Cómo elegimos un sistema DLP (experiencia práctica)

Hola Habr! No hace mucho tiempo, surgió una situación bastante típica: la gerencia dio el comando " Elija un sistema para proteger los datos de las fugas ". El criterio principal de selección es la capacidad de resolver el problema de evitar fugas de documentación crítica (en la opinión del manual), archivos y similares. Como se desprende del manejo oral del jefe, las revistas y varios equipos funcionales analíticos son secundarios. Citando al jefe, " para atrapar intrusos, podemos colgar cámaras de video, resolver el problema de tal manera que no lidiemos con fugas, sino eliminarlas ". Por supuesto, todos entienden que no es realista lograr una eliminación del 100% del riesgo de fugas, por lo tanto, estamos hablando de minimizar el riesgo de fuga de información.



Un poco sobre la compañía: somos de tamaño mediano, alrededor de 300 estaciones de trabajo (algunas trabajan en turnos), además, para algunos empleados, el acceso remoto a espacios de trabajo virtuales se organiza a través de Citrix Desktop. Como efecto secundario, se consideró cierto cumplimiento bajo 152FZ y la organización correspondiente para proteger los datos personales.

No tenemos ninguna relación con el estado, otros requisitos reglamentarios de la industria, en principio, tampoco nos afectan. El precio de emisión y el proceso de adquisición en general son asuntos de la unidad competente. En consecuencia, el costo de la solución y el tema actual de la sustitución de importaciones no nos limitaron, y podríamos considerar cualquier novedad: tanto nacional como extranjera. Nosotros (un pequeño departamento de SI compuesto por hasta tres personas) no queríamos completar varios cuestionarios y formularios de proveedores e integradores, por lo que decidimos actualizar la memoria con la verificación de hechos (en principio, ya estábamos familiarizados con el tema DLP, pero sin mucha experiencia práctica). Esto significa, con sus propias manos, probar solo aquellos sistemas DLP, que son relativamente fáciles ("sin registro y SMS" y enviando la compañía al vendedor) para obtener una prueba independiente en su propio stand, o puede ver el trabajo de colegas de otras organizaciones. Importante: teniendo en cuenta que la implementación y operación adicionales se llevarán a cabo por nuestra cuenta, queríamos probarlo en el stand por nosotros mismos, y no participar en la visualización de versiones de demostración "depuradas correctamente" y folletos para asegurarnos de que las funciones declaradas estén realmente implementadas y Trabajamos como necesitamos.

Sistemas construidos sobre la base de aplicaciones de monitoreo, capturas de pantalla, teclados, etc. ni siquiera intentaron mirar, simplemente porque no resolvieron la tarea clave, sin importar cómo se posicionaran sus desarrolladores en el mercado. Esto se refiere a Stakhanovets y su clon de Infovotch Person Monitor, StaffCop, TimeInformer, KickIdler y similares. Esto no significa que estos sistemas sean malos, ¡simplemente no resuelven la tarea clave de “ evitar fugas! »Datos confidenciales, pero pueden ser (posiblemente) una buena herramienta para otras tareas con observación pasiva.

En el medio, nos familiarizamos con materiales analíticos y de revisión independientes ... resultaron ser escasos. De la legible: dos publicaciones sobre Habré ( una y dos veces ) y la revisión ya anticuada y muy superficial sobre Anti-Malware con una comparación separada en forma de tabla.

Nuestros intereses incluyen: Symantec DLP extranjero, Forcepoint DLP, McAfee DLP, Sophos Endpoint Protection, Solar Dozor ruso (o, por así decirlo, ruso), Zecurion DLP, InfoWatch Traffic Monitor, DeviceLock DLP, Information Security Circuit SearchInform, Falcongaze SecureTower.

Tan pronto como apareció una nueva versión en nuestras manos o una invitación a colegas, se realizaron pruebas de funciones y capacidades declaradas. Como fuente de información adicional, se tomaron publicaciones y registros de seminarios web de proveedores y sus socios, así como datos de la agencia OBS, es decir, la opinión experta de colegas con experiencia.

Enumeraré de inmediato qué sistemas DLP no se pudieron ver.

1. Solar Dozor (Solar Dozor). Bueno, un sistema muy pesado. Las descripciones tienen un fuerte énfasis en las capacidades analíticas. El sitio web del desarrollador declaró "La arquitectura modular le permite distribuir la carga e implementar Solar Dozor en cualquier hardware antiguo", y de acuerdo con la documentación que necesita para asignar un servidor con 8 núcleos y 32 GB de memoria. Y esto es solo para garantizar el lanzamiento de la configuración mínima, además de poner un proxy y un servidor de correo adicionales ... Aparentemente, no tenemos hardware tan antiguo :) Abandonamos dichos consumidores de recursos. Aunque se rumorea que puede ejecutar en la configuración de 6 núcleos / 24 GB.
2. Symantec DLP . Desde el primer clic en el sitio, se abre un formulario con un montón de preguntas y no hay indicios de un juicio. Compra y prueba. Gracias, envuélvelo.
3. Forcepoint DLP (también conocido como
   Websense ). El sitio tampoco tiene una pista de prueba, pero hay un formulario para solicitar una demostración con el fin de mirar "de la mano" del integrador. Gracias de nuevo, pero no.
4. Zecurion DLP . Una vez más, no es un indicio de un juicio sin mantener las ventas, ni la oportunidad de mirar a los colegas.
5. Digital Guardian : generalmente no es realista obtener una prueba.
6. Otra pequeña lista del cuadrante de Gartner, que es demasiado difícil de obtener, y productos rusos "jóvenes" que aún no han sufrido un gran avance en el mercado masivo.

Los resultados de la prueba se resumieron en una tabla de la función tipo: sistema / cumplimiento; bastante resultó. Verificamos cómo cada DLP probado cumple con sus tareas para una amplia gama de canales de fuga de datos, qué otras posibilidades hay, cómo funciona con el sistema en principio ... La prueba es, por supuesto, no un piloto completo, podríamos haber perdido algo, me disculpo de inmediato por esto.

Destaco por separado que la opinión descrita en este artículo es subjetiva y se basa en las impresiones personales de los empleados de una unidad en función de los resultados de varias pruebas básicas y una revisión general del sistema. Todas las conclusiones se construyen a partir de "probarse a sí mismo" y cumplir con la tarea principal de "evitar fugas", no pretenden ser completas.

Verificamos cosas simples que correspondían directamente a la tarea: bloquear el canal como tal para estos usuarios ("¡ esto es imposible! "); enviar una copia oculta del documento interceptado al archivo; notificación de seguridad de la información cuando se activa una prohibición.

Comprobado:

• grabar en una unidad flash;
• imprimir documentos en una impresora (local a través de USB y red);
• envío a SMTP y MAPI;
• envío a correo web (miró Mail.ru, Gmail, Yandex.Mail);
• envío a redes sociales (mirado Facebook y Vkontakte);
• subir a las nubes (miró Yandex.Disk y Dropbox);
• enviar archivos a través de formularios a través de HTTP;
• subir al servidor FTP;
• mensajeros instantáneos: chat, envío de archivos, comunicación de voz o video (vistos por Skype, Whatsapp, Telegram);
• control en la sesión de terminal (si habrá una respuesta cuando el documento se extraiga del portapapeles en la sesión de terminal y cuando se escriba en un disco reenviado desde una estación de trabajo remota a la sesión de terminal).

Al completar con éxito la prueba básica, se realizó una prueba de esfuerzo adicional con elementos de carga y complicaciones para el módulo analítico del sistema:

1. Se envió un archivo multinivel con una extensión modificada a través de los canales que se verificaban, con un archivo Excel de tamaño gigantesco en el interior, donde el texto de destino estaba oculto entre miles de celdas de texto basura. Respuesta esperada a las palabras dadas, números de teléfono y direcciones de correo electrónico de la empresa.
   
   
   
   
   
   
2. Los canales a escanear enviaron un escaneo de impresión de documentos a dos páginas escaneadas por un MFP invertido ordinario. Respuesta esperada a los números de pasaporte y licencias de conducir.
   
   
   
3. El contrato completado se envió a través de los canales marcados y la plantilla del contrato se introdujo previamente en el sistema.
   
   
   

Como funciones útiles adicionales (además de verificar el cumplimiento del criterio principal, ver arriba), analizamos las capacidades analíticas, trabajar con el archivo e informar. Decidieron posponer la función de escaneo de estaciones de trabajo (por ejemplo, cómo el sistema detecta un documento con datos de pasaporte en una estación de trabajo) para otra ejecución, ahora esta tarea no es primaria (y crítica en general).

El banco de pruebas es simple, como un servidor, una máquina virtual con 8 GB de memoria asignada, como un conejo experimental, una computadora típica en i5 / 2.3 GHz / 4 Gb RAM y con Windows 10 de 32 bits.

Bueno, aquí hay algunos sistemas DLP que finalmente se pudieron ver y sentir en su stand o en sus colegas, y las impresiones correspondientes en ellos: McAfee DLP, Sophos Endpoint Protection, InfoWatch Traffic Monitor, DeviceLock DLP, Information Security Circuit SearchInform, Falcongaze SecureTower. Para comenzar, describiré las impresiones generales, luego una descripción general de las ejecuciones de prueba reales.

McAfee DLP

Las pruebas obtuvieron la versión de McAfee Data Loss Prevention 10.0.100.

Quiero señalar de inmediato que este es un sistema muy difícil de instalar y configurar. Para instalarlo y usarlo, primero debe implementar McAfee ePolicy Orchestrator como su propia plataforma de administración. Quizás para las organizaciones donde el ecosistema de soluciones de McAfee está completamente implementado, será significativo y conveniente, pero por el bien de un producto ... placer de la categoría de dudoso. La situación se ve algo facilitada por el hecho de que la documentación del usuario es muy cuidadosa y describe todo el procedimiento de instalación, y el instalador mismo instala todos los componentes externos que necesita. Pero durante mucho tiempo ... Establecer las reglas tampoco es una tarea fácil.

Me gustó: la capacidad de establecer prioridades condicionales para las reglas y luego usar estas prioridades como parámetros para filtrar eventos en el registro. El filtrado en sí se realiza de manera muy agradable y conveniente. La capacidad de permitir al usuario reenviar el archivo cuando esté prohibido, si proporciona alguna explicación (justificación del usuario).


No me gustó: la ya mencionada necesidad de instalar nuestra propia plataforma de administración, que duplica en gran medida AD. Módulo OCR incorporado - no, control de documentos escaneados - por. Revelaron una serie de restricciones, como controlar el correo solo en Outlook (correspondencia a través del control de agente pasado de The Bat! Flew), dependencia de versiones específicas del navegador, falta de control de la correspondencia en Skype (solo se interceptan archivos).

Resumen: A primera vista, el McAfee DLP nos pareció una solución muy interesante, a pesar de las desventajas mencionadas anteriormente. Fue decepcionante que los magos para establecer políticos se hubieran ido; en las versiones antiguas que una vez fueron exploradas, en nuestra opinión, era más conveniente que en la consola web actual. El inconveniente clave es que casi todo el control se implementa a través del control de la aplicación, y no a nivel de protocolo o controlador. Le permite bloquear dispositivos reenviados en un entorno Citrix.

Sophos Endpoint Protection

Para las pruebas, tomaron la versión de Sophos Endpoint Protection 10.

La solución es compleja, la base es un antivirus. Tuve que instalar durante mucho tiempo. El manual ni siquiera indica los requisitos del sistema; sígalos en el sitio. Las políticas se establecen en función de la lógica por computadora :(

Me gustó: como en McAfee, es posible permitir que el usuario reenvíe el archivo cuando esté prohibido. Eso es probablemente todo.

No me gustó: no hay dificultad en eludir el control del dispositivo por parte del agente; detenga el antivirus de Sophos, luego encienda el controlador del dispositivo en el Administrador de dispositivos y listo, acceso completo a la unidad flash prohibida. Es de alguna manera complicado y confuso tener que ver con la implementación y configuración de las reglas de análisis de contenido, que, como resultado, todavía no se ejecutan de hecho. Sorprendentemente, no hay instantáneas. Las notificaciones en forma de alertas por correo electrónico y mensajes SNMP deben configurarse desde el antivirus del mismo desarrollador. La lista de dispositivos monitoreados es deficiente, el correo se controla mediante la incrustación en clientes de correo. Control de acceso a sitios creados simplemente como un firewall. Módulo OCR incorporado - no, control de documentos escaneados - por. El manual del usuario es triste: no puede encontrar ningún detalle en él. Ni siquiera hay una descripción de lo que se entiende por una u otra regla incorporada, ya sea una verificación de diccionario o una expresión regular ...

Resumen: Sin éxito, en nuestra opinión, solución. De hecho, este es un apéndice del antivirus, e incluso la falta total de la capacidad de crear evidencia basada en incidentes. Las políticas no las establecen los usuarios, sino las máquinas; esto es inaceptable. Bueno, en realidad, no se esperaba mucho de un suplemento antivirus gratuito, pero la esperanza es lo último.

InfoWatch Traffic Monitor

Tal vez el complejo DLP mejor desarrollado en nuestro mercado hoy en día, lo que significa que más lo esperábamos. Oportunidades para tomar y ver, no, pero el sitio está repleto de belleza de los vendedores. Fue difícil de probar, pero pude obtener la versión Enterprise de InfoWatch Traffic Monitor 6.9. Quizás haya una versión más nueva, pero no lo sabemos, no encontramos el mismo marketing detrás de los kilotones. Pero la información técnica en el sitio de alguna manera no es suficiente. Durante la prueba, se descubrió que la documentación tenía el mismo problema: si algo no está claro, es casi imposible encontrar una respuesta en el manual, y no hay detalles en general. Esto reduce significativamente la posibilidad de una operación independiente.

Me gustó: una interfaz reflexiva de muy alta calidad, con buena estructura. Tableros prácticos donde puede configurar una solicitud específica, el momento de su actualización, y luego observar la imagen completa. Una buena variedad de widgets para la consola. Es posible enviar una solicitud de usuario para proporcionar acceso al dispositivo directamente desde el módulo de agente. La capacidad de configurar diferentes destinatarios para las notificaciones dependiendo del tipo de evento y la membresía del usuario en la unidad organizativa. Un conjunto sólido de informes. Buenas oportunidades para trabajar con el archivo, se admite un gran conjunto de herramientas para analizar el contenido de los datos en el archivo. Hay capturas de pantalla de estaciones de trabajo.


No me gustó: de hecho, este no es un producto, sino un montón de Infowatch Traffic Monitor e Infowatch Device Monitor, y funciona en dos sistemas operativos (Windows y Red Hat Linux), por lo que la instalación y configuración para ejecutar es complicada. También hay dos consolas de administración. La lógica ampliamente publicitada por el desarrollador "verificó el contenido, solo entonces lo bloqueamos, no interferimos con los procesos de negocios" realmente en algún lugar del brote. Simplemente no hay análisis de los contenidos para controlar dispositivos: el acceso a los dispositivos se puede deshabilitar para los usuarios, hay listas blancas, pero el agente de Monitor de dispositivo Infowatch simplemente no sabe en qué está escrito el documento en la unidad flash USB. Para los canales de red, el problema es aproximadamente el mismo: la verificación de contenido se implementa solo para SMTP y HTTP. Como dicen los colegas que han estado familiarizados con esta decisión, ahora al menos existe la oportunidad de bloquear los canales de red, antes solo había monitoreo. De hecho, esta función se limita a HTTP, FTP, SMTP, además de compartir archivos y algunos mensajeros instantáneos. Repito, no hay posibilidad de bloquear la transferencia de datos en función de verificar su contenido en, por ejemplo, mensajería instantánea, solo SMTP y HTTP. Esto no es malo, pero no es muy consistente con la descripción en los folletos, y esto no es suficiente para cubrir completamente los canales de fuga. El módulo de agente se implementa realmente como una especie de mezcla de diferentes agentes.


