...
В современных реалиях при сравнении DLP-систем на первое место начинают выходить их возможности по анализу перехваченной информацию и удобстве проведения ретроспективных расследований. Мало просто перехватывать и хранить данные – без автоматизации поисковых процессов полезность DLP-систем уменьшается пропорционально количеству контролируемых машин. Вторая часть нашего большого сравнения DLP-систем будет посвящена аналитическим возможностям, поиску несанкционированных копий конфиденциальных данных в корпоративной сети, ретроспективному анализу и отчетности.
1. Еще раз о методологии сравнения
2.1 Мониторинг и защита агентов
2.3 Поиск конфиденциальной информации в сети предприятия
2.4 Возможные реакции на инцидент
2.6 Хранение, ретроспективный анализ и отчётность
Еще раз о методологии сравнения
Краеугольным камнем любого сравнения является набор критериев, по которому оно производится. Их количество зависит от ряда факторов: степени глубины исследования, а также степенью различий между системами, которую мы хотим подчеркнуть. В то же время важно не только количество выбранных в рамках сравнения критериев, но и развёрнутые ответы по каждому из них, так как сравниваемые системы могут серьезно различаться даже на этом уровне.
Следуя этому принципу, мы отобрали более 200 критериев, сравнение по которым призвано упростить для заказчика сравнение и выбор DLP-системы. К некоторым из критериев были добавлены пояснения. Для удобства все сравнительные критерии были разделены на следующие категории:
- Общая информация
- Общие сведения:
- системные требования;
- режимы работы;
- режимы перехвата информации;
- возможности интеграции;
- мониторинг и защита агентов;
- производительность и отказоустойчивость.
- Контролируемые каналы:
- электронная почта (протоколы SMTP, POP3, IMAP, MAPI, NNTP, S/MIME);
- системы мгновенного обмена сообщений (протоколы OSCAR, MMP, MSN, XMPP, YMSG, HTTPIM, Microsoft Lync, Skype);
- протокол HTTP и его модификации;
- протоколы FTP и P2P;
- туннелирующие протоколы (IP-in-IP, L2TP, PPTP, PPoE и другие);
- внешние устройства (USB, DVD/CD-ROM, COM, LPT, USB, IrDA, FireWire, модемы, Bluetooth, принтеры, сетевые принтеры, камеры, сканеры и т.д.);
- мобильные устройства;
- прочие протоколы;
- Контроль действий корпоративных пользователей (Employee Management);
- Поиск конфиденциальной информации в сети предприятия (eDiscovery);
- Возможные реакции на инцидент;
- Аналитические возможности;
- Хранение, ретроспективный анализ, отчётность;
- Лицензирование.
На основена результатов проведенного ранее Анализа рынка систем защиты от утечек конфиденциальных данных (DLP) в России 2011-2013 для участия в сравнении было отобрано восемь наиболее известных и популярных в России комплексных DLP-систем:
Российские:
- Дозор Джет 5.0.1
- InfoWatch Traffic Monitor Enterprise 5.1
- Falcongaze SecureTower 5.1
- МФИ Софт Гарда Предприятие 2.1.4
- SearchInform (Контур информационной безопасности)
- Zecurion Zgate 4.0, Zlock 5.0, Zdiscovery 2.0
Зарубежные:
- GTB DLP Suite 14.8.4
- Symantec Data Loss Prevention (DLP) 12.0.1
Все производители перечисленных выше DLP-систем активно участвовали в выработке списка критериев сравнения и помогали со сбором необходимой информации. К сожалению мы были вынужденны исключить из сравнения DLP-системы от McAfee и Websense в силу пассивности этих компаний. Как следствие, не представлялось возможным получить, проверить и опубликовать достоверную информацию о характеристиках их продуктов.
В силу широкого спектра решаемых DLP-системами задач, мы не делали их итогового ранживания сравниваемых DLP-систем. Мы надеемся, что ознакомившись с представлеными нами результатами сравнения, каждый читатель сможет самостоятельно решить, какая из DLP-систем наиболее подходит для его целей. Ведь в каждом конкретном случае потенциальный заказчик сам определяет требования к технологиям или функциональным возможностям решения, а значит, сможет сделать из сравнения правильный именно для него вывод.
Во второй части нашего сравнения будут приведены сведения о мониторинге и защите агентов, контроле пользователей, поиску конфиденциальной информации в сети предприятия, аналитическим возможностям, хранении, ретроспективному анализу, отчётности и лицензированию.
