Перейти к содержанию
andrey golubev

защита от инсайдеров - помогите с выбором

Recommended Posts

dot_sent
а вот насчет легкости поиска закладок - это вы погорячились. очень это трудоемкая и не дешевая работа. дешевле свой аналог написать. одна надежда на широкую общественность smile.gif

Исходники драйвера ТруКрипта занимают порядка 10 тысяч строк кода С++ (без учета кода алгоритмов шифрования). Не так и много для проверки. Другой вопрос, что лично у меня были претензии к формату контейнера, скажем... Впрочем, это уже оффтоп.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
andrey golubev
Исходники драйвера ТруКрипта занимают порядка 10 тысяч строк кода С++ (без учета кода алгоритмов шифрования). Не так и много для проверки. Другой вопрос, что лично у меня были претензии к формату контейнера, скажем... Впрочем, это уже оффтоп.

для профессионального програмера, специализирующегося на фильтрах файловой системы и криптографии может и не много.

но Вы же не будете утверждать, что в любой СБ есть сотрудник способный выполнять такую работу ?:) скорее можно сказать, что таких единицы, или я сильно отстал от жизни

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Рустэм Хайретдинов
1. это большое количество пользователей умеющих программировать, т.е. любой вариант с кодированием информации может быть реализован, а после этого и слов не будет и хеши изменяться

Правильно ли я понимаю, что у квалифицированных программистов есть возможность редактировать все что угодно (иначе не заменишь слова и символы)?

Т.е. стоит задача, не ограничивая доступ к документам с правами редактирования с компьютеров с возможность локального хранения информации, оснащенных открытыми каналами коммуникации, защитить информацию неопределенного заранее содержания и структуры? И, возможно, пользователи могут устанавливать и запускать все, что угодно (например, системы шифрования). Может быть они даже имеют права локального администратора?.

Круто, боюсь, в этих условиях задача не имеет технического решения, тем более малобюджетного. Закрытие каналов после доступа к конфиденциальной информации проблему не решит, мы делали такой продукт под названием Ambit, потом бросили. Все приходит к тому, что в течение очень короткого времени все компьютеры, документы и процессы становятся секретными и работа останавливается. Приходится сбрасывать все метки проводить аудит и метить все сначала. Опять же - что делать с черновиками, новыми документами и входящими? Что-то вроде этого есть у Symantec Vontu, (контейнеры, агенты, которые не дают копировать из документа и сохранять его в другом месте и т.д.), но и там при доступе на редактирование с полными правами есть вопросы. Цены на Vontu вас тоже не порадуют.

В идеале нужно централизовать корпоративную почту, запретить посты в web, разделить сети на коммуникационную (внешнюю) и секретную (внутреннюю), во внутренней ввести терминальный доступ, оставить USB-порты и принтеры только начальникам отделов с персональной ответственностью за информацию, им доверенную. Ноутбуки командированных подключать только через NAC, который будет принудительно осуществлять терминальный доступ. Любителям Интернет сделать Интернет-кафе. Для защиты статической информации - использование DRM-технологий, обчно ставят Adobe или RMS. И т.д. - есть методики, которые с успехом лет двадцать применяются в госструктурах и банках. Правда, там на этом не сильно экономят.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
andrey golubev
Правильно ли я понимаю, что у квалифицированных программистов есть возможность редактировать все что угодно (иначе не заменишь слова и символы)?

по моему вполне естественно, что программисты могут редактировать исходники :), так же как и любой файл сохраненный на свем компьютере

ведь обычно все что можно прочитать, можно скопировать на свой комп, а там уже делать что хочешь

а потом совсем необязательно редактировать сам документ, достаточно иметь возможность редактировать файл в котором документ хранится, не разбираясь с его форматом

Т.е. стоит задача, не ограничивая доступ к документам с правами редактирования с компьютеров с возможность локального хранения информации, оснащенных открытыми каналами коммуникации, защитить информацию неопределенного заранее содержания и структуры? И, возможно, пользователи могут устанавливать и запускать все, что угодно (например, системы шифрования). Может быть они даже имеют права локального администратора?.

в общем случае да, кроме последнего. админские права поотнимали почти у всех кроме ит-шников, но их тоже надо контролировать

Круто, боюсь, в этих условиях задача не имеет технического решения, тем более малобюджетного.

сто процентной защиты не бывает - задача снизить риск, и создать инсайдеру по больше проблем

и орг меры в качестве дополнения никто не запрещал

Закрытие каналов после доступа к конфиденциальной информации проблему не решит, мы делали такой продукт под названием Ambit, потом бросили. Все приходит к тому, что в течение очень короткого времени все компьютеры, документы и процессы становятся секретными и работа останавливается. Приходится сбрасывать все метки проводить аудит и метить все сначала.

