Перейти к содержанию
Dmitry Perets

Сравнение существующих решений DLP

Автор Dmitry Perets, в Защита от утечки информации (DLP) и шифрование

Recommended Posts

Рустэм Хайретдинов    30

Рустэм Хайретдинов
Опубликовано
Интересная российская особенность. Клиенты могут неразобраться с продуктами, уже присутствующими на рынке, но ждать, когда появится тот продукт, который им кажется будет интереснее и с большим числом функций. "Все в одном" далеко не всегда бывает лучше специализированных решений. Не исключено, что использование вообще всех технологий в одном продукте усложнит работу с ним и значительно повысит чило ошибок второго рода.

Михаил, добрый день. Не нашел твоей почты, поэтому пишу сюда. Есть вопрос.

Мы сейчас встраиваем лицензированные фингепринты и выявили их неприятную особенность. Как только база отпечатков не умещается в память сервера, идет сильное увеличение времени сравнения. Поскольку мы работаем в основном с компаниями с десятками тысяч документов, с которыми нужно снять отпечатки (10% от размера хранилища), такая производительность наших клиентов не устроит. Т.е. пилот на 100 рабочих мест, пару каналов и 100 документов вызовет восторг, но через год система заткнется.

Решена ли эта проблема в WS CPS или это естетственное ограничение технологии? Если второе, то видится распараллеливание процесса сравнения отпечатков с образцами, но все равно база будет увеличиваться. Можно на rust-собака-infowatch.ru, это чисто технический вопрос.

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

Прибочий Михаил    20

Прибочий Михаил
Опубликовано
Про продукты WebSense я знаю немного, нас никогда не сталкивали заказчики и есть всего один общий партнер. Поэтому согласен со всем вышеописанным, не хотел тебя обидеть.
Рустэм, да какие ж обиды? Тем более, если ты со мной согласился :)

По заказчикам - нас с вами уже сталкивали. С учетом непаханности российского рынка пока даже не знаю, стоит ли радоваться. И по партнерам - общих у нас гораздо больше. Почти все наши российские партнеры начинали с InfoWatch. Таких, кто только сейчас планирует развивать DLP направление, не ознакомившись с InfoWatch хотя бы год-два назад - единицы.

Не знаю, как назывался продукт, и это не была Россия, при встрече назову банк. Мы говорили о недостатках технологий, а не конкретных продуктов.
Не Россиия и не Websense - тогда это все объясняет
WebSense говорит, что PreciseID (не уверен, что написал правильно) - это не просто фингепринты, а специальная технология, основанная на фингепринтах, поэтому, наверняка, работая в банках, они докрутили технологию работ с формами.
Да PreciseID целый набор технологий, но основная из них все-таки fingerprint. А с формами работает, как я понимаю, тоже именно fingerprint. Хотя, здесь не буду настаивать.
Мы тоже разбавляем лингвистику другими технологиями, чтобы минимизировать ошибки. Теперь, вот прикручиваем фингепринты специально для арабов, поскольку реализовывать арабскую морфологию в нашем движке не нашлось желающих, а существующие лингвистические движки чудовищно непроизводительны.
Практически все известные мне DLP вендоры (правда, тех, кого я мало-мальски нормально знаю, откровенно мало) либо используют fingerprinting, либо заявляют о его использовании в скором будущем.
Про разбор инцидентов поясню подробнее. Ты понял "инцидент" как случай пересылки конкретного документа, тут вопросов нет. А для безопасника "инцидент" - факт того, что конфиденциальная информация оказалась вне компании. Во втором случае нужно найти "то, не знаю что". Например (реальный случай), "кто выносил информацию по новой маркетинговой программе за последние 2 недели". Заранее не известно, послан ли был конкретный документ, или секреты могли быть описана своими словами, а также какой сотрудник это слил и по какому каналу. Тут без полнотекстового архива не обойтись.
Тут разговор долгий, можно сказать, мировозренческий. Что и как должно ловиться, что такое "инцидент", какие функции должны быть в продукте и что, возможно, предпочтительнее не делать совсем... Предлагаю (приглашаю) обсудить за пивом.

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

Прибочий Михаил    20

Прибочий Михаил
Опубликовано
Михаил, добрый день. Не нашел твоей почты, поэтому пишу сюда. Есть вопрос.

Мы сейчас встраиваем лицензированные фингепринты и выявили их неприятную особенность. Как только база отпечатков не умещается в память сервера, идет сильное увеличение времени сравнения. Поскольку мы работаем в основном с компаниями с десятками тысяч документов, с которыми нужно снять отпечатки (10% от размера хранилища), такая производительность наших клиентов не устроит. Т.е. пилот на 100 рабочих мест, пару каналов и 100 документов вызовет восторг, но через год система заткнется.

