою очередь, тоже специфична — написана по принципу «что вижу, то и пишу», без объяснения логики работы. Управление выглядит так — политики перехвата создаются в одной консоли управления, индексация и настройки индексов для просмотра перехваченных данных отдельная консоль, просмотр данных аудита и теневого копирования опять отдельная консоль, построение отчетов снова отдельная консоль, и так далее. И в маркетинговых описаниях на сайте, и в документации постоянно встречается слово «перехват». На практике это означает почти для всех сетевых каналов утечки только получение теневой копии. Для устройств блокировки есть, а для интернет-каналов можно запретить SMTP для всех пользователей — или разрешить. Другой вариант — использовать для SMTP карантин сообщений, который реализован на агенте. Анализ по содержимому как основание для блокировки — сделан весьма специфически: агент отправляет в карантин все письма, которые уже на сервере просматриваются (вручную или с помощью контентного анализатора) администратором и тогда уже он выбирает, что отправить дальше, а что заблокировать. Представили себе, как это будет выглядеть в организации, где сотрудников хотя бы раз в 5 больше, чем у нас…

Понравилось: мощно развиты возможности работы с архивом. Найдется всё. Масса критериев, инструменты поиска по словарям, по регулярным выражениям, фингерпринтам, фирменный «поиск похожих»… Есть метки для разных инцидентов — можно отмечать уже просмотренные, например. Есть прозрачное шифрование флешек.


Не понравилось: хаос в логике управления системой, зашкаливающее количество управляющих консолей. Отсутствие блокировок для сетевых каналов. Отсутствие блокировок по содержимому для всего набора «перехватываемых» каналов.


Резюме: Блокировка устройств реализована на приличном уровне, для сетевых каналов — на зачаточном. В терминальных сессиях можно выставлять права доступа для проброшенных дисков (блокировка, только для чтения), работает теневое копирование для проброшенных дисков. В целом система довольно сложная в эксплуатации, жёстко акцентированная на расследования инцидентов — то есть на мониторинг и работу с архивом. Для этого есть, пожалуй, всё, что нужно. Защищать организацию от утечек данных — явно не сюда, разве что позакрывать ненужные пользователям устройства.

Falcongaze SecureTower


На тесты досталась версия 6.2. Два ключевых слова, описывающих эту систему, если не углубляться в нюансы — легко, удобно. Легко ставится, удобно управляется, удобно смотреть отчёты, удобно работать с архивом. Документация практически не требуется. Дальше снова начинается фокус со словом «перехват», как и в КИБ. Перехват здесь — это просто для мониторинга, то есть создаётся теневая копия, о блокировке речь практически не идёт (кроме HTTP, SMTP и MAPI). Есть создание скриншотов с рабочих станций и некоторые другие функции мониторинга активности пользователей.

Понравилось: дружественный пользовательский интерфейс. Всё сделано для удобства работы. Хороший инструментарий просмотра и анализа архива, удачно реализован граф связей. Практически из любого отчёта можно перейти к указанному там событию (инциденту). Инцидентам можно назначать категории (исследованные, неисследованные, отложенные). Мониторинг Телеграмма и Viber’а.


Не понравилось: отсутствие блокировок для сетевых каналов. Отсутствие возможности блокировки принтеров и проброшенных в терминальную сессию дисков. Отсутствие блокировок по содержимому для всего набора «перехватываемых» каналов. Низкая стабильность агента — были отмечены непредсказуемые зависания и появление дампов. Неожиданные подвисания консоли даже при работе с архивом.


Резюме: Система очень лёгкая и удобная в установке и эксплуатации, но заточенная на мониторинг и работу с архивом. Есть ощущение, что система несколько сыровата, ОТК недорабатывает.

Результаты тестирования


Как упоминал выше, результаты базовых тестов сводились в таблицу. Параметры, которые можно оценить субъективно, оценивались условно, по «шкале светофора» — цветом.

