Мы выпустили новую версию давнего нашего программного продукта и сейчас нам нужна компания для "пилотного" внедрения, которая хотела бы, чтобы мы им ее внедрили (бесплатно!), понянчились с ними и всеми их проблемами, итд.

Что за система?
Название писать не буду (чтобы не сочли рекламой), в профиле есть ссылка. Кому интересно в личке отвечу на вопросы, или тут.

Что такое DLP и зачем вообще нужна DLP система?
DLP - Data Leak Protection - защита от утечек информации. У нас сетевая DLP, то есть, совместима с любыми системами и контролирует практически весь сетевой трафик, и не требует установки никакого софта на каждый компьютер (а значит работник и не может обойти контроль, отключив этот софт).

Польза от внедрения - большая (ну еще бы я тут сказал наоборот ). В частности:

• Предотвращение утечки информации через интернет, как случайной (сотрудник сказал "лишнее" кому-то по дружбе в аське или одноклассниках), так и намеренной (слил клиентскую базу перед увольнением, написал компромат в ЖЖ или на НГС). В одних случаях это делается именно блокировкой (сообщение не просто не уйдет из сети), в других (когда заблокировать невозможно) это позволяет решить проблему "административным" путем - поскольку начальству будет в курсе всех нарушений, сотрудник знает, что понесет ответственность, а значит и нарушать не будет.
• Ведение архива всей переписки (и он доступен даже если сотрудник спит/уволился/умер или его компьютер поломан/списан)
• Правильный(!) контроль за поведением в интернете. Заблокировать какой-то нехороший сайт (Одноклассники или vk.com например) просто (и нашей системой тоже просто). Но, как правило, это так же легко и обходится через анонимайзеры, которые найти не проблема. Мы анализируем трафик, и при использовании анонимайзеров система так же реагирует, помечая, что был вход (общение) на запрещенном сайте через анонимайзер.
• Записывается веб-трафик (форумы, соцсети, вебмейлы, итд), многие типы IM трафика (ICQ итд. при правильном использовании), почта.
  

Есть какие-то похожие продукты?
Да. Например, InfoWatch от Натальи Касперской (жены Того Cамого Касперского), или от Symantec, и итд. Но как правило, они даже цены открыто не публикуют, т.к. ориентированы на очень крупный бизнес (Касперская как-то примерно ответила на вопрос о цене "$100 за рабочее место, 10 000 рабочих мест - перемножайте."). Наша система масштабируется (вроде бы... на большом реальном трафике не тестировали), но все таки ориентирована на более мелкий бизнес. Кроме того, грамотное внедрение такой системы как правило достаточно сложное и дорогое.

Что мы ищем?
Или компанию, которой это интересно и может быть договоримся о пилотном внедрении, или же просто мысли-идеи где такую компанию найти.

Критерии
Штат от 10-15 человек минимум, можно больше (можно даже гораздо больше. даже лучше - внедрим постепенно). В рамках "пилота" можем взять 1-2 компании. Конечно, только Новосибирск (т.к. важно именно иметь тесный контакт и видеть все сложности и шероховатости внедрения). Практически обязательно - наличие своего толкового системного администратора, который будет делать вашу часть технической работы (и будет потом поддерживать все это, когда закончим пилот).

Не слишком уж серьезный бизнес (Не ФСБ, не Сбербанк итд). Там где по регламенту требуются сертифицированные средства защиты информации, наша система сейчас не подойдет, т.к. еще не сертифицирована.

Понимание проблемы, своей потребности в ее решении, готовность ради этого идти на жертвы. (денег, младенцев, девственниц не надо, но вот инструктаж персонала, административные решения потребуются). Понимание, что "за все надо платить" - использование DLP системы дает свои плюсы, но и минусы (например, нужно задумываться, какую информацию как классифицировать, или те технические вещи которые раньше делались проще, теперь могут стать чуть сложнее, потому что в сети есть DLP система). Но это все обсудим, ничего сложного или невозможного нет, в первую очередь нужно желание и воля к тому, чтобы контролировать то, что сейчас утекает без контроля.

Зачем это нам? Где подвох?
Никакого подвоха. Как говорится, всем все платится! :-). Нам это тоже выгодно. Мы бесплатно предоставляем продукт, бесплатно тратим свое время и ничего не обещаем и не гарантируем (но все таки очень стараемся, чтобы все "летало и стреляло"). Вы - тратите тоже свое время, ну и затраты на вычислительные мощности конечно (трафик, электричество, хостинг системы в общем). Нам платить ни за что не надо ни копейки. Профит фирмы - в том чтобы бесплатно получить DLP систему, да еще и с внедрением, да еще и от людей, которые ее сами делали и знают, а не от дилеров-реселлеров. Наш профит - получение опыта реального внедрения, "набивание шишек", изучение проблем, которые возникают в реальной жизни и их решение. В случае, если все у нас получится - попросим еще небольшое интервью в жанре success story, отзыв. Думаю, это самим будет интересно.

Еще раз - сейчас мы не ищем покупателей или клиентов. Мы ищем тех, с кем вместе нам будет интересно и поучительно решить DLP проблему их бизнеса. Хотя кофе в офисе (и пиво-коньяк по завершении) категорически приветствуются :-)

Поговорим?
Если есть идеи, где живут подходящие партнеры для пилотного внедрения, или сами задумываетесь, или просто интересно или непонятно - с удовольствием выслушаю и отвечу.

Вот многое понравилось, особенно "(вроде бы... на большом реальном трафике не тестировали)", но одно "но". То, что у других под запретом (однокласники, фейсбук и т.д.) - для меня один из источников получения необходимой мне информации. Поэтому в чем выражается Ваш "правильный контроль"? Только ли в блокировке нежелательных сайтов? Или в чем-то еще?

