Gönderen: bekirdurmaz | 21 Temmuz, 2008

Kimin DLP’si ne iş yapıyor?

Neden DLP?

Uzun yıllar önce çekilmiş olan Heat (Al Pacino, Robert De Niro) filminden bir alıntı ile başlıyorum. Adamlar banka soyacaklardır ve bankanın krokisine ihtiyaçları vardır. Bir uzmana giderler ve uzman krokiyi bir süre sonra çıkarır bu adamlara verir. Ancak bu uzman hiç ilgili bankaya girmemiştir bile, nasıl çıkartmıştır bu krokiyi?
Uzmanın kurduğu cümle şu:
– “Tüm bu bilgiler zaten havada uçuşuyor, önemli olan onları nasıl yakalayacağını bilmektir.”

Bu durum eskisi kadar kolay olmasa da, eğer yöntem biliniyorsa, değişen birşey yok, engellenemez, isteyen elde eder.
DLP (Data Loss Prevention) yazılımları ile veri sızmaları engellenmeye çalışılıyor. Ancak bilmeyen ya da konuya ısınmaya çalışan IT personelinin yanlış yönlendirildiğini düşünüyorum. DLP’nin amacı %95 oranında kazara veri sızmasını önlemektir. Günümüzde kasten veri sızdırmaya çalışan bir kişiyi engellemek mümkün değildir. En basitinden, istediğim dökümanı açıp, cep telefonumla resmini çekip veriyi sızdırabilirim.

Bu noktada kazara ne kadar veri sızdırıyoruz sorusuna cevap aramaya başlarız. Ufak bir araştırmayla milyonlarca $’lık zararlara uğramış şirket anektodlarına ulaşabilirsiniz. Sadece İngiltere’nin zarar oranlarını gösteren bir pdf’e bu linkten ulaşabilirsiniz : Cost of Data Breach UK 2007

Türkiye’de de artık kurumlar verilerin havada uçuştuğunu bilmekte ve korunmanın yollarını aramaktadır. Çünkü kayıplar sadece maddi değil. Presitij kaybı, iş gücü kaybı hatta eleman kaybına giden bu tehlikeye önlem almaya çalışmak elbette çok doğal bir refleks.

Hangi çözüm iyi?

Ben Websense’in ve McAfee’nin DLP çözümlerini yakından izlemiş olmakla birlikte, Symantec’in Vontu ürününün bu iki büyük üreticiyi korkuttuğunu gördüm. Ve henüz daha Symantec Vontu’yu yeni satın aldı, geliştirmeye yeni yeni başladı. Ben tarafsız bir göz olarak Gartner’ın MQ değerlendirmesini eklemek isterim.

EKLEME (07.07.2009) : Gartner Magic Quadrant 2009 for Content-Aware Data Loss Prevention grafiğini ekliyorum:

gartner-dlp

Aslında DLP’de yapılan iş standart:

  • Tüm kurumun verilerini bul, keşfet
  • Bir politika belirle
  • Kurum için kritik verileri sınıflandır
  • Bu verilerin dışarı kazara sızma yollarını belirle (print, e-mail, screen shot, usb vs.)
  • Hangi yol için hangi önlemleri alacağını belirle
  • Ajan kurulumlarını yap

Artılar & Eksiler

Websense’in artılarından birisi, ajansız çalışabilen bir mekanizmayı da desteklemesi. Klasik Web Security ürünündeki gibi, switch’in bir portu mirror edilerek DLP sunucunun dinlemesi sağlanıyor. Böylece ağ üzerindeki iletişim (e-posta, dosya paylaşım, ağ printer’ı vb. gibi) izlenmiş oluyor. Bunlar için ajana gerek duyulmuyor ancak diğer özellikler de gerekli (USB ve diğer medyaların kontrolü en önemlilerinden) ve bunun için ajan gerekmekte ve malesef Websense’in ajanlı çözümü işin çok başında, yeni duyuruldu.

McAfee DLP, hızlı tag’leme yapıyor (Location, Content, Application, Fingerprint, RegEx bazlı) ve sunucuda delil tutmak konusunda başarılı. Eksileri ise şöyle, yönetim programından ayrı bir veritabanı tutuyor. Kurulumu çok seri değil. Primary Partition’ın NTFS olma zorunluluğu var. Reaction Rules vb gibi bir kaç bileşen içeren kompleks bir arayüze sahip.

Benim tavsiyem ise Vontu. Gartner’ın da benimle hem fikir olduğu bu ürünün artıları, merkezi yönetimdeki becerisi, kullanıcının ihtiyaçlarını önceden görebilmiş olması. İşte bu nokta her kaliteli ürünün dönemediği bir viraj. Elbette ajanların performansları, yukarıda listelediğim maddelerin kolaylıkla ve etkili gerçekleştirilebilmesi önemli, ancak kullanıcıyı memnun etmek Vontu’nun başarısı. Önümüzdeki dönemde de Gartner’ın MQ’ını takip ediyor olacağım ve sizleri bilgilendireceğim.