Собственно таблица выглядит так (кликабельно):




Стресс-тесты проводили только для McAfee и DeviceLock DLP. В остальных случаях просто не было смысла (см. таблицу ниже).

У McAfee корректно отработал запрет архива с экселевским файлом.


Тест с перехватом скана в McAfee не пошёл — нет встроенного OCR.

С проверкой на шаблонах — срабатывает только при полном соответствии, если документ изменять — DLP-система его пропускает.

У DeviceLock DLP все тесты сработали полностью. Изменённый договор, перехват в скайпе:


Запись на флешку архива с замусоренным экселевским файлом:


Блокировка печати перевернутого скана документов:



Сводные итоги тестов выглядят следующим образом (кликабельно):


Выводы


Упреждая вопрос читателей — «а что выбрали в итоге, ведь в заголовке «опыт выбора»? К сожалению, на момент написания этой публикации, руководство с выбором ещё не определилось. Мы же постарались выполнить свою задачу — прогнали тесты по ряду систем, предоставили результаты тестов руководству, а попутно решили поделиться с Хабра-сообществом.

Наше мнение, повторюсь, является субъективным, построено на личных впечатлениях и определяется поставленной задачей, поэтому наш собственный выбор останется неопубликованным.

По большому счёту, поставленные задачи всегда первичны, поэтому всем, кто выбирает для решения своих задач DLP-систему, рекомендуем пройти по нашему пути и самостоятельно, отталкиваясь от поставленных задач, разобраться с возможностями предлагаемых систем. Надеемся, наши таблички будут вам полезной шпаргалкой.

Всем спасибо за внимание!

Вы можете помочь и перевести немного средств на развитие сайта



Комментарии (45):

  1. Surge0n
    /#19774546

    ИМХО, стоило назвать статью «как мы триальные версии некоторых DLP решений тестировали», так как ни одного лидера рынка в обзоре нет. Причину вы указали, но все же

    • Hard_Stas
      /#19774762

      Мы бы были рады протестировать всех. Видимо вендорам есть, что прятать раз достать версии на тестирование это целая история.

      • oller
        /#19777354

        Эм… при выборе решения вы руководствовались наличием триала на сайте. Эммм… весь ваш отдел за такое уволить нужно, без обид. Это подход в стиле потыкаемся и неразобравшись примем решение.

        • HiMem-74
          /#19777808

          Эм… при выборе решения вы руководствовались наличием триала на сайте. Эммм… весь ваш отдел за такое уволить нужно, без обид. Это подход в стиле потыкаемся и неразобравшись примем решение.

          Согласен. Если вендоры считают приемлемым тратить время своих инженеров на т.н. «пилот», вместо того, чтобы дать триальный ключ (кстати, я не уверен, что Вы спрашивали, в статье об этом ни слова), пусть приезжают и делают, выделить огороженную виртуалку не проблема. А так у Вас выпали несколько потенциально интересных систем.

          PS: А скилл как послать на#уй сказать нет продажнику по нынешним временам должен быть прокачан у любого айтишника.

        • DDudko
          /#19779238

          вы работаете в DLP вендоре?

          • HiMem-74
            /#19779372

            вы работаете в DLP вендоре?

            Нет, мы «конечники», в терминах менеджеров по продажам.

    • DDudko
      /#19779230

      а кто у нас лидер рынка?

  2. imanushin
    /#19774580

    DeviceLock был на хабре. Из интересного — они якобы изобрели хеш, который позволяет находить пароли в копируемом тексте.

    Алгоритм крутой и секретный (см. тут).

    А другой статье (буквально в декабре) я их просил раскрыть подробности алгоритма, и мне даже пообещали. Однако статья ушла в черновики, а компания ушла с хабра.

    Думаю, этих данных уже достаточно, чтобы оценить данное поделие.

    • Hard_Stas
      /#19774756 / +1

      Вы бы не позорились со своими комментариями, любой стойкий криптографический хэш с солью обеспечит то, о чем вы тут пишите.

