C贸mo elegimos un sistema DLP (experiencia pr谩ctica)

Hola Habr! No hace mucho tiempo, surgi贸 una situaci贸n bastante t铆pica: la gerencia dio el comando " Elija un sistema para proteger los datos de las fugas ". El criterio principal de selecci贸n es la capacidad de resolver el problema de evitar fugas de documentaci贸n cr铆tica (en la opini贸n del manual), archivos y similares. Como se desprende del manejo oral del jefe, las revistas y varios equipos funcionales anal铆ticos son secundarios. Citando al jefe, " para atrapar intrusos, podemos colgar c谩maras de video, resolver el problema de tal manera que no lidiemos con fugas, sino eliminarlas ". Por supuesto, todos entienden que no es realista lograr una eliminaci贸n del 100% del riesgo de fugas, por lo tanto, estamos hablando de minimizar el riesgo de fuga de informaci贸n.



Un poco sobre la compa帽铆a: somos de tama帽o mediano, alrededor de 300 estaciones de trabajo (algunas trabajan en turnos), adem谩s, para algunos empleados, el acceso remoto a espacios de trabajo virtuales se organiza a trav茅s de Citrix Desktop. Como efecto secundario, se consider贸 cierto cumplimiento bajo 152FZ y la organizaci贸n correspondiente para proteger los datos personales.

No tenemos ninguna relaci贸n con el estado, otros requisitos reglamentarios de la industria, en principio, tampoco nos afectan. El precio de emisi贸n y el proceso de adquisici贸n en general son asuntos de la unidad competente. En consecuencia, el costo de la soluci贸n y el tema actual de la sustituci贸n de importaciones no nos limitaron, y podr铆amos considerar cualquier novedad: tanto nacional como extranjera. Nosotros (un peque帽o departamento de SI compuesto por hasta tres personas) no quer铆amos completar varios cuestionarios y formularios de proveedores e integradores, por lo que decidimos actualizar la memoria con la verificaci贸n de hechos (en principio, ya est谩bamos familiarizados con el tema DLP, pero sin mucha experiencia pr谩ctica). Esto significa, con sus propias manos, probar solo aquellos sistemas DLP, que son relativamente f谩ciles ("sin registro y SMS" y enviando la compa帽铆a al vendedor) para obtener una prueba independiente en su propio stand, o puede ver el trabajo de colegas de otras organizaciones. Importante: teniendo en cuenta que la implementaci贸n y operaci贸n adicionales se llevar谩n a cabo por nuestra cuenta, quer铆amos probarlo en el stand por nosotros mismos, y no participar en la visualizaci贸n de versiones de demostraci贸n "depuradas correctamente" y folletos para asegurarnos de que las funciones declaradas est茅n realmente implementadas y Trabajamos como necesitamos.

Sistemas construidos sobre la base de aplicaciones de monitoreo, capturas de pantalla, teclados, etc. ni siquiera intentaron mirar, simplemente porque no resolvieron la tarea clave, sin importar c贸mo se posicionaran sus desarrolladores en el mercado. Esto se refiere a Stakhanovets y su clon de Infovotch Person Monitor, StaffCop, TimeInformer, KickIdler y similares. Esto no significa que estos sistemas sean malos, 隆simplemente no resuelven la tarea clave de 鈥 evitar fugas! 禄Datos confidenciales, pero pueden ser (posiblemente) una buena herramienta para otras tareas con observaci贸n pasiva.

En el medio, nos familiarizamos con materiales anal铆ticos y de revisi贸n independientes ... resultaron ser escasos. De la legible: dos publicaciones sobre Habr茅 ( una y dos veces ) y la revisi贸n ya anticuada y muy superficial sobre Anti-Malware con una comparaci贸n separada en forma de tabla.

Nuestros intereses incluyen: Symantec DLP extranjero, Forcepoint DLP, McAfee DLP, Sophos Endpoint Protection, Solar Dozor ruso (o, por as铆 decirlo, ruso), Zecurion DLP, InfoWatch Traffic Monitor, DeviceLock DLP, Information Security Circuit SearchInform, Falcongaze SecureTower.

