Сравнение систем защиты от утечек (DLP) 2014 - часть 2

Сравнение систем защиты от утечек (DLP) 2014 - часть 2

В современных реалиях при сравнении DLP-систем на первое место начинают выходить их возможности по анализу перехваченной информацию и удобстве проведения ретроспективных расследований. Мало просто перехватывать и хранить данные – без автоматизации поисковых процессов полезность DLP-систем уменьшается пропорционально количеству контролируемых машин. Вторая часть нашего большого сравнения DLP-систем будет посвящена аналитическим возможностям, поиску несанкционированных копий конфиденциальных данных в корпоративной сети, ретроспективному анализу и отчетности.

 

  

 

Первая часть ставнения » 


1. Еще раз о методологии сравнения

2. Сравнение DLP-систем

2.1 Мониторинг и защита агентов

2.2 Контроль пользователей

2.3 Поиск конфиденциальной информации в сети предприятия

2.4 Возможные реакции на инцидент

2.5 Аналитические возможности

2.6 Хранение, ретроспективный анализ и отчётность

2.7 Лицензирование

 

Еще раз о методологии сравнения

Краеугольным камнем любого сравнения является набор критериев, по которому оно производится. Их количество зависит от ряда факторов: степени глубины исследования, а также степенью различий между системами, которую мы хотим подчеркнуть. В то же время важно не только количество выбранных в рамках сравнения критериев, но и развёрнутые ответы по каждому из них, так как сравниваемые системы могут серьезно различаться даже на этом уровне.

Следуя этому принципу, мы отобрали более 200 критериев, сравнение по которым призвано упростить для заказчика сравнение и выбор DLP-системы. К некоторым из критериев были добавлены пояснения. Для удобства все сравнительные критерии были разделены на следующие категории:

  1. Общая информация
  2. Общие сведения:
    1. системные требования;
    2. режимы работы;
    3. режимы перехвата информации;
    4. возможности интеграции;
    5. мониторинг и защита агентов;
    6. производительность и отказоустойчивость.
  3. Контролируемые каналы:
    1. электронная почта (протоколы SMTP, POP3, IMAP, MAPI, NNTP, S/MIME);
    2. системы мгновенного обмена сообщений (протоколы OSCAR, MMP, MSN, XMPP, YMSG, HTTPIM, Microsoft Lync, Skype);
    3. протокол HTTP и его модификации;
    4. протоколы FTP и P2P;
    5. туннелирующие протоколы (IP-in-IP, L2TP, PPTP, PPoE и другие);
    6. внешние устройства (USB, DVD/CD-ROM, COM, LPT, USB, IrDA, FireWire, модемы, Bluetooth, принтеры, сетевые принтеры, камеры, сканеры и т.д.);
    7. мобильные устройства;
    8. прочие протоколы;
  4. Контроль действий корпоративных пользователей (Employee Management);
  5. Поиск конфиденциальной информации в сети предприятия (eDiscovery);
  6. Возможные реакции на инцидент;
  7. Аналитические возможности;
  8. Хранение, ретроспективный анализ, отчётность;
  9. Лицензирование.

На основена результатов проведенного ранее Анализа рынка систем защиты от утечек конфиденциальных данных (DLP) в России 2011-2013 для участия в сравнении было отобрано восемь наиболее известных и популярных в России комплексных DLP-систем:

Российские:

  1. Дозор Джет 5.0.1
  2. InfoWatch Traffic Monitor Enterprise 5.1
  3. Falcongaze SecureTower 5.1
  4. МФИ Софт Гарда Предприятие 2.1.4
  5. SearchInform (Контур информационной безопасности)
  6. Zecurion Zgate 4.0, Zlock 5.0, Zdiscovery 2.0

Зарубежные:

  1. GTB DLP Suite 14.8.4
  2. Symantec Data Loss Prevention (DLP) 12.0.1

 

Все производители перечисленных выше DLP-систем активно участвовали в выработке списка критериев сравнения и помогали со сбором необходимой информации. К сожалению мы были вынужденны исключить из сравнения DLP-системы от McAfee и Websense в силу пассивности этих компаний. Как следствие, не представлялось возможным получить, проверить и опубликовать достоверную информацию о характеристиках их продуктов.

