Во второй части мы завершим начатое ранее сравнение систем защиты от утечек конфиденциальных данных (DLP) и сопоставим их по возможностям контроля внешних устройств, мониторинга работы агентов, управлению, обработке инцидентов, отчетности, а также интеграции с решениями сторонних производителей.
1. Еще раз о методологии сравнения
- Возможности контроля подключаемых внешних устройств
- Мониторинг агентов и их защита
- Управление системой и обработка инцидентов
- Интеграция с решениями сторонних производителей
Еще раз о методологии сравнения
На сегодняшний день существует достаточно много решений, которые даже весьма условно сложно отнести к классу полноценных DLP-cистем. Многие компании используют аббревиатуру DLP, называя ей фактически все, что угодно, где есть хоть какой-то функционал, контролирующий исходящий трафик или внешние носители.
Естественно, что мы не можем смешивать в кучу и сравнивать несравниваемые между собой в принципе продукты. Поэтому при отборе участников сравнения мы жестко руководствовались формулировкой, что такое DLP-система. Под этим мы понимаем такие системы, которые позволяют обнаружить и/или блокировать несанкционированную передачу (проще говоря - утечку) конфиденциальной информации по какому-либо каналу, используя информационную инфраструктуру предприятия.
В итоге на основании результатов проведенного годом ранее анализа российского DLP-рынка для участия в сравнении было отобрано шесть наиболее известных и популярных в России комплексных DLP-систем*:
Российские:
- InfoWatch Traffic Monitor Enterprise 3.5
- SecurIT Zgate 3.0 и SecurIT Zlock 3.0
- Дозор Джет 4.0.24
Зарубежные:
- Symantec Data Loss Prevention (DLP) 11.1
- Websense Data Security Suite (DSS) 7.5
- Trend Micrо Data Loss Prevention (DLP) 5.5
* Все производители перечисленных выше DLP-систем (за исключением Websense) активно помогали со сбором необходимой для сравнения информации. DLP от компании McAfee из сравнения был исключен по причине недостатка информации и слабой поддержке самого вендора.
Краеугольным камнем любого сравнения является набор критериев, по которому оно производится. В силу разумных ограничений по объему сравнения невозможно охватить все мыслимые функциональные возможности DLP-систем. Поэтому на данном уровне детализации мы ограничились только наиболее важными из них с нашей точки зрения.
В итоге мы отобрали 92 наиболее важных критерия, сравнение по которым значительно облегчает для заказчика выбор DLP-системы. Для удобства все сравнительные критерии были разделены на следующие категории:
- Позиционирование системы на рынке;
- Системные требования;
- Используемые технологии детектирования;
- Контролируемые каналы передачи данных;
- Возможности контроля подключаемых внешних устройств;
- Мониторинг агентов и их защита;
- Управление системой и обработка инцидентов;
- Отчетность;
- Интеграция с решениями сторонних производителей.
Сравнение по категориям 1-5 было опубликовано в первой части, а по категориям 6-9 во второй части.
В силу широкого спектра решаемых DLP-системами задач, мы не делали их итогового ранживания. Мы надеемся, что по результатам проведенного сравнения каждый читатель сможет самостоятельно определиться, какая из DLP-систем больше других подходит для его целей. Ведь в каждом конкретном случае потенциальный заказчик сам знает, какие технологии или функциональные возможности для него наиболее важны, а значит, сможет сделать из сравнения правильный именно для него вывод.