      • imanushin
        /#19774890 / +1

        Вау, опишите формулу, пожалуйста?

        Дано: текст. Например, это роман Война и Мир.
        Вопрос: какой хеш с солью для пароля вы выберете, чтобы проверить, содержится ли пароль в романе?

        Еще раз: вам надо не проверить просто пароль на корректность. Вам надо найти, есть ли в огромной строке подстрока с шифром.

        • Hard_Stas
          /#19775698

          Изучайте document fingerprinting. Например, https://digitalguardian.com/blog/what-file-fingerprinting

          • imanushin
            /#19775928 / -1

            Уважаемый Hard_Stas,


            • Ваш документ — это рекламная статья очередного DLP решения. Там можно Schedule a Demo, однако нет формул.
            • Если Вам не сложно, не могли бы вы перестать говорить надменно "Вы бы не позорились со своими комментариями" и пытаться поучать нас здесь?
            • Еще раз повторю вопрос: напишите, пожалуйста, формулу (или идею алгоритма), чтобы с одной стороны хранить строго только криптостойкий хеш пароля (а не сам пароль), а с другой стороны — чтобы найти вхождение пароля в документ.

            Всё дело в том, что требуется решить по сути две задачи:


            • Криптостойкое хранение пароля подразумевает невозможность взлома с помощью подготовленных радужных таблиц или списка готовых паролей. То есть пароли должны храниться так, чтобы их нельзя было взломать словарем.
            • Система должна уметь быстро проверять наличие пароля в тексте. Другими словами: она должна уведомлять кого-то о том, что в большом файле находится пароль. Или перефразируя словами: система должна уметь восстановить пароль (т.е. доказать его вхождение) в любом тексте, в том числе и в списке готовых паролей из предыдущего пункта.

            Однако Вы, наверное, или ответите "Вы бы не позорились со своими комментариями" или пришлете еще один материал от маркетологов с заявлениями "всё хорошо", верно? И чтобы помочь Вам, я опишу идею атаки.


            Сначала чуть более технически, потом более в стиле литературного рассказа (который может быть более понятен менеджменту).


            Технически:
            Есть есть система, которая может найти вхождение элемента в множество, то за логарифм от числа элементов в множестве можно найти этот самый элемент, пользуясь дихотомией. Или другими словами: злоумышленник может легко взломать пароль в случае, если пароль был в списке частовстречающихся (а их уже можно найти в интернете).
            Кстати, если хеш пароля был соленый SHA512, то для проверки нахождения его в документе необходимо сделать O(N*M) хеширований, где N — максимальная длина пароля, а M — число символов в документе.


            Литературно:
            Начаться всё может с того, что бухгалтер Валентина упустила ноутбук с удаленным доступом в кафе. Точнее, какой-то вор украл его. Как честная гражданка, она сначала пошла в полицию написать заявление на розык. Там она пробыла до вечера, попутно надеясь, что не надо будет сообщать на работу, так как начальство может вычесть стоимость ноутбука из заработной платы. А на следующий день она взяла больничный, ведомая тем же страхом финансовой кары.
            Параллельно с этим вор передал аппарат подозрительному человеку. Последний (а точнее — его скрипт) начал делать странные действия от имени Валентины (ноутбук, к сожалению, не успел разлогинить её). Сначала был отправлен email с файлом с 1 млрд паролей. Естесственно, в списке был один, который от сервера с Главной Базой Данных, а потому электронное письмо было заблокировано. Тогда злоумышленник (а точнее — его скрипт) отправил только первую половину из списка паролей. Система пропустила email, значит там нет пароля, который был бы важен Компании. То есть пароль во второй половине, которая и была отправлена следующей. Злоумышленник отправлял и отправлял уменьшающийся список, пока система не заблокировала email в парольной фразой. Таким образом, благодаря стараниями Hard_Stas, организация скомпрометировала действительно важный пароль от базы.

