Сравнение систем защиты от утечек (DLP) - часть 2

Сравнение систем защиты от утечек (DLP) - часть 2

Во второй части мы завершим начатое ранее сравнение систем защиты от утечек конфиденциальных данных (DLP) и сопоставим их по возможностям контроля внешних устройств, мониторинга работы агентов, управлению, обработке инцидентов, отчетности, а также интеграции с решениями сторонних производителей.

 

 

1. Еще раз о методологии сравнения

2. Сравнение DLP-систем

           - Возможности контроля подключаемых внешних устройств

           - Мониторинг агентов и их защита

           - Управление системой и обработка инцидентов

           - Отчетность

           - Интеграция с решениями сторонних производителей

 

Еще раз о методологии сравнения

На сегодняшний день существует достаточно много решений, которые даже весьма условно сложно отнести к классу полноценных DLP-cистем.  Многие компании используют аббревиатуру DLP, называя ей фактически все, что угодно, где есть хоть какой-то функционал, контролирующий исходящий трафик или внешние носители.

Естественно, что мы не можем смешивать в кучу и сравнивать несравниваемые между собой в принципе продукты. Поэтому при отборе участников сравнения мы жестко руководствовались формулировкой,  что такое DLP-система. Под этим мы понимаем такие системы, которые позволяют обнаружить и/или блокировать несанкционированную передачу (проще говоря - утечку) конфиденциальной информации по какому-либо каналу, используя информационную инфраструктуру предприятия.

В итоге на основании результатов проведенного годом ранее анализа российского DLP-рынка для участия в сравнении было отобрано шесть наиболее известных и популярных в России комплексных DLP-систем*:

Российские:

  1. InfoWatch Traffic Monitor Enterprise 3.5
  2. SecurIT Zgate 3.0 и SecurIT Zlock 3.0
  3. Дозор Джет 4.0.24

Зарубежные:

  1. Symantec Data Loss Prevention (DLP) 11.1
  2. Websense Data Security Suite (DSS) 7.5
  3. Trend Micrо Data Loss Prevention (DLP) 5.5

*  Все производители перечисленных выше DLP-систем (за исключением Websense) активно помогали со сбором необходимой для сравнения информации. DLP от компании McAfee из сравнения был исключен по причине недостатка информации и слабой поддержке самого вендора.

Краеугольным камнем любого сравнения является набор критериев, по которому оно производится. В силу разумных ограничений по объему сравнения невозможно охватить все мыслимые функциональные возможности DLP-систем. Поэтому на данном уровне детализации мы ограничились только наиболее важными из них с нашей точки зрения.

В итоге мы отобрали 92 наиболее важных критерия, сравнение по которым значительно облегчает для заказчика выбор DLP-системы. Для удобства все сравнительные критерии были разделены на следующие категории:

  1. Позиционирование системы на рынке;
  2. Системные требования;
  3. Используемые технологии детектирования;
  4. Контролируемые каналы передачи данных;
  5. Возможности контроля подключаемых внешних устройств;
  6. Мониторинг агентов и их защита;
  7. Управление системой и обработка инцидентов;
  8. Отчетность;
  9. Интеграция с решениями сторонних производителей.

Сравнение по категориям 1-5 было опубликовано в первой части, а по категориям 6-9 во второй части.

В силу широкого спектра решаемых DLP-системами задач, мы не делали их итогового ранживания. Мы надеемся, что по результатам проведенного сравнения каждый читатель сможет самостоятельно определиться, какая из DLP-систем больше других подходит для его целей. Ведь в каждом конкретном случае потенциальный заказчик сам знает, какие технологии или функциональные возможности для него наиболее важны, а значит, сможет сделать из сравнения правильный именно для него вывод.

 

Сравнение DLP-систем 

Возможности контроля подключаемых внешних устройств

  InfoWatch Traffic Monitor Enterprise  Дозор Джет  SecurIT Zgate и Zlock  Symantec DLP  Websense DSS Trend Micro DLP
HDD Есть - Есть Есть Есть Есть
USB Есть - Есть Есть Есть Есть
COM/LPT Есть - Есть Есть Есть Есть
WiFi, Bluetooth и др. Есть - Есть Есть Есть Есть
Локальные принтеры Есть - Есть Есть Есть Есть
Запрет доступа к
конфиденциальным
файлам на рабочей
станции для заданных
приложений
Нет - Нет Есть Есть Нет
Очистка диска
рабочей станции от
конфиденциальных
данных (перемещение
в карантин)
Нет - Разрабатывается, планируемый срок реализации конец 2 квартала Есть Есть Нет
Ограничения доступа в
зависимости от типа
съемного носителя
(производитель, серия,
модель, экземпляр)
Есть - Есть Есть Есть Есть
Возможность разрешать
копирование только на
доверенные носители
Есть - Есть Есть Есть Есть
Автоматическое
определение реального
владельца данных на
основе заданных
критериев
Нет - Разрабатывается, планируемый срок реализации конец 2 квартала Есть Нет Нет
Контроль буфера
обмена
Нет - Есть Есть Есть Есть
Контроль копирования
из общих папок
Нет - Нет Есть, с возможностью блокировки Нет Нет
Контроль копирования
в общие папки
Нет - Нет Есть, с возможностью блокировки Есть Есть
Контроль источников
хранимых данных
Хранение документов  на  рабочих  местах,  сетевых  папках, в базах данных, почтовых архивах, системах электронного документооборота, с возможностью поиска и перемещения (для рабочих станций и сетевых папок) - Разрабатывается, планируемый срок реализации конец 2 квартала Хранение документов  на  рабочих  местах,  сетевых  папках, в базах данных, почтовых архивах, системах электронного документооборота с возможностью поиска и перемещения (для рабочих станций и сетевых папок) Хранение документов  на  рабочих  местах,  сетевых  папках и в  библиотеках Microsoft SharePoint Хранение документов  на  рабочих  местах,  сетевых  папках и в библиотеках Microsoft SharePoint
Мониторинг состояния
в режиме онлайн
Есть - Есть (сохранением полной истории обращений, построение гибкой отчетности, настройка уведомлений о необычных событиях и попытках доступа) Есть (сохранение полной истории обращений, построение гибкой отчетности, настройка уведомлений о необычных попытках доступа) Есть Есть

 

Мониторинг агентов и их защита

  InfoWatch Traffic Monitor Enterprise Дозор Джет SecurIT Zgate и Zlock Symantec DLP Websense DSS Trend Micro DLP
Возможность в режиме online контролировать клиентские компьютеры Есть - Есть Есть Есть Есть
Контроль работы агента Есть - Есть Есть Есть Есть
Контроль политик агента Есть - Есть Есть Есть Есть
Возможность настройки реагирования на события Есть - Есть Есть Есть Есть
Защита агента от удаления или выключения Есть - Есть Есть Есть Есть
Контроль целостности Есть - Есть Есть Есть Есть (клиент
скрыт от несанкциони-
рованного
доступа)


Управление системой и обработка инцидентов

  InfoWatch Traffic Monitor Enterprise Дозор Джет SecurIT Zgate и Zlock Symantec DLP Websense DSS Trend Micro DLP
Собственная консоль Есть Есть (веб-консоль) Есть Есть (веб-консоль) Есть (веб-консоль) Есть (веб-консоль)
Разделение ролей администратора и офицера безопасности Любое количество настраиваемых ролей + преднастроенные роли Поддерживается несколько ролей + стандартные преднастроенные роли Поддерживается несколько ролей + делегирование прав между ролями Любое количество настраиваемых ролей + преднастроенные роли Поддерживается несколько ролей + преднастроенные роли Поддерживается несколько ролей + делегирование прав между ролями
Настройка оповещений Офицера безопасности,  пользователя (будет реализовано в след. версии) Владельца информации, офицера безопасности, пользователя Офицера безопасности, аудитора или любого другого заранее указанного адресата Офицера безопасности, пользователя, его руководителя или любого другого заранее указанного адресата Офицера безопасности, пользователя Офицера безопасности, пользователя
Предоставляемые   возможности по реагированию на инциденты Эскалация инцидента, разрешение прохождения  заблокированного, закрытие инцидента, запуск скрипта, перенаправление электронной почты на шлюз шифрования разрешение с записью об инциденте или запрещение на пропуск задержанного сообщения. Эскалация инцидента, разрешение прохождения  заблокированного, закрытие инцидента, помещение в архив. Эскалация инцидента, разрешение прохождения  заблокированного, закрытие инцидента, запуск скрипта, помещение в карантин. Эскалация инцидента, разрешение прохождения  заблокированного, закрытие инцидента, помещение в архив, запуск скрипта, а также любая настраиваемая последовательность действий. Эскалация инцидента, разрешение прохождения  заблокированного, закрытие инцидента, запуск скрипта, перенаправление электронной почты на шлюз шифрования. Эскалация инцидента, разрешение прохождения  заблокированного, закрытие инцидента.
Анализ событий, зафиксированных системой Есть, через консоль Есть, через веб-консоль Есть, через консоль Есть, через веб-консоль Есть, через веб-консоль Есть, через веб-консоль
Сохранение истории инцидентов для последующего анализа Есть (включая хранение протокола всех инцидентов, карантина задержанных объектов, неограниченное хранение истории для будущих расследований) Есть (протокол инцидентов и архив сообщений для расследований) Есть (протокол инцидентов, карантин задержанных сообщений и копии перехваченных объектов) Есть (протокол инцидентов и всех сопутствующих объектов, неограниченное их хранение для будущих расследований) Есть (протокол инцидентов и копии перехваченных объектов) Есть (протокол инцидентов и копии перехваченных объектов)
Запрещение на пропуск задержанного сообщения или разрешение с записью об инциденте Есть Офицер безопасности может пропустить или задержать сообщение, есть возможность запросить подтверждение отправления у сотрудника. Через карантин (офицер безопасности решает, пропускать или задержать подозрительное сообщение или письмо) Сотруднику предлагается указать причину необходимости отправки данных (самостоятельно или выбрать из списка), что будет отражено в информации об инциденте Сотруднику отправляется специальное оповещение по e-mail о нарушении, ответ на которое разблокирует сообщение и выпускает его из карантина Сотруднику предлагается указать причину необходимости отправки данных, что будет отражено в инциденте в консоли офицера безопасности

Система отчетности о работе DLP-системы

  InfoWatch Traffic Monitor Enterprise Дозор Джет SecurIT Zgate и Zlock Symantec DLP Websense DSS Trend Micro DLP
Возможность
построения
отчетов о
нарушениях
Собственные графики и отчеты системы Собственные графики и отчеты системы Собственные отчеты в виде журнала событий Собственные графики и отчеты системы + наличие Reporting API для интеграции со сторонними системами Собственные графики и отчеты системы Собственные графики и отчеты системы
Варианты получения
отчетов о нарушениях
По электронной почте, через консоль По электронной почте и через консоль По электронной почте и через консоль По электронной почте и через консоль По электронной почте и через консоль По электронной почте и через консоль
Временная запись
отчёта в локальное
хранилище в случае
недоступности сервера
Есть Есть Есть Есть Есть Есть
Экспорт отчетов Есть Есть Есть (текстовый ANSI, текстовый Unicode и XML) Есть Протоколы инцидентов доступны в формате xml-файлов Есть (PDF, Excel, HTML)
Логирование
действий
администраторов
системы
Есть Есть Есть Полная история всех действий, даже для инцидентов, удаленных из системы Есть Есть

Интеграция с решениями сторонних производителей

  InfoWatch Traffic Monitor Enterprise Дозор Джет SecurIT Zgate и Zlock Symantec DLP Websense DSS Trend Micro DLP
Интеграция с любыми сторонними утилитами посредством встроенных API Нет Есть Есть Есть Нет Нет
Интеграция со сторонними решениями Oracle IRM, IBM TSOM, Alladdin eSafe, Cisco IronPort, Bluecoat ProxySG, Lumension Device Control, DeviceLock, ArcSight (будет в версии 4.0) Lumension Device Control, ArcSight, NetForensics, антивирусы (kav,drweb), категоризаторы (iss, iadmin) Microsoft RMS, Oracle IRM, ABBYY FineReader, и т. д. Microsoft RMS, Oracle IRM, PGP и т.д. Websense Web security, Safend Protector, Lumension Device Control Поддерживает отправку данных через syslog (обычно идет в привязке к SIEM)
Интеграция с прокси-серверами С прокси-серверами, поддерживающими ICAP Bluecoat, McAffe, eSafe - ICAP С прокси-серверами, поддерживающими ICAP, а также с Microsoft ISA Server С прокси-серверами, поддерживающими ICAP, а также с Microsoft ISA Server С прокси-серверами, поддерживающими ICAP Нет
Интеграция с почтовыми серверами С любым SMTP-сервером Интеграция с Exchange и Lotus - через журналирование С любыми SMTP-серверами, в т. ч. Microsoft Exchange 2007/2010 С любым SMTP-сервером С любым SMTP-сервером Для корпоративных систем – Lotus Domino и Microsoft Exchange
Интеграция с Active Directory Есть Есть Есть Есть Есть Есть
Инсталляция и управление через групповые политики Есть Нет Есть Есть Есть Только для политик безопасности

В силу широкого спектра решаемых DLP-системами задач, мы не делали их однозначных выводом о превосходстве того или иного продукта. Мы надеемся, что по результатам проведенного сравнения каждый читатель сможет самостоятельно определиться, какая из DLP-систем больше других подходит для его целей. Ведь в каждом конкретном случае потенциальный заказчик сам знает, какие технологии или функциональные возможности для него наиболее важны, а значит, сможет сделать из сравнения правильный именно для него вывод.

Мы не будем останавливаться на достигнутом и в дальнейшем планируем проводить более глубокие сравнения DLP-систем, как по отдельным группам критериев, так и по их реальной технологической эффективности.

Первая часть сравнения »

 

Авторы:

Алексей Баранов
Илья Шабанов

Подпишитесь
в Facebook

Я уже с вами
Telegram AMПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.

RSS: Новые статьи на Anti-Malware.ru