29 марта 2012 в 18:22

Выбираем DLP-систему для средней организации из песочницы

image
Добрый день, уважаемое хабрасообщество! Не так давно перед нашей компанией встал вопрос, какую из систем защиты от утечек данных выбрать. Под катом собственные мысли по данному вопросу, а также сравнительная таблица с описанием возможностей систем.

Прошу учесть, что статья не является рекламой какого-либо определенного продукта. В ней отражены взгляды одного единственного сотрудника ИТ-отдела средней компании.

Итак, на недавней планерке была поставлена задача «Внедрить!». Но что конкретно внедрять, оговорено не было, поэтому после изучения вопроса и проведения анализа рынка и был создан этот топик.

Наша организация не особо выделяется из массы прочих средних организаций, внутри имеется порядка 250 рабочих станций и несколько серверов, которые необходимо защищать от утечки очень важных и чрезвычайно секретных данных. К сожалению, статистика неумолима, и 80% утечек информации происходят по вине самих сотрудников организации (инсайдеры). Распространение данных может быть как умышленным, так и совершенно случайным, а все случаи такого распространения должны обнаруживаться и пресекаться (это в идеале). Как этого добиться? Администраторы компании могут полностью закрыть интернет, электронную почту и сменные носители, оставив тем самым пользователей совсем без доступа к внешним ресурсам. Вариант почти идеальной защищенности, за исключением того, что он никого не устраивает, кроме самих администраторов. Можно немного подобреть, и открыть доступ в интернет или к сменным носителям только «избранным» сотрудникам. Вероятность утечек уменьшится, но кто сможет гарантировать, что «избранный» сотрудник полностью лоялен компании? Казалось бы, положение безвыходное, но здесь на помощь приходят DLP-системы.

DLP (Data Loss Prevention)- система это программный продукт, созданный для предотвращения утечек конфиденциальной информации за пределы корпоративной сети. Строится эта система на анализе потоков данных, выходящих за пределы корпоративной сети. В случае сработки определенной сигнатуры и детекта передачи конфиденциальной информации система либо блокирует такую передачу, либо посылает уведомления офицеру безопасности.

Основными требованиями к кандидатам были стоимость комплекса и количество контролируемых каналов.
В сравнении принимали участие:
  • Securit ZGate;
  • InfoWatch Traffic Monitor;
  • Symantec Data Loss Prevention;
  • Search Inform Контур безопасности;
  • FalconGaze SecureTower.

Информация о продуктах бралась с официальных сайтов и от региональных представителей компаний. Вот что получилось в итоге:
A SecurIT InfoWatch Symantec SearchInform FalconGaze
Название системы ZGate TrafficMonitor DataLossPrevention Контур безопасности SecureTower
Модульность системы Да Нет Нет Да Нет
Места установки На сервер+ZLock на клиентские ПК Сервер, клиент Сервер, клиент Сервер, клиент Сервер, клиент
Наличие сертификатов и лицензий ФСТЭК НДВ 3 и ОУД4
ФСТЭК НДВ 4 и ИСПДн 1, Газпромсерт, Аккредитация ЦБ, сертификат совместимости eToken
ФСТЭК НДВ 4
ФСТЭК НДВ 4
ФСТЭК НДВ 4 и ИСПДн 2
Лицензирование Почтовые ящики, рабочие места
Каналы перехвата, технологии анализа
n/a
Сервер, mail, IM, Skype, Print, device, HTTP, FTP
Рабочее место
Роли Любое количество
Несколько Любое количество
Любое количество
Администратор системы, офицер безопасности
Контроль IM
Да
Да
Да
Да
Да
Контроль HTTP/HTTPS, FTP
Да Да Да Да Да
Контроль Skype
Текст
Текст
Нет Да Да
Контроль E-mail
Да Да Да Да Да
Социальные сети и блоги
Да Да Да Да Да
Контроль подключаемых внешних устройств
При покупке Zlock
Да
Да
Да
Нет
Контроль портов
USB,COM,LPT, Wi-Fi, Bluetooth
USB,COM,LPT, Wi-Fi, Bluetooth
USB,COM,LPT, Wi-Fi, Bluetooth USB, LPT
USB, LPT
Блокируемые протоколы
HTTP, HTTPS, SMTP, OSCAR
HTTP, HTTPS, FTP, FTP over HTTP, FTPS, SMTP, SMTP/S, ESMTP, POP3, POP3S, IMAP4, IMAP4S
SMTP, HTTP, HTTPS FTP, Yahoo
Messenger, MSN
Messenger,
AIM, AIM Pro
Messenger, MSN
Messenger,
AIM, AIM Pro
Messenger, MSN
Messenger,
AIM, AIM Pro
SMTP, POP3, MAPI, IMAP, HTTP,FTP, ICQ, Jabber
HTTP, HTTPS, FTP, FTTPS, Вся почта и IM
Анализ по словарю
Да Да Да Да Да
Лингвистический анализ
Да
Да+БКФ
Нет
да
Да
Анализ транслита
Да Да Нет n/a n/a
Анализ архивов
Да Да Да Да Да
Анализ рисунков
Да Да Да Да Нет
Предустановленные шаблоны фильтрации
Да Да Да Да Да
Задержка отправки подозрительных сообщений
Да, ОБ принимает решение
Да, ОБ принимает решение
Да, пользователь объясняет причину отправки, инцидент фиксируется
n/a
Нет, только информирование офицера ИБ
Логирование действий администраторов системы
Да
Да
Да
n/a В случае утановки агента на РМ администратора
Режим установки агентов
Открытый
n/a
n/a
n/a
Тайный/Открытый
Защита агентов от выключения
Да
Да
Да
Да
Да
Запись отчетов в локальное хранилище в случае недоступности сервера
Да
Да
Да
Да
Да
Просмотр истории инцедентов
Да Да Да Да Да
Режимы оповещений
Консоль, почта, графики
Консоль, почта Консоль, почта, графики
Консоль, почта, графики
Консоль, почта, графики
Возможность тестирования продукта на серверах разработчика
нет
нет
Да нет на сервере дистрибьютора