а вот это как раз и зависит от конкретной реализации продукта и совместимости его с используемыми прикладными приложениями и возможности подстройки

Опять же - что делать с черновиками, новыми документами и входящими? Что-то вроде этого есть у Symantec Vontu, (контейнеры, агенты, которые не дают копировать из документа и сохранять его в другом месте и т.д.), но и там при доступе на редактирование с полными правами есть вопросы. Цены на Vontu вас тоже не порадуют.

да немало такого есть - SafeUse, SecrecyKeeper, Security Studio и т.п. - вопрос в конкретной реализации.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Рустэм Хайретдинов

Андрей, нет ни одной компании, которая бы пользовались этими продуктами на числе компьютеров больше, чем десять (пользовались, а не купили лицензий :)). Не из-за реализации, замечу, продукты не при чем, а из-за невозможности встроить политики их использования в реальный бизнес без угрозы остановить его.

SafeUse это и есть Ambit со встроенным шифрованием, поэтому я знаю о чем говорю. Бессмысленно говорить с продавцами, они лица заинтересованные, нужно говорить с пользователями, а они на форум точно писать не будут. Если вы не хотите наступить на грабли, на которые уже наступали ваши коллеги, могу вас познакомить с парой CISO из крупных компаний, которые уже прошли этот путь и теперь используют такие продукты для защиты небольших закрытых сегментов - отдела кадров, Первого отдела, конструкторского бюро и т.д.

Удачи,

Рустэм

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
andrey golubev
Андрей, нет ни одной компании, которая бы пользовались этими продуктами на числе компьютеров больше, чем десять (пользовались, а не купили лицензий :)).

Рустэм, извините, но это лишь ваше предположение.

SafeUse это и есть Ambit со встроенным шифрованием, поэтому я знаю о чем говорю. Бессмысленно говорить с продавцами, они лица заинтересованные, нужно говорить с пользователями, а они на форум точно писать не будут. Если вы не хотите наступить на грабли, на которые уже наступали ваши коллеги, могу вас познакомить с парой CISO из крупных компаний, которые уже прошли этот путь и теперь используют такие продукты для защиты небольших закрытых сегментов - отдела кадров, Первого отдела, конструкторского бюро и т.д.

спасибо, но мне придется самому пройтись по граблям. т.к. я должен предоставить собственный отчет о возможности или не возможности построения решения, чужой опыт в зачет не идет.

пока тестируем SecrecyKeeper, Perimetrix что-то тянет (вернее инегратор), Security Studio отпала на этапе чтения документации и общения с тех сапортом - модефицирует схему AD, плюс там крайне не удобная концепция пользовательских сессий

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Александр Шабанов
Perimetrix что-то тянет (вернее инегратор)

Не поэтому ли случаем - http://www.anti-malware.ru/forum/index.php?showtopic=4248

Релиз вроде бы только осенью обещали...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Рустэм Хайретдинов
Рустэм, извините, но это лишь ваше предположение.

спасибо, но мне придется самому пройтись по граблям. т.к. я должен предоставить собственный отчет о возможности или не возможности построения решения, чужой опыт в зачет не идет.

Я не настаиваю, Андрей, Вы в любом случае делаете полезное не только для вашей компании дело. Мой опыт - не предположение, а знание, конечно же, неполное. Я плотно изучал этот вопрос в ноябре-декабре прошлого года, чтобы понять - инвестировать в Ambit или нет, интервьюировал десятки якобы пользователей, отсюда и опыт.

Если у вас получится реализовать проект, вы станете очень востребованным экспертом. Не хотите выступить на конференции 6 ноября с докладом на эту тему?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Mona Sax

по личному опыту - бОльшая часть изначально поставленных задач решается грамотным персоналом, администрирующим данную сеть. если админсостав неадекватен в 2/3 поставленных задач - то надо менять. не экономя на профессиональных администраторах, кстати.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
skif
по личному опыту - бОльшая часть изначально поставленных задач решается грамотным персоналом, администрирующим данную сеть. если админсостав неадекватен в 2/3 поставленных задач - то надо менять. не экономя на профессиональных администраторах, кстати.

слово "неадекватен" видимо надо читать как "не компетентен" :)

не могли бы вы привести пример, из вашего опыта, как грамотным персоналом и штатными средствами можно решить задачи

1. архивирования трафика для обеспечения возможности проведения расследований, с учетом того что в организации разрешено использовать почтовые сервисы с веб-интерфейсом.

2. предотвращение утечки или кражи конфиденциальной информации с рабочих станций, с учетом того, что полностью запрещать применение съемных носителей нельзя, и запрещать пользоваться интернетом тоже нельзя, и еще куча условий описанных в первом посте темы

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Рустэм Хайретдинов
пока тестируем SecrecyKeeper,

Андрей, как продвигается тестирование, есть ли какие-то результаты? Смотрели ли какие-то другие продукты? Очень интересен ваш опыт.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
andrey golubev
Андрей, как продвигается тестирование, есть ли какие-то результаты? Смотрели ли какие-то другие продукты? Очень интересен ваш опыт.