Решена ли эта проблема в WS CPS или это естетственное ограничение технологии? Если второе, то видится распараллеливание процесса сравнения отпечатков с образцами, но все равно база будет увеличиваться. Можно на rust-собака-infowatch.ru, это чисто технический вопрос.

Рустэм, да, в Websense это решили. Websense больше ориентировалась как раз на крупных заказчиков, в активе есть 40-50 тыс. клиенты (это кого я знаю). В т.ч. с защищаемым медиаконтентом, где размеры файлов на порядки больше просто текстовых документов.

Я посмотрю, что есть в открытых источниках и пришлю/выложу информацию.

Писать мне можно на Mikhail_Pribochiy собака associates тчк ру

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты
Перейти к списку тем Защита от утечки информации (DLP) и шифрование

  • Сообщения

    • demkd
      uVS - Тестирование

      От demkd · Опубликовано

      В документации правильно, просто забыл убрать, после того как сменил тип интеграции.   Удаление исключений работает только в режиме виртуализации, в принципе системная защита ядра легко преодолевается, но дефендер тогда сходит с ума и ведет себя неадекватно, поэтому только виртуализация, можно конечно допилить что бы удалялось через api, но это все равно не будет работать с неактивной системой, поэтому оставил так как есть.
    • santy
      uVS - Тестирование

      От santy · Опубликовано

      Demkd, судя по тестам интеграция uVS и  WinRE, запуск uVS из меню Winpe прошли нормально. (проверил на W10), Единственно, после завершения интеграции выходит сообщение, что при обновлении uVS интеграцию необходимо повторить. Так ли это? В документации указано, что если обновление выполнено в каталоге, который ранее был интегрирован с WinRe, то повторная интеграция не нужна.  
    • santy
      uVS - Тестирование

      От santy · Опубликовано

      RP55, это запись в реестре на исключение из проверки в Windefender. запись защищенная в Wndef, поэтому просто через delref в uVS ее не удалить из реестра. И это правильно.
    • PR55.RP55
      uVS - Тестирование

      От PR55.RP55 · Опубликовано

      Demkd Вот допустим в образе\системе есть запись: Полное имя                  C:\USERS\LUSYS\ONEDRIVE\ДОКУМЕНТЫ\GOODBYEDPI-0.2.3RC1
      Имя файла                   GOODBYEDPI-0.2.3RC1
      Тек. статус                 ПОДОЗРИТЕЛЬНЫЙ Исключение
                                  
      Сохраненная информация      на момент создания образа
      Статус                      ПОДОЗРИТЕЛЬНЫЙ Исключение
      Инф. о файле                Не удается найти указанный файл.
      Цифр. подпись               проверка не производилась
                                  
                                  
      Статус                      ПОДОЗРИТЕЛЬНЫЙ ОБЪЕКТ
                                  
      Ссылки на объект            
      Ссылка                      HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths\C:\Users\lusys\OneDrive\Документы\goodbyedpi-0.2.3rc1
      C:\Users\lusys\OneDrive\Документы\goodbyedpi-0.2.3rc10
                                   При применении команды: Alt+Del delref %SystemDrive%\USERS\LUSYS\ONEDRIVE\ДОКУМЕНТЫ\GOODBYEDPI-0.2.3RC1 т.е. вопрос, что будет при удалении ссылки и почему статус Исключение - и если он должен исключать - то почему не исключает?
    • PR55.RP55
      Новые функции в Universal Virus Sniffer (uVS)

      От PR55.RP55 · Опубликовано

      Сейчас в ряде случаев готовые скрипты и образы приходиться размещать на сторонних ресурсах - типа Яндекс диска и т.д. А тем временем есть оф. сайт... т.е. Предлагаю добавить в меню uVS команды: Файл: Создать полный образ автозапуска и разместить образ\получить ссылку с оф. сайта: http://dsrt.dyndns.org:8888 * Соответственно Пользователь\Оператор получает ссылку типа: http://dsrt.dyndns.org:8888/MSI_2024-12-24_16-07-15_v4.14.6 ------------ В Меню Скрипт - команду: Сохранить автоматически созданный скрипт в файл и разместить\получить ссылку с оф. сайта: http://dsrt.dyndns.org:8888 * Соответственно Пользователь\Оператор получает ссылку типа: http://dsrt.dyndns.org:8888/Скрипт: 001 - & - MSI_2024-12-24_16-07-15_v4.14.6 ---------- 1) Добавить в меню команду: Выделить свободное место на диске ( Создать диск Х  ) ; создать загрузочный диск и скопировать на диск WIM 2) Вариант: Добавить в меню команду: Выделить свободное место на диске ( Создать диск Х  ) ; создать загрузочный диск и скопировать на диск прошедшие проверку системные файлы\файлы образа. Это всё можно сделать заранее - до заражения системы. Кроме того далеко не всегда проблемы в работе системы связанны с вирусами. А так флешка не нужна - всё всегда на месте.  
×