Возможность получения демо-версии для тестирования внутри организации
±
±
нет ±
Да, 1 месяц
Цена для компании 250 ПК
2 500 000р.
n/a n/a 3 300 000- 5 400 000 р.
1 500 000р.

Следует уточнить, что:
Модульность системы- параметр, означающий, может ли продукт все контролировать или необходимо закупать разные модули для контроля определенных каналов утечки информации.

Администратор системы производит установку и настройку системы. Офицер безопасности производит контроль за действиями сотрудников и работы системы в целом.

БКФ-база контентной фильтрации. Позволяет по определенным признакам отнести документ к определенной степени конфиденциальности.

ОБ-офицер безопасности.

РМ-Рабочее место.

Символом n/a обозначены пункты, информацию по которым мне уточнить не удалось, а символами ± те пункты, где получение информации вызвало трудность. К примеру, получение пробных версий довольно сложное мероприятие, требующее указать много данных об организации, а также привлечь специалистов компании-разработчика в свой офис.

Итак, эта таблица упростила выбор DLP-системы для моей организации, и, надеюсь, поможет вам сделать свой выбор в случае аналогичной задачи.
@IrkDesigner
карма
14,7
рейтинг 0,0
Самое читаемое Разработка

Комментарии (78)

  • +1
    Ещё бы графу с перечнем языков, с которыми умеет работать лингвистический анализ.
  • 0
    Задержка отправки подозрительных сообщений у Контур безопасности — да, они это рекламируют. Интересное разъясняющее (рекламирующее) видео этой системы вот: www.youtube.com/watch?v=WSG6vMTn6GA&list=UUrO5_mKfYBMJc8F14T7XjeA&index=1&feature=plcp
    • 0
      Посмотрел видео. Напрягся после неоднократного напоминания о том, что программа работает по запатентованным алгоритмам.
    • 0
      В этом видео, на 5:30 перехватывают сообщения Skype, интересно…
      • НЛО прилетело и опубликовало эту надпись здесь
      • 0
        расскажите про скайп поподробнее (видео не могу посмотреть за полярным кругом нахожусь), исходяшие наверно кейлогером собираются, а входящие как? они же в зашифрованном виде передаются.
        • 0
          В видео видно и входящие и исходящие Skype сообщения, думаю фоновая программа грабит содержимое окна переписки через Windows API.
        • 0
          И звук тоже перехватывается. Всё делают агенты на машинах, как именно — хз, хуки какие-нибудь или ещё какая хитрость, в пути не перехватывается.
  • +6
    Чем занимается Ваша компания, если не секрет?
    Какую систему выбрала Ваша компания?
    Или вы уже подключены к «системе» и не сможете ответить на вопросы?
    • 0
      Пока что происходит непростой процесс выбора. К сожалению, очень ограничен бюджет на внедрение, поэтому цена системы, к сожалению, сыграет очень значительную роль при выборе. Частично из-за этого в анализ не вошли другие вендоры, разрабатывающие DLP. Хотя если хабрасообществу интересно, могу покопать информацию и по ним.
  • +1
    Задам вопрос по вот этому — «Контроль HTTPS — Да». Правильно ли я понимаю, что когда я подключаюсь к своему аккаунту gmail по https и отправляю сообщения, ОБ может их читать?
    • 0
      Чтение траффика HTTPS возможно только при наличии модуля, выполняющего функцию SSL Intercept. Без этого модуля никак.
      Данную информацию (о необходимости модуля), на мой взгляд, необходимо указывать в Примечаниях к таблице.
      • 0
        при этом это можно будет заметить, просмотрев получаемый сертификат.
        • 0
          Безусловно можно.
          Желательно в таких случаях подписывать сертификат имеющемся в инфраструктуре центром сертификации, чтобы у пользователя каждый раз не появлялось сообщение о том, что сертификат сайта является недоверенным.