тестирование закончили, результаты нас устроили, используя штатные средства и SecrecyKeeper задачи по предотвращению утечки решили на устраивающем нас уровне, осталось обеспечить возможность расследования (архивирование трафика и поиск по архиву), тут смотрели инфовотч и фортигейт. инфовотч конечно очень интересен, но стоит дорого.

предложение на периметрикс нам в конце концов прислали, но пилот с секресикипером был уже в работе, продукт нас в принципе устраивал и стоит он в разы дешевле, поэтому периметрикс уже не тестировали.

не много позже я выложу описание того, что мы сделали, какие задачи и как порешали, интересно почитать обсуждение.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Рустэм Хайретдинов
тестирование закончили, результаты нас устроили, используя штатные средства и SecrecyKeeper задачи по предотвращению утечки решили на устраивающем нас уровне, осталось обеспечить возможность расследования (архивирование трафика и поиск по архиву).

Если вам нужно только архивировать и искать - посмотрите продукты Софтинформа, они существенно дешевле. Читал про почтовый архив, который делает SecurIT, говорят, берут его охотно.

Ждем отчета - редко встретишь реальный кейс на такую тему.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
andrey golubev

Вводная.

ЛВС компании состоит из ~200 рабочих станций и серверов под управлением Windows XP/2003. Управление сетью - MS AD.

Реализована политика ограничения использования программ на основе MS SRP. АВ защита на основе антивируса Касперского.

Корпуса компьютеров опечатаны. Сеть на свичах с настроенной блокировкой по MAC-адресам.

Выход в интернет через шлюз FreeBSD + squid, почта внешний почтовый сервер MDaemon.

Контролируемые отделы (условные названия) и технологии обработки информации:

Финансовый - 1С, Word, Excel, Outlook, IE, icq, флэшки;

Бухгалтерия - 1С, Word, Excel, Outlook, icq;

Кадры - 1С, Word, Excel, Outlook, icq;

Бизнес-технологии - Word, Excel, Outlook, IE, icq, флэшки;

Остальные отделы - у них секретной информации нет и быть не должно, частично эта задачи решается назначением прав доступа.

Задачи:

1. Контроль перемещения информации с целью как случайного (халатность), так и преднамеренного (кража) ее несанкционированного распространения

(любая передача данных по сети, копирование на съемные носители, печать).

2. Хранение всей финансовой и бухгалтерской информации централизованно в зашифрованном виде и гарантированное отсутствие ее на рабочих

станциях.

3. Запрет съемных носителей везде где они не нужны.

Описание понятий и терминологии используемых в документации продукта.

SecrecyKeeper реализует полномочный контроль доступа, в котором в отличии от дескриционного хозяин документа не может менять свои полномочия

по работе с информацией хранящейся в документе. Управление полномочиями осуществляет офицер безопасности. Под полномочиями имеется в виду

возможность передачи информации из грифованного документа по различным каналам связи (сеть локальная и глобальная, съемные носители, печать).

Информации хранящейся как в локальных файлах так и на серверах можно присваивать грифы - общедоступно, конфиденциально, секретно. Гриф

ставится либо на локальный файл, либо на сетевой ресурс (шара, сетевой порт).

уровень допуска пользователя

к данным - информацию с каким грифом можно прочитать;

к сети - информацию с каким грифом можно передать в сеть на не безопасный компьютер;

к съемным носителям - информацию с каким грифом можно копировать на съемный носитель;

к печати - информацию с каким грифом можно печатать.

уровень безопасности компьютера

на доступ - максимальный гриф информации, к которой можно получить доступ с данного ПК;

на хранение - максимальный гриф информации, которую можно сохранить на данном ПК;

служебный - для описания доверенных служб (например LDAP - 389 порт контроллера домена), это доверенные ресурсы, доступ к ним не блокируется.

Мы использовали только два грифа - общедоступно и секретно.

Агент ставится на все рабочие станции (на сервера ставить нельзя). Настройки по умолчанию: уровни допуска пользователей и уровни безопасности

рабочих станций имеют значения общедоступно. Это сразу гарантирует не возможность сохранения секретной информации на ПК тех, кто не должен

иметь к ней допуск. Также, по умолчанию блокируется доступ к съемным носителям.

Для пользователей имеющих право на работу с секретами ставим уровень безопасности ПК на доступ в значение секретно. Т.к. все секретные ресурсы

сетевые, то доступ получить можно, а локально сохранить нельзя. Кому нужно открываем доступ к съемным носителям. Доступ к компьютерным портам

можно регулировать статически, т.е. без учета грифа информации, с которой ведется работа.

Для пользователей имеющих право на работу с секретами ставим уровни допуска к данным и печати - секретно, к сети и сменным носителям оставляем

по умолчанию - общедоступно. При таких настройках, сохранить информацию на ноутбук не возможно.