Сравнение DLP-систем
Возможности контроля подключаемых внешних устройств
| InfoWatch Traffic Monitor Enterprise | Дозор Джет | SecurIT Zgate и Zlock | Symantec DLP | Websense DSS | Trend Micro DLP | |
| HDD | Есть | - | Есть | Есть | Есть | Есть |
| USB | Есть | - | Есть | Есть | Есть | Есть |
| COM/LPT | Есть | - | Есть | Есть | Есть | Есть |
| WiFi, Bluetooth и др. | Есть | - | Есть | Есть | Есть | Есть |
| Локальные принтеры | Есть | - | Есть | Есть | Есть | Есть |
| Запрет доступа к конфиденциальным файлам на рабочей станции для заданных приложений |
Нет | - | Нет | Есть | Есть | Нет |
| Очистка диска рабочей станции от конфиденциальных данных (перемещение в карантин) |
Нет | - | Разрабатывается, планируемый срок реализации конец 2 квартала | Есть | Есть | Нет |
| Ограничения доступа в зависимости от типа съемного носителя (производитель, серия, модель, экземпляр) |
Есть | - | Есть | Есть | Есть | Есть |
| Возможность разрешать копирование только на доверенные носители |
Есть | - | Есть | Есть | Есть | Есть |
| Автоматическое определение реального владельца данных на основе заданных критериев |
Нет | - | Разрабатывается, планируемый срок реализации конец 2 квартала | Есть | Нет | Нет |
| Контроль буфера обмена |
Нет | - | Есть | Есть | Есть | Есть |
| Контроль копирования из общих папок |
Нет | - | Нет | Есть, с возможностью блокировки | Нет | Нет |
| Контроль копирования в общие папки |
Нет | - | Нет | Есть, с возможностью блокировки | Есть | Есть |
| Контроль источников хранимых данных |
Хранение документов на рабочих местах, сетевых папках, в базах данных, почтовых архивах, системах электронного документооборота, с возможностью поиска и перемещения (для рабочих станций и сетевых папок) | - | Разрабатывается, планируемый срок реализации конец 2 квартала | Хранение документов на рабочих местах, сетевых папках, в базах данных, почтовых архивах, системах электронного документооборота с возможностью поиска и перемещения (для рабочих станций и сетевых папок) | Хранение документов на рабочих местах, сетевых папках и в библиотеках Microsoft SharePoint | Хранение документов на рабочих местах, сетевых папках и в библиотеках Microsoft SharePoint |
| Мониторинг состояния в режиме онлайн |
Есть | - | Есть (сохранением полной истории обращений, построение гибкой отчетности, настройка уведомлений о необычных событиях и попытках доступа) | Есть (сохранение полной истории обращений, построение гибкой отчетности, настройка уведомлений о необычных попытках доступа) | Есть | Есть |
Мониторинг агентов и их защита
| InfoWatch Traffic Monitor Enterprise | Дозор Джет | SecurIT Zgate и Zlock | Symantec DLP | Websense DSS | Trend Micro DLP | |
| Возможность в режиме online контролировать клиентские компьютеры | Есть | - | Есть | Есть | Есть | Есть |
| Контроль работы агента | Есть | - | Есть | Есть | Есть | Есть |
| Контроль политик агента | Есть | - | Есть | Есть | Есть | Есть |
| Возможность настройки реагирования на события | Есть | - | Есть | Есть | Есть | Есть |
| Защита агента от удаления или выключения | Есть | - | Есть | Есть | Есть | Есть |
| Контроль целостности | Есть | - | Есть | Есть | Есть | Есть (клиент скрыт от несанкциони- рованного доступа) |
Управление системой и обработка инцидентов
| InfoWatch Traffic Monitor Enterprise | Дозор Джет | SecurIT Zgate и Zlock | Symantec DLP | Websense DSS | Trend Micro DLP | |
| Собственная консоль | Есть | Есть (веб-консоль) | Есть | Есть (веб-консоль) | Есть (веб-консоль) | Есть (веб-консоль) |
| Разделение ролей администратора и офицера безопасности | Любое количество настраиваемых ролей + преднастроенные роли | Поддерживается несколько ролей + стандартные преднастроенные роли | Поддерживается несколько ролей + делегирование прав между ролями | Любое количество настраиваемых ролей + преднастроенные роли | Поддерживается несколько ролей + преднастроенные роли | Поддерживается несколько ролей + делегирование прав между ролями |
| Настройка оповещений | Офицера безопасности, пользователя (будет реализовано в след. версии) | Владельца информации, офицера безопасности, пользователя | Офицера безопасности, аудитора или любого другого заранее указанного адресата | Офицера безопасности, пользователя, его руководителя или любого другого заранее указанного адресата | Офицера безопасности, пользователя | Офицера безопасности, пользователя |
| Предоставляемые возможности по реагированию на инциденты | Эскалация инцидента, разрешение прохождения заблокированного, закрытие инцидента, запуск скрипта, перенаправление электронной почты на шлюз шифрования разрешение с записью об инциденте или запрещение на пропуск задержанного сообщения. | Эскалация инцидента, разрешение прохождения заблокированного, закрытие инцидента, помещение в архив. | Эскалация инцидента, разрешение прохождения заблокированного, закрытие инцидента, запуск скрипта, помещение в карантин. | Эскалация инцидента, разрешение прохождения заблокированного, закрытие инцидента, помещение в архив, запуск скрипта, а также любая настраиваемая последовательность действий. | Эскалация инцидента, разрешение прохождения заблокированного, закрытие инцидента, запуск скрипта, перенаправление электронной почты на шлюз шифрования. | Эскалация инцидента, разрешение прохождения заблокированного, закрытие инцидента. |