Sağlıcakla.


Responses

  1. Karsilastirmali guzel bi yazi olmus. Eline saglik.

  2. Tarafsız bir gözle olsaydı daha başarılı olurdu diye düşünüyorum …

    Websense çoooktan yol aldı ajan yok demişsin ama Websense END point noktasındada tüm çözümlerden belkide daha iyidir…

    Bu alemde DLP konusunda iki tane firma pastayı alır
    RSA – Microsoft RMS den dolayı
    Websense – Güvenilir ve sağlam çözümler üretmesinden dolayı…

    Vonto konusunda ki endişelerimden bir tanesi ürünün Symantec’in çok fazla ürün gamı içerisinde yeterli derecede önem verilmediğinden ötürü hep arka planda kalacağı ve destek noktasıdır ve hiç bir zamanda ileriye gidemeyecektir… Bir diğer endişem DAtabase fingerprint konusu zaten yok kağıt üzerinde var gel gelelim nasıl var ???:)

    Verdasys Endpoint de iyi olmasına rağmen çok pahalı bir ürün

    Mcafee DLP segmentinin bir ürünü zaten değil birini satın aldılar ama daha çok yol kat etmesi gerek önce uygulamanın performans sorunlarını çözmesi ve fingerprint teknolojisinin geliştirilmesi gerek.Regex yazmak yada file tagging yapmak DLP işinin en alt katmanı …

    bir diğer kriter Fiyat kimin neyi nasıl seçtiğide önemli IT ekibininde vizyonu,

    saygılar

  3. Evet Kemal bey, söylediklerinize tamamen katılıyorum. Ben yazımı tarafsız yazmaya çalışmıştım ve zaten Websense’i kötülememiştim. Bilge Adam Kozyatağı’nda aldığım Websense DLP eğitiminden izlenimlerimdi bunlar. Eğitimci kötüydü biraz onu itiraf edeyim, bende önyargı oluşturmuştu. Zaten yazı 1 senelik, çok sular aktı DLP köprüsünün altından ve bu sırada Websense DLP ürünlerine çok önem verdi, çok geliştirdi.

    Bu sırada da Symantec’in Vontu’suna Türkçe karakter desteği geldi, onlar da geliştirmelerini sürdürüyorlar. Geçen haftalarda yapılan etkinliklerle ürüne ağırlık vereceklerini söylediler. Dediğiniz gibi Symantec’in ürün ailesi çok geniş ve aynı anda hepsine birden yüklenemiyorsunuz.

    Mecburen kademe kademe kurum ve şirketleri güvenlikte bir noktaya getirmek için uğraşıyoruz hep birlikte 🙂

    Ayrıca Gartner Magic Quadrant for Content-Aware Data Loss Prevention grafiğini de yazıya ekliyorum. Raporun tamamına bu adresten erişebilirsiniz:
    https://www4.symantec.com/Vrt/offer?a_id=82305

    Saygılarımla

  4. Çalıştığım firmada bir çok DLP ürününü inceledik ve müşterilerimizde demolarını yaptık. Kemal Beye söylediği bazı şeylere katılmakla beraber katılmadığım noktalarda var. Daha çok yeni McAfee Total Protection for Data sertifikası almış biri olarak söylediğiniz gibi Mcafee bir markayı satın alarak DLP işine girmedi. Mcafee Endpoint tarafında kendi agent teknolojisi ile zaten vardı. Ama gateway tarafında PDA lerdeki kontrolü sağlıyabilmesi için gateway çözümüne ihtiyacı vardı ve bu noktada gartner liderlerinden biri olan reconnex i satın aldı. Websense in fingerprint teknılojisini beğenen biri olarak son incelemelerimde endpoint tarafını 3. parti çözümler ile çözmeye çalışıyordu. Bu konuda bir gelişme oldumu bunu Kemal Bey daha iyi bilir. Bir çok test ve demo ortamından sonra biz müşterilerimize Mcafee Ve Vontu yu önerme kararı aldık. Ürünlerin başarısının yanı sıra Mcafee ve Symantec güvenliğin bir çok alanında zaten sektör lideri olamaları ve yönetimdeki başarılarını da göz ardı etmemek gerekir. Sonuç olarak DLP bir çok işletmenin ihtiyacı iken halen muammada olan bir konu. Güncel verisyonları ile hepsini aynı ortamda test ettikten sonra başarıları hakkında yorum yapmak daha mantıklı diye düşünüyorum.

    Saygılar.