На файловом сервере для каждого пользователя из бухгалтерии и фин отдела создана шареная папка, для которой установлен уровень секретно, в

этой папке обрабатываются секретные данные, которые необходимо хранить в файлах MS Office - в нашем случае различные выборки из 1С. на

рабочих станциях эти данные не сохраняются.

На ПК пользователей не имеющих доступ к грифованной информации агенты можно устанавливать сразу. На остальные по очереди, так как агент после

доступа к грифованным данным может частично или полностью заблокировать ПК и необходимо произвести тонкую настройку системы.

Сетевые ресурсы настроены следующим образом:

1С:1562,1564 - уровень секретно

1C:1541(сервер лицензий 1С), 1C:1540(сервер лицензий 1С) - служебные ресурсы уровень доверия секретно

\\FS\username - уровень секретно (для всех сотрудников фин отдела и бухгалтереи)

FS:135(rpc endpoint) - уровень доверия секретно

FS:445(smb via tcp) - уровень доверия секретно

DC:53, DC:123(ntp), DC:389(ldap), 475 - уровень доверия секретно

DC - контроллер домена

FS - файловый сервер финансовой службы

1C - сервер 1С

Как это работает.

При подключении клиента 1С к серверу, SecrecyKeeper отмечает, что программа клиента получила доступ к секретным данным (соединилась на 1С:1562

или 1564). После этого для этого процесса включаются все блокировки определенные для секретной информации. Например, попытка скопировать

данные в буфер обмена и сохранить их в файл на локальном ПК или на не безопасном расшаренном диске будет заблокирована. А сохранить эти данные

в файл на шаре \\FS\username можно, т.к. шара секретная. Таким образом секретная информация остается всегда на сервере, не считая трафика,

который при желании можно зашифровать штатными средствами.

То же самое происходит при открытии файла на секретной шаре. Работать с документом можно, но локально (или на сменный носитель) сохранить его

нельзя. Так же нельзя и передать его на не безопасный сетевой ресурс (почта, веб, аська).

Примерно так. Если есть вопросы - постараюсь ответить.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Рустэм Хайретдинов
Если есть вопросы - постараюсь ответить.

Андрей, спасибо за отчет. Можно ли узнать следующие характеристики проекта?

1. Кто принял решение, что такой проект вообще нужен (генеральный директор, начальник безопасности, ИТ-директор, кто-то еще)?

2. Каков бюджет проекта (хотя бы порядок и процентное отношение работы/лицензии/продукты третьих сторон)?

3. Правильно ли я понял, что проект длился три месяца от выбора решения до начала использования?

4. Чьими силами (своими, вендор, интегратор, какие-то комбинации из всего этого) выполнялся проект?

5. Чьими силами выполняется поддержка и администрирование и сколько времени это занимает?

Если какие-то данные непубличные - пишите в личную почту. Мы планируем в следуюшем году выпустить решение для среднего бизнеса (100-300 станций). Поэтому очень интересно узнать на вашем примере, какие силы движут рынок, и сколько времени и денег готовы тратить на сохранение конфиденциальности информации компании такого размера.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
andrey golubev
Андрей, спасибо за отчет. Можно ли узнать следующие характеристики проекта?

Если какие-то данные непубличные - пишите в личную почту. Мы планируем в следуюшем году выпустить решение для среднего бизнеса (100-300 станций). Поэтому очень интересно узнать на вашем примере, какие силы движут рынок, и сколько времени и денег готовы тратить на сохранение конфиденциальности информации компании такого размера.

Если вам не нужны пароли и явки, то можно тут :)

1. Кто принял решение, что такой проект вообще нужен (генеральный директор, начальник безопасности, ИТ-директор, кто-то еще)?

Директор департамента внутреннего контроля, в состав которого входит СБ.

В нашей компании директор ДВК починяется только акционерам, т.е. работает на одном уровне с ген диром и советом директоров.

2. Каков бюджет проекта (хотя бы порядок и процентное отношение работы/лицензии/продукты третьих сторон)?

~1 000 000 - 1 500 000 на все распределение по статьям на усмотрение ответственного

3. Правильно ли я понял, что проект длился три месяца от выбора решения до начала использования?

примерно так

4. Чьими силами (своими, вендор, интегратор, какие-то комбинации из всего этого) выполнялся проект?

своими + консультации вендора, выезд их спецов на площадку не потребовался.

5. Чьими силами выполняется поддержка и администрирование и сколько времени это занимает?

администрируем естественно сами

честно говоря не понимаю, как можно отдать на аутсорс администрирование системы защиты

по времени - основная работа смотреть логи и переназначать допуски сотрудников, второе делается крайне редко (в основном когда приняли/уволили). единственный глюк, который не отловили на стенде - система не грузится если нет usb портов, но это только на совсем старых машинах, у нас такая одна нашлась или на виртуалках. и поддержка нам сразу про это сказала.

в остальном отладили конфигурацию на стенде и в сети уже вопросов не было.