  • +4
    Пусть простит автор статьи, но выбор DLP-системы по данным таблицам будет непростым:
    — упущены несколько довольно сильных игроков рынка DLP-систем: McAfee, Websense, TrendMicro, RSA…
    — подбирать DLP желательно под конкретные задачи, учитывая особенности инфраструктуры. Данные в таблице не дадут полного представления о всех контролируемых каналах, и в каком месте эти каналы контролируются.
    • 0
      зашел написать этот коммент. Анализ довольно поверхностен, выбор вендоров для анализа странен.
    • 0
      Данные в таблице дадут вообще извращенное представление о функциональности систем. На бумаге многие слабые игроки с фичами вроде «лингвистического анализа» выглядят сильнее лидеров, а на деле… Поверьте личному опыту.
      • 0
        Согласен.
        Только по таблицам (даже если они будут содержать информацию о всех DLP-системах) трудно подобрать продукт. Если стоит задача не просто потратить деньги, а подобрать хороший продукт (подходящий под поставленные задачи), то желательно проведение пилота.
  • +1
    как неаккуратно кран из фона вырезали :-\
  • 0
    Ладно бы это была сравнительная таблица троянских программ. Не нарушают ли все эти комплексы права человека и конституцию? 23.2 «Каждый имеет право на тайну переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений. Ограничение этого права допускается только на основании судебного решения.»
    • –1
      Это относится к частной жизни, и к должностным обязанностям, которые регулируются трудовым законодательством, это никак не относится. Так же, в трудовом договоре «оговорено иное», а следовательно, требоать соблюдения этих прав уже нельзя. И это логично.
      • 0
        Нет, если договор противоречит конституции, то он признаётся недействительным, как минимум по этим пунктам. У сотрудников есть обед, во время которого они становятся обычными гражданами, тупящими на хабре. И тут то волшебная система и прочитает тайные инбоксы!
        • 0
          А кто заставляет сотрудников во время обеда пользоваться служебным компьютером? Доставай свой планшет и вперед — никто ничего не прочтет. С тем же успехом можно обвинить работодателя не предоставляющего сотрудникам доступ в интернет на рабочем месте в нарушении п. 4 ст. 29 «Каждый имеет право свободно искать, получать, передавать, производить и распространять информацию любым законным способом. ...»
          • 0
            А вот если сотрудников не предупреждают о такой слежке, вот тогда конституция нарушается…
    • +1
      Нет не нарушает. Дома сотрудник в праве делать всё что угодно. Писать хоть террористам. А на приёме на работу он подписал NDA.
      • 0
        Я понимаю логическую сторону, но с моральной тут хреново. Хотя глядя как наш народ сидит во вконтактике. Но тут моральнее блокировать доступ, а не читать личное.
  • 0
    Хм, а я даже не знал о подобных программных комплексах…
  • +2
    Я на 100% уверен в невозможности защиты данных от похищения в условиях сколь-либо полномочных сотрудников. Можно защититься от кассира, от сотрудника склада, от офис-менеджера… Но как вы собираетесь защищаться от разработчика, решившего унести себе локальную копию гита? Или админа, который решил, что база клиентов — ценная прибавка к выходному пособию, которое ему не заплатили?
    • 0
      Слежка за высокопоставленными сотрудниками решит эту проблему, хотя и не на 100%. Зато о якобы неконституционности DLP можно будет уже не беспокоиться, проблемы посерьезнее возникнут…
      • +2
        Не «высокопоставленными», а просто имеющими сложноформализуемые обязанности.