            • Hard_Stas
              /#19776102

              все есть в интернете, давно описано. читайте theory.stanford.edu/~aiken/publications/papers/sigmod03.pdf
              citeseerx.ist.psu.edu/viewdoc/download?doi=10.1.1.130.3186&rep=rep1&type=pdf

              • imanushin
                /#19776208 / +6

                А Вы статью-то читали? Последний абзац второй части:


                However, regardless of the copy-prevention technology
                chosen, users must ultimately have access to the unencrypted data
                somehow—otherwise they cannot use it—and as discussed in Section
                1, it seems to be nearly a natural law that digital content is
                copied.

                Я говорю Вам то же самое: Вы не можете сделать криптостойкий хеш на сервере, который будет находить подстроку в строке.


                Я же Вам выше расписал алгоритм взлома, даже постарался расписать его без технических деталей.


                А так мы и так знаем, что с помощью алгоритма Рабина Карпа можно довольно быстро найти подстроку в строке. Я для Device Lock его же и привел как пример хеширования. И оно не является криптостойким.


                Кстати, Вы выше сказали "любой стойкий криптографический хэш с солью". Вы же видете по Вашей же статье, что вы не правы, верно?

  3. star76
    /#19774656 / +3

    Автор видимо ожидал reatime работу по анализу, да еще и на низкопроизводительном железе.
    Анализ DLP контента (особенно в сканах документов) требует больших мощностей оборудования, и то скорее всего надо будет все это откладывать в некую песочницу с очередью заданий на анализ и как следствие серьезная задержка на отправку. Представьте, что это происходит при работе пользователя в с веб-ресурсом. Вывод такой — чудес не бывает. Операторской работы никто не отменял. И правила составлять надо, и отсматривать «улов». При попытке ставить такую систему «в разрыв» бизнес сразу по голове настучит.

    • DDudko
      /#19779246

      Учитывая, что большинство DLP для работы со сканами юзают сторонний OCR, вы видимо про большие мощности прочитали в рекламе DLP.

  4. labyrinth
    /#19774724 / +2

    Безопасность — это процесс. Не думаю, что принцип «настроил и забыл» будет эффективен.

    • Hard_Stas
      /#19774772 / +1

      Согласен с Вами. Хорошо, если этот процесс по максимому автоматизирован.

  5. kid565
    /#19775016

    Добрый день! Можно ли узнать как тестировался FalconGaze на момент перехвата содержимого? В 2016 году провели похожее тестирование 6 DLP (большая часть вендоров присутствует в статье). И конкретно у FalconeGaze была возможно блокировки сообщений, (правила с регулярными выражениями), как минимум в социальных сетях.

    • Hard_Stas
      /#19775796 / +1

      Тестировался FalconGaze так же, как и остальные, методика тестирования одна была.


      На самом деле мы и в статье указали, что немного есть — "о блокировке речь практически не идёт (кроме HTTP, SMTP и MAPI)". Но сделано это весьма своеобразно, поэтому в качестве выводов приняли, что это невозможно назвать нормальной блокировкой.


      Ну есть нечто типа конструктора блокировок, там можно задать параметры для блокировки SMTP, MAPI и HTTP — для последнего это свойства веб-поля, дата-день, ip/порт, текст. Но регулярные выражения? Ну нет. Этим тут не пахнет совсем. Условно, с натяжкой — по метаданным.


      Социальные сети в плане блокировок можно рассматривать только через создание наворотов в этом конструкторе в рамках HTTP. Но что там блокировать по тексту? Фамилии сотрудников или начальства выявлять и блочить? Тут как раз по меньшей мере регулярные выражения и нужны, хоть персданные отловить.


      При этом раздел Социальные сети — для настройки параметров перехвата на теневые копии — в этой системе есть (аж 4 штуки).