посмотрел по Вашему совету (спасибо) на Софтинформ, интересно, но немного смущает, то что это снифер (производительность), хотя с другой стороны тестировать легко. пилот пока не запускали.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Ashot
осмотрел по Вашему совету (спасибо) на Софтинформ, интересно, но немного смущает, то что это снифер (производительность),

Вот какраз по этому он и не критичен к производительности. Сниферу не нужно обеспечивать real time (ну все поняли, что я не про real time OS ;)). Собственно отсюда и вытекает его главный недостаток (если пытаться использовать не по назначению) - отсутствие проактивности. Софтинформ и их "контур" хорош для сбора (архивирования), храниния и поиска информации...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Рустэм Хайретдинов
~1 000 000 - 1 500 000 на все распределение по статьям на усмотрение ответственного

Спасибо, исчерпывающе. 500-750 рублей на узел за лицензии - очень экономно при таком функционале. Другие решения, которые вы называли, обошлись бы в разы дороже - от 40 USD за узел.

Вот как раз по этому он и не критичен к производительности. Сниферу не нужно обеспечивать real time (ну все поняли, что я не про real time OS ;)). Собственно отсюда и вытекает его главный недостаток (если пытаться использовать не по назначению) - отсутствие проактивности. Софтинформ и их "контур" хорош для сбора (архивирования), храниния и поиска информации...

Так и родом продукт из корпоративного поиска, со всеми плюсами и минусами такого подхода. Говорят, неплохо продается. Половине клиентов блокировка и не требуется (по нашей и Дозоровской статистике). ИБ-руководителям в этом случае нужна не защита от утечек, а осуществление "принципа неотвратимости наказания". Хотя, как наказать человека по закону с использованием почтового архива - большой вопрос :-).

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Ashot
Хотя, как наказать человека по закону с использованием почтового архива - большой вопрос :-).

хороший вопрос ;) и не только почтового, но и файлового архива...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
andrey golubev
Вот какраз по этому он и не критичен к производительности. Сниферу не нужно обеспечивать real time (ну все поняли, что я не про real time OS ;)). Собственно отсюда и вытекает его главный недостаток (если пытаться использовать не по назначению) - отсутствие проактивности. Софтинформ и их "контур" хорош для сбора (архивирования), храниния и поиска информации...

я имел в виду потерю пакетов при захвате. была такая проблема году в 2003 у сурфконтрола, или проблема была не в этом, но валили ее на это :)

но если ни кто на это не жалуется, то видимо и проблемы нет

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Ashot
имел в виду потерю пакетов при захвате

А! Ясно, но это если имело место, то просто баг.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
BDV
кстати, нашел еще один продукт для мониторинга FortiNet называется, на нашем рынке недавно, продвигаются Информзащитой (вернее их дочкой). работает как прозрачный прокси, может захватывать веб, почту и аську. там еще АВ, IPS, веб-фильтрация. стоит вполне приемлимо. кто-нибудь в работе это чудо видел ? впечатления ?

Fortinet это устройство типа все-в-одном (часто классифицируют как UTM), такое же как Cisco ASA или IBM Proventia Multi Function Security.

Про захват протоколов верно - часто у IPS есть фильтры типа аудит, которые ловят всевозможные протоколы уровня приложений, разбирают их и собирают нужную информацию в журнал, вплоть до текста сообщений и паролей (той же ICQ или MSN). Тенденция к DLP прослеживает у многих вендоров, например, у IBM IPS есть свой модуль защиты от утечек (ibm.com/ru/services/iss/pdf/proventiacontentanalyzer_datasheet.pdf)

Вообще я бы в вашей ситуации IPS или UTM не выбирал как решение DLP. Если уж брать сетевое DLP, то специализированное, например, Fidelis (fidelissecurity.com)

В DLP важно не только какой продукт выбрать, а каким людям доверить его настройку и установку. В рамках хостового DLP мне нравится Verdasys(verdasys.com) - очень хороший функционал - думаю что он покрывает ваши требования с лихвой... плюс он поддерживает русский язык.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
andrey golubev
Вообще я бы в вашей ситуации IPS или UTM не выбирал как решение DLP. Если уж брать сетевое DLP, то специализированное, например, Fidelis (fidelissecurity.com)

В DLP важно не только какой продукт выбрать, а каким людям доверить его настройку и установку. В рамках хостового DLP мне нравится Verdasys(verdasys.com) - очень хороший функционал - думаю что он покрывает ваши требования с лихвой... плюс он поддерживает русский язык.