        Кроме того, как слежка позволит отличить процесс слития бэкапа от рутинных операций? И не надо мне про всемогущие DLP, потому что простейшая автоматизация позволяет полностью скрыть все свои действия. Например, достаточно одного забытого ssh-коннекта с разрешённым пробросом портов, чтобы сделать «обратный коннект» и стащить всё, что нужно в те моменты, когда этого никто не ожидает.

        Я уже молчу про более тонкие методы, вроде веб-консолей, стеганографии и т.д.
        • 0
          Как мне кажется, бэкап сливается в определённое место, а не куда попало. И бэкап, вроде, как и есть рутинная операция, поэтому будет трудно отличить, согласен.

          Как это «забытого»? И при наличии на внутреннем хосте, куда идёт коннект (или откуда) DLP, как раз, позволит предотвратить утечку.

          Дело в том, что у системы DLP нет моментов, когда она ничего не ожидает — всё время на чеку ))
        • 0
          Во многом задаче DLP-систем контролировать непреднамеренные утечки информации (статистика утечек говорит о большом проценте таких событий). Хорошо настроенная система должна с этим справляться.

          А вот если специально захотеть унести конфиденциальную информацию (при наличии определенных умений и подготовки) можно практически всегда. DLP-cистемы не всемогущны, хотя наверное разработчики и стремятся к этому )))
    • +3
      Полностью согласен. Система защищающаяся от настраивающего ее админа это вообще оксюморон. А разработчик может просто распечатать код, снять на камеру своего телефона, передать пингами наконец…
      Можно скачать с нета кучу фоток а затем написать программу которая по простому алгоритму будет вклеивать в них нужные данные, и затем выкладывать где-то. Потом дома по памяти восстановить алгоритм и вуаля.
      Можно поднять свой веб-сервер, который будет логгировать все get запросы, а этими самыми запросами будут являться количество пробелов между header: value значениями.
      Можно распечатать код, затем собирать самолетики и пускать их в окно — чтобы там твои друзья ловили.
      Уф, если бы я там работал я бы все время только и делал что изобретал бы способа как обойти эту защиты, и совсем не смог бы сосредоточиться на работе.
      • 0
        Вы забываете что это не игра в которой можно пытаться до тех пор пока не получится, это жизнь. А в жизни у вас будет одна попытка. Ошибетесь — увольнение с волчьим билетом (суд, сибирь).
        Против вас играет то, что вы скорее всего не знаете как настроена система, а возможно не знаете даже о ее наличии. Все действия могут подробно протоколироваться и анализироваться постфактум.

        Может быть DLP системы и дырявы донельзя, но ставлю миллион против рубля, что на них вагон и малелькая тележка таких умников погорело.
      • 0
        На 100% защититься нельзя. Риск никогда не бывает нулевым. Всегда есть угроза. Задача DLP — по максимуму минимизировать риск утечки информации в савокупности с существующей политикой ИБ на предприятии и сопряженной с необходимыми организационно-распорядительными документами. От самой DLP толку нет. А Вот если она органично вписана в формальные рамки административного характера — тогда можно говорить о какой-то деле безопасности и защищенности.

        Сам занимался, и до сих пор занимаюсь, обеспечением ИБ. Нам подошла связка МакКафи DLP + WebSence. Естественно все это сопровождалось переделом дтрудовых договоров, должностных инструкций и штатных расписаний. Очень много административных дел.

        А Автору ыя советую сначала создать модель угроз, проанализировать существующие ОРД (провести аудит ИБ) а уже потом выбирать ПО для защиты.
    • НЛО прилетело и опубликовало эту надпись здесь
      • 0
        Вспоминается история расказанная одним знакомым. Он работал в среднеразмерной компании писавшей софт по зарубежным заказам. В этой компании практиковали использование DLP, о чем программистов заранее предупреждали и давали подписывать нужные бумажки.
        Однажды нашелся умник который непременно хотел умыкнуть исходники, он нашел дыру, написал специальную программу и все-же добился желаемого. Не знаю на чем он прокололся, но когда он на следующий день пришел на работу, его компьютер был опечатан и его ждали безопасники вместе со следователем из отдела К. Не знаю какие там были перспективы по уголовному преследованию, но пообщавшись за закрытыми дверями договорились на следующих условиях: чел немедленно увольняется по собственному желанию, они вместе с безопасниками едут к нему домой, устраивают там обыск и уничтожают ВСЕ найденные носители информации, и чел остается должен 300 тысяч рублей компенсации безопасникам и кашнику за их работу по его поимке. А за это его не будут садить.
        • НЛО прилетело и опубликовало эту надпись здесь
          • 0
            Не факт что удалось бы посадить, а так чел порядком запуган, и если где-нибудь остались копии, врядли рискнет ими воспользоваться. Другие сотрудники тоже запуганы инцидентом и строгостью принятых мер, и повторять его подвиг не рискнут. По-моему отличный результат.
        • +1
          Хм, то есть безопасники сами уничтожили все улики, а потом занялись вымогательством, за которое их фактически могли бы посадить?
          • –1
            Такова жизнь, в ней многое решается неофициально. Я даже не уверен что мент был настоящий, а не безопасник с фальшивой ксивой.
            • +1
              Я не к тому, что решилось неофициально, хотя то, что безопасники взяли 300к рублей себе уже должно насторожить руководство компании, так как их фактически подкупили, причем весьма недорого.
              Я сказал это к тому, что против того человека улик то теперь нет, а факт вымогательства есть и при определенном стечении обстоятельств безопасники могли получить свою компенсацию мечеными купюрами.
              • 0
                Они вроде как получили компенсацию машиной, у чела не было денег.
                • 0
                  Ну сделки с машиной отследить еще проще.
                  • 0
                    Сомневаюсь. У них в СБ все бывшие менты, а начальник бывший КГБшник, соответственно связи имеются.
                    • 0
                      Связи, связи… Что лишний раз доказывает, что менты и КГБшники в этой стране приравниваются к бандитам )
        • 0
          Ой жесть какая! Расскажите название компании, чтобы все знали, куда НЕ ИДТИ работать НИКОГДА и НИКОМУ. Если такие уроды руководят программистами, это же человеческого отношения к себе не жди!
      • +3
        Я очень хочу посмотреть на мандатные метки и прочий Крутой Ынтырпрайз при указании signle в опциях груба. Низзя? А массивы и FS как чинить?

        Каждый раз, когда мне говорят слово с "-ся", я понимаю, что разговор ни о чём. Действия не «журналируются», а их журналирует приложение. А дальше вопрос техники и желания.

        Невозможно защитить систему от создателей и мейнтейнеров. точка. остальное — это разговоры в пользу антивирусов и прочих видов компьютерного шаманства.
        • 0
          Ну ясно же, что всё это годится только для тех, кто своим сотрудникам доступ к компам обрезает. Там рута не будет, не то что сингл. С программистами такое могут делать вообще только уроды полнейшие.
    • +1
      Это DLP — как мне кажется — просто средства для развода умниками лохов^W^W технически не очень компетентных людей технически компетентными на деньги c целью создания у тех мнимого ощущения безопасности. Достаточно посмотреть на нарисованные от балды цены к примеру. Или на их ролик, где их продукт храбро отлавливает отправляемые плейнтекстом сотрудниками резюме (какое отношение это имеет к безопасности, правда, не очень понятно).

      Мне интересно, как эти DLP отреагируют, если, к примеру, открыть защищенный документ вордом, сделать copy-paste в новый, сохранить с паролем (в новых версиях офиса он надежный), заархивировать раром и снова вставить в ворд, а потом уже переслать/загрузить на rghost/скинуть в скайп с названием «образец договора для клиента.doc»/ etc. Такую вещь можно отследить только ручным анализом логов и ручным слежением через программы записи экрана.

      Весь из «поиск по фразам» и «поиск по регулярным выражениям» окажется бесполезен. Он сработает только против совсем глупых попыток что-нибудь упереть.