  5. Çok doğru Halil bey. Ben ürünlerin sadece eğitimlerini almıştım ve ayrıca test etme şansım olmadı. Ve bu eğitimleri de alalı 1 seneden fazla oldu, ürünler çok değişti.

    Ben başka bir haber vereyim. Symantec Q3 2010’da “Symantec Endpoint Protection” ajanının içine Vontu yada DLP ajanını eklemeyi düşünüyor. Tabi bu tarih bir tahmin ve ben bunun 2011’e sarkacağını düşünüyorum. Bu arada PC’lerimiz de hızlanır da biz de performans korkusu yaşamadan uygularız diye düşünüyorum.

    Saygılar

  6. Bekir Hocam , güzel paylaşımlarınız için teşekkür ederiz . Öğrenmek istediğim bir kaç bilgi var;

    1- Symantec gerek Endpoint Seviyesinde gerekse
    Gateway’de şağıdaki işlemler için min kaç tane sunucu istiyor ?
    Monitoring
    Discovery
    Protection
    SSL/ HTTPS noktasında protection , monitoring

    2- Database Fingerprint işlemini nasıl yapıyor ?

    3-Kaç farklı arayüzle yönetim yapılıyor ?

    • Merhaba Kemal bey,

      Kısaca şöyle cevaplayabilirim:
      1. Bu işleri yapabilmek için Vontu’nun 2 adet sunucuya ihtiyacı var. Ancak bu sunucular fiziksel olmak zorunda değil. VM desteği var. Bu kaynak problemi yaşatmamak adına önemli bence.
      Evet, SSL paketlerinde de engelleme/prevention yapabiliyor.
      2. Remote Indexer ile uzaktan database fingerprinting işlemini yapıyor.
      3. Tek arayüzle yönetim gerçekleştiriliyor, Internet Explorer ya da Mozilla Firefox desteklenmektedir.

      Saygılarımla

  7. Merhaba Teşekkürler hocam , sitenizde neden 7 tane sunucu ihtiyacı var deniyor , 2 tane VM de sunucu çalışırda buna siz inanıyormusunuz ? bu adam networkü nasıl dinliyor trafiğe nasıl müdahele ediyor tüm trafiği bir şekilde inspect etmek gerekmez mi ? açıkçası cevaplarınız beni çok aydınlatmadı

    Teknolojinin benzer olduğunu biliyorum ama ayrıntılar önemli.

    şimdi bunları neden soruyorum amacım Websense Vs Symantec yapmak eğer bunları açıkça paylaşırsanız bende Websense tarafını açayım herkes öğrensin ne nasıl çalışıyor ?

    Örnek Websense her türlü DB ‘ye en basitinden ODBC ile bağlantı kurar ve schedule edilmiş şekilde sürekli değişen kaçan kuçan tablonun fingerprintini alır …

    IM , HTTP , FTP , SMTP Generic TCP portlarını ister inline istersen port monitoring ile tüm trafiği inspect eder ve tek sunucuda network katmanında işi bitirir , VM desteği var ama tavsiye edermiyim hayır 2 gün sonra müşteri bağırmaya başlar.

    Websense SSL için SSL inspect edecek 3.Parti bir çözüme yada kendi SSL GW ‘ine ihtiyaç vardır aynı zamanda ICAP destekli her cihazla entegre olur

    Şu an için arayüz 3 tane 1 ay içinde tek arayüz imkanı olacak

    Websense de Windows 7 de full destekli bir agent var

    Agent bizde remote dağıtılmaz ince sebeblerden ötürü

    Örneğin Websense direk Exchange Mail Boxlarını discovery eder Symantec nasıl yapıyor ? burada 3. parti bir şeylermi devreye girmiyormu Enterprise Voult gibi ?

    Teşekkürler

    • Kemal hocam, dediğime inanmakla kalmıyorum, çalıştırıldığını bizzat test edip görmüş durumdayım. Bu kadar inanılmaz ve anlaşılmaz olan nedir anlayamadım. Çok net ve öz sorduğunuz sorulara çok net ve öz cevaplar verdiğimi düşünüyorum.
      Websense Web Security’yi de modüllerini ayırarak 3 sunucuda çalıştırabilirsiniz ama bir sunucuda da çalıştırabilirsiniz. Bu implentasyon konusudur.

      Blog üzerinden ürünü ne kadar tartışsak boş. Ne kadar karşılaştırma yapsakta bunun faydası bizedir. Çünkü bizler çözüm üreten insanlarız, bu Versus’ları esas yapması gereken, çözümü kullanacak kuruluşlardır. Benim her zaman üzerine basa basa söylediğim, kurum ve kuruluşlara nacizane mesajım: “Farklı markaları ve ürünleri demo yapıp karşılaştırmadan, kulaktan dolma ya da dökümandan çıkma bilgiler ile ürün satın almayın” derim. Ne benim, ne de sizin ürünler hakkında “yapar” dediğimiz hiçbirşey satın alacak merci için bir dayanak olmamalı, gözleri ile görmeliler.