Мы не рассматриваем системы архивирующие трафик, как средство защиты от утечек. Для нас это способ обеспечить возможность расследования инцидентов. А защита от утечки - как раз на уровне хоста, для этой задачи остановились на SecrecyKeeper.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • Ego Dekker
    • demkd
      а внутри локалки и не получится, белые ip нужны только при подключении через интернет.
    • santy
      Проверил на двух домашних ПК в локальной сети с роутером. Схема с серым IP работает отлично. Передача файлов гениальна! Вот просто как будто дополнительное зрение появилось :). Через белый IP  пока не удалось подключиться. Пришлось еще фаерволлы включить в интерактивный режим. (На автомате еще не проверял, возможно надо сохранить некоторые правила.)
    • demkd
      ---------------------------------------------------------
       4.99.4
      ---------------------------------------------------------
       o Исправлена функция автоматического переключения удаленных рабочих столов.
         Проблема проявлялась при работе с удаленной системой через локальную сеть, при запуске приложения
         от имени администратора не происходило автоматическое переключение на защищенный рабочий стол.
         (не касается полной версии разового доступа к рабочему столу, в этом режиме проблемы не было).

       o Проведено сравнительное тестирование системного удаленного рабочего стола и uVS.
         Передача файлов через системный удаленный рабочий стол идет почти в 20 раз медленней чем через через uVS.
         Максимальный fps в 32-х битном цвете почти в 3 раза ниже чем у uVS в FHD.
         (!) Выявлена проблема совместного использования uVS и системного рабочего стола.
         (!) Если системный рабочий стол был закрыт БЕЗ выхода из пользователя, то uVS не сможет
         (!) отбразить рабочий стол логона пользователя (Winlogon).
         (!) Единственное решение проблемы: подключиться заново через системный рабочий стол и выйти из пользователя.
       
    • demkd
      ---------------------------------------------------------
       4.99.3
      ---------------------------------------------------------
       o Это обновление повышает качество работы с удаленной системой и добавляет новый режим работы.
         (!) Новая функция не совместима со старыми версиями uVS, если у вас в настройках установлен флаг bReUseRemote = 1,
         (!) то перед обновлением необходимо закрыть все серверные части uVS на удаленных компьютерах с помощью
         (!) старой версии uVS.

       o Добавлен новый режим работы: Разовый доступ к удаленному компьютеру.
         (!) Доступно начиная с Vista, подключение к рабочему столу устаревших систем возможно лишь прежним способом.
         Ранее просмотр и управление рабочим столом удаленного компьютера было вспомогательной функцией при работе с удаленной системой.
         Для подключения требовались полномочия администратора или знание логина и пароля администратора удаленного компьютера и
         физическая возможность подключения к удаленному компьютеру.
         Новый режим работы похож на то, что предлагают всевозможные поделки для удаленного администрирования.
         o В этом режиме доступно: управление и просмотр рабочего стола, а также быстрый и надежный обмен файлами на пределе пропускной
           способности канала. (для сравнения RAdmin в гигабитной сети передает файлы более чем в 15 раз медленней чем uVS).
         o Передаваемые кадры теперь не только сжимаются, но и шифруются,  целостность передаваемых файлов защищена
           проверочным хэшем и шифрованием.
         o Подключение осуществляется без использования промежуточного сервера, т.е. это чистый P2P.
         o Подключение возможно к компьютеру за NAT при включенной у роутера опции uPNP.
         o Подключение возможно к компьютеру, где активирован VPN.
           (!) Подключение производится к реальному адресу роутера или адаптера компьютера с VPN, VPN канал полностью игнорируется.
         o Подключение возможно в обе стороны, т.е. из пары компьютеров требуется лишь 1 белый IP, направление подключения выбирается
           при начальной настройке.

         При запуске start.exe теперь вам доступны три новые кнопки:
         o Управление удаленным компьютером и обмен файлами.
           Эту кнопку нажимает тот кто хочет получить доступ к удаленному компьютеру, в открывшемся окне можно выбрать
           вариант подключения (см. ниже) и ввести код доступа полученный от того кто предоставляет доступ к компьютеру.
           Варианты подключения:
             o Соединение примет мой компьютер - в этом случае необходимо выбрать IP к которому будет подключаться другая
               сторона. При подключении через интернет следует выбирать белый IP адрес, если ваш компьютер за роутером
               и на нем активен NAT, то выбрать нужно именно его IP адрес. (адрес с пометкой [router]).
               Если роутер поддерживает uPNP, то этот адрес будет выбран по умолчанию.
               Если же в списке нет белых IP то вам следует выбрать другую опцию подключения.
               После выбора IP просто нажмите кнопку Старт и передайте одноразовый код доступа другой стороне.
               При подключении по локальной сети вы можете нажать кнопку "Все IP" и выбрать любой серый адрес для подключения.
               Поддерживается и IPv4 и IPv6.
               (!) Код доступа автоматически копируется в буфер обмена при нажатии кнопки "Старт".

             o Соединение установит мой компьютер - просто скопируйте код доступа в поле ввода или код там появится автоматически
               если вы его скопировали из мессенджера. После чего нажмите кнопку Старт и ожидайте подключения.