| Анализ событий, зафиксированных системой | Есть, через консоль | Есть, через веб-консоль | Есть, через консоль | Есть, через веб-консоль | Есть, через веб-консоль | Есть, через веб-консоль |
| Сохранение истории инцидентов для последующего анализа | Есть (включая хранение протокола всех инцидентов, карантина задержанных объектов, неограниченное хранение истории для будущих расследований) | Есть (протокол инцидентов и архив сообщений для расследований) | Есть (протокол инцидентов, карантин задержанных сообщений и копии перехваченных объектов) | Есть (протокол инцидентов и всех сопутствующих объектов, неограниченное их хранение для будущих расследований) | Есть (протокол инцидентов и копии перехваченных объектов) | Есть (протокол инцидентов и копии перехваченных объектов) |
| Запрещение на пропуск задержанного сообщения или разрешение с записью об инциденте | Есть | Офицер безопасности может пропустить или задержать сообщение, есть возможность запросить подтверждение отправления у сотрудника. | Через карантин (офицер безопасности решает, пропускать или задержать подозрительное сообщение или письмо) | Сотруднику предлагается указать причину необходимости отправки данных (самостоятельно или выбрать из списка), что будет отражено в информации об инциденте | Сотруднику отправляется специальное оповещение по e-mail о нарушении, ответ на которое разблокирует сообщение и выпускает его из карантина | Сотруднику предлагается указать причину необходимости отправки данных, что будет отражено в инциденте в консоли офицера безопасности |
Система отчетности о работе DLP-системы
| InfoWatch Traffic Monitor Enterprise | Дозор Джет | SecurIT Zgate и Zlock | Symantec DLP | Websense DSS | Trend Micro DLP | |
| Возможность построения отчетов о нарушениях |
Собственные графики и отчеты системы | Собственные графики и отчеты системы | Собственные отчеты в виде журнала событий | Собственные графики и отчеты системы + наличие Reporting API для интеграции со сторонними системами | Собственные графики и отчеты системы | Собственные графики и отчеты системы |
| Варианты получения отчетов о нарушениях |
По электронной почте, через консоль | По электронной почте и через консоль | По электронной почте и через консоль | По электронной почте и через консоль | По электронной почте и через консоль | По электронной почте и через консоль |
| Временная запись отчёта в локальное хранилище в случае недоступности сервера |
Есть | Есть | Есть | Есть | Есть | Есть |
| Экспорт отчетов | Есть | Есть | Есть (текстовый ANSI, текстовый Unicode и XML) | Есть | Протоколы инцидентов доступны в формате xml-файлов | Есть (PDF, Excel, HTML) |
| Логирование действий администраторов системы |
Есть | Есть | Есть | Полная история всех действий, даже для инцидентов, удаленных из системы | Есть | Есть |
Интеграция с решениями сторонних производителей
| InfoWatch Traffic Monitor Enterprise | Дозор Джет | SecurIT Zgate и Zlock | Symantec DLP | Websense DSS | Trend Micro DLP | |
| Интеграция с любыми сторонними утилитами посредством встроенных API | Нет | Есть | Есть | Есть | Нет | Нет |
| Интеграция со сторонними решениями | Oracle IRM, IBM TSOM, Alladdin eSafe, Cisco IronPort, Bluecoat ProxySG, Lumension Device Control, DeviceLock, ArcSight (будет в версии 4.0) | Lumension Device Control, ArcSight, NetForensics, антивирусы (kav,drweb), категоризаторы (iss, iadmin) | Microsoft RMS, Oracle IRM, ABBYY FineReader, и т. д. | Microsoft RMS, Oracle IRM, PGP и т.д. | Websense Web security, Safend Protector, Lumension Device Control | Поддерживает отправку данных через syslog (обычно идет в привязке к SIEM) |
| Интеграция с прокси-серверами | С прокси-серверами, поддерживающими ICAP | Bluecoat, McAffe, eSafe - ICAP | С прокси-серверами, поддерживающими ICAP, а также с Microsoft ISA Server | С прокси-серверами, поддерживающими ICAP, а также с Microsoft ISA Server | С прокси-серверами, поддерживающими ICAP | Нет |
| Интеграция с почтовыми серверами | С любым SMTP-сервером | Интеграция с Exchange и Lotus - через журналирование | С любыми SMTP-серверами, в т. ч. Microsoft Exchange 2007/2010 | С любым SMTP-сервером | С любым SMTP-сервером | Для корпоративных систем – Lotus Domino и Microsoft Exchange |
| Интеграция с Active Directory | Есть | Есть | Есть | Есть | Есть | Есть |
| Инсталляция и управление через групповые политики | Есть | Нет | Есть | Есть | Есть | Только для политик безопасности |
В силу широкого спектра решаемых DLP-системами задач, мы не делали их однозначных выводом о превосходстве того или иного продукта. Мы надеемся, что по результатам проведенного сравнения каждый читатель сможет самостоятельно определиться, какая из DLP-систем больше других подходит для его целей. Ведь в каждом конкретном случае потенциальный заказчик сам знает, какие технологии или функциональные возможности для него наиболее важны, а значит, сможет сделать из сравнения правильный именно для него вывод.
Мы не будем останавливаться на достигнутом и в дальнейшем планируем проводить более глубокие сравнения DLP-систем, как по отдельным группам критериев, так и по их реальной технологической эффективности.
Авторы:
