Сравнение систем защиты от утечек (DLP) 2014

[Сергей Ильин 1538]

Раз сообщить, что мы завершили работу над сравнением популярных в России DLP-систем. Первая часть сравнения опубликована на нашем сайте

http://www.anti-malware.ru/comparisons/dat...tion_2014_part1

В этот раз мы серьезно расширили списков критериев сравнения, их в сумме получилось более 200. Более того, по многим критериям мы не просто писали да/нет, а старались давать детальную информацию о том, как именно это реализовано у конкретного вендора.

Надеюсь, сравнение окажется для вас полезным

P.S. Особая благодарность за помощь в подготовке сравнения всему коллективу Anti-Malware.ru, а также большему количеству людей на стороне вендоров!

[Сергей Ильин 1538]

Опубликована вторая часть сравнения DLP-систем http://www.anti-malware.ru/comparisons/dat...tion_2014_part2

[Alex_Goodwin 81]

  Цитата

Контроль пользователей - Снимки экрана - Symantec - Нет, но можно отключить возможность делать снимки

как это понимать?

[Сергей Ильин 1538]

  Цитата

как это понимать?

Со снимками экрана есть два подхода:

1. Контроль юзеров, что и когда они делают. В этом случае снимаются скриншоты для того, чтобы потом офицер безопасности мог поднять архив и посмотреть что человек делал в определенное время.

2. Контроль действий с информацией. В этом случае DLP-система снимает скриншоты в нужные моменты, например, при запуске определенных приложений.

Как я понимаю, в Symantec пошли по второму пути, но сделали просто запрет снятия скриншотов.

[alt7 0]

Добрый день!

Прошу, уточнить по какому принципу (заплатил - рассматриваем) были выбраны именно эти DLP систему? Почему, например не рассматривался DeviceLock?

DeviceLock так же направлен на бизнес, конечно он не такой дорогой как InfoWatch, но у каждого свои недостатки.

Спасибо.

[Нейман 0]

  alt7 сказал:

но у каждого свои недостатки.

У МФИ Софт Гарда Предприятие нет недостатков!

[Сергей Ильин 1538]

  Цитата

Прошу, уточнить по какому принципу (заплатил - рассматриваем) были выбраны именно эти DLP систему? Почему, например не рассматривался DeviceLock?

DeviceLock так же направлен на бизнес, конечно он не такой дорогой как InfoWatch, но у каждого свои недостатки.

У нас ограниченные ресурсы. Взяли только продукты вендоров, которая являются лидерами рынка (см. наш отчет о российском DLP-рынке). DeviceLock в нашем понимании рынка туда не попадает. Его покупают в подавляющем большинстве случаев для контроля внешних устройств. Ни о каком анализе контента в данном случае речи нет.

Мы скорее взяли бы включили в сравнение Websense и McAfee, но эти производители не заинтересованы в таких открытых сравнениях. Видимо есть что скрывать

  Цитата

У МФИ Софт Гарда Предприятие нет недостатков!

У всех есть и у Гарда Предприятия тоже. Все есть в таблице

[N@KrruL 0]

  Сергей Ильин сказал:

Мы скорее взяли бы включили в сравнение Websense

Websense видимо не требуется в рекламе, его уже отлично продвигают в госкорпорациях (например ГК "Росатом"), а это ОЧЕНЬ приличные деньги.

[Сергей Ильин 1538]

  Цитата

Websense видимо не требуется в рекламе, его уже отлично продвигают в госкорпорациях (например ГК "Росатом"), а это ОЧЕНЬ приличные деньги.

С госкорпорациями и другие компании работают из числа лидеров рынка, но они почему-то не против сравнений.

Я считаю это недальновидностью, стратегическим проигрышем. Тысячи людей смотрят сравнения и у них формируется определенное понимание кто есть кто на рынке. Увы, в этом понимании не будет Websense или McAfee.

Например, SearchInform в прошлом сравнении у нас не было, но они активно подключились к проекту. Тоже самое с Falcongaze, МФИ Софт и GTB (NGS Distribution).

Вообще в сознании рынка происходят позитивные изменения. Приятно удивлен, что никто не пытался манипулировать данными. Все участники проявили себя более чем адекватно. За что всем отдельное спасибо!

[TagirK 0]

Добрый день!

Не увидел в сравнении про интерфейс администратора. К примеру, у Инфовотча в новой версии веб-интрфейс, но у вас накладываются требования к АРМ Администратора. Поясните, пожалуйста.

[Сергей Ильин 1538]

  Цитата

Не увидел в сравнении про интерфейс администратора. К примеру, у Инфовотча в новой версии веб-интрфейс, но у вас накладываются требования к АРМ Администратора. Поясните, пожалуйста.

Из сравниваемых нами продуктов веб-интерфейс администратора есть в Symantec DLP, InfoWatch TrafficMonitor, GTB и Дозор Джет. У остальные нужно ставить консоль на машину администратора или же подключаться к серверу напрямую (в случае SearchInform).

[Andrey Prozorov 0]

Илья, привет! А скажи, как получилось, что в "Сравнении систем защиты от утечек (DLP)" вошли средства мониторинга, которые DLP не являются. Напомню, что согласно официальному и общепринятому термину "DLP", одной из характеристик таких средств защиты (а не мониторинга) является обязательная возможность блокировать передачу информации. Причем не просто всей, а с учетом контента и контекста...

Таким образом DLP являются лишь половина, приведенных в обзоре решений.

Вопрос принципиально важный, путать читателей не следует.

Кстати, в проектах документов ФСТЭК по сертификации DLP присутствует обязательное требование по блокировке информации...

