?

Log in

No account? Create an account
DLP Russia - Журнал Восставшей Машины [entries|archive|friends|userinfo]
ArkanoiD

[ userinfo | livejournal userinfo ]
[ archive | journal archive ]

DLP Russia [Sep. 23rd, 2012|11:24 pm]
ArkanoiD
[Tags|]

оказалось неожиданно интересным меропрятием, хотя после CSO Summit'а, который был полон вендорским булшитом чуть более, чем совсем я готовился к худшему.

Ну конечно, какое-то количество воды неизбежно, хотя если учесть официальную цену входного билета, мне было бы жалко слушать за свои деньги дежурные благоглупости, но их было не так много.

Наталья Касперская попросила уточнить значение термина SIEM, ну, наверное ей это не надо, что ж.
Вот говорить о высокой эффективности антивирусов в контексте сравнения с DLP тоже не очень корректно: высокая эффективность у них кончается на таргетированных атаках примерно сразу.

О плохом:

Процент продуктов, вызывающих вопрос "нахуй так жить, пацаны?" примерно постоянен последние лет 20 на любом аналогичном шоу. Стоит отметить, что вендоры и интеграторы стали относиться реалистичнее к своим возможностям (своим возможностям продать решение?) применительно к злонамеренным, а не случайным утечкам. Это хорошо. Синдром вахтера, однако, по-прежнему лидирует в качестве драйвера нашего инфобеза, картинка с сайта дозор-джет кагбе символизирует, на каких именно CISO ориентирован продукт:



Особенно внушает продукт SafePhone от НИИ СОКБ. Это натуральный government grade анальный зонд для корпоративного рынка: выстраивает карты связей, ишет аномалии ("вот если в карте связей топ-менеджмента компании появляется лицо, в компании не работающее, но связанное со всеми лицами, принимающими решения, хозяевам бизнеса есть, о чем задуматься" -- примерно прямая цитата из выступления). Трэш, угар и содомия. Также предлагалось использовать результаты работы DLP-системы для взаимодействия с HR-отделом (это уже другой докладчик) и приводился пример, когда руководство заказывало внедрение, чтобы выяснить, кто уважаемых людей обкладывает хуями в личной переписке.

Ладно, что мир идиотов причудлив и разнообразен, мы знаем и так.

Из интересного: Infowatch'евский EgoSecure -- DLP для SMB, который ориентирован как раз на грамотную защиту от случайных утечек -- превентивно шифрует флэшки, дает возможность оперативно запросить доступ у администратора и так далее: по описанию симпатично, скоро будет поддержка мобильных устройств, но вот MacOS -- не раньше следующего года, а какой сейчас малый бизнес без MacOS?

Лукацкий рассказывал то, что рассказывает всегда, но собрал полный зал; после его выступления почти все сбежали и пропустили куда более интересную тему следующего докладчика: как менеджить BYOD, не внедряя дорогущие и геморройные системы MDM/NAC. Сами дураки. По Лукацкому-то все так или иначе упрется в "покупайте наших слонов", а слоны нынче очень дороги на всех этапах.
linkReply

Comments:
[User Picture]From: shaman007
2012-09-23 07:37 pm (UTC)
А зачем SMB DLP?
(Reply) (Thread)
[User Picture]From: arkanoid
2012-09-23 07:50 pm (UTC)
Какой-то нужен. Такой, как предлагают сейчас вендоры -- конечно, незачем.
(Reply) (Parent) (Thread)
[User Picture]From: shaman007
2012-09-23 08:00 pm (UTC)
Два вопроса: а какой? И как жили без него?

Если ты сейчас посмотришь на то, как ФБР тот же самый берет хацкеров из лулзсека и т.п., то там одни социальные методы и агентурная работа. Вот и DLP - небось не менее $1000 на место за внедрение, админа еще под нее тренировать (и держать, хорошо если нанимать не придется), а выхлоп какой? Как сосчитаешь ROI? Кто будет читать отчеты об инцидентах и кто будет их интерпретировать (особенно, учитывая, что админ в SMB - бог сети, а все технические лиды, если есть, боги своих проектов)? Ты же понимаешь, что если в компании 100 человек, 5 из которых отвечают за IT, то не получится ничего хорошего, если они внедрят систему DLP, а потом сами же будут читать ее логи и давать рекомендации (кому кстати, еще вопрос) о действиях.