Внимание! Результаты сравнения по категориям 1-3 опубликованы в первой части.
Сравнение DLP-систем
Мониторинг и защита агентов
| Дозор-Джет | Falcongaze | GTB | InfoWatch | МФИ Софт | SearchInform | Symantec | Zecurion | |
| Контроль работы агентов | Да | Да | Да | Да | Да | Да | Да | Да |
| Защита от выключения и удаления | Да | Да | Да | Да | Да | Да | Да | Да |
| Контроль целостности агента | Да | Да | Да | Да | Да | Да | Да | Да |
| Маскировка агента в системе | Да | Да | Да | Нет | Да | Да | Да | Да |
| Работа агента при загрузке Windows в безопасном режиме | Да | Да | Да | Да | Нет | Да | Да | Да |
| Контроль политик агента | Да | Да | Да | Да | Да | Да | Да | Да |
| Возможность настройки реагирования на события | Да | Да | Да | Да | Да, оповещение администратора о критических событиях | Да | Да, отправка отчета о критических агентах | Да |
Контроль пользователей
| Дозор-Джет | Falcongaze | GTB | InfoWatch | МФИ Софт | SearchInform | Symantec | Zecurion | |
| Снимки экрана | Да, с возможностью выбора режима | Да, с заданным интервалом времени или при смене окна активного процесса | Нет | Нет, планируется в 2014 году | Да | Да | Нет, но можно отключить возможность делать снимки | Да |
| Просмотр рабочего стола в режиме реального времени | Нет | Нет, планируется в 2014 году | Нет | Нет | Нет | Да | Нет | Нет |
| Запись звука через микрофон ноутбука или подключённую гарнитуру | Нет | Нет, планируется в 2014 году | Нет | Нет | Нет | Да, запись можно производить как непрерывно, так и при запуске определённых приложений, настраиваемые профили "в офисе" и "вне офиса" | Нет | Нет |
| Протоколирование времени работы в приложениях | Нет | Да | Да | Нет | Да, журналирование процессов | Да | Нет | Нет |
| Протоколирование времени, проведённого на той или иной вкладке браузера | Нет | Нет | Нет | Нет | Да | Нет, планируется в 2014 году | Нет | Нет |
| Контроль запуска приложений | Да | Нет, планируется в 2014 году | Да | Нет, планируется в 2014 году | Да | Да | Нет, но возможно при использовании агентов Symantec Endpoint Protection или Critical System Protection | Нет, планируется в 2014 году |
| Кейлоггер | Нет | Да | Да | Нет | Да | Да | Нет | Нет |
Поиск конфиденциальной информации в сети предприятия
| Дозор-Джет | Falcongaze | GTB | InfoWatch | МФИ Софт | SearchInform | Symantec | Zecurion | |
| Сканирование рабочих станций | Да | Нет, планируется в 2014 году | Да | Да | Нет | Да | Да | Да |
| Сканирование общих сетевых хранилищ | Да | Нет, планируется в 2014 году | Да | Да | Нет | Да | Да | Да |
| Сканирование хранилищ Microsoft SharePoint | Да | Нет | Да | Да | Нет | Нет, планируется в 2014 году | Да | Да |
| Создание теневых копий найденных конф. документов | Да | Нет | Да | Да | Нет | Да | Да | Да |
| Запуск заданий вручную или по расписанию | Вручную, по расписанию | Нет | Да | Вручную, по расписанию | Нет | Вручную, по расписанию | Вручную, по расписанию | Вручную, по расписанию |
| Удаление или перемещение конфиденциальных данных в карантин | Нет, планируется в 2014 году | Нет, планируется в 2014 году | Да | Нет, планируется в 2014 году | Нет | Нет | Да | Да |
| Автоматическое определение первоначального владельца данных на основе заданных критериев | Нет | Нет, планируется в 2014 году | Да | Нет, планируется в 2014 году | Нет | Да, но только при ручном поиске | Да | Да |
| Определение доступа к файлу | Нет | Нет, планируется в 2014 году | Да | Определение пользователя разместившего документ, пользователей имеющих доступ к этому файлу, и применение на основе этих данных политик | Нет | Да, через DeviceSniffer | Да | Да |
| Специальные политики для зашифрованных файлов и файлов, защищённых паролем | Да | Нет | Да | Да | Да | Да | Да | Да |
Реакция на инциденты
| Дозор-Джет | Falcongaze | GTB | InfoWatch | МФИ Софт | SearchInform | Symantec | Zecurion | |
| Запись в журнал | Да | Да | Да | Да | Да, запись сеанса по заданным критериям | Да | Да | Да |
| Сохранение файлов (теневое копирование) | Да | Да | Да | Да | Да | Да | Да | Да, для Zlock и Zgate |
| Уведомление администратора безопасности | Да, по электронной почте | Да, по электронной почте | Да, по электронной почте | Да, по электронной почте | Да, по электронной почте или SMS | Да, по электронной почте | Да, по электронной почте или системе регистрация событий через SMTP, Syslog сообщения | Да, по электронной почте или SMS |
| Блокировка соединения | Да, SMTP, HTTP | Да, SMTP, HTTP, SMTPs, HTTPs | Да, любой протокол распознанный системой | Да, SMTP, HTTP(S) | Нет | Да, только для SMTP | Да, любой протокол распознанный системой | Все контролируемые каналы (около 150 штук) |
| Карантин | Да, SMTP, HTTP | Да, SMTP, HTTP, SMTPs, HTTPs | Да, только для SMTP | Да, SMTP, HTTP(S) | Нет | Да, только для SMTP | Да, при помощи интеграции с Symantec Messaging Gateway | Да |
| Автоизменение сообщений | Да (модуль реконструкции сообщений) | Нет, планируется в 2014 году | Нет | Нет | Нет | Нет | Да | Да |
| Возможность использования внешних программ/скриптов | Да | Нет, планируется в 2014 году | Нет | Да | Да, любой SQL-клиент для работы с базами данных | Нет | Да | Да |
| Возможность задания условий для активизации определенных сценариев (триггеры) | Да | Нет | Да | Да | Нет | Нет | Да, любая настраиваемая последовательность действий | Да |
| Фильтрация мусорного трафика | Да, алгоритмы минимизации сохраняемого в БД трафика | Да (по IP-адресам или их диапазонам, по сетевым портам, по MAC-адресам сетевых карт, по логинам, по протоколам, по размеру передаваемых файлов, электронных писем и т.д.) | Да (поддерживается исключение информации по: доменному имени, IP-адресу, почтовому ящику, хосту, группе в Active Directory) | Да (фильтрации мусорного веб-трафика с применением технологий анализа и по доменному имени, фильтрация служебных сообщений MS Exchange, фильтрация служебных сообщений формируемых мобильными приложениями для синхронизации с почтовыми службами) | Да (поддерживается исключение информации по: доменному имени, IP-адресу, MAC-адресу, почтовому ящику, ключевым словам или хосту) | Да (поддерживается исключение информации по: доменному имени, IP-адресу, MAC-адресу, имени машины, почтовому ящику, ключевым словам, хосту, размеру и т.п.) | Нет | Да, можно отсеивать мусорный и служебный трафик |
Аналитические возможности
| Дозор-Джет | Falcongaze | GTB | InfoWatch | МФИ Софт | SearchInform | Symantec | Zecurion | |
| Поиск по регулярным выражениям | Да | Да | Да | Да | Да | Да | Да | Да |
| Поиск по составным регулярным выражениям (несколько регулярных выражений, объединённых логикой) | Да | Да | Да | Да | Нет | Да | Да | Да |
| Алгоритмы автоматического обучения и настройки лингвистического анализатора (автолингвист) | Да, извлечение ключевых фраз | Нет | Нет | Да, на наборе документов | Да | Нет | Да, используя Vector Machine Learning (VML) | Да, на наборе документов, в том числе отсканированных |
| Байесовский алгоритм | Да | Нет | Нет | Да | Нет | Нет | Нет | Да |
| Извлечение текста из файлов (форматы) | Поддержка всех форматов файлов MS Office (Word, Excel, Access, PowerPoint), Open Office, PDF, Plain Text, архивы (RAR, ZIP, ARJ, GZIP, TAR) и др.; Изменение формата или архивирование файла не влияет на возможности распознавания | Все форматы документов Microsoft Office, Apache OpenOffice, Adobe Acrobat, RTF, HTML, XML, форматы почтовых сообщений | Все основные форматы (более 400), в том числе вложенные в архивы. | Все форматы документов Microsoft Office, OpenOffice + Adobe Acrobat, RTF, CHM и т.д. | Поддержка всех форматов файлов Microsoft Office (Word, Excel, Access, PowerPoint), Open Office, PDF, Plain Text, архивы (RAR, ZIP, ARJ, GZIP, TAR) и др.; Изменение формата или архивирование файла не влияет на возможности распознавания | 105 форматов (MS Office, OpenOffice, Old text formats и т.д.) | Все основные форматы (более 400), в том числе вложенные в архивы, есть возможность добавлять свои форматы | Все форматы документов Microsoft Office, Apache OpenOffice, Adobe Acrobat и другие приложений - всего более 500 форматов файлов |
| Контроль движения выгрузок из базы данных | Да, любая СУБД | Да, любая СУБД | Да, любая СУБД | Да, любая СУБД | Да, любая СУБД | Да, только Microsoft SQL Server | Да, любая СУБД (технология EDM) | Да, любая СУБД |
| Контроль движения заполненных форм | Да | Нет | Да | Да, в том числе заполненных от руки | Да, на основе автокатегоризации | Нет | Нет | Да |
| Контроль движения документов с печатями или подписями | Да, контроль документов с печатями | Нет | Да | Да, контроль документов с печатями и подписями | Нет | Нет | Нет | Да, контроль документов с печатями |
| Контроль движения отсканированных документов (без OCR, распознавание образов) | Да (определяет изображения печатей, штампов, отсканированных документов) | Нет | Да, бинарные отпечатки | Да, паспорта, кредитные карты. Возможность обучить систему распознавать другие документы, вне зависимости от заполнения. | Нет | Нет | Нет | Да |
| Контроль передвижения конкретного документа | Да (через фильтры в системе отчетности) | Нет | Да | Да | Да | Да, реализовано через функцию "Поиск похожих" и через цифровые отпечатки | Да (с помощью цифровых отпечатков) | Да, через функцию "Поиск похожего" и фильтры в системе отчётности |
| Модуль подключения ЭЦП (обеспечение юридической значимости электронных документов) | Да (любую реализацию ЭЦП для Microsoft CryptoAPI) | Нет | Да | Нет | Нет | Нет | Нет | Да, подключение сторонних модулей ЭЦП |
| Лингвистический анализ (поиск слов по словарям) | Да | Да | Да | Да | Да | Да | Нет | Да |
| Морфологический анализ | Русский, Английский, Немецкий | Русский, английский | Нет | Русский, английский, немецкий, французский, испанский, итальянский, арабский, украинский | Русский | Русский, английский | Нет | Русский |
| Анализ на точное совпадение | Любые символы любых языков | Любые символы любых языков | Любые символы любых языков | Белорусский, румынский, латышский, азербайджанский, армянский, белорусский, вьетнамский, голландский, греческий, датский, иврит, казахский, малайский, португальский, турецкий, узбекский, урду, фарси, хинди | Любые символы любых языков | Любые символы любых языков | Любые символы любых языков | Все основные языки мира, в т. ч. русский, английский и ещё 190 других языков |
| Обработка зашифрованных файлов | Да, создаётся уведомление и архивы с паролем и другие зашифрованные файлы помещаются в специальное хранилище |
Да, например, файлы Word, Excel и PDF, архивы, письма с шифрованием PGP. Да, документ помечается как зашифрованный. Есть возможность настройки уведомления. | Да, документ блокируется к передаче, либо логгируется его перемещение. | Построение политик выявляющих наличие зашифрованных данных, уведомление в случае передачи шифрованных данных, (зашифрованные архивы, зашифрованные документы Microsoft Office, а также любые файлы в которых было обнаружено искажение информации) | Зашифрованные потоки/туннели, архивы с паролем и другие зашифрованные файлы помещаются в специальное хранилище | Да, создаётся уведомление и документ помечается как нераспознанный | Да, распознаются и блокируется передача зашифрованных форматов Microsoft Word, Nero, Adobe PDF, Microsoft PowerPoint, Microsoft Excel, ZIP-архив, OpenPGP, возможность добавлять дополнительные типы |
Да (специальные политики обработки для DOC, DOCX, XLS, XLSX, PPT, PPTX, PDF, ODB, ODF, ODG, ODP, RAR, ZIP) |
| Поддержка опечаток | Нет | Да, функция нечеткого поиска | Нет | Да | Нет | Да | Нет | Да |
| Поддержка транслитерации | Нет, планируется в 2014 | Да | Нет | Да | Нет | Нет | Нет | Да |
| Таблицы замен (символы, одинаковые по написанию) | Нет, планируется в 2014 | Нет | Да | Да | Нет | Да | Нет | Да |
| Поиск нераспознанных форматов | Да | Да | Да | Да | Нет | Да | Да | Да |
| Поиск по атрибутам информации | Да | Да | Да | Да | Да, по свойствам документов | Да | Да | Да |
| Предустановленные политики поиска | Да, политики по умолчанию. Политики предоставляются по запросу клиента |
Да. Выбор источников данных, типов и размеров файлов, пользователей, ip-адресов и т.д. Есть возможность создавать любые по сложности поисковые запросы. | Да, политики по умолчанию. Политики предоставляются по запросу клиента |
Да, политики по умолчанию. Политики предоставляются по запросу клиента | Да, политики предоставляются по заказу клиента | Да, единая база политик собранная на основе работы с клиентами компании. Политики предоставляются по запросу клиента. | Да, 14 различных Solution Pack | Да, политики по умолчанию. Политики предоставляются по запросу клиента |
| Предустановленные текстовые шаблоны | Номера банковских кард, БИК, ОКАТО, ФИО, ИНН, номера российских паспортов, СНИЛС и т.д. | ИНН, бухгалтерские отчёты и ведомости, номера российских паспортов, лиценвые счета, посещение соц. сетей, шифрованные файлы, злоупотребление месссенджерами и т.д. | Да, порядка 80 предустановленных шаблонов | ИНН, ОГРН, СНИЛС, БИК, ОКПО, ОКАТО, Паспортные данные, номера кредитных карт. Более 100 шаблонов, по следующим отраслям и странам: Отрасли: Финансы, Страхование, Нефтегазовая отрасль, Персональные данные, Производство, Телекоммуникации. Страны: Российская федерация, Королевство Саудовская Аравия, Республика Казахстан, Королевство Бахрейн, Объединение Арабские Эмираты, Социалистическая Республика Вьетнам, Республика Беларусь. | Паспортные данные, ИНН, номера банковских карт и др. | СНИЛС, паспортные данные, адреса, ФИО, IP-адрес, номер счёта, ОКПО, ИНН, URL, свидетельство о рождении, военный билет, загран. паспорт (РФ), российский паспорт, номер банковской карты, номер телефона, email | Финансовые и международные персональные данные, Российские персональные данные: Номера телефонов, ГТД, ИНН, VIN, СНИЛС, Паспорт, Военный билет, Водительское удостоверение, Банковский счет, Полис ОМС | Паспортные данные (общероссийские и заграничные), номера телефонов, e-mail, номера водительских удостоверений, номера банковских счетов, номера пластиковых карт, БИК, ОКПО, ОГРН, ИНН, web-адреса, ФИО и другие - всего 24 + мастер создания других шаблонов |
| Предустановленные тематические словари | Отрасли: банки, промышленность, страховые компании. | Поиск работы, первичная документация, финансовая документация, словарь конфиденциальных документов (названия) и другие | Нет | ОТРАСЛИ: Авиапромышленная, агропромышленная, банковская, нарушение законадательства, нефтегазовая, телеком, энергетическая, строительная, юридическая, финансовая, продажи, кадровая, логистика, гостайна, налоги, IT ЯЗЫКИ: русский, молдавский, азербайджанский, английский, арабский, казахский, немнецкий, польский, французский, вьетнамский, греческий, испанский, молдавский, польский, португальский, узбекский, украинский | Словари составляются по запросу клиента. Предустановлены словари бухгалтерской тематики, поиска работы. | Словари составляются по запросу клиента. Предустановлены словари бухгалтерской тематики, алкогольной тематики, словарь мата и т.д. | Нет | Организации, бизнес, адреса, договора, нормативные документы, медицина, финансы, грифованная информация, различные отрасли и многие другие - всего около 40 словарей |
| Применение верифицирующих функций для анализа текста | Да, для всех текстовых шаблонов | Да, для всех текстовых шаблонов | Да, для всех текстовых шаблонов | Да, для всех текстовых шаблонов | Нет | Для регулярных выражений. Валидация номера банковской карты, ИНН, ОКПО, номера паспорта РФ, имя (кирил.), имя отчество (кирил), РНН, ОМС (номер полиса обязательного медицинского страхования), имя (русское имя, написанное транслитом), имя (англ.)) | Custom script, шаблоны из регулярных выражений | Для всех предустановленных текстовых шаблонов |
| Технология снижения ложноположительных срабатываний | Да, методом изменения порогов срабатывания при лингвистическом анализе | Установка порога процентного совпадения документа, анализ источники файлов, отсечение мусорных URL-адресов и т.д. | Да, методом изменения порогов срабатывания | В лингвистическом анализе ложноположительные срабатывания составляет менее 15%. | Нет | Да, возможность задавать порог релевантности при анализе с помощью "Поиска похожих" и цифровых отпечатков | Да, путем корректировки и уточнения политик | Да - задание пороговых значений по каждой категории |
| Прочие алгоритм, в том числе алгоритмы с ИИ | Выделение ключевых фраз | Статистический анализ на аномалии поведенения пользователей | Нет | Да, векторная корреляция, алгоритм Виолы-Джонса, метод опорных векторов | Да, векторная корреляция | Нет | Да, Vector Machine Learning (VML) + дополнительные проверки для номеров карт, данных магнитной ленты и т.д. | Zecurion SmartID |
| Распознавание графики (OCR) | Нет, планируется в 2014 | Да | Да | Да, ABBYY FineReader, Tesseract OCR | ABBYY Recognition Server | Nicomsoft OCR или ABBYY Recognition Server | Возможно подключение систем OCR через API (Content Extraction Plugin) | ABBYY FineReader, Tesseract OCR |
| Извлечение текста из графических передаваемых по каналам (при помощи OCR) | Нет | Да | Да | Любые контролируемые каналы | Любые контролируемые каналы | Задания на печать | Любые контролируемые каналы на уровне шлюза | Любые контролируемые каналы на уровне шлюза |
| Гибридный анализ (комбинация разиличных методов обнаружения в единый поисковый запрос) | Да, с возможностью указать логику, каналы поиска и содержимое. Регулярные выражения, поиск похожих, словари, атрибуты информации, фразеологиеский поиск и др. |
Да, объединение любых критериев анализа | Да | Единый классификатор объединяющий все технологии анализа | Да, логическое объединение критериев анализа | Да, в запрос с помощью скобок и логических операторов AND, OR, NOT можно объединить: фразовый поиск, поиск по словарю, поиск похожих, поиск нераспознанных, поиск по атрибутам информации и регулярные выражения | Да, объединение любых критериев анализа | Единый классификатор объединяющий все технологии анализа |
| Цифровые отпечатки документов (бинарные) | Да | Нет | Да | Да | Нет | Нет | Да | Да |
| Цифровые отпечатки документов (текст) | Да | Да | Да, в том числе снятия отпечатков с баз данных поддерживающих ODBC подключение | Да | Да | Да | Да | Да |
| Цифровые отпечатки исключения | Да | Да | Да | Да | Нет | Нет | Да | Нет |
| Контроль передвижения файлов без снятия отпечатков (по формату) | Более 100 вариантов архивов , более 150 типов документов и известных бинарных данных | Все основные форматы (более 400), в том числе вложенные в архивы. | Да, по расширению | Да, для сотен наболее распростаненных форматов файлов | Нет | Да, для определения формата используется библиотека сигнатур на 15000 форматов | Все основные форматы (более 400), в том числе вложенные в архивы, есть возможность добавлять свои форматы | Да, все документированные MIME-типы |
| Максимальный размер события подвергающегося анализу | 4 Гб | Без ограничений | Без ограничений | 4 Гб | Без ограничений | Настраиваемый размер | Настраиваемый размер | Настраиваемый размер |
| Поддерживаемые кодировки | ASCII, DOS, UTF-8, UTF-16, ISO8859_5 (cyrillic), ISO8859_6 (arabic), ISO8859-9 (latin-5), Windows-1251, Windows-1252, Windows-1254, Windows-1256, Windows-1258, KAZWIN, KOIR8-R, KOIR8-U, IBM866, MAC-CYRILLIC, VISCII | ASCII, DOS, UTF-8, UTF-16, ISO8859_5 (cyrillic), ISO8859_6 (arabic), ISO8859-9 (latin-5), Windows-1251, Windows-1252, Windows-1254, Windows-1256, Windows-1258, KAZWIN, KOIR8-R, KOIR8-U, IBM866, MAC-CYRILLIC, VISCII и т.д. | ASCII, UTF-8, UTF-16, ISO8859_5 (cyrillic), ISO8859_6 (arabic), ISO8859_9 (latin-5), Windows_1251, Windows_1252, Windows_1254, Windows_1256, Windows_1258, KAZWIN, KOIR8_R, KOIR8_U, IBM866, MAC_CYRILLIC, VISCII и многие другие. | ASCII, UTF-8, UTF-16, ISO8859_5 (cyrillic), ISO8859_6 (arabic), ISO8859_9 (latin-5), Windows_1251, Windows_1252, Windows_1254, Windows_1256, Windows_1258, KAZWIN, KOIR8_R, KOIR8_U, IBM866, MAC_CYRILLIC, VISCII | win 1251, koi8-r, dos, iso, mac, utf8, utf16LE, utf16BE, utf32LE, utf32BE | win 1251, koi8-r, dos, iso, utf8, utf16LE, utf16BE | ASCII, DOS, UTF-8, UTF-16, ISO8859_5 (cyrillic), ISO8859_6 (arabic), ISO8859-9 (latin-5), Windows-1251, Windows-1252, Windows-1254, Windows-1256, Windows-1258, KAZWIN, KOIR8-R, KOIR8-U, IBM866, MAC-CYRILLIC, VISCII | Любые кодировки |
Хранение, ретроспективный анализ и отчётность
| Дозор-Джет | Falcongaze | GTB | InfoWatch | МФИ Софт | SearchInform | Symantec | Zecurion | |
| Разделение ролей администратора и офицера безопасности | Да | Поддерживается несколько ролей + преднастроенные роли и возможность создавать свои роли с любой комбинацией прав | Предусмотрены три роли: администратор, офицер безопастности, отвечающий на события | Владелец информации, Аналитик, офицер безопасности, администратор системы, | Да | Предусмотрены три роли: аналитик, офицер безопасности, администратор системы | Да, любое количество гибко настраиваемых ролей + преднастроенные роли | Да, любое количество настраиваемых ролей + преднастроенные роли |
| Разграничение прав на доступ к перехваченной информации | Да | Да | Да, в том числе возможность блокирование показа определенной информации определенным пользователям | Разгроничение доступа, в зависимости, от отправителей, получателей, вхождение участников переписки в группы AD, результатов анализа, тегов и.т.д | Да | Да, действует на учётную запись, из-под которой ведётся работа. Это дополнительное ограничение к ролям системы. | Да | Да, для всех пользователей с доступом к консоли управления |
| Возможность экспорта отчетов | HTML, CSV | Да | Да | PDF, HTML, MHT, RTF, XLS, CSV, TXT, BPM, JPG | Да | XLS, HTML, XML, TXT | HTML, CSV, некоторые отчеты HTML, CSV, PDF | Да, (текстовый ANSI, текстовый Unicode и XML, HTML, CSV) |
| Протоколирование действий администраторов | Да | Да | Да | Да | Да | Да | Да | Да |
| Гибридное хранилище перехваченных данных | Да, СУБД + файловое хранилище | Нет | Да | Нет | Да, СУБД + файловое хранилище | Да, СУБД + файловое хранилище | Нет | Нет |
| Выгрузка исходных перехваченных данных | Да | Да | Да, только для файлов. Для переданых сообщений - текст внутри описания события | Да | Да | Да | Да, к инцидентам прикладываются оригинальные сообщения и вложения | Да |
| Поиск похожего документа в архиве | Да, автоматическое выделение ключевых фраз из документа | Да | Да, по ряду критериев | Да | Да | Да | Да, по имени | Да |
| Выгрузка перехваченных данных с извлеченными данными и результатами анализа | Да | Да, выгрузка в том виде в котором был перехвачен документ с вложениями и оргинальным форматированием, также есть возможность выгрузки в Excel | Вложения в том виде в котором они были отправлены | Вложения в том виде в котором они были отправлены | Да | Да, выгрузка в HTML | Да, на печать или отправка по Email | Да |
| Графические отчеты | Да | Да | Да | Да | Нет (в разработке) | Да | Да | Да |
| Граф-анализатор взаимодействий персонала | Нет | Да | Да | Нет, планируется в 2014 | Нет (в разработке) | Да | Нет, но возможно в Symantec Clearwell | Нет |
| Предустановленные отчеты | Да, более 10 отчетов | Да, более 40 отчетов | Да | Да, более 60 отчетов | Нет | Да | Да | Да, 14 отчетов |
| Пользователь имеет возможност задать свою форму отчета, и срез данных | Да, любая выборка через систему фильтров | Да | Да | Да | Да | Да | Да | Да |
| Рейтинг нарушитилей | Да (персоны, домены, адреса) | Да | Да | Нет, планируется в 2014 | Нет | Да | Да | Нет |
| Карточки сотрудников (IP-адреса, адреса e-mail, IM, Skype и т.д.) | Да, включая персональную статистику с возможностью учитывать ее при фильтрации сообщений |
Да | Нет, проводится фильтрация с помощью LDAP | Да | Да | Нет, планируется в 2014 | Да | Да, в карточке описывается полный профиль сотрудника, используемые им логины и учётные записи в различных системах (например, логин ICQ, адреса в почтовых системах и т. д.) и другие реквизиты |
| Построение контентных маршрутов | Да | Да | Да | Да | Нет | Да, но вручную средствами общего клиента SearchInform | Нет | Да, но вручную на основе анализа записей их архива событий |
| Формирование запросов на основе выбранного инцидента | ил | Да | Да, с полной корреляцией событий | Да | Нет | Нет | Да | Да |
| Быстрый поиск собеседников выбранного сотрудника и всей истории общения с ним | Да | Да | Да | Формирвоания запроса на основе участников переписки указанных в событии | Нет | Да | Нет | Да, режим отчета «Беседа» |
| Статистика работы пользователей с установленными программами | Нет | Да | Нет | Нет, планируется в 2014 | Да | Да | Нет | Нет |
Лицензирование
| Дозор-Джет | Falcongaze | GTB | InfoWatch | МФИ Софт | SearchInform | Symantec | Zecurion | |
| Описание политики лицензирования | Политика лицензирования учитывает кол-во пользователей и типы контролируемых устройств |
Политика лицензирования учитывает кол-во пользователей и типы контролируемых каналов коммуникации |
Политика лицензирования учитывает количество пользователей | Политика лицензирования учитывает кол-во пользователей, контролируесые каналы и используемые технологии анализа |
Базовая - по скорости трафика в точке съема (Mbps) Агенты РМ - по количеству рабочих мест |
Политика лицензирования учитывает количество пользователей и количество контролируемых каналов | Политика лицензирования учитывает кол-во пользователей и каналов мониторинга |
Политика лицензирования учитывает количество пользователей, используемые модули (каналы мониторинга и предотвращения утечек). |
| Калькулятор цен | dozor-jet.ru | falcongaze.ru | gtbtechnologies.com | infowatch.ru | mfisoft.ru | searchinform.ru | Нет | По запросу заказчика |
В силу широкого спектра решаемых DLP-системами задач, мы не делали однозначных выводов о превосходстве того или иного продукта. Мы надеемся, что по результатам проведенного сравнения каждый читатель сможет самостоятельно определиться, какая из представленных DLP-систем больше других подходит для его задач. Ведь в каждом конкретном случае потенциальный заказчик сам знает, какие технологии или функциональные возможности для него наиболее важны, а значит, сможет сделать из сравнения правильный именно для него вывод.
Мы не будем останавливаться на достигнутом и в дальнейшем планируем проводить более глубокие сравнения DLP-систем по их реальной технологической эффективности.
Коллектив Anti-Malware.ru выражает особую благодарность за помощь в подготовке данного материала коллегам:
Дмитрий Горлянский, Руководитель группы поддержки, MФИ-Софт
Алексей Дрозд, Директор учебного центра SearchInform, SearchInform
Владимир Емышев, Менеджер по продуктам, NGS Distribution
Владимир Кадыко, Руководитель технической поддержки, Falcongaze
Анна Кирсанова, Менеджер по PR и рекламе, MФИ-Софт
Александр Клевцов, Менеджер по развитию направления DLP, InfoWatch
Виталий Коршун, Специалист технической поддержки, Falcongaze
Сергей Макаревич, Руководитель отдела тестирования, SearchInform
Иван Мершков, Начальник службы технической поддержки, SearchInform
Дмитрий Михеев, Эксперт Центра информационной безопасности компании Инфосистемы Джет
Алексей Павельев, Менеджер по разработке продукта, MФИ-Софт
Ксения Репина, PR-директор, Falcongaze
Юлия Сорокина, PR-менеджер, Инфосистемы Джет
Владимир Ульянов, Руководитель аналитического центра, Zecurion
Внимание! Результаты сравнения по остальным критериям опубликованы в первой части сравнения.
Полезные ссылки:
