论坛公告:应用容器安全指南(SP800-190)中文版   美国政府宣布禁用卡巴斯基软件   《中华人民共和国网络安全法》讨论帖   新手报到专用帖   【论坛公告】关于本站广告贴泛滥问题的整理通知   

当前时区为 UTC + 8 小时


发表新帖 回复这个主题  [ 74 篇帖子 ]  前往页数 上一页  1, 2, 3, 4, 5  下一页
作者 内容
 文章标题 : Re: 谁能介绍一下McAfee的DLP产品
帖子发表于 : 2010-05-12 13:02 
离线
中级用户

注册: 2010-04-29 12:40
最近: 2012-11-03 09:19
拥有: 602.00 安全币

奖励: 44 安全币
在线: 385 点
帖子: 70
zzzevazzz 写道:
……我质疑的是Mcafee DLP的数据追踪效果。我根本没有说DLP是解密后扫描内容的。
之所以一直提到加密,是因为数据追踪只有依赖数据本身的特征,一旦加密就会失去这个特征。
实际上,所谓的加密不需要AES这样的,可以是我在本页2楼提到的方式。把“甲乙丙丁ABCD”变成“乙甲丁丙BADC”,就避免数据追踪了。
……
另外,Windows漏洞和DLP的漏洞不是一个层面的问题。Windows漏洞只对非本机用户和非超级用户有意义,这样的漏洞当然很难找。而DLP要对付的是能够物理接触本机的用户,首先从理论上靠纯软件就是做不到的,无非就是破解门槛的高低。而Mcafee DLP的做法,我认为连透明加解密的效果都不如,破解的方式太多。


呵,我就以zzzevazzz兄的例子为例。
一般地,加密我们可以理解成,y=f(x)。x是输入内容,也就是明文,y是输出内容,也就是密文,f(x)是变换法则。
那么对zzzevazzz来说,输入“甲乙丙丁ABCD”,输出“乙甲丁丙BADC”。
然后zzzevazzz兄的结论是“就避免数据追踪了”。
——你的潜在逻辑不就是:因为“乙甲丁丙BADC”和“甲乙丙丁ABCD”长相不同了=》所以本来认识“甲乙丙丁ABCD”的,现在就不认识“乙甲丁丙BADC”了?
所以你的中心思想确实是认为dlp只能识别解密后的明文,虽然你不承认或者没有意识到。

至于你提到其它的加密、变换手段,宏也好脚本也好,这些是不胜枚举的。Mcafee不关心这些。真的,Mcafee要关心这些做什么呢?它根本不用理会数据被做了什么伪装。它只关心源头。


另外,“Windows漏洞只对非本机用户和非超级用户有意义”也是个伪命题。还是举例子,相信不少人都玩过经典的输入法漏洞,在本机上提升账号权限或者干脆创建超级用户。但是这个话题没必要讨论,与dlp无关。我前面所以提起,只是一种修辞。

不希望流于意气之争。


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: 谁能介绍一下McAfee的DLP产品
帖子发表于 : 2010-05-12 14:00 
离线
版主

注册: 2006-09-10 00:35
最近: 2015-08-19 14:47
拥有: 3,741.60 安全币

奖励: 1794 安全币
在线: 3627 点
帖子: 312
firstpeak 写道:
zzzevazzz 写道:
……我质疑的是Mcafee DLP的数据追踪效果。我根本没有说DLP是解密后扫描内容的。
之所以一直提到加密,是因为数据追踪只有依赖数据本身的特征,一旦加密就会失去这个特征。
实际上,所谓的加密不需要AES这样的,可以是我在本页2楼提到的方式。把“甲乙丙丁ABCD”变成“乙甲丁丙BADC”,就避免数据追踪了。
……
另外,Windows漏洞和DLP的漏洞不是一个层面的问题。Windows漏洞只对非本机用户和非超级用户有意义,这样的漏洞当然很难找。而DLP要对付的是能够物理接触本机的用户,首先从理论上靠纯软件就是做不到的,无非就是破解门槛的高低。而Mcafee DLP的做法,我认为连透明加解密的效果都不如,破解的方式太多。


呵,我就以zzzevazzz兄的例子为例。
一般地,加密我们可以理解成,y=f(x)。x是输入内容,也就是明文,y是输出内容,也就是密文,f(x)是变换法则。
那么对zzzevazzz来说,输入“甲乙丙丁ABCD”,输出“乙甲丁丙BADC”。
然后zzzevazzz兄的结论是“就避免数据追踪了”。
——你的潜在逻辑不就是:因为“乙甲丁丙BADC”和“甲乙丙丁ABCD”长相不同了=》所以本来认识“甲乙丙丁ABCD”的,现在就不认识“乙甲丁丙BADC”了?
所以你的中心思想确实是认为dlp只能识别解密后的明文,虽然你不承认或者没有意识到。

至于你提到其它的加密、变换手段,宏也好脚本也好,这些是不胜枚举的。Mcafee不关心这些。真的,Mcafee要关心这些做什么呢?它根本不用理会数据被做了什么伪装。它只关心源头。


另外,“Windows漏洞只对非本机用户和非超级用户有意义”也是个伪命题。还是举例子,相信不少人都玩过经典的输入法漏洞,在本机上提升账号权限或者干脆创建超级用户。但是这个话题没必要讨论,与dlp无关。我前面所以提起,只是一种修辞。

不希望流于意气之争。


你根本没理解我的意思。
首先,加密或变形不但阻止了DLP直接识别内容,更重要的是阻止DLP根据内容(或特征)来追踪数据流向。
其次,一旦阻止了根据内容来追踪数据流向,DLP基本上不可能有其他切实有效的手段做数据标记。所有现有的手段都只能针对常规的操作。一旦有脚本和特殊的程序参与就会掉链子。
最后,不要孤立的看待数据的加密和变形,还要加上进程间COM等手段,两者结合正好打中了DLP的弱点。

你说的输入法漏洞恰恰是我说的“只对非本机用户和非超级用户有意义的漏洞”。已经是合法的超级用户,不需要输入法漏洞。
Windows防的是“别人”,DLP防的是“自己”!明白么?两者的漏洞意义不同。
而单靠软件防“自己”是防不住的。

DLP的问题在于选取了一种绕过门槛较低的手段,只适用于侧重易用性,对安全性要求不高的场合。


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: 谁能介绍一下McAfee的DLP产品
帖子发表于 : 2010-05-12 14:06 
离线
初级用户

注册: 2010-03-17 00:17
最近: 2012-04-27 22:19
拥有: 99.00 安全币

奖励: 0 安全币
在线: 308 点
帖子: 20
引用:
首先,加密或变形不但阻止了DLP直接识别内容,更重要的是阻止DLP根据内容(或特征)来追踪数据流向。
其次,一旦阻止了根据内容来追踪数据流向,DLP基本上不可能有其他切实有效的手段做数据标记。所有现有的手段都只能针对常规的操作。一旦有脚本和特殊的程序参与就会掉链子。
最后,不要孤立的看待数据的加密和变形,还要加上进程间COM等手段,两者结合正好打中了DLP的弱点。


很精彩,任何DLP类产品都逃不过这2条:内容、传播路线。


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: 谁能介绍一下McAfee的DLP产品
帖子发表于 : 2010-05-12 14:24 
离线
版主

注册: 2006-09-10 00:35
最近: 2015-08-19 14:47
拥有: 3,741.60 安全币

奖励: 1794 安全币
在线: 3627 点
帖子: 312
我在研究文档透明加解密软件的时候,就设计了一种数据追踪方法,来防止各种形式的线程插入窃取内容。
这个方法的核心就是提取数据特征。
由于是和程序员做对手,仅靠拦截进程间通讯手段和行为分析,根本是防不胜防。
唯有根据数据特征追踪是比较通用的方式。
但是,这个方法出师未捷身先死。网上已经有破解工具能够绕过,其手段就是数据加密。
可以说,数据从哪里来,到哪里去,完全没法控制。

对于文档保护,只要本机内存中有明文,想单靠软件彻底防止泄密就是不可能的。
而目前的问题是,用户的计算机水平越来越高,ARK工具越来越多,包括DLP在内的很多手段效果大大降低了。

比不安全更不安全的是什么?是虚假的安全。
以为用了某某软件就能防泄密了,于是放松了对人的管理,结果往往造成更大的杯具。


--------本帖迄今已累计获得33安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: 谁能介绍一下McAfee的DLP产品
帖子发表于 : 2010-05-12 17:53 
离线
中级用户

注册: 2010-04-29 12:40
最近: 2012-11-03 09:19
拥有: 602.00 安全币

奖励: 44 安全币
在线: 385 点
帖子: 70
zzzevazzz 写道:
……你根本没理解我的意思。……


请相信我,我是很理解你的。

“之所以一直提到加密,是因为数据追踪只有依赖数据本身的特征,一旦加密就会失去这个特征。”这是你的原话。这句话与事实直接矛盾。因为我测试Mcafee DLP确实能够监控被加密的内容,加密并没有失去这个特征。

我愿意相信你是程序高手。但我不能认同你对我的反复申明视若无睹。讨论问题需要实事求是的态度。如果你实实在在地把Mcafee DLP的漏洞和缺点拿出来讨论,我不会回避,但现在这种假设的方式无助于解决问题。

“加密或变形不但阻止了DLP直接识别内容,更重要的是阻止DLP根据内容(或特征)来追踪数据流向。”这也是你的原话,前半句是对的,对任何DLP都适用,但后半句就比较唯心了,只是你的推断,而这个推断与事实不符,也说明你还需要做实际的研究。

DLP怎么追踪数据流向,对厂家之外的任何一方来讲都是黑箱。我不知道Mcafee DLP的追踪原理,我也不知道Symantec DLP的追踪原理,我也不知道Trend DLP的追踪原理。我只能根据测试结果来设想它,而不能无视事实结果来凭空想像。

“DLP的问题在于选取了一种绕过门槛较低的手段,只适用于侧重易用性,对安全性要求不高的场合。”这是你的原话,我想任何做dlp的厂家都不会同意,已经上线DLP的用户也不会同意。至少银行业的DLP客户会觉得委曲,他们对安全性要求还是很高的。

“比不安全更不安全的是什么?是虚假的安全。
以为用了某某软件就能防泄密了,于是放松了对人的管理,结果往往造成更大的杯具。”这是你的原话,这个我有保留地赞同。大家都是中/国/人,知道“对人的管理”意味着什么。数据安全,靠人不如靠软件, 只有计算机会不打折扣地执行你的安全策略。这一点,不争论。

另外,为了预防起见,我介绍一些常识。
DLP是数据丢失防护的简称,一般用来防止内部人员主动泄密。国内的叫法很多,有的叫防水墙,有的叫上网行为管理,有的叫内网安全等。它不能负担全部的安全责任。比如,员工去外地出差,笔记本和移动硬盘上有公司的机密资料,对这种脱离了控制的数据如何保护?这是数据安全的另一个领域,端点加密,Mcafee的安全体系中由SafeBoot来承担这个任务。
SafeBoot的名字,在外企工作或和外企打交道多的朋友会很熟悉。端点加密的两大顶级品牌之一。Mcafee为了实现整体数据安全收购了SafeBoot,并整合到EPO中。
SafeBoot有三大模块,DE(磁盘加密),CE(内容加密,即文件和文件夹加密),PC(端口控制)。整合到EPO里面后,名称变为EEPC和EEFF。
除了DLP、SafeBoot,还有设置控制等许多安全应用。基本上对里里外外的数据威胁都可以防范了,Mcafee打造的是Total Protection for Data,也就是整体数据安全,这是他的卖点。在这个体系下面还有其它内容,比如针对病毒的,针对网络入侵的,等等,都整合在EPO里面。安全不是片面的,任何一个环节出现短板,后果都是一样的严重。这在国际上是共识。

Mcafee DLP在国际上的对手,只有Symantec、Trend、Websence和EMC等数得着的几家。都是通过收购各种安全厂商比如dlp厂商来整合实现的。这是趋势,无一例外。

Mcafee DLP在国内也有对手,对于扎扎实实做产品的,我当然表示敬意和支持。毕竟老外和同胞孰轻孰重还是分得清的。我相信以国人的聪明要做好绝对没有问题。但这种技术类产品不是一蹴而就的,需要时间,需要积累。许多性能光看指标看参数万事OK,但实际一应用,问题就出来了。这必须经历实践的锤炼,绕不开的。
还有一点,产品的性能不仅仅是安全性,稳定性同样重要。上DLP的企业规模一般都不会小,几百台几千台客户端的很多,刚才还有个广州的epo用户问5000+客户端的情况怎么部署服务器的问题。这方面国外的产品和国内的产品差距很明显。

(只有一个叫某某通的对手我很不屑。从做SafeBoot到现在,总碰到他们歪曲事实。又是说你不能在国内合法销售,又是说你这功能没有那功能没有,其实在人家产品手册上白纸黑字写着)

最后总结一下Mcafee的产品。
Total Protection for Data,包括有DLP+EEPC+EEFF+DC+Encrypted USB+VSE+IPS等等,全面保护数据安全。


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: 谁能介绍一下McAfee的DLP产品
帖子发表于 : 2010-05-12 21:12 
离线
版主

注册: 2006-09-10 00:35
最近: 2015-08-19 14:47
拥有: 3,741.60 安全币

奖励: 1794 安全币
在线: 3627 点
帖子: 312
我不需要对DLP技术本身有很深入的认知,只需要对Windows系统和X86架构有深入了解,就能做出DLP无法准确追踪数据的结论。
我看到的是更本质的东西,那就是在没有硬件辅助的情况下,永远是人胜过软件,而不是软件限制住人。
(DLP能玩出什么把戏,我至少比你清楚的多。DLP对你是黑箱,对我却不是。因为我有能力反汇编代码,分析程序的行为)

你测试Mcafee DLP能够监控,是因为你的水平在门槛之下,测不出问题而已。
前面我对漏洞的描述很清楚了,就是利用vbs脚本以各种方式绕过DLP。
在要求我“实事求是”之前,你敢说你都实际测试过那些办法了?

之所以提到“虚假的安全”这个概念,是因为软件会落后,会不断推陈出新的。
在信任软件更甚信任人之前,请先衡量一下软件有没有过时,是否适应越来越恶劣的安全环境。

客户我接触的也不少。自以为对安全性要求很高的客户,在碰到实际情况时,往往是业务优先,易用性优先。
而且,由于客户对面临的安全风险缺乏清晰的认识,就连产品测试也做不好。
想让客户测试DLP的漏洞?系统管理员能把DLP配置好跑起来就烧高香了。

最后,我毫不客气的说,DLP的用户已经陷入虚假的安全中了。同意也罢,不同意也罢,无非就是对这个虚假安全有没有自觉罢了。


--------本帖迄今已累计获得33安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: 谁能介绍一下McAfee的DLP产品
帖子发表于 : 2010-05-12 21:37 
离线
版主

注册: 2006-09-10 00:35
最近: 2015-08-19 14:47
拥有: 3,741.60 安全币

奖励: 1794 安全币
在线: 3627 点
帖子: 312
我要补充的是,我并不是说DLP一点都不好,而是认为在安全性上DLP不如其他方案。
客户的需求是多元的。由于担心数据损坏而不愿使用文档加密产品;由于担心带宽成为瓶颈而不愿用瘦客户端方案;由于企业庞大、系统环境复杂而希望使用著名厂商的兼容性得到充分验证的产品……
选择DLP可以是各种原因,但要说安全性有多高,请恕我非常不以为然。


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: 谁能介绍一下McAfee的DLP产品
帖子发表于 : 2010-05-12 21:56 
离线
版主

注册: 2003-11-24 09:25
最近: 2012-02-02 22:33
拥有: 3,396.20 安全币

奖励: 1525 安全币
在线: 5456 点
帖子: 421
地址: London, UK
zzzevazzz 写道:
最后,我毫不客气的说,DLP的用户已经陷入虚假的安全中了。同意也罢,不同意也罢,无非就是对这个虚假安全有没有自觉罢了。


同意,DLP就跟GFW一样,想绕总是绕得过去的。


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: 谁能介绍一下McAfee的DLP产品
帖子发表于 : 2010-05-13 11:07 
离线
中级用户

注册: 2004-09-17 15:55
最近: 2015-08-25 10:53
拥有: 966.10 安全币

奖励: 4 安全币
在线: 2332 点
帖子: 110
zzzevazzz是不是可以搞套DLP实际测试一下,给我等一些强有力的证据参考?


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: 谁能介绍一下McAfee的DLP产品
帖子发表于 : 2010-05-13 13:07 
离线
中级用户

注册: 2010-04-29 12:40
最近: 2012-11-03 09:19
拥有: 602.00 安全币

奖励: 44 安全币
在线: 385 点
帖子: 70
呵,再说一次,就事论事,不希望沦为意气之争。
zzzevazzz兄,下面引用你的原话。

“我想知道McAfee DLP是如何处理无法识别格式的文件的,特别是用PGP加密后的邮件附件,DLP如何扫描其中的敏感信息。”

“我知道DLP有“标记”功能,但这只能代表数据是某种应用程序生成的,并不能知道里面的内容。
当rar或pgp文件作为邮件附件发送或拷贝到U盘时,由于无法过滤内容,只能全部阻止或全部允许,控制粒度太粗了。”


“使用vbs脚本就能调用word读数据,然后加密写成一个txt。
敏感数据的读和写操作分别在两个进程里,我不认为DLP还能跟踪数据流向并标记适合的tag。

不管是用应用程序、内容还是位置识别,都太容易绕过(或者说伪装)。
最终只能把数据的“密级”统一到和当前用户身份一个粒度。
即DLP只能分辨出是哪个用户产生的文档,其他的tag都失去了实际意义。”

“不用加密也可以绕过内容过滤。
一个简单的word宏,把奇数偶数位置的字符换一下,“甲乙丙丁ABCD”变成“乙甲丁丙BADC”,我不认为DLP还能过滤出敏感字。
需要看的时候,再运行一次宏,内容就变回来了。”



“我不需要对DLP技术本身有很深入的认知,只需要对Windows系统和X86架构有深入了解,就能做出DLP无法准确追踪数据的结论。”

“(DLP能玩出什么把戏,我至少比你清楚的多。DLP对你是黑箱,对我却不是。因为我有能力反汇编代码,分析程序的行为)”


“你测试Mcafee DLP能够监控,是因为你的水平在门槛之下,测不出问题而已。
前面我对漏洞的描述很清楚了,就是利用vbs脚本以各种方式绕过DLP。
在要求我“实事求是”之前,你敢说你都实际测试过那些办法了?”

①②是你从技术角度做的猜想,测试winrar的结果表明这个猜想不成立,这一点如果你否认,那讨论就失去了继续下去的意义。

③④,以③④开始,你的许多言论就似乎不是很客观了。有些是技术人员的通病,有些是为争论而争论。如果确实要用技术术语来描述,也可以,但为了大家的福利,最好还是以通俗易懂的方式,让大家普遍能看懂能理解。比如看雪上讨论加解密,往往既有思路也会有代码,是不是、行不行,明白人心里有数,不明白的人就动手验证。空自标榜有多厉害,无助于解决问题。

⑤⑥表明你的态度是不严谨的。例子太多了,随便举个,如果你的逻辑成立,中/国的自主操作系统早就出来了,对不对?看雪上搞破解搞逆向,反汇编是常用的调试手段,但没有人声明拥有你这样的自信。

⑦窃密方式有许多,出现了就是客户的需求,动手测试解决,没出现就探索,这很正常。如果你平心静气的讨论,以你的水平相信能提供许多新问题。


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: 谁能介绍一下McAfee的DLP产品
帖子发表于 : 2010-05-13 13:21 
离线
版主