Tan pronto como apareci贸 una nueva versi贸n en nuestras manos o una invitaci贸n a colegas, se realizaron pruebas de funciones y capacidades declaradas. Como fuente de informaci贸n adicional, se tomaron publicaciones y registros de seminarios web de proveedores y sus socios, as铆 como datos de la agencia OBS, es decir, la opini贸n experta de colegas con experiencia.

Enumerar茅 de inmediato qu茅 sistemas DLP no se pudieron ver.

  1. Solar Dozor (Solar Dozor). Bueno, un sistema muy pesado. Las descripciones tienen un fuerte 茅nfasis en las capacidades anal铆ticas. El sitio web del desarrollador declar贸 "La arquitectura modular le permite distribuir la carga e implementar Solar Dozor en cualquier hardware antiguo", y de acuerdo con la documentaci贸n que necesita para asignar un servidor con 8 n煤cleos y 32 GB de memoria. Y esto es solo para garantizar el lanzamiento de la configuraci贸n m铆nima, adem谩s de poner un proxy y un servidor de correo adicionales ... Aparentemente, no tenemos hardware tan antiguo :) Abandonamos dichos consumidores de recursos. Aunque se rumorea que puede ejecutar en la configuraci贸n de 6 n煤cleos / 24 GB.
  2. Symantec DLP . Desde el primer clic en el sitio, se abre un formulario con un mont贸n de preguntas y no hay indicios de un juicio. Compra y prueba. Gracias, envu茅lvelo.
  3. Forcepoint DLP (tambi茅n conocido como
    Websense ). El sitio tampoco tiene una pista de prueba, pero hay un formulario para solicitar una demostraci贸n con el fin de mirar "de la mano" del integrador. Gracias de nuevo, pero no.
  4. Zecurion DLP . Una vez m谩s, no es un indicio de un juicio sin mantener las ventas, ni la oportunidad de mirar a los colegas.
  5. Digital Guardian : generalmente no es realista obtener una prueba.
  6. Otra peque帽a lista del cuadrante de Gartner, que es demasiado dif铆cil de obtener, y productos rusos "j贸venes" que a煤n no han sufrido un gran avance en el mercado masivo.

Los resultados de la prueba se resumieron en una tabla de la funci贸n tipo: sistema / cumplimiento; bastante result贸. Verificamos c贸mo cada DLP probado cumple con sus tareas para una amplia gama de canales de fuga de datos, qu茅 otras posibilidades hay, c贸mo funciona con el sistema en principio ... La prueba es, por supuesto, no un piloto completo, podr铆amos haber perdido algo, me disculpo de inmediato por esto.
Destaco por separado que la opini贸n descrita en este art铆culo es subjetiva y se basa en las impresiones personales de los empleados de una unidad en funci贸n de los resultados de varias pruebas b谩sicas y una revisi贸n general del sistema. Todas las conclusiones se construyen a partir de "probarse a s铆 mismo" y cumplir con la tarea principal de "evitar fugas", no pretenden ser completas.

Verificamos cosas simples que correspond铆an directamente a la tarea: bloquear el canal como tal para estos usuarios ("隆 esto es imposible! "); enviar una copia oculta del documento interceptado al archivo; notificaci贸n de seguridad de la informaci贸n cuando se activa una prohibici贸n.

Comprobado:

  • grabar en una unidad flash;
  • imprimir documentos en una impresora (local a trav茅s de USB y red);
  • env铆o a SMTP y MAPI;
  • env铆o a correo web (mir贸 Mail.ru, Gmail, Yandex.Mail);
  • env铆o a redes sociales (mirado Facebook y Vkontakte);
  • subir a las nubes (mir贸 Yandex.Disk y Dropbox);
  • enviar archivos a trav茅s de formularios a trav茅s de HTTP;
  • subir al servidor FTP;
  • mensajeros instant谩neos: chat, env铆o de archivos, comunicaci贸n de voz o video (vistos por Skype, Whatsapp, Telegram);
  • control en la sesi贸n de terminal (si habr谩 una respuesta cuando el documento se extraiga del portapapeles en la sesi贸n de terminal y cuando se escriba en un disco reenviado desde una estaci贸n de trabajo remota a la sesi贸n de terminal).