         o Разовый удаленный доступ к моему компьютеру [админ]
           (!)Пользователь должен обладать правами администратора или правами по запуску и установке служб.
           Эту кнопку нажимает тот кто хочет предоставить доступ к своему компьютеру, в открывшемся окне можно выбрать
           разрешения для другой стороны.
           Доступны 3 варианта:
             o  Управление     - доступно: мышь, клавиатура, просмотр экрана и обмен файлами.
             o  Просмотр       - доступно: просмотр экрана и обмен файлами.
             o  Обмен файлами  - доступно: обмен файлами.
           Это полнофункциональная версия удаленного рабочего стола uVS, с возможностью удаленного подтверждения
           запуска приложений от имени администратора и эмуляции нажатия Ctrl+Alt+Del.

         o Разовый удаленный доступ к моему компьютеру [не админ]
           Все тоже самое что и во 2-м случае, кроме удаленного подтверждения запуска приложений от имени администратора
           и эмуляции нажатия Ctrl+Alt+Del, дополнительно есть ограничение по использованию защищенных рабочих столов.

       o При работе с удаленным рабочим столом теперь доступна передача файлов и каталогов из буфера обмена в обе стороны.
         Что бы передать файлы или целые каталоги на удаленный компьютер, просто скопируйте их в буфер обмена и в окне
         удаленного рабочего стола нажмите кнопку со стрелкой вверх.
         Передача изображения автоматически отключится и откроется окно с логом передачи файлов.
         В заголовке окна лога вы увидите объем переданных данных и среднюю скорость передачи (с учетом чтения их с диска).
         По окончании передачи  файлов в лог будет выведена информации о времени передачи, количестве успешно переданных файлов и
         средней скорости передачи.
         Переданные файлы будут помещены в буфер обмена удаленной системы и вы сможете  вставить их из буфера
         в любой каталог или прямо на рабочий стол. При этом файлы переносятся из временного каталога.
         Если же вы не вставили файлы из буфера обмена то они останутся во временном каталоге C:\uVS_copyfiles\*
         точный путь до которого выводится в лог на удаленном компьютере.
         Что бы получить файлы проделайте обратную операцию: скопируйте файлы в буфер обмена на удаленном компьютере
         и нажмите кнопку со стрелкой вниз, по завершению передачи файлы будут помещены в буфер обмена вашего компьютера
         и вы можете перенести их в любую нужную папку.
         Таким образом обе стороны видят какие файлы и куда копируются и при этом максимально упрощается процесс копирования.
         (!) При закрытии окна лога передача файлов будет остановлена.
         (!) При разрыве соединения передача файлов будет автоматически продолжена после восстановления соединения,
         (!) при этом работает функция докачки, т.е. если ошибка произошла при передаче большого файла, то передача его
         (!) продолжится с последнего успешно полученного блока, т.е. блок будет заново.
         (!) Каждая передача файлов является независимой, т.е. нельзя прервать передачу и воспользоваться функцией докачки.
         (!) Проверка целостности файлов производится на лету вместе с его расшифровкой, таким образом достигается
         (!) максимально возможная скорость передачи примерно равная скорости копирования файлов по локальной сети системой.
         (!) При необходимости передачи большого количества мелких файлов рекомендуется поместить их в архив, это серьезно
         (!) сократит время передачи.
         (!) Состоянии кнопки CS никак не влияет на данный функционал.

       o Изменен приоритет протоколов: IPv4 теперь является приоритетным, как показали замеры в гигабитной локальной сети
         IPv4 позволяет достичь более высокой скорости передачи данных.

       o Добавлено шифрование сжатых кадров удаленного рабочего стола для повышения защиты передаваемой по сети информации.

       o В случае разрыва соединения повторное подключение происходит автоматически без запроса.

       o Снижен инпут лаг при работе с удаленным рабочим столом.

       o Обновлена функция синхронизации буфера обмена с удаленной системой: теперь поддерживается передача скриншотов
         в обе стороны.

       o Обновлена функция передачи движений мыши в удаленную систему.
         Теперь доступно управление с помощью движений мыши, которое используется в некоторых приложениях и играх. (если нажата кнопка MM)
         Если указатель мыши видим в удаленной системе то управление производится позиционированием указателя по расчетным координатам (как и раньше),
         в противном случае указатель скрывается в клиентской системе и передаются лишь движения мыши.
         При возникновении проблем с восстановлением видимости указателя вы всегда можете переключиться из окна удаленной рабочего стола по горячей
         клавише RWin.

       o uVS теперь при старте добавляется в исключения Ф и брандмауэра до выхода из uVS.

       o Теперь запоминаются размеры и режим отображения удаленного рабочего стола для каждого активного монитора.
         Кнопка 1:1 применяется автоматически при первом выборе монитора.
         Обработчик кнопки 1:1 обновлен, теперь размер окна рассчитывается с высокой точностью для новых систем,
         где размер окна включает в себя тень.

       o Добавлен выбор метода захвата экрана, доступно 3 варианта:
         o GDI -  медленный метод захвата экрана, но работает в любой удаленной системе, постоянный fps.
                  (единственный доступный метод для Win2k-Win7)

         o DDA1 - быстрый, работает начиная с Windows 8, максимальный коэффициент сжатия,
                  переменный fps в зависимости от экранной активности.
                  (!) рекомендуется использовать при ширине канала ниже 100Mbit, вместо DDA2.

