Сравнение систем защиты от утечек (DLP) - часть 1

Сравнение систем защиты от утечек (DLP) - часть 1

Представляем вашему вниманию первое в своем роде публичное сравнение систем защиты от утечек конфиденциальных данных (DLP). В нем мы проанализировали и сравнили между собой шесть ведущих российских и зарубежных решений. Результаты сравнения помогут понять, чем принципиально отличаются между собой различные решения и на что стоит ориентироваться при их выборе.

 

1. Введение

2. Методология сравнения DLP-систем

3. Сравнение DLP-систем:

           - Позиционирование системы на рынке

           - Системные требования

           - Используемые технологии детектирования

           - Контролируемые каналы передачи данных

 

Введение

Если раньше распространение информации можно было достаточно эффективно контролировать административными мерами, предоставляя физический доступ к ней только для ограниченного числа лиц, то в эпоху всеобщей информатизации контролировать доступ к информации и тем более ее перемещение становится сложнейшей задачей. Поэтому всё острее встаёт проблема инсайдеров и утечек конфиденциальной информации.

На помощь бизнесу в такой ситуации приходят производители программных и аппаратных средств защиты, которые достаточно давно предлагают на рынке целый ряд решений для защиты от утечек конфиденциальных данных (систем Data Leak Prevention, далее DLP). Применение таких продуктов на практике может быть несколько шире, так как технологически с их помощью можно контролировать перемещение информации любого вида, а не только строго конфиденциальной.

Однако изначальная сложность DLP-систем, сильная технологическая и функциональная закрытость значительно усложняют процесс их осознанного выбора для заказчика. Дело в том, что производители зачастую не могут правильным образом представить рынку объемную и сложную систему с множеством функций и нетривиальных технологий. Часть из производителей вовсе не заинтересованы в том, чтобы доступно и понятно рассказывать о технических тонкостях работы своих продуктов, очевидно, опасаясь излишний осведомленности клиентов и прямых сравнений с конкурентами.

К тому же из-за незрелости рынка и значительных технологических и функциональных различий между конкурирующими решениями у потенциального клиента возникает полная дезориентация, какое решение лучше использовать в том или ином случае. Появляется множество вопросов. Чем принципиально отличаются между собой различные решения? На что ориентироваться при выборе DLP-системы? Как выбрать наиболее подходящее решение?

Во всех тонкостях работы DLP-систем зачастую трудно разобраться даже профессионалам из этой отрасли, не говоря уже о потенциальных клиентах.  Еще сложнее сравнить их возможности между собой. Цель данного сравнения состоит в том, чтобы показать ключевые отличия наиболее популярных российских и зарубежных DLP-систем, тем самым сделав выбор менее сложным для клиента.

Таким образом, ознакомившись с результатами этого сравнения, потенциальный заказчик сможет уже на начальном этапе сориентироваться, какие системы защиты от утечек конфиденциальных данных подходят для его задач наилучшим образом, сузить поле выбора и в итоге значительно сэкономить время и деньги.

Данное сравнение нужно рассматривать как базисное. Мы ни в коем случае не будем останавливаться на достигнутом в своем стремлении сделать DLP-рынок более открытым. В дальнейшем мы планируем проводить более глубокие сравнения DLP-систем, как по отдельным группам критериев, так и по реальной технологической эффективности.

 

Методология сравнения DLP-систем

На сегодняшний день существует достаточно много решений, которые даже весьма условно сложно отнести к классу полноценных DLP-cистем.  Многие компании используют аббревиатуру DLP, называя ей фактически все, что угодно, где есть хоть какой-то функционал, контролирующий исходящий трафик или внешние носители.

Естественно, что мы не можем смешивать в кучу и сравнивать несравниваемые между собой в принципе продукты. Поэтому при отборе участников сравнения мы жестко руководствовались формулировкой,  что такое DLP-система. Под этим мы понимаем такие системы, которые позволяют обнаружить и/или блокировать несанкционированную передачу (проще говоря - утечку) конфиденциальной информации по какому-либо каналу, используя информационную инфраструктуру предприятия.

В итоге на основании результатов проведенного годом ранее анализа российского DLP-рынка для участия в сравнении было отобрано шесть наиболее известных и популярных в России комплексных DLP-систем*:

Российские:

  1. InfoWatch Traffic Monitor Enterprise 3.5
  2. SecurIT Zgate 3.0 и SecurIT Zlock 3.0
  3. Дозор Джет 4.0.24

Зарубежные:

  1. Symantec Data Loss Prevention (DLP) 11.1
  2. Websense Data Security Suite (DSS) 7.5
  3. Trend Micrо Data Loss Prevention (DLP) 5.5

*  Все производители перечисленных выше DLP-систем (за исключением Websense) активно помогали со сбором необходимой для сравнения информации. DLP от компании McAfee из сравнения был исключен по причине недостатка информации и слабой поддержке самого вендора.

Краеугольным камнем любого сравнения является набор критериев, по которому оно производится. В силу разумных ограничений по объему сравнения невозможно охватить все мыслимые функциональные возможности DLP-систем. Поэтому на данном уровне детализации мы ограничились только наиболее важными из них с нашей точки зрения.

В итоге мы отобрали 92 наиболее важных критериев, сравнение по которым значительно облегчает для заказчика выбор DLP-системы. Для удобства все сравнительные критерии были разделены на следующие категории:

  1. Позиционирование системы на рынке;
  2. Системные требования;
  3. Используемые технологии детектирования;
  4. Контролируемые каналы передачи данных;
  5. Возможности контроля подключаемых внешних устройств;
  6. Мониторинг агентов и их защита;
  7. Управление системой и обработка инцидентов;
  8. Отчетность;
  9. Интеграция с решениями сторонних производителей.

Сравнение по категориям 1-4 будет опубликовано в первой части, а по категориям 5-9 – во второй части.

В силу широкого спектра решаемых DLP-системами задач, мы не делали их итогового ранживания. Мы надеемся, что по результатам проведенного сравнения каждый читатель сможет самостоятельно определиться, какая из DLP-систем больше других подходит для его целей. Ведь в каждом конкретном случае потенциальный заказчик сам знает, какие технологии или функциональные возможности для него наиболее важны, а значит, сможет сделать из сравнения правильный именно для него вывод.

 

Сравнение DLP-систем

Позиционирование DLP-систем на рынке


InfoWatch Traffic Monitor Enterprise  Дозор Джет  SecurIT Zgate и Zlock  Symantec DLP  Websense DSS Trend Micro DLP
Позиционирование на рынке Система защиты от утечек, основанная на анализе исходящего трафика, мониторинге содержимого, передаваемого на сменные носители, и принтеры. Собственная технология лингвистического анализа, позволяет осуществлять категоризацию перехваченной информации и обнаруживать в ней конфиденциальные данные. Шлюзовая система защиты от утечек информации, основанная на контроле исходящего сетевого трафика, поиска хранимых данных. Система защиты от утечек информации, основанная на контроле входящего, исходящего и внутреннего сетевого трафика, поиска хранимых данных, агентского контроля, мониторинга содержимого, передаваемого на сменные носители и принтеры. Первая российская DLP-система с возможностью гибридного анализа. Универсальное решение для поиска, отслеживания и защиты конфиденциальных данных, где бы они ни находились. Обеспечивает комплексную защиту конфиденциальных данных в конечных системах, сети и системах хранения данных. Система защиты от утечек информации, основанная на контроле исходящего сетевого трафика, поиска хранимых данных. Система работает как на уровне шлюза, так и на уровне конечных точек сети. Система защиты от утечек информации, основанная на контроле исходящего сетевого трафика, поиска хранимых данных, мониторинга содержимого, передаваемого на сменные носители. Система работает как на уровне шлюза, так и на уровне конечных точек сети.
Целевой сегмент рынка Средний и крупный бизнес, госсектор с численностью от 500 до 5 тыс. пользователей и более. Поддержка филиальной разветвленной структуры. Возможность хранения всех событий компании до 3-х и более лет Средний и крупный бизнес, госсектор От SMB (до 500 пользователей) до крупного бизнеса и государственных организаций (внедрения до 250 тыс. пользователей). Поддержка любой ИТ-инфраструктуры. Бессрочное хранение событий и данных в архиве Малый бизнес ( версия Symantec DLP Standard), средний и крупный бизнес от 50 до более 100 тыс. рабочих мест (Symantec DLP) Средний и крупный бизнес Средний бизнес
Штаб-квартира Россия, Москва Россия, Москва Россия, Москва Маунтин-Вью, Кремниевая Долина, США Сан-Диего, Калифорния, США Токио, Япония
Веб-сайт www.infowatch.ru www.jet.msk.su www.securit.ru www.symantec.com www.websense.com www.trendmicro.com
Лицензии ФСТЭК, ФСБ ФСБ, ФСТЭК ФСТЭК, ФСБ Нет ФСБ Нет
Сертификаты ФСТЭК НДВ 4 и ИСПДн 1, Газпромсерт, Аккредитация ЦБ, сертификат совместимости eToken ФСТЭК НДВ 4 ФСТЭК НДВ 3 и ОУД4 ФСТЭК НДВ 4 ФСТЭК ТУ Нет
Услуги Аудит, консалтинг, пилотный проект, внедрение, техническая поддержка и обучение Аудит, консалтинг, пилотный проект, внедрение, техническая поддержка и обучение Аудит, консалтинг, пилотный проект, внедрение, техническая поддержка (24х7), обучение Пилотный проект, остальные услуги силами партнеров   Пилотный проект, остальные услуги силами партнеров
Средние сроки внедрения От 1 рабочей недели В зависимости от масштаба внедрения От 1 рабочего дня в зависимости от масштаба внедрения В зависимости от масштаба внедрения В зависимости от масштаба внедрения От 3 рабочих дней

 

Системные требования


InfoWatch Traffic Monitor Enterprise Дозор Джет SecurIT Zgate и Zlock Symantec DLP Websense DSS Trend Micro DLP
Системные требования для серверной части Защита периметра сети: InfoWatch Traffic Monitor Enterprise: Сервер: HP DL360 G6, ОС RHEL 5.6, x86-32 Централизованное архивирование и управление InfoWatch Forensic Storage  Server: HP DL360 G6, Oracle RDBMS 11gR2 Защита рабочих станций: InfoWatch Device Monitor Server: Intel Pentium 4 2ГГц или выше, Windows 2003 Server SP 1, RDBMS: Oracle / MS SQL Server / PostgreSQL / MS SQL Express, .NET Framework  3.0 Консоль Управления (Management Console) Pentium 4, 3ГГц, Microsoft Windows XP SP 2 Сенсор: CPU  2ГГц и выше, ОЗУ 4 Гб, 900Мб/с трафика на одном SPAN порту или 400+400 на 2х Windows 2003, 2008 (х64) Фильтры:Два 2-х ядерных CPU 2 ГГц и выше, 8Гб ОЗУ Linux Centos, Red Hat Enterprise Linux Хранилище:Два 2-х ядерных CPU 2 ГГц и выше, 8Гб ОЗУ (при использовании PostgreSQL 8,4, Oracle 10,11 – 16 Гб ОЗУ ) Linux Centos или Red Hat Enterprise Linux SecurIT Zgate: Intel Pentium 4, 1 ГБ ОЗУ Microsoft Windows 2000 SP4 / 2000 Server SP4 / XP SP3/ 2003 SP2 / Vista SP1 / 2008/ Windows 7 (32 и 64 бит). Microsoft SQL Server 2000 SP2, 2005 или Oracle Database 10g R2. 2 CPU 3ГГц и выше, 6-8 Гб ОЗУ, 140Гб свободного дискового пространства, RAID 1+0 Microsoft Windows Server 2003 Enterprise Edition (32-bit) SP2 или Microsoft Windows Server 2008 R2, Enterprise Edition (x64) или Red Hat Enterprise Linux 5 (32 и 64 бит) Update 2 2-х ядерный Intel Xeon 2ГГц или эквивалент от AMD, 2ГБ ОЗУ, 75Гб свободного дискового пространства, RAID 1+0 или 1, Microsoft Windows Server 2003 R2 Trend Micro DLP Network Monitor Software Appliance: Два 4-х ядерных X5550 Xeon, 8Гб ОЗУ, 300Гб 15K RPM, Intel PRO 1000PT 1GbE Dual Port NIC, PCIe-4. Trend Micro DLP Management Server Hardware Appliance: 4-х ядерный Xeon E5506, ОЗУ 6Гб, 250Гб 7.2K RPM, Broadcom NetXtreme II 5709 Trend Micro DLP Management Server (Software or Virtual Appliance): 2-х ядерный Intel XEON или AMD Opteron, ОЗУ 2Гб, жесткий диск 30Гб, VMWare ESX и ESXi 3.5
Системные требования для клиентской части InfoWatch Device Monitor Client: Intel Pentium 4 2ГГц или выше, Windows XP/2000/Vista - SecurIT Zlock: Intel Pentium II, 128 МБ ОЗУ   Microsoft Windows 2000 SP4 / XP SP2 / 2003 SP1 / Vista, 2008 / Windows 7 (32 и 64 бит). Microsoft SQL Server 2000 SP2, 2005 или Oracle Database 10g R2. 512 Мб ОЗУ и выше Microsoft Windows Server 2003 (32-bit) SP2 или Windows Server 2003 R2 (32-bit); Microsoft Windows XP Professional SP2 или SP3(32-bit); Microsoft Windows Vista Enterprise or Business SP1 или SP2 (32-bit); Microsoft Windows 7 Enterprise, Professional, or Ultimate (32-bit или 64-bit) Pentium 4 1.8 ГГц и выше, 512Мб ОЗУ (для Windows XP), 1Гб ОЗУ (для Windows Vista, 7, 2003, 2008) (все ОС – x86) Trend Micro DLP Endpoint: 300 МГц Intel Pentium и выше, 512 Мб ОЗУ, 300Мб свободного места на жёстком диске Windows 2008, 2003, Vista, 7 (x86) и XP
Русификация Есть Есть Есть Есть Нет Нет


Используемые технологии детектирования


InfoWatch Traffic Monitor Enterprise Дозор Джет SecurIT Zgate и Zlock Symantec DLP Websense DSS Trend Micro DLP
Анализ по словарю и регулярные выражения Есть Есть Есть Есть Есть Есть

Лингвистический
анализ (словоформы, синонимы,
морфология и т.п.)

Есть + база контентной фильтрации
(БКФ),
содержащая
слова и
выражения,
наличие,
которых в
документе
позволяет определить
тематику
и степень конфиденциаль-
ности
информации.
Есть Есть Нет Нет Нет
Поддержка анализа транслита Есть Нет Есть Нет Нет Есть (требуется формирование собственной таблицы соответствия слов их замаскированным вариантам)
Поддержка анализа замаскированного текста Есть Нет Есть Есть Нет Нет
Поддержка особенностей
русского языка
при анализе содержимого
Есть Есть Есть Есть Нет Нет
Анализ с использованием цифровых
отпечатков
Есть Есть Есть Есть Есть Есть
Самообучающаяся система для
анализа еще неклассифици-
рованных данных (искусственный интеллект)
Нет Нет Есть Есть Нет Нет
Поддерживаемые форматы анализируемых документов
(включая версии
и собственные
форматы для
распознавания)
Все основные форматы (более 400), в том числе вложенные в архивы. Поддержка OCR (оптическое распознавание текста). Более 100 вариантов архивов , более 150 типов документов и известных бинарных данных , возможность общего анализа бинарного потока на наличие текстовых строк в русских кодировках . Все основные форматы (более 500), в том числе вложенные в архивы. Все основные форматы (более 400), в том числе вложенные в архивы,. Более 400 основных форматов, в том числе вложенные в архивы. Распознавание и обработка более 300 типов файлов, в том числе вложенные в архивы.
Предустановлен-
ные шаблоны
данных
Есть (шаблоны и отраслевые базы контентной фильтрации) Есть (лексиконы в модуле idid) Есть Есть Есть Есть

Контролируемые каналы передачи данных


InfoWatch Traffic Monitor Enterprise Дозор Джет SecurIT Zgate и Zlock Symantec DLP Websense DSS Trend Micro DLP
Электронная почта (E-mail)
Входящая SMTP Нет Нет Есть Есть Нет Нет
Исходящая SMTP Есть Есть Есть Есть Есть Есть
SMTPS Есть Есть Есть Есть Есть Нет
Внутренняя Microsoft Exchange Есть Есть Есть Есть Есть Есть
Внутренняя IBM Lotus Domino Есть Есть Есть Есть Есть Есть
ESMTP Есть Есть Есть Есть Есть Есть
POP3 Нет Есть Есть Есть Есть Нет
POP3S Нет Есть Есть Нет Нет Нет
IMAP4 Нет Нет Есть Нет Есть Нет
IMAP4S Нет Нет Есть Нет Нет Нет
Изменение сообщений Нет Есть Есть Есть (изменение темы и header’ов по заданным критериям)   Есть
Интернет-пейджеры
ICQ, Miranda (OSCAR) Есть Есть Есть Нет Нет Нет (будет в версии 5.7, Q4 2011)
Mail.ru Агент Частичная поддержка (OSCAR, MMP будет в версии 4.0) Есть Есть Нет Нет Нет (будет в версии 5.7, Q4 2011)
Windows Live Messenger Нет (будет в версии 4.0) Есть Есть Есть Есть Есть
AOL AIM Есть (только OSCAR) Есть Есть Есть Есть Есть
Yahoo! Messenger Нет Нет Есть Есть Есть Есть
Google Talk Нет (будет в версии 4.0) Есть Есть Нет Есть Нет
Skype (текст) Нет (будет в версии 4.0) Есть Есть Нет Есть Есть
Microsoft Office Communicator Есть Нет Есть Есть Есть Нет
Jabber Нет (будет в версии 4.0) Есть Есть Нет Есть Нет
MySpace IM Нет Нет Есть Есть Есть Нет
Перехват файлов IM Есть (только OSCAR) Есть Есть Есть Есть Есть
HTTP, FTP и иные протоколы
Входящий HTTP-трафик Нет Нет Есть Есть Нет Есть
Исходящий HTTP-трафик Есть Есть Есть Есть Есть Есть
HTTPS Есть (интеграция с решениями партнёров) Есть Есть (с возможностью блокировки/фильтрации) Есть (интеграция с прокси-серверами либо при помощи агентской части DLP Endpoint Prevent) Есть (при наличии собственного продукта Websense Content Gateway для подстановки сертификатов) Есть
FTP Нет (будет в версии 4.0) Есть Есть Есть Есть Есть
FTP over HTTP Нет (будет в версии 4.0) Есть Есть Есть Есть Есть
FTPS Нет Нет Есть Нет Нет Нет
Р2Р Нет Нет Нет Есть Есть Есть
Возможность сканирования почтового и веб-трафика в облаке Нет Нет Нет Есть Нет Нет
Сетевые принтеры Есть (с возможностью оптического распознавания текста OCR) Нет Есть Есть Есть (с возможностью оптического распознавания текста OCR) Есть
Блокирование
Протоколы, блокирование передачи данных по которых возможно HTTP, HTTPS, SMTP, OSCAR (ICQ и другие агенты) HTTP, FTP, SMTP, FTP over HTTP, HTTPS, IM (ICQ, Mail.ru, MSN, Jabber , детектор Skype, веб-мессенжеры  vKontakte, Google, MeeGo) HTTP, HTTPS, FTP, FTP over HTTP, FTPS, SMTP, SMTP/S, ESMTP, POP3, POP3S, IMAP4, IMAP4S, ICQ, Mail.Ru Агент, Skype и др. IM SMTP, HTTP, HTTPS FTP, Yahoo
Messenger, MSN
Messenger,
AIM, AIM Pro
HTTP, HTTPS, FTP, SMTP, ESMTP HTTP, HTTPS, FTP, SMTP, ESMTP
Скорость анализа сетевого трафика ~100 Мб/с Скорость анализа на одном хосте 2 Гб/с канала загрузкой до 70% Нет ограничений ~330 Мб/с Нет данных ~190 Мб/с

Вторая часть сравнения »

 

Авторы:

Алексей Баранов
Илья Шабанов

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новые статьи на Anti-Malware.ru