И еще...
Как сильно это отображается на трафике? Тот же фильтр с нежелательными адресами, к примеру, и то зачастую притормаживает настолько, что некоторые, поиграв в "войнушку с порно, видео, музыкой и однокласниками", потом все возвращают на круги своя, п.ч. Тырнет стоит колом. В 21 веке жеж живем - информация и время, это деньги. Если работник знает, что найти необходимую ему информацию на Сидорова он может только на порносайте, он обязан посетить их все, и без интересующей информации из этого мира не возвращаться!

Вот почитал и не понял, что вы предлагаете. Много слов, а смысл не понятен, кроме того, что вы считаете, что это кому-то будет нужно :). Из всего что вы написали есть

- Предотвращение утечки информации через интернет, как случайной (сотрудник сказал "лишнее" кому-то по дружбе в аське или одноклассниках), так и намеренной (слил клиентскую базу перед увольнением, написал компромат в ЖЖ или на НГС). В одних случаях это делается именно блокировкой (сообщение не просто не уйдет из сети), в других (когда заблокировать невозможно) это позволяет решить проблему "административным" путем - поскольку начальству будет в курсе всех нарушений, сотрудник знает, что понесет ответственность, а значит и нарушать не будет.

Слишком обще сказано. Не понятно, что вы контролируете. Просто предотвратить или проконтролировать ситуацию когда сотрудник "сказал лишнее" вы не сможете никак.

- Ведение архива всей переписки (и он доступен даже если сотрудник спит/уволился/умер или его компьютер поломан/списан)

Это делается обычным сисадмином на раз-два.

- Правильный(!) контроль за поведением в интернете. Заблокировать какой-то нехороший сайт (Одноклассники или vk.com например) просто (и нашей системой тоже просто). Но, как правило, это так же легко и обходится через анонимайзеры, которые найти не проблема. Мы анализируем трафик, и при использовании анонимайзеров система так же реагирует, помечая, что был вход (общение) на запрещенном сайте через анонимайзер.

Это делается обычным сисадмином на раз-два.

- Записывается веб-трафик (форумы, соцсети, вебмейлы, итд), многие типы IM трафика (ICQ итд. при правильном использовании), почта.

Это также делается на раз-два.

Поэтому и не понятно, что же вы предлагаете :). И какая в этом польза.

Отличная штукенция!
Я правда не дотошно вклинивался в детали, но по общему смыслу понял, весчь весьма интересная и полезная.
Был у меня опыт работы на режимнике минатома, и куча сяких фишек мной была изучена. И даже были попытки внедрения.
Так вот если этот продукт будет выглядеть типа "Офисный Черный ящик" то будет и хлеб с маслом и икрой, и коньяком с бугатти...
Но посмотрев ролики, возникло ощущение не очень приятное... Поясню.
Любая русоконтора, это собственник, и кучка обезьянок, ну и пара тройка погонщиков. И что творится внутри этого зоопарка, ни хозяин ни погонщики публиковать не желают. Поэтому схема "переключения трафика" (я правильно понял схему?) будет не жизненна. Инет гафкнулся, и твори че хочешь.
А так, если системник будет стоять в офисе жужжать под замком, то будет удачно работать. Я бы за такой ящик тышь 30-40 отвалил без учета железа.
Из потенциальных Ваших клиентов порекомендовать никого не могу пока, у самого не много мест, да и переброс трафика через внешние каналы мне не по душе...

п.с. если сейчас кто то скажет про "отрезал шнур от сервера и сливай че хочешь" перестанет быть мною уважаемым.

так и не понял ваша система сама работает без участия человека и "показывает слабые места" ?
т.е. вводятся определенные параметры и тд тп...разъясните.

схема "переключения трафика"

а с чего Вы так это представили?
Я как-то наоборот понял, что это именно ящик - плохой кулер ему всандалить, так он и жужжанием обеспечит

Спасибо за отклик. Вот еще до пилота даже не дошли, а уже есть полезный эффект - вижу разницу между моим видением проблемы и решения, и видением потенциального заказчика. Те классные плюшки системы, которые я пытаюсь преподнести, (потому что я-то знаю, что они очень класные) могут не то что не привлекать, а даже и отпугивать потенциального пользователя, потому что он не знает как это сделано, и какие есть или могут быть подводные камни.

Постараюсь развеять сомнения.

То, что у других под запретом (однокласники, фейсбук и т.д.) - для меня один из источников получения необходимой мне информации. Поэтому в чем выражается Ваш "правильный контроль"?

Это важный и даже философский вопрос области защиты информации. Насколько мощным должен быть Искусственный Интеллект какой-то системы, чтобы быть сильнее настоящего интеллекта человека, который пытается ее обмануть? ;-) ИИ сейчас конечно далеко шагнул, и порой делают очень забавные вещи, но до этого уровня еще очень и очень далеко. Поэтому у нас совершенно другой подход.

Система в первую очередь предназначена для записи и удобного просмотра прошедшего трафика. Если привести аналогию - это что-то типа автомобильного видеорегистратора, но для интернета, который позволяет удобно и быстро посмотреть, например, что делал отдел маркетинга вчера на одноклассниках, или какие файлы отправлялись в прошлом месяце таким-то сотрудником на такие-то адреса.

Чтобы быть эффективной, защита должна быть комплексной, в том числе и с административными мерами. Система - как раз техническое обеспечение этих административных мер, которая позволяет сделать их рабочими (контроль невозможен ведь без обратной связи, нельзя контролировать то, что не видим). Ну вот касаемо того же примера с Одноклассниками - сначала они запрещаются приказом ("Запрещено посещать соцсети с личными целями"). Технически - можно даже не блокировать их.
Затем руководство или назначенные сотрудники могут посмотреть за соблюдением этого правила. Увидеть, что один сотрудник общался там о разведении аквариумных рыбок, а другой (кадровик) через соцсети пытался завербовать в контору ценного сотрудника. Первый получает выговор, второй премию. Оценить, деловой был разговор или "просто так" компьютер не может, зато для человека, оператора системы, это задача тривиальная, беглый взгляд "по диагонали" за 5 секунд и уже все ясно.

Благодаря этому, нарушений не будет (ну... будет меньше). Не потому, что технически невозможно нарушить (в рельности - всегда возможно, это я как технарь говорю). А потому что за нарушения, будет какой-то ататат.

Правильный контроль, о котором я написал, и вы спросили - это, говоря чуть более технически - глубокое исследование трафика. Оно позволяет системе догадаться, что, например, какое-то общение - это общение на одноклассниках, даже если ведется через анонимайзер (технически: HTTP POST формы отправки очень похожи, те же поля, те же значения). И затем оператор легко может найти такие разговоры буквально двумя щелчками мышки. Это уже можно даже иронично назвать искусственным интеллектом (на самом деле все просто реализовано). На тестах - отлично отловились все популярные используемые анонимайзеры, и, благодаря тому, что все они работают по одному принципу - и любые новые неизвестные так же будут ловиться. Но как и любая "слишком умная" технология - может давать сбои. Теоретически, можно сделать даже специальный анонимайзер, чтобы, зная нашу технологию обнаружения, будет работать чуть иначе, и она его не заметит. Но... при правильном применении и это не проблема. Во-первых, "все ходы записаны". Даже если система сама не "подсветила" какое-то общение как нарушение, оператор может полистать и просмотреть их, и вручную увидеть разговор. Во-вторых, через некоторое время появится и фильтр для этого анонимайзера, и им можно будет обнаружить и нарушения, которые произошли в прошлом.

То есть, при правильном применении, главное преимущество: Нарушение подразумевает за собой реальное наказание (от устного выговора, до уголовного срока), и нельзя совершить "идеальное преступление" - нарушение которое бы точно никак и никогда не было обнаружено. Нарушитель может попытаться усложнить расследование, но врядли может полностью скрыть его. А неотвратимость наказание - и есть лучшее предотвращение преступлений.

Как сильно это отображается на трафике?

Крайне незначительно. Конечно, любой узел, через который проходит трафик, просто физически не может не задерживать его. Но речь идет о долях секунды, не заметно глазу. Система делится на "уши" и "мозги". Уши (сенсоры) - очень простые и "тупые" компоненты, поэтому очень быстрые. Они просто записывают информацию и пропускают. Задержка есть, но как правильно незаметная. "Мозги" могут долго "переваривать" сообщение (например, если отправлен большой секретный файл, и он запакован, а архив с ним еще запакован и так далее). В этом случае в панели управления он появится не через несколько секунд, а через несколько минут, но это все происходит уже потом, и не тормозит трафик.

Вот чтобы оценить - еще с 2000 годов ФСБ ввела СОРМ, похожую систему, и провайдеры так же контролируют трафик. Кроме того, сейчас появился всеми ненавидимый реестр запрещенных сайтов, который тоже немного похож по схеме работы. (Мне это, кстати, тоже не очень нравится по идейным соображениям). Но при правильной реализации, как мы видим, тормозов это не дает. Конечно, если с приборами замерять - задержки повысились, но крайне незначительно.

Я дома через нашу систему часто работаю (как раз чтобы заметить какие-то сложности). Иногда бывает, что замечаю проблемы, лезу разбираться, и вижу, что я, оказывается, отключился от нее, и тормоза, которые я по своей паранойе приписал системе - обычные, не связаны с ней :-)

Сложно одновременно писать и так, чтобы было понятно руководителям (слабо разбирающимся в глубоких технических терминах типа MITM или RFC2818) и технарям. Поэтому здесь я все таки пытаюсь говорить простым языком. Но, насколько понимаю, вы более технически подкованы, поэтому попробую ответить детальнее.

Не понятно, что вы контролируете. Просто предотвратить или проконтролировать ситуацию когда сотрудник "сказал лишнее" вы не сможете никак.

Система должна внедрятся (в идеале) по принципу "белого списка" - запрещено все, кроме того, что разрешено и контролируется. Система отслеживает SMTP трафик через свой почтовый сервер (с опциональной возможностью задержки-блокирования сообщений), и HTTP/HTTPS трафик через свой http(s) прокси сервер. Записываются (по умолчанию) все POST запросы, кроме тех, о которых заранее известно, что не представляют интереса. Для особых случаев записываются ответы (http reply).

Отдельными шаблонами трафик классифицируется (выставляются метки, например "отдел продаж", "клиент ООО Альфа", "Иванов А.А.", "Отправка прайс-листа"), по меткам могут вычисляться другие метки (например, любая отправка файла из одного отдела, сразу помечается меткой "подозрительно", а вот из другого отдела, так помечается только отправка файла, который не в списке разрешенных - отдел продаж может рассылать прайс-листы просто тоннами и не нужно оператору каждую такую рассылку внимательно рассматривать).

Далее через контрольную панель оператор системы просматривает записанный трафик. Вот тут у нас главное недопонимание, я немного наверное не так выразился. Не _МЫ_ контролируем, а оператор системы (начальник фирмы или назначенные им люди) контролируют. Мы конечно же не можем за всех знать, "что такое хорошо и что такое плохо", тем более, что это во-первых и внутри-то фирмы часто не очевидно и занимает время, чтобы определиться, и к тому же политика безопасности меняется со временем. Поэтому сам контроль - на операторах системы (которые сотрудники фирмы и знают больше о специфике).

Вот небольшой ролик-введение, чтобы увидеть это -

- Ведение архива всей переписки (и он доступен даже если сотрудник спит/уволился/умер или его компьютер поломан/списан)

Это делается обычным сисадмином на раз-два.

Разве что, если сотрудник сам этого хочет и прилагает к этому усилия. Мы же стараемся сделать так, чтобы контроль был даже в случае, если сотрудник не помогает, а немного пытается мешать :-). Например, с интересом послушаю, как "на раз два" протоколировать файлы, которые сотрудник отправил через HTTPS вебмейл (gmail.com или какой-то малоизвестный вебмейл)?

Но в целом я с вами согласен - система не делает никакой "магии". Все что делает - то что возможно технически. И все что сделал один неплохой программист-админ, может при желанее повторить и другой специалист сравнимой квалификации. Другое дело, что мы с вами, похоже, по разному воспринимаем это "раз-два". Потому что с одной стороны, руководители, с которыми я про это говорил, очень удивляются "ух ты! здорово! а что - это разве возможно?", с другой стороны - почему-то крайне мало организаций, в которых бы админ на практике сделал это "раз-два".

Вообще, у нас например сейчас есть большая техническая проблема, как сделать надежную запись Skype переписок. Вы вот про все IM переписки высказались, что это делается легко и быстро. Буду вам просто бесконечно благодарен (в пределах разумного), если сможете дать ценный совет, как нам это сделать. Можно даже не на раз-два, а на раз-два-...-100500 :-). Просто вот по этой подзадаче, мы не умеем пока что делать то, что "обычный админ делает на раз-два" :-)

Был у меня опыт работы на режимнике минатома

Хех. Мой опыт с подобными организациями, которые зарегламентированы по самое нехочу не очень позитивный (это еще задолго до этого проекта). С одной стороны, это конечно правильно - большой организацией только и можно управлять, как через жесткие правила что и как надо делать, с другой - "внизу" часто решения делаются "для галочки" - нужна система с такими-то сертификатами - вот мы ее купили, сертификат есть, документы о закупке есть, акт подписан, в общем - "бумажка под попой" есть. А вот реальная эффективность уже под вопросом, если "без души" к делу подошли. Тем более, что как гласит мудрость - "безопасность - это не существительное, а глагол". Ее нельзя купить, это всегда процесс. Сегодня сделали все просто идеально - завтра это уже неэффективно, реалии изменились, нужно адаптировать всю схему защиты к новым условиям (изменение внутренней административной структуры, изменение политики безопасности, появились различия между реальной политикой безопасности, и той, что зафиксирована вчера на бумаге).

У меня было, когда сурового усатого дядьку из первого отдела, ну никак не удавалось переубедить. В помещении без видеонаблюдения, куда легко пронести отвертку, внедрялись хорошие средства защиты трафика, все по регламенту, хотя почти любой сотрудник низшего ранга может выкрутить винт и унести домой или скопировать там же. :-)

Но ладно, простите за лирическое отступление ;-)

Инет гафкнулся, и твори че хочешь.

А что же творить, что высылать по инету, если его нет?

Схему подключения можно по разному сделать. Вариант с экстренным отключением - это такой "план Б", который никогда не должен случиться, но если вдруг - то надо знать, что делать. Поэтому как один из(!) вариантов, можно сделать так, что трафик направляется на сервер контроля, а если вдруг что-то случилось с ним - то можно быстро отключиться и вернуться к состоянию "как всегда". А можно и не отключаться. Это уже решение за руководством. Иногда лучше "задраить люки", а иногда на полчаса открыть ворота, чтобы не останавливать бизнес-процесс. Но еще раз подчеркну - это именно вариант на крайний случай и не обязательный к применению, если не нужен.

А так, если системник будет стоять в офисе жужжать под замком, то будет удачно работать.

Как один из вариантов - это возможно (технически-то все то же, только "географически" по другому расположено). Хотя сейчас основная идея - как раз сделать решение, которое бы давало эффект "малой кровью" и без больших затрат денег-времени для клиента. Примерно как регистрация на вебмейле - узнал-подумал-решил-заработало. При этом, чтобы эффект "можно безнаказанно нарушать все правила" исчез бы через день, а вот долгая-тонкая настройка и доработка напильником могли бы вестись неспешно, постепенно, и вчерашние нарушения, могли бы отловиться завтра, если мы только завтра догадаемся, что надо их обнаруживать.

Но я не уверен, что мы понимаем друг друга. В чем именно вы видите главную проблему внешнего сервера контроля? В том, что будет плохо работать если нет инета? Или в том, что у нас есть техническая возможность добраться до данных клиента? Или еще что-то другое?

:-).

Я как-то наоборот понял, что это именно ящик

Нет-нет. Вернее, не совсем.

Сама технология не завязана на то, где будет этот ящик. Вообще, да, конечно же у каждого клиента есть "ящик" (в самом простом случае, для небольшой фирмы - виртуальная машинка. Если чуть посложнее - то самый настоящий, прямоугольный, с кулером для жужжания).

Как вариант, можно "ящик" и у клиента поставить. Но основная задумка это сделать удаленный сервис. Ящик такой же, но находится в дата-центре, как вариант - даже в другой стране (ну... на случай "маски-шоу" в офисе). По традиционным взглядам, как-то странно это, что он за тысячи километров, но в терминах интернета, от меня до моего такого ящика - всего 100 миллисекунд.

Свои плюсы-минусы конечно есть. Из плюсов - проще и быстрее подключаться (мышкой пощелкал, пару конфигов чуть поправил и готово), не надо обслуживать железо, нет локальных рисков.
Для нас самый главный плюс такого решения - поскольку система только сделана (все откладывали релиз, всегда хочется еще что-то допилить) - почти уверен, что какие-то проблемы с ней будут, особенно на этапе внедрения. Поэтому может получиться так, что что-то нужно будет нам ручками докрутить чтобы заказчику удобнее было. Или исправить какую-то ошибку, и тут же выкатить это обновление сразу на всех машины всех клиентов (которые мы сами ставим, они все гарантировано однотипные, и сюрпризов не будет).

Из возможных минусов я вижу:
- Вдруг сервер "поломается"? (сервер поломается, интернет у хостера упадет). Это очень маловероятно, дата-центры все таки на порядки надежнее, но все таки.
- Доверие. Почему это конфиденциальную информацию он будет передавать через сервер, к которому мы имеем доступ? Вот про это я бы подробнее хотел чуть расписать, потому что это на самом деле важно.

• Во-первых, эту информацию и сейчас фактически любой из нас "доверяет". От отправителя до получателя система проходит через десяток узлов провайдеров, где во-первых могут теоретически быть записаны, а во-вторых - гарантированно записываются, если надо (СОРМ итд).
• Получатель письма часто на публичном почтовом сервере (@mail.ru итд). И даже если у него свой домен - может использовать почтовый сервер другой фирмы (провайдера или Яндекс.ПДД). Просто мы по привычке не обращаем на это внимания. Хотя доверять голландской фирме (яндекс) немного странно.
• Вообще, делать что-то нехорошее с трафиком заказчика - дело подсудное. За это светит вполне реальная статья УК и вполне реальная тюрьма. С учетом того, что мы - внутри страны, есть реквизиты, адреса и прописка - мы последние, кому это выгодно. Да и вообще у нас немного другая бизнес-модель :-). Если заказчик доверяется нам и рискует тем самым прибылью, мы рискуем свободой, поэтому, я бы не особо на эту тему волновался.
  

Кстати, еще интересный и забавный довод.
Мы редко знаем, что _на самом деле_ делают программы, которыми мы пользуемся. Теоретически, если мы продаем "черный ящик", который стоит в офисе клиента - там может быть закладка, которая бы позволяла нам шпионить. Так же, как она может быть, скажем, в программе mp3 плейера. Так что ящик под боком - больше психологическое успокоение. Технически, может быть даже это более опасно - шпионить он и так и так может, а во внутренней сети у него больше доступа к трафику.

А вот как раз когда начал свой трафик через систему гонять - столько всего интересного узнал! ;-) Например, IP TV плеер, оказывается, записывает, когда и сколько я какой канал смотрел и сообщает это на сервер. Он может в своем дисклеймере это где-то прописывает, но кто ж их читает! :-)

ваша система сама работает без участия человека и "показывает слабые места" ?

Без участия человека (ну после подключения) она только записывает и анализирует трафик, приводит к тому виду, в котором человеку его удобнее смотреть и понимать.

А вот сами решения принимает уже сам человек. Не программа решает проблему утечки информации, а человек решает эту проблему, используя программу как инструмент. Она только записывает, показывает, кое что может жестко запрещать (только если человек сам ей это указал), и из "сырого" и "непонятного" TCP трафика делает вполне понятные записи типа "Комментарий на таком-то сайте, тема такая-то, текст такой-то".

Вот, например, я прикрепил картинку, это система показывает как раз мой пост здесь, который я вчера написал. Если бы я был сотрудником, мой руководитель мог бы это посмотреть и подумать, одобряет ли он мое поведение в сети, или я делаю что-то не то (общаюсь в рабочее время на личные темы, рассказываю вам и всему миру коммерческие тайны о нашей системе или недружелюбно общаюсь с потенциальными клиентами, и тем самым наношу больше вреда фирме, чем пользы)

А сейчас, в ней еще и появится этот мой комментарий и эта картинка, которую я вам выслал :-)

Можете видео посмотреть , мне кажется, гораздо понятнее будет.

P.S.
в превьюшке на нгсе картинка ужатая, вот фуллсайз http://i.imgur.com/9sW0Buv.png

Система в первую очередь предназначена для записи и удобного просмотра прошедшего трафика.
_____________
нет человека = система не рабочая.
или она выдает результат в виде таблицы? сколько человек потратил времени на ту или иную "операцию"?

Но я не уверен, что мы понимаем друг друга. В чем именно вы видите главную проблему внешнего сервера контроля? В том, что будет плохо работать если нет инета? Или в том, что у нас есть техническая возможность добраться до данных клиента? Или еще что-то другое?

Возможно и не понимаем, поскольку технически проект не описан на сайте. Я не увидел...
А для меня первым отталкивающим моментом, была идея "Весь мой трафик, доверенный моим лицам, содержащий конфиденциальную информацию, попадает не просто к моим партнерам, а еще и к третьим лицам... И если своим я могу еще оторвать яйцы за утечку, то посреднику вроде как и не за что...
Я же правильно понимаю схему: пк-сеть-роутер-ваш ящик-инет-все все все... Через Ваш ящик насквозь с копией...
Так вот если всем я отправляю трафик (письма, прайсы, цены, порно с последнего корпоратива) я отправляю адресно, пусть через майловый сервер (например маил.ру) но я доверяя этому сервису (что конечно опрометчиво) и он годами зарабатывал имя, и тут появляется некий промежуточный дядька, который по договору (а любой договор можно довести до филькиной грамоты) мне обещал не смотреть что я там пересылаю... как то не вызывает доверия.
Это примерно как установить видеонаблюдение в офисе через "пабликкамс" и уже в психологии клиента не возникнет мысли о том что все зашифровано и никто не достучится...
Сейчас поколение у руля, это те кто в свое время смотрел кинушки про хакеров и читал газеты про взлом мелкософта. И для них понимание что надо доверить свой трафик еще кому то, очень тяжело дается.

Возможно идти от обратного, "Мы слушаем весь интернет, можем и про вас послушать, хотите это видеть?" ну или что то типа того, но чтобы шло уже от конечного факта. типа ваше вылезло, а мы словили... запретить?....
Ну это так, психология продаж...

Я и сам обратил внимание, что вы Skype не включили в список IM, видимо не научились с ним работать. А все потому что протокол не открытый и просто так сниффером сообщение не посмотришь.

В общем несколько комментариев.

Вы должны понимать, на кого рассчитана эта система. Вот я в ней, честно, не вижу смысла. На мой взгляд, только какой-то убежденный параноик может ей заинтересоваться. Несколько минусов (на мой взгляд)

1. Причина - если контролируемый сотрудник хочет написать что-то плохое, не относящееся к делу, вредное в интернет, учитывая распространение различных мобильных девайсов, у него и так будет возможность это сделать - со своего телефона, планшетника, не выходя из офиса. Так что защита будет только от дурака.

2. Использование вашей системы (если я правильно все понял) предполагает использование вашего прокси сервера. Работа организации становится зависимой не тоьлко от своего провайдера, но и от вас в плане доступности интернета. И еще если владелец бизнеса параноик, почему он будет доверять вам больше чем своим сотрудникам в части, например, сохранности информации?

3. Использование вашей системы подразумевает серьезные ограничения на it инфраструктуру компании. То есть надо не просто принять вашу систему, но и перестроить свою инфраструктуру. Что как минимум неудобно.

4. А у вас есть возможность обеспечить качество сервиса? Вот например вы говорите, что будете отсекать анонимизаторов. А кто будет поддерживать их список в актуальном состоянии? У вас вообще есть такие люди?


---
В общем, в наше время, когда данные воруются на флешку, а информация размещается с телефона целесообразность использования вашей системы не очевидна.

и тут появляется некий промежуточный дядька

Дядька In The Middle. :-)
Я выше, для wobbler уже написал про это (11.06.13 16:53), на тему "почему нам можно верить".
Конечно, мы-то абсолютно уверены, что мы хорошие парни и нам можно верить. И есть куча аргументов за это. Но вообще, да, согласен с вами, все таки тут очень важен вопрос доверия. Даже самое твердое доверие, имеет небольшой шанс не оправдаться, так что лучше, чтобы как можно меньше вещей были на нем основаны. Паранойя в нашем деле - не недостаток, а скорее профессиональное требование :-)

Но если рассмотреть вариант "ящик в офисе", то что вы думаете о таких аспектах:
1. Если предполагаем, что поставщик (мы) - не доверенная сторона, то если наша цель - получить доступ к информации, ящик тоже может шпионить. От нас он в любом случае далеко (или в дата-центре или в вашем офисе). Для всех возможных "плохих дел" - одинаково подходит и то и то его расположение. Тем более, что доступ к интернету у него должен быть прямой, и трафик клиента он форвардит в интернет, да и наш служебный трафик там есть (проверка лицензии, скачивание новых шаблонов для сайтов).
2. Спокойнее бы вам было (хотя бы в психологическом плане), если ящик в офисе, но вы иногда даете к нему доступ (выставляете галочку в панели управления), для саппорта по вашему запросу? (когда кажется, что что-то работает неправильно, или просто непонятно что-где-как делать). При этом у нас нет доступа, когда эта опция отключена. (через минуту после решения проблемы).

...через минуту после решения проблемы...

Ну-да, посмотрел, чем подопытные кролики занимались, чего достигли, пока галочка не была выставлена. И проблемы нет, работайте дальше...

Хорошие замечания. :-)

На мой взгляд, только какой-то убежденный параноик может ей заинтересоваться

Отчасти я с вами согласен :-) Хотя на мой взгляд (взгляд безопасника-параноика), отношение руководства к защите информации и понимание проблемы в большинстве организаций не "ниже уровня паранойи" а вообще оптимистично-беззаботное. По фен-шую - если думать только о хорошем - то хорошее сбудется, а плохое не случится. :-) C DLP системами, примерно как с IDS - проблему и ее масштабы не видно невооруженным взглядом пока не станет слишком поздно (например, уволенный сотрудник уведет большую часть клиентов). Возможно в некоторой фирме прямо сейчас происходит какая-то утечка (и сейчас, и вчера, и вообще регулярно раз в неделю). Но поскольку это все не заметно - то кажется, что и проблемы-то нет.

В принципе, многие штуки в ней приятны и удобны практически для любой фирмы, но конечно же, в первую очередь это важно там, где есть что защищать, и главное, где эта защита оправдана. Если потенциальный клиент - сапожная мастерская или чебуречная - зачем им эти сложности? А если, какое-нибудь транспортное или рекламное агентство, где весь бизнес строится на клиентской базе, и уходит один из ключевых сотрудников - то есть реальный риск потерять бизнес.

Причина - если контролируемый сотрудник хочет написать что-то плохое, не относящееся к делу, вредное в интернет

Совершенно верно. Но это все таки побочная функция. Полезная, дисциплинирующая, но если рассматривать вопрос подключения, то не она ключевая. "Домашный" трафик не контролируется, и утечки информации "через мозг" (когда человек просто знает небольшой факт и хранит его не в файле, а в голове) - тоже. Однако, если мы дома не можем простерилизовать столовые приборы до хирургической чистоты, это не значит, что можно и не мыть их. Там где проблему можно полностью решить - надо решать полностью. Где полностью нельзя, но можно минимизировать - надо минимизировать.

Примерно по этой же причине, например, записываются телефонные разговоры со службой поддержки крупных компаний. Конечно, милая девушка из саппорта МТС могла бы записать мой номер телефона, потом позвонить и обхамить меня с домашнего. Но она мне и с домашнего не звонит, и по служебной связи очень старается быть предельно вежливой и услужливой. А вот в некоторых госструктурах без контроля руководства за этим, порой менее дружелюбны. Поэтому МТСом я доволен, регулярно приношу им прибыль, а с госструктурами связываюсь только когда иначе не выжить.

Но даже в этом вопросе, есть большая польза от системы. В плане утечек информации - еще во время холодной войны, большая часть информации в докладах ЦРУ была собрана из публичных источников. Да и по современной статистике - большая часть утечек в корпоративной сфере, не от специальных промышленных шпионов-профессионалов, со внешностью Бонда, а от хороших и милых лояльных(!) сотрудников, просто непреднамеренные. Часто ведь даже нет политики безопасности, сотрудники не знают, что можно, и что нельзя. Где-то что-то один сказал по теме разговора, где-то другой. С контролем - это можно сильно уменьшить.

Ну и конечно же, защищать нужно комплексно. Если защищаемся от утечек файлов по интернету - имеет смысл защититься и от физической утечки через USB. Или программными продуктами, или даже просто отправив админа с отверткой отключить USB порты и опечатать корпуса. В общем, это давно известная и легко решаемая проблема.

Работа организации становится зависимой не тоьлко от своего провайдера, но и от вас в плане доступности интернета.

Согласен. Но, если лежит интернет в самой фирме - нет риска, что информация утечет через него. Если лежит наш сервер (на моей памяти, за последний год - ни на секунду не уходил оффлайн. но теоретически - конечно же возможно) - то либо интернет просто заблокирован (как в случае проблем с ISP), либо заказчик решает открыть прямой доступ на эти несколько минут-час. Сотрудники даже не узнают, что "ура! можно шпионить!".

И еще если владелец бизнеса параноик, почему он будет доверять вам больше чем своим сотрудникам в части, например, сохранности информации?

Наверное, самый важный вопрос. Я выше про это уже написал. Если коротко:
1. Нам нет выгоды от его информации
2. Потеря репутации в основном бизнесе куда важнее возможности открыть свое, скажем, рекламное агентство или парикмахерскую с чужой клиентской базой.
3. УК РФ. Суд-этап-тюрьма-сибирь. Владимирский централ, ветер северный.
4. Сотрудник может хотеть пустить по миру бывшего работодателя, нам выгоднее чтобы он был богаче и мог платить нам больше и за эту систему и может быть за другие какие-то проекты.
5. Он и так доверяет десяткам организаций, даже не зная про это.
6. Любое программное и/или аппаратное решение подразумевает доверие. О том, как за мной шпионит даже видеоплеер я выше написал. Доверяя DLP, приходится доверять одному лицу (конкретному, с реквизитами и договором), но за это получается возможность контролировать свое доверие к сотне сотрудников и десяткам разработчиков, чье ПО помаленьку шпионит внутри.

Но вообще, конечно же, вопрос доверия тут очень важный, и решать заказчику. С другой стороны - хирург имеет скальпель и все возможности зарезать пациента в наркозе, но это не повод "дожидаться перитонитов". Да и операции как правило все таки на пользу идут.

серьезные ограничения на it инфраструктуру компании

Наоборот. Любая DLP система требует подключения конечно же. Да и вообще любой компонент системы, любой роутер или сервер. Это ж не повод отказываться от вебсервера, скажем. А как раз схема подключения с внешним сервером делается очень небольшими изменениями на прокси-сервере фирмы или на роутере. Даже кабели перетыкать не надо. На сайте есть видео тестового подключения - неспешно и с лирическими отступлениями - 4 минуты.

кто будет поддерживать их список в актуальном состоянии?

Так в том-то и прелесть этой функции! :-) Все что "поддерживается" - оно в принципе не может поддерживаться идеально - если блокировать анонимайзеры по списку, во-первых, никогда не будут заблокированы все они. Во-вторых, будет временная задержка между тем, как анонимайзер появляется, и тем, как все клиентские системы узнают о нет. Я уж не говорю о том, что пользователь вообще может свой анонимайзер поставить достаточно просто (если он технически подкован) и про него вообще никто никогда не узнает и не заблокирует.

У нас это реализовано похитрее и понадежнее - мы не привязываемся к адресам анонимайзеров (это легко => это все делают => анонимайзеры так же легко уходят от такой блокировки), мы привязываемся к характеристикам трафика. Для каждого сайта она имеет определенный вид. И при любом анонимайзере - адрес меняется (в том и суть анонимайзера) а сам payload отправляемой информации - остается тем же. Он изменяется только если сам ВК или Одноклассники меняют свой движок. Тогда это занимает целых 15 минут, чтобы научить систему новым характеристикам трафика (у нее есть свое самообучение, нужно просто отправить несколько сообщений на желаемый сайт, и она сама выучивает, как его отлавливать).