      Или возьмите пример вирусов stuxnet (использовался на иранском атомном заводе) и duqu (использвался по всему ближнему востоку). В обоих случаях заражение начиналось с получения письма с MS Office документом, эксплуатирующего zeroday уязвимость Windows. И я уверен, что ни антивирусы, ни тем более эти DLP от него не спасут.

      Кстати, я сейчас подумал, считавшийся традиционно средством обеспечения безопасности firewall тоже им быть не может, так как любой уважающий себя продукт для кражи информации будет прикидываться http/https клиентом, а эти порты всегда открыты (не оставишь же работников без инета :) ).
      • 0
        сделать copy-paste в новый

        Буфер обмена большинство DLP-систем контролировать умеют хорошо;

        сохранить с паролем (в новых версиях офиса он надежный), заархивировать раром и снова вставить в ворд

        Создать политику на запрет перемещения зашифрованных файлов по каналам и на внешние устройства, разрешить только те, что подлежат анализу.

        скайп с названием «образец договора для клиента.doc»

        DLP определяют файл не по расширению, а по сигнатурам. Причем многие системы позволяют самостоятельно добавлять неизвестные ей типы файлов.

        В обоих случаях заражение начиналось с получения письма с MS Office документом, эксплуатирующего zeroday уязвимость Windows

        А зачем DLP-системе от этого спасать. Пусть этим занимаются антивирусы и системы контроль траффика где-нибудь на шлюзе.

        так как любой уважающий себя продукт для кражи информации будет прикидываться http/https клиентом, а эти порты всегда открыты (не оставишь же работников без инета :

        Так разрешите посещение только «белого» списка сайта.
        • 0
          > Буфер обмена большинство DLP-систем контролировать умеют хорошо;

          Так может сотрудник для рабочих целей данные копирует. Вы каждый случай фиксировать и просматривать что ли будете? Или заставите руками расчетные счета переписывать?

          Ха, а хитрее? Взять Word, открыть им защищенный документ как простой текст (так что будет выглядеть как белиберда) и сохранить снова? Разбавить например текстом Библии. А потом переслать без шифрования?
          • 0
            >Так может сотрудник для рабочих целей данные копирует. Вы каждый случай фиксировать и >просматривать что ли будете? Или заставите руками расчетные счета переписывать?

            Например, можно просто заблокировать использование буфера обмена для защищаемой информации. Или просматривать все инциденты. Случай очень частный, вариантом решения может быть несколько. Например, пусть пользователи открывают документ и редактируют.

            >>Ха, а хитрее? Взять Word, открыть им защищенный документ как простой текст (так что будет >>выглядеть как белиберда)

            Какой файл Вы предлагаете открыть в Word: «защищенный» (защищенный паролем) или «защищаемый» (тот который защищает DLP-система)?
            • 0
              > заблокировать использование буфера обмена для защищаемой информации

              Это и называется «руками копировать расчётные счета» :)
      • 0
        отреагирует во время copy/paste.
  • 0
    Статья вообще ни о чём. Что в итоге выбрали, какие критерии при этом учитывали, делали ли тестовое развёртывание и т.д.?
  • 0
    Мое мнение — для небольших компаний подходит продукт McAfee DLP Endpoint. Дешево (сам продукт 400-500 тыс.р. на 250 мест), просто, возможности довольно обширные, да и контроль устройств включен. Для начала достаточно, в дальнейшем возможно расширение сетевой частью.
  • 0
    Zgate еще и звук в Skype записывает, хотя понять о чем говорили сам конечно не может) Ну и установка агентов может быть скрытой через групповые политики.
  • 0
    Второй год пользуем Falcongaze SecureTower. Немало голов уволено за это время благодаря этой софтине. Многие уволены за занятие всякой фигнёй в рабочее время.
    • 0
      Falcongaze SecureTower — похож на гибрид традиционного DLP и решения слежки за пользователями по типу Spector360 или LanAgent :) Обычно DLP не контролирует производительность труда, поэтому выглядит данный продукт как-то раздуто с одной стороны и не очень удобно с другой. Хотя, опять же это дело привычки:)
  • НЛО прилетело и опубликовало эту надпись здесь
    • +1
      Что именно из всего этого? Не могу угадать :)
    • НЛО прилетело и опубликовало эту надпись здесь
      • 0
        Прикольная схема, не знал о такой. И что, реально существуют такие девайсы?
        По сути можно включить запись скриншотов с экрана, натравить на них распознавалку текста и настроить правила безопасности на распознанный текст.
        К тому же, если отправка шла по web или ftp — инфа будет перехвачена. Но тут уж от формата инфы в девайсе зависит, сработают ли автоматические правила. Если там видео — то врядле. Но факт отправки будет зафиксирован и само видео можно будет просмотреть.
        • НЛО прилетело и опубликовало эту надпись здесь
          • 0
            Дык а чем это отличается если человек принесёт фотоаппарат или видеокамеру? Или тупо на мобилу всё запишет и отправит по 3G сразу. Нафига ещё и вышеописанные девайсы покупать?