         o DDA2 - очень быстрый метод сравнимый с захватом экрана с помощью mirror драйвера, но без использования драйвера,
                  работает начиная с Windows 8, низкий коэффициент сжатия, переменный fps в зависимости от экранной активности.
                  Способен захватывать видео с высоким fps (до 60) за счет упрощенного метода сжатия и обработки потока кадров.
                  (метод по умолчанию для Win8+, рекомендуется при значительной экранной активности).
                  (!) рекомендуется использовать при ширине канала не менее 100Mbit, при высоких разрешениях 1Gbit и выше
                  (!) из-за низкого коэффициента сжатия.
                  (!) При низкой экранной активности трафик до 10 раз больше чем у DDA1, при высокой - в 2 раза больше.
          
       o В окно удаленной рабочего стола добавлена кнопка "SYN" она замещает собой ручной выбора задержки захвата кадров.
         (отжатая кнопка соответствует нулевой задержке)
         Если кнопка нажата то задержка, а значит и максимальный fps ограничивается автоматически в соответствии
         с пропускной способностью канала, к сожалению это понижает максимальный fps и увеличивает инпут лаг,
         однако это полностью решает проблему, которой страдают даже лучшие программы удаленного управления
         при недостаточной ширине канала. Если канал слишком узок (10Mbit и менее) то при значительной
         экранной активности (оконное видео или анимация) происходит потеря управления удаленным рабочим столом
         из-за того что новые кадры отправляются в буфер значительно быстрее, чем клиентская машина успевает их получить и отобразить,
         в результате чего даже нажатия кнопок отображаются с задержкой в несколько секунд.
         Тоже самое будет наблюдаться в uVS в сходных условиях если кнопка SYN не нажата.
         Поэтому SYN не рекомендуется отключать при значительной активности в кадре и узком канале.
         Если канал 100Mbit и выше (локальная сеть), используется DDA2 то можно выключить SYN и это сильно поднимет fps и значительно уменьшит инпут лаг.
         Кнопка SYN по умолчанию нажата, состояние кнопки сохраняется при выходе из uVS.
         Выбранная цветовая битность теперь тоже сохраняется.

       o В окно удаленной рабочего стола добавлена кнопка "MR" она позволяет управлять указателем мыши из удаленной системы,
         Функция работает ЕСЛИ кнопка нажата И курсор находится в пределах окна удаленного рабочего стола И это окно активно.
         Функция предназначена для тех случаев когда человеку на том конце проще показать проблему чем описать ее словами.

       o Теперь клиентская часть uVS автоматически завершается если удаленная система перезагружается, выключается или завершается сеанс пользователя.
         (только если открыто окно удаленного рабочего стола)

       o Значительно увеличена скорость переключения мониторов, рабочих столов и смены разрешения монитора в DDA режиме.
         (!) Однако есть побочный эффект: если новый монитор будет подключен к удаленной системе пока открыто окно рабочего стола,
         (!) то для отображения картинки с этого монитора необходимо будет закрыть/открыть окно или повторно выбрать метод захвата экрана.

       o Добавлена поддержка браузера Microsoft Edge.

       o Обновлена функция чтения и удаления расширений браузеров: Chrome, Yandex, Edge.
         Добавлены сайты с включенными уведомлениями с указанием времени активации уведомлений.
         Из окна информации о расширении удалено поле Extension_homepageURL за бесполезностью.
         Мусор оставшийся от старых расширений помечается как "файл не найден" и будет удален при вызове функции удаления ссылок на
         отсутствующие файлы.

       o Контекстное меню в окне редактирования критериев теперь тоже использует выбранный размер шрифта.

       o Улучшена совместимость с системами с малым количеством оперативной памяти.

       o Исправлена функция захвата экрана в GDI режиме.

       o Исправлена ошибка в функции чтения защищенных файлов, в некоторых случаях функция не могла получить доступ к файлу.

       o Исправлена ошибка в функции смены рабочего стола

       o Исправлены ошибки инициализации COM.

       o Исправлена ошибка из-за которой из списка проверки выпало 2 ключа автозапуска.

       o Исправлена ошибка в функции отката изменений (Ctrl+Z) при работе с образом.

       o Исправлена ошибка повторной инициализации захвата экрана в случае если рабочий стол был переключен пользователем или системой
         до повторного открытия окна удаленного рабочего стола.

       o Исправлена ошибка при открытии окна информации о компьютере.
         Добавлена дата релиза биоса, исправлено отображение объема физической памяти, добавлена расшифровка типа памяти и условное обозначение
         ее производительности.

       o Добавлена возможность открывать ключ реестра в regedit-е двойным щелчком по строке в логе или
         через контекстное меню.
         (!) Недоступно при работе с образом автозапуска.
       
×