Кратко резюме
1. Внедрять систему нужно правильно. Поэтому мы не "продаем коробку и забыли", а сами помогаем в этом.
2. Сотрудники - в большинстве случаев, не злодеи и не шпионы. Но, как говорят англичане - opportunity makes a thief - возможность создает вора. Без контроля трафика - есть безнаказанность и безответственность, которая провоцирует. Просто знание "что такое хорошо, и что такое плохо" и понимание, что руководство имеет возможность обнаружить и наказать за "плохо" - уже побуждает вести себя хорошо и отсеивает тех сотрудников, кто не хочет вести себя правильно.
3. Доверие - это важно, и немного опасно, но без этого никак. Доверие крепче, если есть контроль. Доверять еще и нам - дополнительный риск. Но это компенсируется тем, что появляется возможность контроля за тем, оправдано ли доверие к другим (к каждому программному или аппаратному устройству, которое есть внутри фирмы, к каждому сотруднику).

Ну-да, посмотрел, чем подопытные кролики занимались, чего достигли, пока галочка не была выставлена

Разумно. Это как ситуация с поломаным рабочим ноутбуком. Есть выбор: Можно отнести в ремонт. Но если отнес в ремонт - кто знает, не скопировали ли они диск? С другой стороны - можно не включать галочку (не относить ноутбук в ремонт), если есть подозрения, что это не ремонтники, а шпионы.

Я сам не люблю когда вынуждают излишне доверять (например, когда сайт при регистрации номер телефона спрашивает, и обещает, что ничего плохого не будет). Но полностью исключить доверие нельзя - мы доверяем, что хирург хочет нас вылечить, а не зарезать, что аспирин в аптеке - это аспирин, а не цианистый калий, что мороженое - это мороженое, а не цианистый калий, что машина - это машина, а не машина+мина, что вызванный таксист - просто таксист, а не маньяк-убийца.

Поэтому мне логичной кажется схема, когда доверия ровно столько, сколько требуется для задачи (и странно, если требуют доверия больше, чем нужно), и тот, кому доверяешь - готов подкрепить доверие возможными способами (договор, или какие-то любые другие способы, которые бы устроили обе стороны).

Меня то Вы точно не уговорите. Предпочитаю белорусские разработки - они проще, этим ребятам я доверяю больше, поскольку работаю с ними очень давно по самому широкому спектру. Им ничего от меня, кроме денег, не нужно. А здесь, где гарантия, что Вас не соблазнит кто-нибудь, кому будет интересно то, что Вам не интересно? Опять же на "бесплатного" пилотного внедрения тоже жеж деньги нужны. Кто дал? Или у Вас сообщество разработнчиков, питающихся исключительно духовной пищей?
В России живём. Поэтому я голосую - .

Опять же на "бесплатного" пилотного внедрения тоже жеж деньги нужны. Кто дал?

Для самого внедрения? Ну деньги на солярку на несколько рейсов до офиса возможного клиента и обратно - не бог весть какие затраты, придется сэкономить на коньяке. Рабочее время - тоже денег стоит конечно, но это ж нам нужно, мы не только по доброте и щедрости это делаем, а еще и для себя ведь.

А вообще разработка "из своих" оплачивается, сами в себя инвестируем, чтобы свой продукт был. На рынке с 2004 года (смешно, но банковский счет с момента открытия и до сегодня у нашей маленькой фирмы - тот же номер имеет, а вот "серьезный надежный банк, которому уж точно можно доверять", в котором счет - Новосибирсквнешторгбанк, за это время уже несколько владельцев поменял, и однажды даже за 1 рубль (!) был продан, и названия менял и "ВЕФК-Сибирь" назывался, и сейчас вот "Номос-Банк-Сибирь"). Так что, еще открытый вопрос, кто из нас надежнее, раз мы две финансовых империи пережили. В России живём.

Другие источники дохода - аудиты безопасности, заказное программирование (сети, безопасность, системное ПО) и удаленное администрирование. Заказчики как в Новосибе, так и других городах страны, в Европе и США.
По DLP (еще первой версии) - Краснодарский НТЦ Атлас ФСБ России и МТС (макрорегион Юг).
В принципе, мое имя, даже в исходниках ядра ОС Linux и других open source проектах найти можно.
Просто не локальный бизнес и достаточно узкая специализация, поэтому в городе особой известности и нет, вот если бы у нас сеть закусочных была, или мастерских по ремонту сотовых - каждая собака бы знала.

Возможно с этого и стоило начать бы тему, что система от нас, таких вот классных, "молодая успешная команда перспективных специалистов с большим опытом работы в этой сфере", как принято говорить, а не от "неизвестно кто с теленком-хоккеистом на аватарке"

Но в общем - все таки очень полезно оказалось (может быть даже полезней, чем ожидал, хоть и не тем путем). Хоть технически, я не вижу большой разницы с точки зрения безопасности - доверять ли информацию чужому ПО на сервере в офисе, или доверять ее чужому ПО на сервере в дата-центре, но понятно, что потенциальному заказчику все таки гораздо спокойнее, когда есть ощущение, что "коробка с секретами" - вот она, на виду, под замком. Так что все таки будем в первую очередь подготавливать к коробочной версии (изначально это планировалось в перспективе, но видно, что это куда более важная задача, чем дополнительные технические функции).

Спасибо за отзывы (особенно за критические - они самые полезные) и мнения! Не зря тему создал, много полезной информации получил.

А вот за это респект и уважуха.

Это мне знакомо. Мастеровик, сотовик и закусочник и не поймет никогда, что в некоторых видах бизнеса этот город - четырежды герой и почетный кавалер четырех орденов Сутулова - не просто необходим, он... как бы это... чтобы помягше прозвучало?

нормальная тема. бесплатное внедрение = получают полный доступ к данным.

это как в андроид маркете если прога бесплатная = полный доступ ко всей информации.

p.s. кто-то обязательно купится.
p.s.s. развивать желательно бесплатный "базовый" модуль, а за "доп плюшки" монета...
как в мобильном антивируснике от кас...