            Но бороться конечно можно.
            На проходной к рабочему месту отбирать все мобильники и какие-либо левые девайсы. Ещё лучше — полный тщательный обыск каждого работника при приходе и уходе. Как в тюрьме строго режима. Что бы даже в заднем проходе иди дырке зуба ничего нельзя пронести. И поставить на всякий случай глушилки на мобильники. Интернет запретить, разрешать только по запросу на какое-то время на определённые ресурсы и под жёстким контролем надзирателя.
            • 0
              А в некоторых местах, где это важно так и делается.
  • 0
    А как же Devicelock DLP?
  • 0
    Также считаю, что стоит отметить свободный проект OpenDLP. Проект быстро развивается, не сложен в освоении и с поддержкой сообщества.
  • 0
    Уважаемые специалисты по ДЛП-системам, скажите, пожалуйста, если я свой рабочий комп с лайф-сд убунты загружу с выдернутым езернет-шнурком и после этого с локального диска на флешку всё что нужно скину--что ваша система сможет мне противопоставить? там на уровне БИОСа защита?
    • 0
      Хм — просто у компов нет приводов. А USB-порты, равно как и системный блок — опечатаны. И да — на БИОСе таки стоит пароль.
  • 0
    В нашей компании тоже сейчас стоит вопрос внедрять/не внедрять DLP. Меня сильно смущает, что можно сорвать пломбу с ПК, сбросить пароль с BIOS, загрузиться с LiveCD, Flash и используя доменные учетные данные слить нужные файлы. Как можно защититься от такого варианта?
    • 0
      Видеонаблюдение? Спецтехника реагирующая на вскрытие сисблока и отправляющая тревожный сигнал? Хотя — самый простой вариант — тонкий клиент имхо. И никаких носителей.
      • 0
        Используем очень тяжелый софт Autodesk (3ds max, AutoCAD, Revit), который на терминалах не работает и виртуализируется с большими трудностями и затратами. Можете подсказать примеры спец. техники, реагирующие на вскрытие?
        • 0
          Да — такой сотф по терминалу не пойдет.По поводу вскрытия — idmatic.ru/soft-antiinsider/132-zaschitaotinsaiderov/189-zaschitaotinsaiderov вот что нашел Гугл. Честно говоря я аналогичные устройства последний раз щупал лет 8 назад — и делала их какая то московская контора — но название счас не упомню — толи БИТ толи как то так. ВЕрней не делали — а были офф. дистрибьютором вещиц типа Аккорд-М, Соболь и тд.
    • 0
      Аппаратура доверенной загрузки типа соболя — один раз настраивается, а потом просто компьютер не будет загружаться при любых изменениях конфигурации биоса несанкционированных, даже если просто флешку забыть воткнутой.

      Можно конечно ещё и жесткий диск вытащить и унести, но это уже к ДЛП-системе отношения не имеет.
      • 0
        А плату соболя можно выдернуть из компьютера и загрузиться без нее?
        • 0
          Можно. Но я про это и написал — «Можно конечно ещё и жесткий диск вытащить и унести, но это уже к ДЛП-системе отношения не имеет.» Потому что если у вас на рабочем месте человек раскручивающий опломбированный системник с платой доверенной загрузки (с аппаратными ключами и всем таким) и вытаскивающий оттуда платы/диски и т.д. не вызывает подозрений и немедленных санкций со стороны СБ — любые методы защиты будут бесполезны.

Только зарегистрированные пользователи могут оставлять комментарии. Войдите, пожалуйста.