      А для блокировки — нет такого же раздела. Увы.


      http://saveimg.ru/pictures/19-02-19/8cd43677b0bd3fdd897a88e7c3300ee9.png

      • kid565
        /#19775872

        В регулярках использовали шаблоны и номера и карт, ПДн и т.д. При этом указывали правила для протокола. Тестили на vk ). Там все работало.

        • Hard_Stas
          /#19775886

          Это все http-протокол получается.


          А мессенджеры как?

          • kid565
            /#19777414

            HTTPS. В месседжерах не тестировали, так как, по политикам в компании все было заблокировано.

          • vvmtutby
            /#19783508

            ( to All, disclaimer: возникла одна «теория», но есть шанс, что я пессимист,
            поэтому будет серия вопросов с очевидными, для практиков, ответами)

            Проверялись: отправка на... MAPI;
            Т.е. MS Exchange ( или аналог) у вас есть, но при этом актуален вопрос:
            интернет-каналов... запретить SMTP для всех пользователей — или разрешить
            можно ли это понимать так: на сегодняшний день всем/большинству разрешены исходящие на port 25 на любой IP в Интернете?
            McAfee и DeviceLock DLP. В остальных случаях просто не было смысла
            Появились ли в ходе инсталляции ПО на контроллерах домена, скажем так, дополнительные файлы?
            Политики задаются не по пользователям, а по машинам — это неприемлемо.
            У вас не развёрнуто ПО класса CheckPoint или MS TMG/ISA Server, способное различать пользователей терминальных серверов?

            ( to ALL: про «своеобразный ход» MS со своим ключевым продуктом я в курсе,
            здесь акцент на «ПО класса», т.е. функциональные возможности)

  6. yurybx
    /#19775144

    Но ведь сотрудник может сфотографировать любой документ своим личным смартфоном. Как у вас решается эта проблема?

    • Hard_Stas
      /#19775402

      Пока никак. Но есть опыт коллег, установивших камеры видеонаблюдения. По слухам, в некоторых организациях (вроде в Лукойл) пронос телефонов и фотоаппаратов запрещен.

      • Boomburum
        /#19775488 / +2

        До Хабра работал в компании, где нельзя было иметь телефоны с камерой — приятного в этом было очень мало )(

      • blind_oracle
        /#19776156 / +3

        Я бы из таких контор бежал бы сверкая пятками...

    • Foggy4
      /#19775538

      Тут есть такие варианты:
      1) Отбирать у всех сотрудников телефон на входе. Разрешить только древние аппараты без камер.
      2) Использовать одноразовые наклейки-пломбы для камер. Каждая такая наклейка имеет номер, который вахтер записывает в журнал и после рабочего дня сверяет с телефоном. Вроде как наклейку невозможно отклеить не повредив при этом.

      Ну и не забываем про административные меры с подписыванием NDA, AUP и регулярными тренингами на которых рассказывается как плохо такая попытка может закончиться.

  7. Foggy4
    /#19775356

    Работа проведена серьезная, молодцы. Но в таблице отсутствует важная колонка: цена :)

    • Hard_Stas
      /#19775386

      Ой. С ценами все тоже не просто. Их скрывают не хуже пробных версий ПО.

      • HiMem-74
        /#19777888 / +1

        С ценами все тоже не просто. Их скрывают не хуже пробных версий ПО.

        Возможно Вы меня сейчас опровергните, но мне показалось, что Вы сознательно или нет избегаете самой важной работы информационного безопасника — РАЗГОВАРИВАТЬ С ЛЮДЬМИ. Разве сложно снять трубку и сказать «дайте нам триал и сделайте КП на 300 АРМ», а потом «пройдите прочь, Вы нам не подходите»?

        А как у Вас поставлена разъяснительная работа с персоналом? Вызываете нарушителей в переговорку, чтобы объяснить «я Вас записал в блокнот, но пока карандашом»?

        • Hard_Stas
          /#19778108

          дайте нам триал


          Попробуйте ;) Сразу предложат выехать и показать «из своих рук». Или пилотный стенд силами вендора. Или еще хуже — пригласят к себе в офис посмотреть как у них все работает.

          Очень мало кто дает триал в руки.

          • HiMem-74
            /#19778344

            дайте нам триал
            Попробуйте ;) Сразу предложат выехать и показать «из своих рук». Или пилотный стенд силами вендора. Или еще хуже — пригласят к себе в офис посмотреть как у них все работает.

            Станислав, мы с Вами сейчас примерно на одном этапе, только задачи немного разные поставлены, мне надо следить и передавать доказательную базу нарушителей отделу СБ.
            И да, я ездил в офис вендоров, они ко мне ездили, я мотался в Екатеринбург для участия в BIS Summit 2019 чтобы поговорить с эксплуатантами, посетить мастер-крассы. С работы отпрашивался.
            А сейчас жду старта пилотного проекта, финалистов будем трогать руками.

            • GypsyBand
              /#19779836

              Мы на моменте выбора тестировали по живому несколько производителей ПО, тестировали всех в одинаковых условиях, на заданных параметрах виртуального сервера (минимальных). Все производители предоставили дистрибы\техподдержку\производился отлов косяков и не стыковок с используемым у нас ПО.

        • DDudko
          /#19779258

          После этого продажники DLP-решений еще пару лет будут телефон обрывать.
          И подскажите, кто готов провести полноценный пилот на 300 АРМ бесплатно?

          • HiMem-74
            /#19779400

            После этого продажники DLP-решений еще пару лет будут телефон обрывать.

            Это не самое сильное давление, которое приходится выдерживать по ходу работы. К тому же, когда продажники узнают, что был внедрён не их продукт, по ряду причин, они осознают тщетность бытия и оставляют в покое.
            И подскажите, кто готов провести полноценный пилот на 300 АРМ бесплатно?

            Прямые ссылки правилами НЛО запрещены, если Вы хотите фамилий и Ваш интерес не праздный, велкам в личку, дам контакты.

  8. Zloy_tarakan
    /#19775372

    У вас не все картинки не работают в тексте, поправьте.
    Upd: А, нет, через иностранный прокси показывает.

  9. vma
    /#19777622 / +1

    Уважаемый Hard_Stas, Вы показываете скриншот с опцией перехвата звонков в скайпе.
    А затем, в последней таблице, пишете, что в securetower "нет записи звонков в мессенджерах".
    Это как понимать?


    Ваш скриншот с опцией перехвата звонков в скайпе

    image

    • Hard_Stas
      /#19778056 / +1

      Ой! Спасибо Вам за зоркость. Наш косяк, приносим извинения. Поправим последнюю таблицу.

      В первой (большой) таблице два раздела со звонками в мессенджерах. Это блокировка и теневое копирование. Если посмотреть теневое копирование то для скайпа в теневом копировании для Secure tower стоит «да». А вот для второй таблицы мы ошиблись при верстке :(

  10. GypsyBand
    /#19778036 / +1

    Мы используем SearchInform, это монструозный продукт, в котором без недешёвой техподдержки не разобраться. Обучение проводят но сертификат не выдают. Сделан вывод, что продукт подразумевает обязательную подписку на техподдержку.
    Серверная часть прожорлива на ресурсы, особенно на дисковое пространство.
    В нашем случае, несколько раз возникали сбои которые техподдержка решала редактированием вручную какого то файла внутри папок продукта, через интерфейс программы видимо проблема не решалась :(

    • Hard_Stas
      /#19778070

      Было бы интересно узнать цены. Все спрашивают почему у нас в сравнении нет цен. А мы их так и не добыли в процессе выбора.

      • HiMem-74
        /#19778356

        Было бы интересно узнать цены. Все спрашивают почему у нас в сравнении нет цен. А мы их так и не добыли в процессе выбора.

        Получил КП по звонку, с ценами и печатью. Проблемы не увидел.

      • GypsyBand
        /#19779782 / +1

        Формирование цены очень загадочное :)
        +\- лям