注册: 2006-09-10 00:35
最近: 2015-08-19 14:47
拥有: 3,741.60 安全币

奖励: 1794 安全币
在线: 3627 点
帖子: 312
楼上的居然和我说“逻辑”?!
套用一句话,世界上有两种逻辑,一种叫逻辑,一种叫销售的逻辑。
你大可以用“销售的逻辑”把产品卖出去,但我要提醒你,真正考验安全性的黑客,是以现实的、真实的、客观的逻辑看问题的。

我就问你一句话,你有没有实际测试过我说的破解方式?
在我看来,你连我说的破解方式都看不懂,连vbs脚本都没用过,甚至Office宏都没用过。
所以你根本不理解我对整个破解过程的逻辑推导。

我能了解DLP的原理,不代表我能自己开发一个DLP。这两者的差别,还用我来说明白么?
这点逻辑关系都理不清楚,还好意思和我说“逻辑”。


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: 谁能介绍一下McAfee的DLP产品
帖子发表于 : 2010-05-13 13:49 
离线
中级用户

注册: 2010-04-29 12:40
最近: 2012-11-03 09:19
拥有: 602.00 安全币

奖励: 44 安全币
在线: 385 点
帖子: 70
改为人身攻击我就不参与了,有兴趣了解dlp的参看我之前发的内容就好了。或者消息我。


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: 谁能介绍一下McAfee的DLP产品
帖子发表于 : 2010-05-13 13:59 
离线
版主

注册: 2006-09-10 00:35
最近: 2015-08-19 14:47
拥有: 3,741.60 安全币

奖励: 1794 安全币
在线: 3627 点
帖子: 312
我没有直接把破解代码贴出来,是因为不希望有人拿去做坏事。

如果有人有心要破解,就会用搜索引擎找相关的破解工具。
文档保护软件有现成的破解工具,DLP即使现在没有,以后也会有的。

本来完全没办法破解的人,搜索到这个帖子,也可能去学习脚本相关的知识以图破解。(学习脚本的门槛是比较低的)
或者试试社会工程学,发个短信给我,声称自己是某公司网管,正在测试某DLP产品,看到我的帖子,希望能详细了解测试的细节,不胜感谢云云。
要是我心情好,或者正想验证自己的想法,说不定就把破解代码告诉对方了。

如果窃密能得到巨大的利益,就会有人悬赏破解某产品。
网上比我水平高的人要多少有多少,被破解几乎是必然的。


--------本帖迄今已累计获得28安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: 谁能介绍一下McAfee的DLP产品
帖子发表于 : 2010-05-13 14:04 
离线
版主

注册: 2006-09-10 00:35
最近: 2015-08-19 14:47
拥有: 3,741.60 安全币

奖励: 1794 安全币
在线: 3627 点
帖子: 312
wansion 写道:
zzzevazzz是不是可以搞套DLP实际测试一下,给我等一些强有力的证据参考?


如果有人愿意提供测试版,我可以抽空测试一下。


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: 谁能介绍一下McAfee的DLP产品
帖子发表于 : 2010-05-13 19:59 
离线
初级用户

注册: 2010-03-17 00:17
最近: 2012-04-27 22:19
拥有: 99.00 安全币

奖励: 0 安全币
在线: 308 点
帖子: 20
呵呵,
感叹下:
“技术和销售的确是两种不同的职业!!”
或许出发点不同吧。


回到顶部
 奖励本帖 用户资料  
 
显示帖子 :  排序  
发表新帖 回复这个主题  [ 74 篇帖子 ]  前往页数 上一页  1, 2, 3, 4, 5  下一页

当前时区为 UTC + 8 小时


在线用户

正在浏览此版面的用户:没有注册用户 和 2 位游客


不能 在这个版面发表主题
不能 在这个版面回复主题
不能 在这个版面编辑帖子
不能 在这个版面删除帖子
不能 在这个版面提交附件

前往 :  
华安信达(CISPS.org) ©2003 - 2012