Al completar con 茅xito la prueba b谩sica, se realiz贸 una prueba de esfuerzo adicional con elementos de carga y complicaciones para el m贸dulo anal铆tico del sistema:

  1. Se envi贸 un archivo multinivel con una extensi贸n modificada a trav茅s de los canales que se verificaban, con un archivo Excel de tama帽o gigantesco en el interior, donde el texto de destino estaba oculto entre miles de celdas de texto basura. Respuesta esperada a las palabras dadas, n煤meros de tel茅fono y direcciones de correo electr贸nico de la empresa.


  2. Los canales a escanear enviaron un escaneo de impresi贸n de documentos a dos p谩ginas escaneadas por un MFP invertido ordinario. Respuesta esperada a los n煤meros de pasaporte y licencias de conducir.

  3. El contrato completado se envi贸 a trav茅s de los canales marcados y la plantilla del contrato se introdujo previamente en el sistema.


Como funciones 煤tiles adicionales (adem谩s de verificar el cumplimiento del criterio principal, ver arriba), analizamos las capacidades anal铆ticas, trabajar con el archivo e informar. Decidieron posponer la funci贸n de escaneo de estaciones de trabajo (por ejemplo, c贸mo el sistema detecta un documento con datos de pasaporte en una estaci贸n de trabajo) para otra ejecuci贸n, ahora esta tarea no es primaria (y cr铆tica en general).

El banco de pruebas es simple, como un servidor, una m谩quina virtual con 8 GB de memoria asignada, como un conejo experimental, una computadora t铆pica en i5 / 2.3 GHz / 4 Gb RAM y con Windows 10 de 32 bits.

Bueno, aqu铆 hay algunos sistemas DLP que finalmente se pudieron ver y sentir en su stand o en sus colegas, y las impresiones correspondientes en ellos: McAfee DLP, Sophos Endpoint Protection, InfoWatch Traffic Monitor, DeviceLock DLP, Information Security Circuit SearchInform, Falcongaze SecureTower. Para comenzar, describir茅 las impresiones generales, luego una descripci贸n general de las ejecuciones de prueba reales.

McAfee DLP


Las pruebas obtuvieron la versi贸n de McAfee Data Loss Prevention 10.0.100.

Quiero se帽alar de inmediato que este es un sistema muy dif铆cil de instalar y configurar. Para instalarlo y usarlo, primero debe implementar McAfee ePolicy Orchestrator como su propia plataforma de administraci贸n. Quiz谩s para las organizaciones donde el ecosistema de soluciones de McAfee est谩 completamente implementado, ser谩 significativo y conveniente, pero por el bien de un producto ... placer de la categor铆a de dudoso. La situaci贸n se ve algo facilitada por el hecho de que la documentaci贸n del usuario es muy cuidadosa y describe todo el procedimiento de instalaci贸n, y el instalador mismo instala todos los componentes externos que necesita. Pero durante mucho tiempo ... Establecer las reglas tampoco es una tarea f谩cil.

Me gust贸: la capacidad de establecer prioridades condicionales para las reglas y luego usar estas prioridades como par谩metros para filtrar eventos en el registro. El filtrado en s铆 se realiza de manera muy agradable y conveniente. La capacidad de permitir al usuario reenviar el archivo cuando est茅 prohibido, si proporciona alguna explicaci贸n (justificaci贸n del usuario).


No me gust贸: la ya mencionada necesidad de instalar nuestra propia plataforma de administraci贸n, que duplica en gran medida AD. M贸dulo OCR incorporado - no, control de documentos escaneados - por. Revelaron una serie de restricciones, como controlar el correo solo en Outlook (correspondencia a trav茅s del control de agente pasado de The Bat! Flew), dependencia de versiones espec铆ficas del navegador, falta de control de la correspondencia en Skype (solo se interceptan archivos).

Resumen: A primera vista, el McAfee DLP nos pareci贸 una soluci贸n muy interesante, a pesar de las desventajas mencionadas anteriormente. Fue decepcionante que los magos para establecer pol铆ticos se hubieran ido; en las versiones antiguas que una vez fueron exploradas, en nuestra opini贸n, era m谩s conveniente que en la consola web actual. El inconveniente clave es que casi todo el control se implementa a trav茅s del control de la aplicaci贸n, y no a nivel de protocolo o controlador. Le permite bloquear dispositivos reenviados en un entorno Citrix.