В силу широкого спектра решаемых DLP-системами задач, мы не делали их итогового ранживания сравниваемых DLP-систем. Мы надеемся, что ознакомившись с представлеными нами результатами сравнения, каждый читатель сможет самостоятельно решить, какая из DLP-систем наиболее подходит для его целей. Ведь в каждом конкретном случае потенциальный заказчик сам определяет требования к технологиям или функциональным возможностям решения, а значит, сможет сделать из сравнения правильный именно для него вывод.

Во второй части нашего сравнения будут приведены сведения о мониторинге и защите агентов, контроле пользователей, поиску конфиденциальной информации в сети предприятия, аналитическим возможностям, хранении, ретроспективному анализу, отчётности и лицензированию.

Внимание! Результаты сравнения по категориям 1-3 опубликованы в первой части

 

Сравнение DLP-систем

Мониторинг и защита агентов

  Дозор-Джет Falcongaze GTB InfoWatch МФИ Софт SearchInform Symantec Zecurion
Контроль работы агентов Да Да Да Да Да Да Да Да
Защита от выключения и удаления Да Да Да Да Да Да Да Да
Контроль целостности агента Да Да Да Да Да Да Да Да
Маскировка агента в системе Да Да Да Нет Да Да Да Да
Работа агента при загрузке Windows в безопасном режиме Да Да Да Да Нет Да Да Да
Контроль политик агента Да Да Да Да Да Да Да Да
Возможность настройки реагирования на события Да Да Да Да Да, оповещение администратора о критических событиях Да Да, отправка отчета о критических агентах Да

 

Контроль пользователей

  Дозор-Джет Falcongaze GTB InfoWatch МФИ Софт SearchInform Symantec Zecurion
Снимки экрана Да, с возможностью выбора режима Да, с заданным интервалом времени или при смене окна активного процесса Нет Нет, планируется в 2014 году Да Да Нет, но можно отключить возможность делать снимки Да
Просмотр рабочего стола в режиме реального времени Нет Нет, планируется в 2014 году Нет Нет Нет Да Нет Нет
Запись звука через микрофон ноутбука или подключённую гарнитуру Нет Нет, планируется в 2014 году Нет Нет Нет Да, запись можно производить как непрерывно, так и при запуске определённых приложений, настраиваемые профили "в офисе" и "вне офиса" Нет Нет
Протоколирование времени работы в приложениях Нет Да Да Нет Да, журналирование процессов Да Нет Нет
Протоколирование времени, проведённого на той или иной вкладке браузера Нет Нет Нет Нет Да Нет, планируется в 2014 году Нет Нет
Контроль запуска приложений Да Нет, планируется в 2014 году Да Нет, планируется в 2014 году Да Да Нет, но возможно при использовании агентов Symantec Endpoint Protection или Critical System Protection Нет, планируется в 2014 году
Кейлоггер Нет Да Да Нет Да Да Нет Нет

 

Поиск конфиденциальной информации в сети предприятия

  Дозор-Джет Falcongaze GTB InfoWatch МФИ Софт SearchInform Symantec Zecurion
Сканирование рабочих станций Да Нет, планируется в 2014 году Да Да Нет Да Да Да
Сканирование общих сетевых хранилищ Да Нет, планируется в 2014 году Да Да Нет Да Да Да
Сканирование хранилищ Microsoft SharePoint Да Нет Да Да Нет Нет, планируется в 2014 году Да Да
Создание теневых копий найденных конф. документов Да Нет Да Да Нет Да Да Да
Запуск заданий вручную или по расписанию Вручную, по расписанию Нет Да Вручную, по расписанию Нет Вручную, по расписанию Вручную, по расписанию Вручную, по расписанию
Удаление или перемещение конфиденциальных данных в карантин Нет, планируется в 2014 году Нет, планируется в 2014 году Да Нет, планируется в 2014 году Нет Нет Да Да
Автоматическое определение первоначального владельца данных на основе заданных критериев Нет Нет, планируется в 2014 году Да Нет, планируется в 2014 году Нет Да, но только при ручном поиске Да Да
Определение доступа к файлу Нет Нет, планируется в 2014 году Да Определение пользователя разместившего документ, пользователей имеющих доступ к этому файлу, и применение на основе этих данных политик Нет Да, через DeviceSniffer Да Да
Специальные политики для зашифрованных файлов и файлов, защищённых паролем Да Нет Да Да Да Да Да Да

 

Реакция на инциденты

  Дозор-Джет Falcongaze GTB InfoWatch МФИ Софт SearchInform Symantec Zecurion
Запись в журнал Да Да Да Да Да, запись сеанса по заданным критериям Да Да Да
Сохранение файлов (теневое копирование) Да Да Да Да Да Да Да Да, для Zlock и Zgate
Уведомление администратора безопасности Да, по электронной почте Да, по электронной почте Да, по электронной почте Да, по электронной почте Да, по электронной почте или SMS Да, по электронной почте Да, по электронной почте или системе регистрация событий через SMTP, Syslog сообщения Да, по электронной почте или SMS
Блокировка соединения Да, SMTP, HTTP Да, SMTP, HTTP, SMTPs, HTTPs Да, любой протокол распознанный системой Да, SMTP, HTTP(S) Нет Да, только для SMTP Да, любой протокол распознанный системой Все контролируемые каналы (около 150 штук)
Карантин Да, SMTP, HTTP Да, SMTP, HTTP, SMTPs, HTTPs Да, только для SMTP Да, SMTP, HTTP(S) Нет Да, только для SMTP Да, при помощи интеграции с Symantec Messaging Gateway Да
Автоизменение сообщений Да (модуль реконструкции сообщений) Нет, планируется в 2014 году Нет Нет Нет Нет Да Да
Возможность использования внешних программ/скриптов Да Нет, планируется в 2014 году Нет Да Да, любой SQL-клиент для работы с базами данных Нет Да Да
Возможность задания условий для активизации определенных сценариев (триггеры) Да Нет Да Да Нет Нет Да, любая настраиваемая последовательность действий Да
Фильтрация мусорного трафика Да, алгоритмы минимизации сохраняемого в БД трафика Да (по IP-адресам или их диапазонам, по сетевым портам, по MAC-адресам сетевых карт, по логинам, по протоколам, по размеру передаваемых файлов, электронных писем и т.д.) Да  (поддерживается исключение информации по: доменному имени, IP-адресу, почтовому ящику, хосту, группе в Active Directory) Да (фильтрации мусорного веб-трафика с применением технологий анализа и по доменному имени, фильтрация служебных сообщений MS Exchange, фильтрация служебных сообщений формируемых мобильными приложениями для синхронизации с почтовыми службами) Да  (поддерживается исключение информации по: доменному имени, IP-адресу, MAC-адресу, почтовому ящику, ключевым словам или хосту) Да (поддерживается исключение информации по: доменному имени, IP-адресу, MAC-адресу, имени машины, почтовому ящику, ключевым словам, хосту, размеру и т.п.) Нет Да, можно отсеивать мусорный и служебный трафик

 

Аналитические возможности

  Дозор-Джет Falcongaze GTB InfoWatch МФИ Софт SearchInform Symantec Zecurion
Поиск по регулярным выражениям Да Да Да Да Да Да Да Да
Поиск по составным регулярным выражениям (несколько регулярных выражений, объединённых логикой) Да Да Да Да Нет Да Да Да
Алгоритмы автоматического обучения и настройки лингвистического анализатора (автолингвист) Да, извлечение ключевых фраз Нет Нет  Да, на наборе документов Да Нет Да, используя Vector Machine Learning (VML) Да, на наборе документов, в том числе отсканированных
Байесовский алгоритм Да Нет Нет Да Нет Нет Нет Да
Извлечение текста из  файлов (форматы) Поддержка всех форматов файлов MS Office (Word, Excel, Access, PowerPoint),  Open Office, PDF, Plain Text, архивы (RAR, ZIP, ARJ, GZIP, TAR) и др.;  Изменение формата или архивирование файла не влияет на возможности распознавания Все форматы документов Microsoft Office, Apache OpenOffice, Adobe Acrobat, RTF, HTML, XML, форматы почтовых сообщений Все основные форматы (более 400), в том числе вложенные в архивы. Все форматы документов Microsoft Office, OpenOffice + Adobe Acrobat, RTF, CHM и т.д. Поддержка всех форматов файлов Microsoft Office (Word, Excel, Access, PowerPoint),  Open Office, PDF, Plain Text, архивы (RAR, ZIP, ARJ, GZIP, TAR) и др.;  Изменение формата или архивирование файла не влияет на возможности распознавания 105 форматов (MS Office, OpenOffice, Old text formats и т.д.) Все основные форматы (более 400), в том числе вложенные в архивы, есть возможность добавлять свои форматы Все форматы документов Microsoft Office, Apache OpenOffice, Adobe Acrobat и другие приложений - всего более 500 форматов файлов
Контроль движения выгрузок из базы данных Да, любая СУБД Да, любая СУБД Да, любая СУБД Да, любая СУБД Да, любая СУБД Да, только Microsoft SQL Server Да, любая СУБД (технология EDM) Да, любая СУБД
Контроль движения заполненных форм Да Нет Да Да, в том числе заполненных от руки Да, на основе автокатегоризации Нет Нет Да
Контроль движения документов с печатями или подписями Да, контроль документов с печатями Нет Да Да, контроль документов с печатями и подписями Нет Нет Нет Да, контроль документов с печатями
Контроль движения отсканированных документов (без OCR, распознавание образов) Да  (определяет изображения печатей, штампов,  отсканированных документов) Нет Да, бинарные отпечатки Да, паспорта, кредитные карты. Возможность обучить систему распознавать другие документы, вне зависимости от заполнения. Нет Нет Нет Да
Контроль передвижения конкретного документа Да (через фильтры в системе отчетности) Нет Да Да Да Да, реализовано через функцию "Поиск похожих" и через цифровые отпечатки Да (с помощью цифровых отпечатков) Да, через функцию "Поиск похожего" и фильтры в системе отчётности
Модуль подключения ЭЦП (обеспечение юридической значимости электронных документов) Да (любую реализацию ЭЦП для Microsoft CryptoAPI) Нет Да Нет Нет Нет Нет Да, подключение сторонних модулей ЭЦП
Лингвистический анализ  (поиск слов по словарям) Да Да Да Да Да Да Нет Да
Морфологический анализ Русский, Английский, Немецкий Русский, английский Нет Русский, английский, немецкий, французский, испанский, итальянский, арабский, украинский Русский Русский, английский Нет Русский
Анализ на точное совпадение Любые символы любых языков Любые символы любых языков Любые символы любых языков Белорусский, румынский, латышский, азербайджанский, армянский, белорусский, вьетнамский, голландский, греческий, датский, иврит, казахский, малайский, португальский, турецкий, узбекский, урду, фарси, хинди Любые символы любых языков Любые символы любых языков Любые символы любых языков Все основные языки мира, в т. ч. русский, английский и ещё 190 других языков
Обработка зашифрованных файлов Да, создаётся уведомление и архивы с паролем и другие
зашифрованные файлы помещаются в специальное хранилище
Да, например, файлы Word,  Excel и PDF, архивы, письма с шифрованием PGP. Да, документ помечается как зашифрованный. Есть возможность настройки уведомления. Да, документ блокируется к передаче, либо логгируется его перемещение. Построение политик выявляющих наличие зашифрованных данных, уведомление в случае передачи шифрованных данных, (зашифрованные архивы, зашифрованные документы Microsoft Office, а также любые файлы в которых  было обнаружено искажение информации) Зашифрованные потоки/туннели, архивы с паролем и другие зашифрованные файлы помещаются в специальное хранилище Да, создаётся уведомление и документ помечается как нераспознанный Да, распознаются и блокируется передача зашифрованных форматов Microsoft Word, Nero, Adobe PDF, Microsoft PowerPoint, Microsoft Excel,
ZIP-архив, OpenPGP, возможность добавлять дополнительные типы
Да (специальные политики обработки для DOC, DOCX, XLS, XLSX, PPT, PPTX, PDF, ODB, ODF, ODG, ODP, RAR, ZIP)
Поддержка опечаток Нет Да, функция нечеткого поиска Нет Да Нет Да Нет Да
Поддержка транслитерации Нет, планируется в 2014 Да Нет Да Нет Нет Нет Да
Таблицы замен (символы, одинаковые по написанию) Нет, планируется в 2014 Нет Да Да Нет Да Нет Да
Поиск нераспознанных форматов Да Да Да Да Нет Да Да Да
Поиск по атрибутам информации Да Да Да Да Да, по свойствам документов Да Да Да
Предустановленные политики поиска Да, политики по умолчанию. Политики предоставляются по
 запросу клиента
Да. Выбор источников данных, типов и размеров файлов, пользователей, ip-адресов и т.д. Есть возможность создавать любые по сложности поисковые запросы.  Да, политики по умолчанию. Политики предоставляются по
 запросу клиента
Да, политики по умолчанию. Политики предоставляются по запросу клиента Да, политики предоставляются по заказу клиента Да, единая база политик собранная на основе работы с клиентами компании. Политики предоставляются по запросу клиента. Да, 14 различных Solution Pack Да, политики по умолчанию. Политики предоставляются по
 запросу клиента
Предустановленные текстовые шаблоны Номера банковских кард, БИК, ОКАТО, ФИО, ИНН, номера российских паспортов, СНИЛС и т.д. ИНН, бухгалтерские  отчёты и ведомости, номера российских паспортов, лиценвые счета, посещение соц. сетей, шифрованные файлы, злоупотребление месссенджерами и т.д. Да, порядка 80 предустановленных шаблонов ИНН, ОГРН, СНИЛС, БИК, ОКПО, ОКАТО, Паспортные данные, номера кредитных карт. Более 100 шаблонов, по следующим отраслям и странам: Отрасли: Финансы, Страхование, Нефтегазовая отрасль, Персональные данные, Производство, Телекоммуникации. Страны: Российская федерация, Королевство Саудовская Аравия, Республика Казахстан, Королевство Бахрейн, Объединение Арабские Эмираты, Социалистическая Республика Вьетнам, Республика Беларусь. Паспортные данные, ИНН, номера банковских карт и др.  СНИЛС, паспортные данные, адреса, ФИО, IP-адрес, номер счёта, ОКПО, ИНН, URL, свидетельство о рождении, военный билет, загран. паспорт (РФ), российский паспорт, номер банковской карты, номер телефона, email Финансовые и международные персональные данные, Российские персональные данные: Номера телефонов, ГТД, ИНН, VIN, СНИЛС, Паспорт, Военный билет, Водительское удостоверение, Банковский счет, Полис ОМС Паспортные данные (общероссийские и заграничные), номера телефонов, e-mail, номера водительских удостоверений, номера банковских счетов, номера пластиковых карт, БИК, ОКПО, ОГРН, ИНН, web-адреса, ФИО и другие - всего 24 + мастер создания других шаблонов
Предустановленные тематические словари Отрасли: банки, промышленность, страховые компании. Поиск работы, первичная документация, финансовая документация, словарь конфиденциальных документов (названия) и другие Нет ОТРАСЛИ: Авиапромышленная, агропромышленная, банковская, нарушение законадательства, нефтегазовая, телеком, энергетическая, строительная, юридическая, финансовая, продажи, кадровая, логистика, гостайна, налоги, IT ЯЗЫКИ: русский, молдавский, азербайджанский, английский, арабский, казахский, немнецкий, польский, французский, вьетнамский, греческий, испанский, молдавский, польский, португальский, узбекский, украинский Словари составляются по запросу клиента. Предустановлены словари бухгалтерской тематики, поиска работы. Словари составляются по запросу клиента. Предустановлены словари бухгалтерской тематики, алкогольной тематики, словарь мата и т.д. Нет Организации, бизнес, адреса, договора, нормативные документы, медицина, финансы, грифованная информация, различные отрасли и многие другие - всего около 40 словарей
Применение верифицирующих функций для анализа текста Да, для всех текстовых шаблонов Да, для всех текстовых шаблонов Да, для всех текстовых шаблонов Да, для всех текстовых шаблонов Нет Для регулярных выражений. Валидация номера банковской карты, ИНН, ОКПО, номера паспорта РФ, имя (кирил.), имя отчество (кирил), РНН, ОМС (номер полиса обязательного медицинского страхования), имя (русское имя, написанное транслитом), имя (англ.)) Custom script, шаблоны из регулярных выражений Для всех предустановленных текстовых шаблонов
Технология снижения ложноположительных срабатываний Да, методом изменения порогов срабатывания при лингвистическом анализе Установка порога процентного совпадения документа, анализ источники файлов,  отсечение мусорных URL-адресов и т.д. Да, методом изменения порогов срабатывания В лингвистическом анализе ложноположительные срабатывания составляет менее 15%.  Нет Да, возможность задавать порог релевантности при анализе с помощью "Поиска похожих" и цифровых отпечатков Да, путем корректировки и уточнения политик Да - задание пороговых значений по каждой категории
Прочие алгоритм, в том числе алгоритмы с ИИ Выделение ключевых фраз Статистический анализ на аномалии поведенения пользователей Нет Да, векторная корреляция, алгоритм Виолы-Джонса, метод опорных векторов Да, векторная корреляция Нет Да, Vector Machine Learning (VML) + дополнительные проверки для номеров карт, данных магнитной ленты и т.д. Zecurion SmartID 
Распознавание графики (OCR) Нет, планируется в 2014 Да Да Да, ABBYY FineReader, Tesseract OCR ABBYY Recognition Server Nicomsoft OCR или ABBYY Recognition Server Возможно подключение систем OCR через API (Content Extraction Plugin) ABBYY FineReader, Tesseract OCR
Извлечение текста из графических передаваемых по каналам (при помощи OCR) Нет Да Да Любые контролируемые каналы Любые контролируемые каналы Задания на печать Любые контролируемые каналы на уровне шлюза Любые контролируемые каналы на уровне шлюза
Гибридный анализ (комбинация разиличных методов обнаружения в единый поисковый запрос) Да, с возможностью указать логику, каналы поиска и
содержимое. Регулярные выражения, поиск похожих, словари, атрибуты информации, фразеологиеский поиск и др.
Да, объединение любых критериев анализа Да Единый классификатор объединяющий все технологии анализа Да, логическое объединение критериев анализа Да, в запрос с помощью скобок и логических операторов AND, OR, NOT можно объединить: фразовый поиск, поиск по словарю, поиск похожих, поиск нераспознанных, поиск по атрибутам информации и регулярные выражения Да, объединение любых критериев анализа Единый классификатор объединяющий все технологии анализа
Цифровые отпечатки документов (бинарные) Да Нет Да Да Нет Нет Да Да
Цифровые отпечатки документов (текст) Да Да Да, в том числе снятия отпечатков с баз данных поддерживающих ODBC подключение Да Да Да Да Да
Цифровые отпечатки исключения Да Да Да Да Нет Нет Да Нет
Контроль передвижения файлов без снятия отпечатков (по формату) Более 100 вариантов архивов , более 150 типов документов и известных бинарных данных  Все основные форматы (более 400), в том числе вложенные в архивы. Да, по расширению Да, для сотен наболее распростаненных форматов файлов Нет Да, для определения формата используется библиотека сигнатур на 15000 форматов Все основные форматы (более 400), в том числе вложенные в архивы, есть возможность добавлять свои форматы Да, все документированные MIME-типы
Максимальный размер события подвергающегося анализу 4 Гб Без ограничений Без ограничений 4 Гб Без ограничений Настраиваемый размер Настраиваемый размер Настраиваемый размер
Поддерживаемые кодировки ASCII, DOS, UTF-8, UTF-16, ISO8859_5 (cyrillic), ISO8859_6 (arabic), ISO8859-9 (latin-5), Windows-1251, Windows-1252, Windows-1254, Windows-1256, Windows-1258, KAZWIN, KOIR8-R, KOIR8-U, IBM866, MAC-CYRILLIC, VISCII ASCII, DOS, UTF-8, UTF-16, ISO8859_5 (cyrillic), ISO8859_6 (arabic), ISO8859-9 (latin-5), Windows-1251, Windows-1252, Windows-1254, Windows-1256, Windows-1258, KAZWIN, KOIR8-R, KOIR8-U, IBM866, MAC-CYRILLIC, VISCII и т.д. ASCII, UTF-8, UTF-16, ISO8859_5 (cyrillic), ISO8859_6 (arabic), ISO8859_9 (latin-5), Windows_1251, Windows_1252, Windows_1254, Windows_1256, Windows_1258, KAZWIN, KOIR8_R, KOIR8_U, IBM866, MAC_CYRILLIC, VISCII и многие другие. ASCII, UTF-8, UTF-16, ISO8859_5 (cyrillic), ISO8859_6 (arabic), ISO8859_9 (latin-5), Windows_1251, Windows_1252, Windows_1254, Windows_1256, Windows_1258, KAZWIN, KOIR8_R, KOIR8_U, IBM866, MAC_CYRILLIC, VISCII win 1251, koi8-r, dos, iso, mac, utf8, utf16LE, utf16BE, utf32LE, utf32BE win 1251, koi8-r, dos, iso, utf8, utf16LE, utf16BE ASCII, DOS, UTF-8, UTF-16, ISO8859_5 (cyrillic), ISO8859_6 (arabic), ISO8859-9 (latin-5), Windows-1251, Windows-1252, Windows-1254, Windows-1256, Windows-1258, KAZWIN, KOIR8-R, KOIR8-U, IBM866, MAC-CYRILLIC, VISCII Любые кодировки

 

Хранение, ретроспективный анализ и отчётность

  Дозор-Джет Falcongaze GTB InfoWatch МФИ Софт SearchInform Symantec Zecurion
Разделение ролей администратора и офицера безопасности Да Поддерживается несколько ролей + преднастроенные роли и возможность создавать свои роли с любой комбинацией прав Предусмотрены три роли: администратор, офицер безопастности, отвечающий на события Владелец информации, Аналитик, офицер безопасности, администратор системы,  Да Предусмотрены три роли: аналитик, офицер безопасности, администратор системы Да, любое количество гибко настраиваемых ролей + преднастроенные роли Да, любое количество настраиваемых ролей + преднастроенные роли
Разграничение прав на доступ к перехваченной информации Да Да Да, в том числе возможность блокирование показа определенной информации определенным пользователям Разгроничение доступа, в зависимости, от отправителей, получателей, вхождение участников переписки в группы AD, результатов анализа, тегов и.т.д Да Да, действует на учётную запись, из-под которой ведётся работа. Это дополнительное ограничение к ролям системы. Да Да, для всех пользователей с доступом к консоли управления
Возможность экспорта отчетов HTML, CSV Да Да PDF, HTML, MHT, RTF, XLS, CSV, TXT, BPM, JPG Да XLS, HTML, XML, TXT HTML, CSV, некоторые отчеты HTML, CSV, PDF Да, (текстовый ANSI, текстовый Unicode и XML, HTML, CSV)
Протоколирование действий администраторов Да Да Да Да Да Да Да Да
Гибридное хранилище перехваченных данных Да, СУБД + файловое хранилище Нет Да Нет Да, СУБД + файловое хранилище Да, СУБД + файловое хранилище Нет Нет
Выгрузка исходных перехваченных данных Да Да Да, только для файлов. Для переданых сообщений - текст внутри описания события Да Да Да Да, к инцидентам прикладываются оригинальные сообщения и вложения Да
Поиск похожего документа в архиве Да,  автоматическое выделение ключевых фраз из документа Да Да, по ряду критериев Да Да Да Да, по имени Да
Выгрузка перехваченных данных с извлеченными данными и результатами анализа Да Да, выгрузка в том виде в котором был перехвачен документ с вложениями и оргинальным форматированием, также есть возможность выгрузки в Excel Вложения в том виде в котором они были отправлены Вложения в том виде в котором они были отправлены Да Да, выгрузка в HTML Да, на печать или отправка по Email Да
Графические отчеты Да Да Да Да Нет (в разработке) Да Да Да
Граф-анализатор взаимодействий персонала Нет Да Да Нет, планируется в 2014 Нет (в разработке) Да Нет, но возможно в Symantec Clearwell Нет
Предустановленные отчеты Да, более 10 отчетов Да, более 40 отчетов Да Да, более 60 отчетов Нет Да Да Да, 14 отчетов
Пользователь имеет возможност задать свою форму отчета, и срез данных Да, любая выборка через систему фильтров Да Да Да Да Да Да Да
Рейтинг нарушитилей Да (персоны, домены, адреса) Да Да Нет, планируется в 2014 Нет Да Да Нет
Карточки сотрудников (IP-адреса, адреса  e-mail, IM, Skype и т.д.) Да, включая персональную статистику с возможностью
учитывать ее при фильтрации сообщений
Да Нет, проводится фильтрация с помощью LDAP Да Да Нет, планируется в 2014 Да Да, в карточке описывается полный профиль сотрудника, используемые им логины и учётные записи в различных системах (например, логин ICQ, адреса в почтовых системах и т. д.) и другие реквизиты
Построение контентных маршрутов Да Да Да Да Нет Да, но вручную средствами общего клиента SearchInform Нет Да, но вручную на основе анализа записей их архива событий
Формирование запросов на основе выбранного инцидента ил Да Да, с полной корреляцией событий Да Нет Нет Да Да
Быстрый поиск собеседников выбранного сотрудника и всей истории общения с ним Да Да Да Формирвоания запроса на основе участников переписки указанных в событии Нет Да Нет Да, режим отчета «Беседа»
Статистика работы пользователей с установленными программами Нет Да Нет Нет, планируется в 2014 Да Да Нет Нет