Я считаю, что только социальные методы на сегодняшний момент эффективны, особенно для SMB.

Edited at 2012-09-23 08:00 pm (UTC)
(Reply) (Parent) (Thread)
[User Picture]From: arkanoid
2012-09-23 08:03 pm (UTC)
Дешевый, который покроет не намеренные хищения (их и дорогие продукты не покроют, что бы там ни пиздели), а распиздяйство.
(Reply) (Parent) (Thread) (Expand)
[User Picture]From: shaman007
2012-09-23 08:08 pm (UTC)
Честно, не представляю себе решения от распиздяйства, кроме терминального сервера который общается с внешним миром только через Почту Росси, проводя все как документы через бухгалтерию.
(Reply) (Parent) (Thread) (Expand)
[User Picture]From: _slw
2012-09-23 08:14 pm (UTC)
да хуйня какая-то.
распиздяйство, от которого страдает smb:

нахамили главному клиенту
просрали сроки
просрали изменение генеральной линии у главного клиента
не сумели правильно построить вендора и он слил клиента другому
(Reply) (Parent) (Thread)
(Deleted comment)
[User Picture]From: mds
2012-09-23 11:18 pm (UTC)
smb нужен не dlp как таковой, а средство дешевого руления своей информацией в удобном режиме.
функции именно dlp - как бонус.
Архив всего на свете, своя безопасная файлопомойка, бэкап, календарь и веб-офис.
которые еще при этом, за 0,99 в месяц, будут накрывать все хранимое и используемое антивирусами и следить, как бы что не улетело в неизвестном направлении.
(Reply) (Parent) (Thread)
[User Picture]From: arkanoid
2012-09-24 03:12 pm (UTC)
Ну как-то так.
(Reply) (Parent) (Thread)
[User Picture]From: shaman007
2012-09-23 07:42 pm (UTC)
Хмм, EgoSecure - не собственная разработка.
(Reply) (Thread)
[User Picture]From: arkanoid
2012-09-23 07:50 pm (UTC)
Да я знаю.
(Reply) (Parent) (Thread)
[User Picture]From: _slw
2012-09-23 07:53 pm (UTC)
по-моему при геморое byod nac даст пренебрежимо малую поправку
(Reply) (Thread)
[User Picture]From: mds
2012-09-23 11:26 pm (UTC)
на самом деле, в твоем тексте есть ответ на проблему - диапазон от "нахуй так жить" до "натуральный government grade анальный зонд" есть отражение того, с чем приходится работать. и основная проблема это не защититься от утечек, а выяснить кто ж это был и основная задача - доказать, что это был не ответственный за безопасность.

Это продлится еще не очень долго, en masse, я так думаю. Два или три года, я думаю. После чего рынок сегментируется окончательно, и чистых dlp систем не станет почти. Функционал при этом сохранится, и будет внедрен в кучу продуктов.

но - за два или три года радикально не изменятся ни головы, ни задачи. Соответственно, продаваться с заходами типа "нахуй так жить"\"вот вам замечательный анальный зонд" что-то таки будет.
(Reply) (Thread)
[User Picture]From: otmenych
2012-09-24 06:57 am (UTC)
А будут ли все материалы (видео, тексты) всех мероприятий доступны? Хотя бы за деньги.

Edited at 2012-09-24 06:58 am (UTC)
(Reply) (Thread)
[User Picture]From: Aceler [aceler.ru]
2012-09-28 03:02 pm (UTC)
MacOS? В SMB? Это шутка такая внутримкадная? За пределами дизайнерских компов полиграфических фирм его нигде не видно.
(Reply) (Thread)
[User Picture]From: xsaper
2012-09-28 10:17 pm (UTC)
> как менеджить BYOD, не внедряя дорогущие и геморройные системы MDM/NAC

А можно наводку на эту тему, т.е. куда копать?
(Reply) (Thread)