Sophos Endpoint Protection


Para las pruebas, tomaron la versi贸n de Sophos Endpoint Protection 10.

La soluci贸n es compleja, la base es un antivirus. Tuve que instalar durante mucho tiempo. El manual ni siquiera indica los requisitos del sistema; s铆galos en el sitio. Las pol铆ticas se establecen en funci贸n de la l贸gica por computadora :(

Me gust贸: como en McAfee, es posible permitir que el usuario reenv铆e el archivo cuando est茅 prohibido. Eso es probablemente todo.

No me gust贸: no hay dificultad en eludir el control del dispositivo por parte del agente; detenga el antivirus de Sophos, luego encienda el controlador del dispositivo en el Administrador de dispositivos y listo, acceso completo a la unidad flash prohibida. Es de alguna manera complicado y confuso tener que ver con la implementaci贸n y configuraci贸n de las reglas de an谩lisis de contenido, que, como resultado, todav铆a no se ejecutan de hecho. Sorprendentemente, no hay instant谩neas. Las notificaciones en forma de alertas por correo electr贸nico y mensajes SNMP deben configurarse desde el antivirus del mismo desarrollador. La lista de dispositivos monitoreados es deficiente, el correo se controla mediante la incrustaci贸n en clientes de correo. Control de acceso a sitios creados simplemente como un firewall. M贸dulo OCR incorporado - no, control de documentos escaneados - por. El manual del usuario es triste: no puede encontrar ning煤n detalle en 茅l. Ni siquiera hay una descripci贸n de lo que se entiende por una u otra regla incorporada, ya sea una verificaci贸n de diccionario o una expresi贸n regular ...

Resumen: Sin 茅xito, en nuestra opini贸n, soluci贸n. De hecho, este es un ap茅ndice del antivirus, e incluso la falta total de la capacidad de crear evidencia basada en incidentes. Las pol铆ticas no las establecen los usuarios, sino las m谩quinas; esto es inaceptable. Bueno, en realidad, no se esperaba mucho de un suplemento antivirus gratuito, pero la esperanza es lo 煤ltimo.

InfoWatch Traffic Monitor


Tal vez el complejo DLP mejor desarrollado en nuestro mercado hoy en d铆a, lo que significa que m谩s lo esper谩bamos. Oportunidades para tomar y ver, no, pero el sitio est谩 repleto de belleza de los vendedores. Fue dif铆cil de probar, pero pude obtener la versi贸n Enterprise de InfoWatch Traffic Monitor 6.9. Quiz谩s haya una versi贸n m谩s nueva, pero no lo sabemos, no encontramos el mismo marketing detr谩s de los kilotones. Pero la informaci贸n t茅cnica en el sitio de alguna manera no es suficiente. Durante la prueba, se descubri贸 que la documentaci贸n ten铆a el mismo problema: si algo no est谩 claro, es casi imposible encontrar una respuesta en el manual, y no hay detalles en general. Esto reduce significativamente la posibilidad de una operaci贸n independiente.

Me gust贸: una interfaz reflexiva de muy alta calidad, con buena estructura. Tableros pr谩cticos donde puede configurar una solicitud espec铆fica, el momento de su actualizaci贸n, y luego observar la imagen completa. Una buena variedad de widgets para la consola. Es posible enviar una solicitud de usuario para proporcionar acceso al dispositivo directamente desde el m贸dulo de agente. La capacidad de configurar diferentes destinatarios para las notificaciones dependiendo del tipo de evento y la membres铆a del usuario en la unidad organizativa. Un conjunto s贸lido de informes. Buenas oportunidades para trabajar con el archivo, se admite un gran conjunto de herramientas para analizar el contenido de los datos en el archivo. Hay capturas de pantalla de estaciones de trabajo.


No me gust贸: de hecho, este no es un producto, sino un mont贸n de Infowatch Traffic Monitor e Infowatch Device Monitor, y funciona en dos sistemas operativos (Windows y Red Hat Linux), por lo que la instalaci贸n y configuraci贸n para ejecutar es complicada. Tambi茅n hay dos consolas de administraci贸n. La l贸gica ampliamente publicitada por el desarrollador "verific贸 el contenido, solo entonces lo bloqueamos, no interferimos con los procesos de negocios" realmente en alg煤n lugar del brote. Simplemente no hay an谩lisis de los contenidos para controlar dispositivos: el acceso a los dispositivos se puede deshabilitar para los usuarios, hay listas blancas, pero el agente de Monitor de dispositivo Infowatch simplemente no sabe en qu茅 est谩 escrito el documento en la unidad flash USB. Para los canales de red, el problema es aproximadamente el mismo: la verificaci贸n de contenido se implementa solo para SMTP y HTTP. Como dicen los colegas que han estado familiarizados con esta decisi贸n, ahora al menos existe la oportunidad de bloquear los canales de red, antes solo hab铆a monitoreo. De hecho, esta funci贸n se limita a HTTP, FTP, SMTP, adem谩s de compartir archivos y algunos mensajeros instant谩neos. Repito, no hay posibilidad de bloquear la transferencia de datos en funci贸n de verificar su contenido en, por ejemplo, mensajer铆a instant谩nea, solo SMTP y HTTP. Esto no es malo, pero no es muy consistente con la descripci贸n en los folletos, y esto no es suficiente para cubrir completamente los canales de fuga. El m贸dulo de agente se implementa realmente como una especie de mezcla de diferentes agentes.


Resumen: en general, la soluci贸n se ve (especialmente se ve) muy bien. El control b谩sico del dispositivo es bueno; para los canales de red, el monitoreo es bueno y el bloqueo es satisfactorio. En las sesiones de terminal, le permite restringir el acceso a las unidades reenviadas, o proporcionar acceso de solo lectura, trabajos de instant谩neas (para unidades flash y para unidades reenviadas al mismo tiempo). La molestia es la falta de verificaci贸n de contenido para la mayor铆a de los canales controlados, especialmente los dispositivos, a pesar de que los documentos de marketing declararon exactamente la l贸gica. Esperemos que este sea un tipo de hoja de ruta, y tarde o temprano, los desarrolladores se pondr谩n al d铆a con los vendedores. Mientras tanto, el equipo de relaciones p煤blicas es cinco, los desarrolladores son triples con un plus. O viceversa. C贸mo mirar

DeviceLock DLP


Para las pruebas, se descarg贸 la versi贸n 8.3 (la 煤ltima actualizaci贸n lanzada en diciembre de 2018), descargada del sitio del desarrollador.

Un sistema bastante especializado, solo protecci贸n contra fugas y nada m谩s: sin capturas de pantalla, control de aplicaciones ... Sin embargo, si cree que la informaci贸n de los seminarios web del desarrollador, la funci贸n de control del usuario a trav茅s de capturas de pantalla deber铆a aparecer en el futuro previsible. La instalaci贸n es f谩cil. Un mont贸n de opciones de control, consolas de la vieja escuela, para trabajar con ellas, necesita al menos algo de experiencia de administrador del sistema, entonces todo se vuelve obvio y simple. En general, la impresi贸n es muy simple para operar el sistema.

Me gust贸: detalles en la configuraci贸n de control. No solo control condicional, por ejemplo, Skype, sino tambi茅n monitoreo, eventos, instant谩neas, alertas, verificaci贸n de contenido, y el uso de componentes de Skype separados: chat, archivos, llamadas ... La lista de dispositivos monitoreados y canales de red est谩 construida razonablemente y es muy grande. M贸dulo OCR incorporado. Los bloqueos de contenido funcionan, aunque con alguna carga de estaci贸n de trabajo. Las alertas pueden llegar casi al instante. Los agentes son completamente independientes con respecto al lado del servidor, pueden vivir sus propias vidas todo el tiempo que sea necesario. Se ha realizado el cambio autom谩tico de modos: puede despedir a un empleado de manera segura con una computadora port谩til, los pol铆ticos se cambiar谩n a otras configuraciones. Las cerraduras y la supervisi贸n en el sistema est谩n divorciadas incluso en el nivel de la consola: no hay dificultad para que algunos canales permitan la prohibici贸n de camaradas individuales, y para otros camaradas establecer la configuraci贸n solo para la supervisi贸n. Las reglas para analizar contenido tambi茅n parecen independientes y funcionan tanto para prohibir y viceversa para permitir la transmisi贸n cuando el canal est谩 cerrado en principio.


No me gust贸: no hay magos.Para configurar cualquier pol铆tica, debe comprender de inmediato lo que necesita obtener, ir a la secci贸n correspondiente de la consola y marcar marcas de verificaci贸n, seleccionar usuarios, etc. Se sugiere una opci贸n paso a paso para crear una pol铆tica. Por otro lado, puede verificar lo que realmente est谩 configurado en el plan de control. La b煤squeda de archivos est谩 limitada a la b煤squeda de texto completo por el contenido de las instant谩neas; no hay posibilidad de buscar por plantilla de documento o usando diccionarios. Un sistema de filtro desarrollado ayuda m谩s o menos, pero estos est谩n lejos de ser filtros de contenido. Carga inevitable en estaciones de trabajo cuando se trabaja con reglas dependientes del contenido (terminolog铆a del desarrollador).


Resumen:El sistema es f谩cil de operar, funciona claramente, con un rico arsenal de capacidades espec铆ficamente para la protecci贸n contra la filtraci贸n de informaci贸n. Seg煤n el acertado comentario de uno de los colegas, se realiza sobre la base de "sintonizado y olvidado". Teniendo en cuenta que todas las pol铆ticas se establecen por usuario, para cambiar las operaciones disponibles para un usuario, simplemente transfi茅ralo a otro grupo de usuarios del dominio para el que se configuran otras reglas de control, desde controles simples hasta reglas con an谩lisis de contenido. En las sesiones de terminal, le permite establecer permisos para unidades reenviadas (bloqueo o solo lectura), para el portapapeles (todo es bastante flexible dependiendo de la direcci贸n de copia, el tipo de datos transferidos), la copia oculta funciona, el bloqueo del contenido funciona al escribir en reenviado unidades y al transferir datos a trav茅s del portapapeles.

SearchInform Circuito de seguridad de la informaci贸n


Observamos con colegas, por lo que el momento era muy apretado. Al principio quer铆a escribir "Obtuve la versi贸n XXXX para las pruebas", pero no pude. Solo porque CIB Searchinform no es un sistema, sino un almuerzo complejoUn conjunto de varios sistemas pr谩cticamente independientes. Hasta consolas individuales para diferentes tareas: se contaron hasta 5 piezas. Los colegas dicen que antes hab铆a m谩s consolas ... El m贸dulo clave en este complejo es el m贸dulo EndpointController, versi贸n 5.49. El resto tiene su propia numeraci贸n. Por cierto, el kit de distribuci贸n tambi茅n es de un mont贸n de archivos ... En consecuencia, instalar un sistema de este tipo no es f谩cil, no se puede prescindir de la documentaci贸n. A su vez, tambi茅n es espec铆fico: est谩 escrito sobre el principio de "lo que veo, luego escribo", sin explicar la l贸gica del trabajo. La administraci贸n se ve as铆: las pol铆ticas de intercepci贸n se crean en una consola de administraci贸n, la configuraci贸n de indexaci贸n e 铆ndice para ver los datos interceptados es una consola separada, ver los datos de auditor铆a y sombreado nuevamente es una consola separada, los informes nuevamente son una consola separada, etc. Y en las descripciones de marketing en el sitio,y en la documentaci贸n se encuentra constantemente la palabra "intercepci贸n". En la pr谩ctica, esto significa que para casi todos los canales de fuga de la red, solo se recibe una instant谩nea. Hay bloqueos para dispositivos, pero para los canales de Internet puede deshabilitar SMTP para todos los usuarios, o permitirlo. Otra opci贸n es utilizar la cuarentena de mensajes, que se implementa en el agente, para SMTP. El an谩lisis del contenido como motivo de bloqueo se realiza de manera muy espec铆fica: el agente env铆a a cuarentena todos los mensajes que el administrador ya ve (manualmente o utilizando el analizador de contenido) y luego elige qu茅 enviar a continuaci贸n y qu茅 bloquear. Nos imaginamos c贸mo se ver铆a en una organizaci贸n donde hay al menos 5 veces m谩s empleados que los nuestros ...En la pr谩ctica, esto significa que para casi todos los canales de fuga de la red, solo se recibe una instant谩nea. Hay bloqueos para dispositivos, pero para los canales de Internet puede deshabilitar SMTP para todos los usuarios, o permitirlo. Otra opci贸n es utilizar la cuarentena de mensajes, que se implementa en el agente, para SMTP. El an谩lisis del contenido como motivo de bloqueo se realiza de manera bastante espec铆fica: el agente env铆a a cuarentena todos los mensajes que el administrador ya ve (manualmente o usando el analizador de contenido) y luego elige qu茅 enviar a continuaci贸n y qu茅 bloquear. Nos imaginamos c贸mo se ver铆a en una organizaci贸n donde hay al menos 5 veces m谩s empleados que los nuestros ...En la pr谩ctica, esto significa que para casi todos los canales de fuga de la red, solo se recibe una instant谩nea. Hay bloqueos para dispositivos, pero para los canales de Internet puede deshabilitar SMTP para todos los usuarios, o permitirlo. Otra opci贸n es utilizar la cuarentena de mensajes, que se implementa en el agente, para SMTP. El an谩lisis del contenido como motivo de bloqueo se realiza de manera muy espec铆fica: el agente env铆a a cuarentena todos los mensajes que el administrador ya ve (manualmente o utilizando el analizador de contenido) y luego elige qu茅 enviar a continuaci贸n y qu茅 bloquear. Nos imaginamos c贸mo se ver铆a en una organizaci贸n donde hay al menos 5 veces m谩s empleados que los nuestros ...Otra opci贸n es utilizar la cuarentena de mensajes, que se implementa en el agente, para SMTP. El an谩lisis del contenido como motivo de bloqueo se realiza de manera muy espec铆fica: el agente env铆a a cuarentena todos los mensajes que el administrador ya ve (manualmente o utilizando el analizador de contenido) y luego elige qu茅 enviar a continuaci贸n y qu茅 bloquear. Nos imaginamos c贸mo se ver铆a en una organizaci贸n donde hay al menos 5 veces m谩s empleados que los nuestros ...Otra opci贸n es utilizar la cuarentena de mensajes, que se implementa en el agente, para SMTP. El an谩lisis del contenido como motivo de bloqueo se realiza de manera muy espec铆fica: el agente env铆a a cuarentena todos los mensajes que el administrador ya ve (manualmente o utilizando el analizador de contenido) y luego elige qu茅 enviar a continuaci贸n y qu茅 bloquear. Nos imaginamos c贸mo se ver铆a en una organizaci贸n donde hay al menos 5 veces m谩s empleados que los nuestros ...Nos imaginamos c贸mo se ver铆a en una organizaci贸n donde hay al menos 5 veces m谩s empleados que los nuestros ...Nos imaginamos c贸mo se ver铆a en una organizaci贸n donde hay al menos 5 veces m谩s empleados que los nuestros ...

Me gust贸: las posibilidades de trabajar con el archivo est谩n poderosamente desarrolladas. Hay de todo. Una gran cantidad de criterios, herramientas de b煤squeda para diccionarios, expresiones regulares, huellas dactilares, marca "buscar similares" ... Hay etiquetas para diferentes incidentes, puede marcar ya visto, por ejemplo. Hay un cifrado transparente de unidades flash.


No me gust贸: el caos en la l贸gica del control del sistema, un n煤mero abrumador de consolas de control. Falta de bloqueo para canales de red. La ausencia de bloqueo de contenido para todo el conjunto de canales "interceptados".


Resumen: el bloqueo de dispositivos se implementa a un nivel decente, para canales de red, en el embri贸n. En las sesiones de terminal, puede establecer permisos para las unidades reenviadas (bloqueo, solo lectura), la copia instant谩nea funciona para las unidades reenviadas. En general, el sistema es bastante complicado de operar, centr谩ndose estrictamente en las investigaciones de incidentes, es decir, en el monitoreo y el trabajo con el archivo. Para esto, hay, quiz谩s, todo lo que se necesita. Claramente, proteger a la organizaci贸n de las fugas de datos no est谩 aqu铆, excepto para cerrar dispositivos que son innecesarios para los usuarios.