[Сергей Ильин 1538]

  Цитата

Таким образом DLP являются лишь половина, приведенных в обзоре решений.

Вопрос принципиально важный, путать читателей не следует.

Андрей, не согласен с тобой. Точнее это просто неверно. Твоя информация сильно устарела. Открываем http://www.anti-malware.ru/comparisons/dat...tion_2014_part1 и смотрим строку "Работа в режим блокировки". Блокировки нет только у МФИ Софт. Да и то, они ее добавили уже в новой версии.

Поэтому все сравниваемые продукты умеют блокировать и их можно относить к DLP даже по формальным признакам. Другое дело, что блокировка блокировке рознь. У большинства блокировать можно не все контролируемые каналы и протоколы, нюансов здесь много. Об этом также есть пункт в сравнении http://www.anti-malware.ru/comparisons/dat...14_part2#part35 смотрим "Блокировка соединения".

А если смотреть на вещи менее формально, то все эти продукты давно воспринимаются на рынке как DLP. А режим блокировки вообще практически невостребован на практике. Такова российская специфика рынка. Поэтому можно, конечно, много говорить о том "вирус" - это вредоносная программа, заражающая файлы. Но на практике в обиходе все будут называть вирусами любую вредоносную программу, независимо от ее типа.

[Матвей 0]

Доброго времени суток!

Коллеги, мне поставили задачу - подумать над внедрением DLP системы. Необычно, что инициатива пришла от собственников Банка. Они передали это председателю правления, он по цепочке начальнику отдела, а тот уже мне изложил. Сразу хочу обозначить: банк у нас небольшой, головной офис и 4 дополнительных (всего около 300 человек). Но начальство всё равно задумалось о возможности утечки инфы. Мне соответственно поручили продумать систему и рассчитать бюджет.

Ваше сравнение прочитал, информация полезная, но сложности остались. Может у кого подобный опыт уже есть? что посоветуете?

[Сергей Ильин 1538]

Для небольшего банка западные системы (Symantec, Websense) отпадают, получится слишком дорого и тяжело по ресурсам. Чтобы определиться с дальнейшим выбором нужно конктеризировать критерии:

1. Какую информацию нужно защищать и где они лежит.

2. Какие каналы потенциальной утечки существуют, проранжировать эти каналы

3. Нужна ли блокировка или только мониторинг с последующим постанализом и разбором полетов

Далее у нас останется несколько вариантов, из которых и будем выбирать. Так же стоит обратить внимание на наличие предустановленых шаблонов именно для Банков, у некоторых это есть, например, у InfoWatch. Это поможет серьезно сэкономить на внедрении и настройке.

[Semen Semenych 0]

Коллеги, а будет ли проведено тестирование и сравнение 2015?

кстати. соглашусь с доводом, что в данном тестировании половина блокировать ничего не могут. могу привести живые примеры.

[SearchInform 15]

  Semen Semenych сказал:

кстати. соглашусь с доводом, что в данном тестировании половина блокировать ничего не могут. могу привести живые примеры.

Блокировка - это не всегда хорошо. Хоть в нашем продукте и есть такая возможность, но мы настоятельно не рекомендуем клиентам очень уж активно применять эту функцию. Проблемы очевидны - ложные срабатывания, которые неизбежны в работе DLP, приведут к остановке рабочего процесса. Нужно, например, сотруднику передать коллеге файл, а система распознает такую операцию как угрозу и не дает передать. Пока решишь вопрос со службой безопасности, полдня пройдет. Снижение же "порога паранойи" системы лишь приведет к ослаблению контроля, многая конфиденциальная информация будет проникать за пределы компании.

Вот буквально один из недавних наших случаев. В крупной строительной компании, 10-15 тысяч сотрудников, руководство начало подозревать, что происходит утечка конфиденциальной информации из коммерческого отдела. За помощью обратились в отдел безопасности, в котором стоял наш "Контур". В результате анализа перехваченных данных было установлено, что источник утечек – один из сотрудников, который собрался в ближайшее время увольняться, а вся его корпоративная переписка была перенаправлена на личный почтовый ящик. В дальнейшем на этого сотрудника было заведено уголовное дело. До этого инцидента компания была твердо убеждена, что передачу информации необходимо не отслеживать, а исключительно блокировать. Однако в данном случае передаваемые данные не были строго конфиденциальны и свободно передвигались внутри организации, и программа-блокиратор не среагировала бы на утечку. Отсутствие блокировки помогло же не только вычислить злоумышленника, но и взыскать с него понесенные убытки.

[Eugene.Kozyratskiy 0]

А что скажите по DeviceLock?

[Сергей Ильин 1538]

Eugene.Kozyratskiy, DeviceLock мы хотим сравнить в следующей части сравнения в этом году. Есть спрос на информацию об этом продукте со стороны рынка.

[Азат 0]

Добрый день. Выбор между Symantec и InfoWatch, как думаете для госоргана что лучше внедрить?

[Сергей Ильин 1538]

@Азат, в свете последних тенденций на импортозамещение закупка американского софта для контроля конфиденциальных данных может быть истолкована неправильно  Но сертификат ФСТЭК у Symantec DLP есть http://www.anti-malware.ru/certified/information_security_russiaВсе зависит от уровня секретности, нужно ли что-то еще или нет помимо этого сертификата.

 

Если же говорить о функцинальности, но здесь много нюансов. Однозначно нельзя рекомендовать, не зная детали:

Какие каналы будут контролироваться?

Какая конфигурация защиты предпочтительнее (на уровне сети, на конечных точках, гибридная)?

Нужна ли блокировка утечек или  система будет использоваться исключительно для пост-анализа (как обычно это делается)?

Какая интеграция с другими продуктами нужна?