 

Лицензирование

  Дозор-Джет Falcongaze GTB InfoWatch МФИ Софт SearchInform Symantec Zecurion
Описание политики лицензирования Политика лицензирования учитывает кол-во
пользователей и типы контролируемых устройств
Политика лицензирования учитывает кол-во
пользователей и типы контролируемых каналов коммуникации
Политика лицензирования учитывает количество пользователей Политика лицензирования учитывает кол-во
пользователей, контролируесые каналы и используемые технологии анализа
 Базовая - по скорости трафика в точке съема (Mbps)
Агенты РМ - по количеству рабочих мест
Политика лицензирования учитывает количество пользователей и количество контролируемых каналов Политика лицензирования учитывает кол-во
пользователей и каналов мониторинга
Политика лицензирования учитывает количество пользователей, используемые модули (каналы мониторинга и предотвращения утечек).
Калькулятор цен dozor-jet.ru falcongaze.ru gtbtechnologies.com infowatch.ru mfisoft.ru searchinform.ru Нет По запросу заказчика

  

В силу широкого спектра решаемых DLP-системами задач, мы не делали однозначных выводов о превосходстве того или иного продукта. Мы надеемся, что по результатам проведенного сравнения каждый читатель сможет самостоятельно определиться, какая из представленных DLP-систем больше других подходит для его задач. Ведь в каждом конкретном случае потенциальный заказчик сам знает, какие технологии или функциональные возможности для него наиболее важны, а значит, сможет сделать из сравнения правильный именно для него вывод.

Мы не будем останавливаться на достигнутом и в дальнейшем планируем проводить более глубокие сравнения DLP-систем по их реальной технологической эффективности.

 

Коллектив Anti-Malware.ru выражает особую благодарность за помощь в подготовке данного материала коллегам:

Дмитрий Горлянский, Руководитель группы поддержки, MФИ-Софт

Алексей Дрозд, Директор учебного центра SearchInform, SearchInform

Владимир Емышев, Менеджер по продуктам, NGS Distribution

Владимир Кадыко, Руководитель технической поддержки, Falcongaze

Анна Кирсанова, Менеджер по PR и рекламе, MФИ-Софт

Александр Клевцов, Менеджер по развитию направления DLP, InfoWatch

Виталий Коршун, Специалист технической поддержки, Falcongaze

Сергей Макаревич, Руководитель отдела тестирования, SearchInform

Иван Мершков, Начальник службы технической поддержки, SearchInform

Дмитрий Михеев, Эксперт Центра информационной безопасности компании Инфосистемы Джет

Алексей Павельев, Менеджер по разработке продукта, MФИ-Софт

Ксения Репина, PR-директор, Falcongaze

Юлия Сорокина, PR-менеджер, Инфосистемы Джет

Владимир Ульянов, Руководитель аналитического центра, Zecurion

 

Внимание! Результаты сравнения по остальным критериям опубликованы в первой части сравнения.

    

Полезные ссылки: 
Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новые статьи на Anti-Malware.ru