Falcongaze SecureTower


Las pruebas obtuvieron la versi贸n 6.2. Dos palabras clave que describen este sistema, si no profundizan en los matices, son f谩ciles y convenientes. F谩cil de instalar, conveniente para administrar, conveniente para ver informes, conveniente para trabajar con el archivo. Pr谩cticamente no se requiere documentaci贸n. Luego, el enfoque comienza nuevamente con la palabra "intercepci贸n", como en el CIB. La intercepci贸n aqu铆 es solo para monitorear, es decir, se crea una instant谩nea, pr谩cticamente no se habla de bloqueo (excepto HTTP, SMTP y MAPI). Hay capturas de pantalla de estaciones de trabajo y algunas otras funciones para monitorear la actividad del usuario.

Me gust贸:Interfaz de usuario amigable. Todo se hace para la comodidad del trabajo. Una buena herramienta para ver y analizar el archivo, el gr谩fico de enlaces se implementa con 茅xito. Desde casi cualquier informe, puede ir al evento (incidente) indicado all铆. Se pueden asignar categor铆as a los incidentes (investigados, inexplorados, diferidos). Monitoreo de Telegram y Viber.


No me gust贸: la ausencia de bloqueos para canales de red. La imposibilidad de bloquear impresoras y unidades lanzadas a la sesi贸n de terminal. La ausencia de bloqueo de contenido para todo el conjunto de canales "interceptados". Baja estabilidad del agente: se observaron heladas impredecibles y la aparici贸n de vertederos. Congelaciones inesperadas de la consola incluso cuando se trabaja con el archivo.


Resumen: El sistema es muy f谩cil y conveniente de instalar y operar, pero est谩 orientado a monitorear y trabajar con el archivo. Existe la sensaci贸n de que el sistema est谩 algo h煤medo, el OTC est谩 subdesarrollado.

Resultados de la prueba


Como se mencion贸 anteriormente, los resultados de las pruebas b谩sicas est谩n tabulados. Los par谩metros que pueden evaluarse subjetivamente se evaluaron condicionalmente, de acuerdo con la "escala del sem谩foro", por color.

La tabla en s铆 se ve as铆 (se puede hacer clic):




Las pruebas de resistencia se realizaron solo para McAfee y DeviceLock DLP. En otros casos, simplemente no ten铆a sentido (ver la tabla a continuaci贸n).

McAfee ha resuelto correctamente la prohibici贸n del archivo con el archivo Excel.


La prueba con la intercepci贸n del escaneo en McAfee no se realiz贸; no hay un OCR incorporado.

Al verificar las plantillas, solo funciona con total conformidad, si se modifica el documento, el sistema DLP lo omite.

Con DeviceLock DLP, todas las pruebas funcionaron por completo. Contrato modificado, intercepci贸n en skype:


Grabe en una unidad flash de archivo con el archivo de Excel lleno de basura:


Impresi贸n de bloqueo de escaneo de documentos invertidos:



Los resultados resumidos de las pruebas son los siguientes (se puede hacer clic):


Conclusiones


Anticipando la pregunta de los lectores: "驴qu茅 elegiste al final, porque el t铆tulo es" experiencia de elecci贸n "? Desafortunadamente, al momento de escribir esto, el manual a煤n no se ha decidido. Intentamos cumplir con nuestra tarea: realizamos pruebas en varios sistemas, presentamos los resultados de las pruebas a la gerencia y, en el camino, decidimos compartir con la comunidad de Habra.

Repito, nuestra opini贸n es subjetiva, basada en impresiones personales y est谩 determinada por la tarea, por lo que nuestra elecci贸n permanecer谩 in茅dita.

En general, las tareas establecidas son siempre primarias, por lo tanto, recomendamos que todos los que elijan un sistema DLP para resolver sus problemas sigan su propio camino y, a partir de las tareas establecidas, se ocupen de las capacidades de los sistemas propuestos. Esperamos que nuestras tabletas sean una hoja de trucos 煤til para usted.

隆Gracias a todos por su atenci贸n!

Source: https://habr.com/ru/post/440838/


All Articles