      Saygılar

  8. Kemal Selam ;
    Trafiği nasıl dinliyorun cevabı esasında basit firewall portunu mirror ediyorsun o kadar sanırım bu Websense ‘de de aynıdır.Trafige nasıl mudahale ediyor MTA veya Proxy ile entegre olarak. Ornek olarak Brightmail ile tek tuşla entegrasyon mevcut 🙂 MTA olarak tüm cihazlarla uyumlu çalışabiliyor.

    Agent Remote olarak ürün ile bedava gelen Altiris ile yönetilip dağıtılabilir. SSL için hiçbir şeye gerek yok.

    DB ler de remote indexer toolu ile fingerprint alınıp schedule edilebilir.

    Win7 32 Bit support edilir durumda roadmapte 64 bitte var.

    Exchange konusunda ise ufak bir plugin kurularak hallediliyor. PST taraması da mevcut.

    Kolay Gelsin.

  9. Hocam bu açıklama yeterince ve duymak istediğim gibi oldu.

    Teşekkürler.

  10. Bekir Beye katılıyorum. Bu tür platformların amacı tartışmak değil bilgilerimizi paylaşmak olmalı. Benim bildiğim ürün en iyi üründür mantığı bana oldukça ters geliyor. Kemal Bey den ricam websense dışında diğer ürünleri denemişmi ? eğer denediyse diğer ürünler ile ilgili kısaca bizim bilmediğimiz ama kendisinin bildiği şeyleri söylemesi. Son gartner raporundaki sıralama 1. Sırada Symantec 2.Sırada McAfee yer alıyor. Bu rapor aslında bize işi özetliyor. Symantec ve McAfee şu an için benim tercihlerim ve müşterilere önerdiğim ürünler. Ama ilerleyen zamanlarda ne olur bilemem belki çok farklı bir marka pazarda söz sahibi olur. Yıllarca Web Güvenliği tarafında Websense pazarın tek sahibiydi alternatifi bile yoktu.Ama şu an Bluecoat ve McAfee Websense in en büyük rakipleri. Tabi bunda Websense in fiyat politikasında ki katı tavrı da sebep oldu diye düşünüyorum. DLP içinde son 3 yılda hiç ummadığınız bir marka saydığımız markaların en büyük rakibi olur ki ben şahsen çok çeşitlilik ve alternatifden yanayım bu bizim ve müşterilerimizin elini güçlendirir diye düşünüyorum.

    Saygılar.

  11. Hocam Symantec Tarafında çok ciddi gelişmeler oldu.
    Fakat Halen rakim firmalar daki gelişmelerden bilgi cahiliyim.Bizi aydınlatırsanız çok teşekkür ederiz.

  12. Merhabalar, konu için teşekkürler ancak konu açıldıktan sonra cok fazla değişiklik oldu DLP tarafında. DLP her geçen gün dahada önem kazanmaya devam ederken, Son zamanlarda McAfee DLP ile meşkul oluyorum, McAfee’ de, bir sitede McAfee DLP ile ilgili iyi bir anlatım video ve türkçe döküman buldum, diğer üreticilerle aradaki farkı anlamak adına ilgilenenler bakabilirler.. http://www.gigasafe.net/mcafee-dlp/

  13. Merhabalar, Şu an piyasadaki en yetenekli ve bağımsız kalabilen tek çözüm GTB dir. 2016 raporunda daha iyi bir noktada olacağını da hep birlikte görebşleceğimizi ön görüyorum. Tüm portları tarayabilme özelliğine sahip tek DLP çözümü GTB dir. detaylı bilgi için araştırmalarımı da paylaşabilirim. paylaşım ve yorumları takip ediyorum, başarılar


MasterIQ için bir cevap yazın Cevabı iptal et

Aşağıya bilgilerinizi girin veya oturum açmak için bir simgeye tıklayın:

WordPress.com Logosu

WordPress.com hesabınızı kullanarak yorum yapıyorsunuz. Çıkış  Yap /  Değiştir )

Google fotoğrafı

Google hesabınızı kullanarak yorum yapıyorsunuz. Çıkış  Yap /  Değiştir )

Twitter resmi

Twitter hesabınızı kullanarak yorum yapıyorsunuz. Çıkış  Yap /  Değiştir )

Facebook fotoğrafı

Facebook hesabınızı kullanarak yorum yapıyorsunuz. Çıkış  Yap /  Değiştir )

Connecting to %s

Kategoriler

%d blogcu bunu beğendi: