Во второй части мы завершим начатое ранее сравнение систем защиты от утечек конфиденциальных данных (DLP) и сопоставим их
по возможностям контроля внешних устройств, мониторинга работы агентов,
управлению, обработке инцидентов, отчетности, а также интеграции с
решениями сторонних производителей. Теперь собственно еще раз о методологии сравнения. На сегодняшний день
существует достаточно много решений, которые даже весьма условно сложно
отнести к классу полноценных DLP-cистем. Многие компании используют
аббревиатуру DLP, называя ей фактически все, что угодно, где есть хоть
какой-то функционал, контролирующий исходящий трафик или внешние
носители. Естественно,
что нельзя смешивать в кучу и сравнивать несравниваемые между
собой в принципе продукты. Поэтому при отборе участников сравнения, эксперты
жестко руководствовались формулировкой, что такое DLP-система. Под этим необходимо понимать такие системы, которые позволяют обнаружить и/или
блокировать несанкционированную передачу (проще говоря - утечку)
конфиденциальной информации по какому-либо каналу, используя
информационную инфраструктуру предприятия. В итоге на основании результатов проведенного годом ранее анализа российского DLP-рынка для участия в сравнении было отобрано шесть наиболее известных и популярных в России комплексных DLP-систем: Российские: - InfoWatch Traffic Monitor Enterprise 3.5
- SecurIT Zgate 3.0 и SecurIT Zlock 3.0
- Дозор Джет 4.0.24
Зарубежные: - Symantec Data Loss Prevention (DLP) 11.1
- Websense Data Security Suite (DSS) 7.5
- Trend Micrо Data Loss Prevention (DLP) 5.5
Все производители перечисленных выше DLP-систем (за исключением
Websense) активно помогали со сбором необходимой для сравнения
информации. DLP от компании McAfee из сравнения был исключен по причине
недостатка информации и слабой поддержке самого вендора. Краеугольным
камнем любого сравнения является набор критериев, по которому оно
производится. В силу разумных ограничений по объему сравнения невозможно
охватить все мыслимые функциональные возможности DLP-систем. Поэтому на
данном уровне детализации, эксперты ограничились только наиболее важными с их точки зрения. В
итоге, было отобрано 92 наиболее важных критерия, сравнение по которым
значительно облегчает для заказчика выбор DLP-системы. Для удобства все
сравнительные критерии были разделены на следующие категории: - Позиционирование системы на рынке;
- Системные требования;
- Используемые технологии детектирования;
- Контролируемые каналы передачи данных;
- Возможности контроля подключаемых внешних устройств;
- Мониторинг агентов и их защита;
- Управление системой и обработка инцидентов;
- Отчетность;
- Интеграция с решениями сторонних производителей.
Сравнение по категориям 1-5 было опубликовано в 1 части, а по категориям 6-9 во второй части.
В
силу широкого спектра решаемых DLP-системами задач, эксперты не делали их
итогового ранживания. Надеемся, что по результатам проведенного
сравнения каждый читатель сможет самостоятельно определиться, какая из
DLP-систем больше других подходит для его целей. Ведь в каждом
конкретном случае потенциальный заказчик сам знает, какие технологии или
функциональные возможности для него наиболее важны, а значит, сможет
сделать из сравнения правильный именно для него вывод.
Сравнение DLP-систем
Возможности контроля подключаемых внешних устройств
| InfoWatch Traffic Monitor Enterprise | Дозор Джет | SecurIT Zgate и Zlock | Symantec DLP | Websense DSS | Trend Micro DLP | | HDD | Есть | - | Есть | Есть | Есть | Есть | | USB | Есть | - | Есть | Есть | Есть | Есть | | COM/LPT | Есть | - | Есть | Есть | Есть | Есть | | WiFi, Bluetooth и др. | Есть | - | Есть | Есть | Есть | Есть | | Локальные принтеры | Есть | - | Есть | Есть | Есть | Есть | Запрет доступа к
конфиденциальным
файлам на рабочей
станции для заданных
приложений | Нет | - | Нет | Есть | Есть | Нет | Очистка диска
рабочей станции от
конфиденциальных
данных (перемещение
в карантин) | Нет | - | Разрабатывается, планируемый срок реализации конец 2 квартала | Есть | Есть | Нет | Ограничения доступа в
зависимости от типа
съемного носителя
(производитель, серия,
модель, экземпляр) | Есть | - | Есть | Есть | Есть | Есть | Возможность разрешать
копирование только на
доверенные носители | Есть | - | Есть | Есть | Есть | Есть | Автоматическое
определение реального
владельца данных на
основе заданных
критериев | Нет | - | Разрабатывается, планируемый срок реализации конец 2 квартала | Есть | Нет | Нет | Контроль буфера
обмена | Нет | - | Есть | Есть | Есть | Есть | Контроль копирования
из общих папок | Нет | - | Нет | Нет | Нет | Да, с возможностью блокировки | Контроль копирования
в общие папки | Нет | - | Нет | Да, с возможностью блокировки | Есть | Есть | Контроль источников
хранимых данных | Хранение
документов на рабочих местах, сетевых папках, в базах данных,
почтовых архивах, системах электронного документооборота, с
возможностью поиска и перемещения (для рабочих станций и сетевых
папок) | - | Разрабатывается, планируемый срок реализации конец 2 квартала | Хранение
документов на рабочих местах, сетевых папках, в базах данных,
почтовых архивах, системах электронного документооборота с
возможностью поиска и перемещения (для рабочих станций и сетевых
папок) | Хранение документов на рабочих местах, сетевых папках и в библиотеках Microsoft SharePoint | Хранение документов на рабочих местах, сетевых папках и в библиотеках Microsoft SharePoint | Мониторинг состояния
в режиме онлайн | Есть | - | Есть
(сохранением полной истории обращений, построение гибкой отчетности,
настройка уведомлений о необычных событиях и попытках доступа) | Есть (сохранение полной истории обращений, построение гибкой отчетности, настройка уведомлений о необычных попытках доступа) | Есть | Есть | Мониторинг агентов и их защита
| InfoWatch Traffic Monitor Enterprise | Дозор Джет | SecurIT Zgate и Zlock | Symantec DLP | Websense DSS | Trend Micro DLP | | Возможность в режиме online контролировать клиентские компьютеры | Есть | - | Есть | Есть | Есть | Есть | | Контроль работы агента | Есть | - | Есть | Есть | Есть | Есть | | Контроль политик агента | Есть | - | Есть | Есть | Есть | Есть | | Возможность настройки реагирования на события | Есть | - | Есть | Есть | Есть | Есть | | Защита агента от удаления или выключения | Есть | - | Есть | Есть | Есть | Есть | | Контроль целостности | Есть | - | Есть | Есть | Есть | Есть (клиент
скрыт от несанкциони-
рованного
доступа) |
Управление системой и обработка инцидентов
| InfoWatch Traffic Monitor Enterprise | Дозор Джет | SecurIT Zgate и Zlock | Symantec DLP | Websense DSS | Trend Micro DLP | | Собственная консоль | Есть | Есть (веб-консоль) | Есть | Есть (веб-консоль) | Есть (веб-консоль) | Есть (веб-консоль) | | Разделение ролей администратора и офицера безопасности | Любое количество настраиваемых ролей + преднастроенные роли | Поддерживается несколько ролей + стандартные преднастроенные роли | Поддерживается несколько ролей + делегирование прав между ролями | Любое количество настраиваемых ролей + преднастроенные роли | Поддерживается несколько ролей + преднастроенные роли | Поддерживается несколько ролей + делегирование прав между ролями | | Настройка оповещений | Офицера безопасности, пользователя (будет реализовано в след. версии) | Владельца информации, офицера безопасности, пользователя | Офицера безопасности, аудитора или любого другого заранее указанного адресата | Офицера безопасности, пользователя, его руководителя или любого другого заранее указанного адресата | Офицера безопасности, пользователя | Офицера безопасности, пользователя | | Предоставляемые возможности по реагированию на инциденты | Эскалация
инцидента, разрешение прохождения заблокированного, закрытие
инцидента, запуск скрипта, перенаправление электронной почты на шлюз
шифрования разрешение с записью об инциденте или запрещение на пропуск
задержанного сообщения. | Эскалация инцидента, разрешение прохождения заблокированного, закрытие инцидента, помещение в архив. | Эскалация инцидента, разрешение прохождения заблокированного, закрытие инцидента, запуск скрипта, помещение в карантин. | Эскалация
инцидента, разрешение прохождения заблокированного, закрытие
инцидента, помещение в архив, запуск скрипта, а также любая
настраиваемая последовательность действий. | Эскалация
инцидента, разрешение прохождения заблокированного, закрытие
инцидента, запуск скрипта, перенаправление электронной почты на шлюз
шифрования. | Эскалация инцидента, разрешение прохождения заблокированного, закрытие инцидента. | | Анализ событий, зафиксированных системой | Есть, через консоль | Есть, через веб-консоль | Есть, через консоль | Есть, через веб-консоль | Есть, через веб-консоль | Есть, через веб-консоль | | Сохранение истории инцидентов для последующего анализа | Есть
(включая хранение протокола всех инцидентов, карантина задержанных
объектов, неограниченное хранение истории для будущих расследований) | Есть (протокол инцидентов и архив сообщений для расследований) | Есть (протокол инцидентов, карантин задержанных сообщений и копии перехваченных объектов) | Есть (протокол инцидентов и всех сопутствующих объектов, неограниченное их хранение для будущих расследований) | Есть (протокол инцидентов и копии перехваченных объектов) | Есть (протокол инцидентов и копии перехваченных объектов) | | Запрещение на пропуск задержанного сообщения или разрешение с записью об инциденте | Есть | Нет (только информирование офицера безопасности) | Через карантин (офицер безопасности решает, пропускать или задержать подозрительное сообщение или письмо) | Сотруднику
предлагается указать причину необходимости отправки данных
(самостоятельно или выбрать из списка), что будет отражено в
информации об инциденте | Сотруднику
отправляется специальное оповещение по e-mail о нарушении, ответ на
которое разблокирует сообщение и выпускает его из карантина | Сотруднику
предлагается указать причину необходимости отправки данных, что будет
отражено в инциденте в консоли офицера безопасности |
Система отчетности о работе DLP-системы
| InfoWatch Traffic Monitor Enterprise | Дозор Джет | SecurIT Zgate и Zlock | Symantec DLP | Websense DSS | Trend Micro DLP | Возможность
построения
отчетов о
нарушениях | Собственные графики и отчеты системы | Собственные графики и отчеты системы | Собственные отчеты в виде журнала событий | Собственные графики и отчеты системы + наличие Reporting API для интеграции со сторонними системами | Собственные графики и отчеты системы | Собственные графики и отчеты системы | Варианты получения
отчетов о нарушениях | По электронной почте, через консоль | По электронной почте и через консоль | По электронной почте и через консоль | По электронной почте и через консоль | По электронной почте и через консоль | По электронной почте и через консоль | Временная запись
отчёта в локальное
хранилище в случае
недоступности сервера | Есть | Есть | Есть | Есть | Есть | Есть | | Экспорт отчетов | Есть | Есть | Есть (текстовый ANSI, текстовый Unicode и XML) | Есть | Протоколы инцидентов доступны в формате xml-файлов | Есть (PDF, Excel, HTML) | Логирование
действий
администраторов
системы | Есть | Есть | Есть | Полная история всех действий, даже для инцидентов, удаленных из системы | Есть | Есть |
Интеграция с решениями сторонних производителей
| InfoWatch Traffic Monitor Enterprise | Дозор Джет | SecurIT Zgate и Zlock | Symantec DLP | Websense DSS | Trend Micro DLP | | Интеграция с любыми сторонними утилитами посредством встроенных API | Нет | Есть | Есть | Есть | Нет | Нет | | Интеграция со сторонними решениями | Oracle
IRM, IBM TSOM, Alladdin eSafe, Cisco IronPort, Bluecoat ProxySG,
Lumension Device Control, DeviceLock, ArcSight (будет в версии 4.0) | Lumension Device Control, ArcSight, NetForensics, антивирусы (kav,drweb), категоризаторы (iss, iadmin) | Microsoft RMS, Oracle IRM, ABBYY FineReader, и т. д. | Microsoft RMS, Oracle IRM, PGP и т.д. | Websense Web security, Safend Protector, Lumension Device Control | Поддерживает отправку данных через syslog (обычно идет в привязке к SIEM) | | Интеграция с прокси-серверами | С прокси-серверами, поддерживающими ICAP | Bluecoat, McAffe, eSafe - ICAP | С прокси-серверами, поддерживающими ICAP, а также с Microsoft ISA Server | С прокси-серверами, поддерживающими ICAP, а также с Microsoft ISA Server | С прокси-серверами, поддерживающими ICAP | Нет | | Интеграция с почтовыми серверами | С любым SMTP-сервером | Интеграция с Exchange и Lotus - через журналирование | С любыми SMTP-серверами, в т. ч. Microsoft Exchange 2007/2010 | С любым SMTP-сервером | С любым SMTP-сервером | Для корпоративных систем – Lotus Domino и Microsoft Exchange | | Интеграция с Active Directory | Есть | Есть | Есть | Есть | Есть | Есть | | Инсталляция и управление через групповые политики | Есть | Нет | Есть | Есть | Есть | Только для политик безопасности |
В
силу широкого спектра решаемых DLP-системами задач, эксперты не делали их
однозначных выводом о превосходстве того или иного продукта. Мы
надеемся, что по результатам проведенного сравнения каждый читатель
сможет самостоятельно определиться, какая из DLP-систем больше других
подходит для его целей. Ведь в каждом конкретном случае потенциальный
заказчик сам знает, какие технологии или функциональные возможности для
него наиболее важны, а значит, сможет сделать из сравнения правильный
именно для него вывод. Мы не будем останавливаться
на достигнутом и в дальнейшем планируем проводить более глубокие
сравнения DLP-систем, как по отдельным группам критериев, так и по их
реальной технологической эффективности.
Сравнение систем защиты от утечек (ч. 1)
|