22 Июня, 2015

E-Detective - "инструмент для шпионажа"?

АБЦ
18.06 прошла новость «Используемый спецслужбами инструмент для шпионажа содержит серьезные уязвимости» ( http://www.securitylab.ru/news/473368.php ).

Стоит отметить, что данные уязвимости были устранены несколько месяцев назад. (см.
сообщение Decision Group ).

Все специалисты прекрасно понимают, что любой программный продукт имеет уязвимости, обнаружение и использование их – это вопрос времени. Поэтому продукты, подобные E-Detective или сервера DLP нужно защищать. E-Detective в отличие от известных DLP масштабируется до уровня ISP и может собирать и хранить практически любое количество информации в структурированном виде, в том числе в Hadoop. Для продуктов такого класса важно не допустить атаку на сервера с информацией. Например, E-Detective для разбора нешифрованных прикладных протоколов использует безагентскую схему (SPAN-порт) и сервера можно изолировать в отдельную подсеть за SPAN-портом, с доступом операторов по выделенному сетевому интерфейсу.

E-Detective – это такой же «инструмент для шпионажа», как и DLP, и так же успешно используется в коммерческом секторе, хотя «вырос» продукт из разработки для спецслужб. Похожи как лопата и тяпка. DLP может в real-time разобрать протоколы и найти заранее обозначенную конфиденциальную информацию, E-Detective в real-time разбирает проколы, все хранит и строит связи (хотя есть и некоторые элементы DLP), что удобнее для расследований. DLP-система - больше возможностей задания правил для выявления конфиденциальной информации, E-Detective – больше возможностей для ретроспективного анализа, в том числе автоматизированного анализа данных сторонними продуктами. DLP-система гибкая, сложна во внедрении и обслуживании и требует квалифицированных специалистов ИБ, E-Detective прост во внедрении и интерфейс ориентирован на криминалистов (не-специалистов ИТ и ИБ).