Resumen: en general, la solución se ve (especialmente se ve) muy bien. El control básico del dispositivo es bueno; para los canales de red, el monitoreo es bueno y el bloqueo es satisfactorio. En las sesiones de terminal, le permite restringir el acceso a las unidades reenviadas, o proporcionar acceso de solo lectura, trabajos de instantáneas (para unidades flash y para unidades reenviadas al mismo tiempo). La molestia es la falta de verificación de contenido para la mayoría de los canales controlados, especialmente los dispositivos, a pesar de que los documentos de marketing declararon exactamente la lógica. Esperemos que este sea un tipo de hoja de ruta, y tarde o temprano, los desarrolladores se pondrán al día con los vendedores. Mientras tanto, el equipo de relaciones públicas es cinco, los desarrolladores son triples con un plus. O viceversa. Cómo mirar

DeviceLock DLP

Para las pruebas, se descargó la versión 8.3 (la última actualización lanzada en diciembre de 2018), descargada del sitio del desarrollador.

Un sistema bastante especializado, solo protección contra fugas y nada más: sin capturas de pantalla, control de aplicaciones ... Sin embargo, si cree que la información de los seminarios web del desarrollador, la función de control del usuario a través de capturas de pantalla debería aparecer en el futuro previsible. La instalación es fácil. Un montón de opciones de control, consolas de la vieja escuela, para trabajar con ellas, necesita al menos algo de experiencia de administrador del sistema, entonces todo se vuelve obvio y simple. En general, la impresión es muy simple para operar el sistema.

Me gustó: detalles en la configuración de control. No solo control condicional, por ejemplo, Skype, sino también monitoreo, eventos, instantáneas, alertas, verificación de contenido, y el uso de componentes de Skype separados: chat, archivos, llamadas ... La lista de dispositivos monitoreados y canales de red está construida razonablemente y es muy grande. Módulo OCR incorporado. Los bloqueos de contenido funcionan, aunque con alguna carga de estación de trabajo. Las alertas pueden llegar casi al instante. Los agentes son completamente independientes con respecto al lado del servidor, pueden vivir sus propias vidas todo el tiempo que sea necesario. Se ha realizado el cambio automático de modos: puede despedir a un empleado de manera segura con una computadora portátil, los políticos se cambiarán a otras configuraciones. Las cerraduras y la supervisión en el sistema están divorciadas incluso en el nivel de la consola: no hay dificultad para que algunos canales permitan la prohibición de camaradas individuales, y para otros camaradas establecer la configuración solo para la supervisión. Las reglas para analizar contenido también parecen independientes y funcionan tanto para prohibir y viceversa para permitir la transmisión cuando el canal está cerrado en principio.


No me gustó: no hay magos.Para configurar cualquier política, debe comprender de inmediato lo que necesita obtener, ir a la sección correspondiente de la consola y marcar marcas de verificación, seleccionar usuarios, etc. Se sugiere una opción paso a paso para crear una política. Por otro lado, puede verificar lo que realmente está configurado en el plan de control. La búsqueda de archivos está limitada a la búsqueda de texto completo por el contenido de las instantáneas; no hay posibilidad de buscar por plantilla de documento o usando diccionarios. Un sistema de filtro desarrollado ayuda más o menos, pero estos están lejos de ser filtros de contenido. Carga inevitable en estaciones de trabajo cuando se trabaja con reglas dependientes del contenido (terminología del desarrollador).


Resumen:El sistema es fácil de operar, funciona claramente, con un rico arsenal de capacidades específicamente para la protección contra la filtración de información. Según el acertado comentario de uno de los colegas, se realiza sobre la base de "sintonizado y olvidado". Teniendo en cuenta que todas las políticas se establecen por usuario, para cambiar las operaciones disponibles para un usuario, simplemente transfiéralo a otro grupo de usuarios del dominio para el que se configuran otras reglas de control, desde controles simples hasta reglas con análisis de contenido. En las sesiones de terminal, le permite establecer permisos para unidades reenviadas (bloqueo o solo lectura), para el portapapeles (todo es bastante flexible dependiendo de la dirección de copia, el tipo de datos transferidos), la copia oculta funciona, el bloqueo del contenido funciona al escribir en reenviado unidades y al transferir datos a través del portapapeles.

SearchInform Circuito de seguridad de la información

Observamos con colegas, por lo que el momento era muy apretado. Al principio quería escribir "Obtuve la versión XXXX para las pruebas", pero no pude. Solo porque CIB Searchinform no es un sistema, sino un almuerzo complejoUn conjunto de varios sistemas prácticamente independientes. Hasta consolas individuales para diferentes tareas: se contaron hasta 5 piezas. Los colegas dicen que antes había más consolas ... El módulo clave en este complejo es el módulo EndpointController, versión 5.49. El resto tiene su propia numeración. Por cierto, el kit de distribución también es de un montón de archivos ... En consecuencia, instalar un sistema de este tipo no es fácil, no se puede prescindir de la documentación. A su vez, también es específico: está escrito sobre el principio de "lo que veo, luego escribo", sin explicar la lógica del trabajo. La administración se ve así: las políticas de intercepción se crean en una consola de administración, la configuración de indexación e índice para ver los datos interceptados es una consola separada, ver los datos de auditoría y sombreado nuevamente es una consola separada, los informes nuevamente son una consola separada, etc. Y en las descripciones de marketing en el sitio,y en la documentación se encuentra constantemente la palabra "intercepción". En la práctica, esto significa que para casi todos los canales de fuga de la red, solo se recibe una instantánea. Hay bloqueos para dispositivos, pero para los canales de Internet puede deshabilitar SMTP para todos los usuarios, o permitirlo. Otra opción es utilizar la cuarentena de mensajes, que se implementa en el agente, para SMTP. El análisis del contenido como motivo de bloqueo se realiza de manera muy específica: el agente envía a cuarentena todos los mensajes que el administrador ya ve (manualmente o utilizando el analizador de contenido) y luego elige qué enviar a continuación y qué bloquear. Nos imaginamos cómo se vería en una organización donde hay al menos 5 veces más empleados que los nuestros ...En la práctica, esto significa que para casi todos los canales de fuga de la red, solo se recibe una instantánea. Hay bloqueos para dispositivos, pero para los canales de Internet puede deshabilitar SMTP para todos los usuarios, o permitirlo. Otra opción es utilizar la cuarentena de mensajes, que se implementa en el agente, para SMTP. El análisis del contenido como motivo de bloqueo se realiza de manera bastante específica: el agente envía a cuarentena todos los mensajes que el administrador ya ve (manualmente o usando el analizador de contenido) y luego elige qué enviar a continuación y qué bloquear. Nos imaginamos cómo se vería en una organización donde hay al menos 5 veces más empleados que los nuestros ...En la práctica, esto significa que para casi todos los canales de fuga de la red, solo se recibe una instantánea. Hay bloqueos para dispositivos, pero para los canales de Internet puede deshabilitar SMTP para todos los usuarios, o permitirlo. Otra opción es utilizar la cuarentena de mensajes, que se implementa en el agente, para SMTP. El análisis del contenido como motivo de bloqueo se realiza de manera muy específica: el agente envía a cuarentena todos los mensajes que el administrador ya ve (manualmente o utilizando el analizador de contenido) y luego elige qué enviar a continuación y qué bloquear. Nos imaginamos cómo se vería en una organización donde hay al menos 5 veces más empleados que los nuestros ...Otra opción es utilizar la cuarentena de mensajes, que se implementa en el agente, para SMTP. El análisis del contenido como motivo de bloqueo se realiza de manera muy específica: el agente envía a cuarentena todos los mensajes que el administrador ya ve (manualmente o utilizando el analizador de contenido) y luego elige qué enviar a continuación y qué bloquear. Nos imaginamos cómo se vería en una organización donde hay al menos 5 veces más empleados que los nuestros ...Otra opción es utilizar la cuarentena de mensajes, que se implementa en el agente, para SMTP. El análisis del contenido como motivo de bloqueo se realiza de manera muy específica: el agente envía a cuarentena todos los mensajes que el administrador ya ve (manualmente o utilizando el analizador de contenido) y luego elige qué enviar a continuación y qué bloquear. Nos imaginamos cómo se vería en una organización donde hay al menos 5 veces más empleados que los nuestros ...Nos imaginamos cómo se vería en una organización donde hay al menos 5 veces más empleados que los nuestros ...Nos imaginamos cómo se vería en una organización donde hay al menos 5 veces más empleados que los nuestros ...

Me gustó: las posibilidades de trabajar con el archivo están poderosamente desarrolladas. Hay de todo. Una gran cantidad de criterios, herramientas de búsqueda para diccionarios, expresiones regulares, huellas dactilares, marca "buscar similares" ... Hay etiquetas para diferentes incidentes, puede marcar ya visto, por ejemplo. Hay un cifrado transparente de unidades flash.


No me gustó: el caos en la lógica del control del sistema, un número abrumador de consolas de control. Falta de bloqueo para canales de red. La ausencia de bloqueo de contenido para todo el conjunto de canales "interceptados".


Resumen: el bloqueo de dispositivos se implementa a un nivel decente, para canales de red, en el embrión. En las sesiones de terminal, puede establecer permisos para las unidades reenviadas (bloqueo, solo lectura), la copia instantánea funciona para las unidades reenviadas. En general, el sistema es bastante complicado de operar, centrándose estrictamente en las investigaciones de incidentes, es decir, en el monitoreo y el trabajo con el archivo. Para esto, hay, quizás, todo lo que se necesita. Claramente, proteger a la organización de las fugas de datos no está aquí, excepto para cerrar dispositivos que son innecesarios para los usuarios.

Falcongaze SecureTower

Las pruebas obtuvieron la versión 6.2. Dos palabras clave que describen este sistema, si no profundizan en los matices, son fáciles y convenientes. Fácil de instalar, conveniente para administrar, conveniente para ver informes, conveniente para trabajar con el archivo. Prácticamente no se requiere documentación. Luego, el enfoque comienza nuevamente con la palabra "intercepción", como en el CIB. La intercepción aquí es solo para monitorear, es decir, se crea una instantánea, prácticamente no se habla de bloqueo (excepto HTTP, SMTP y MAPI). Hay capturas de pantalla de estaciones de trabajo y algunas otras funciones para monitorear la actividad del usuario.

Me gustó:Interfaz de usuario amigable. Todo se hace para la comodidad del trabajo. Una buena herramienta para ver y analizar el archivo, el gráfico de enlaces se implementa con éxito. Desde casi cualquier informe, puede ir al evento (incidente) indicado allí. Se pueden asignar categorías a los incidentes (investigados, inexplorados, diferidos). Monitoreo de Telegram y Viber.


No me gustó: la ausencia de bloqueos para canales de red. La imposibilidad de bloquear impresoras y unidades lanzadas a la sesión de terminal. La ausencia de bloqueo de contenido para todo el conjunto de canales "interceptados". Baja estabilidad del agente: se observaron heladas impredecibles y la aparición de vertederos. Congelaciones inesperadas de la consola incluso cuando se trabaja con el archivo.


Resumen: El sistema es muy fácil y conveniente de instalar y operar, pero está orientado a monitorear y trabajar con el archivo. Existe la sensación de que el sistema está algo húmedo, el OTC está subdesarrollado.

Resultados de la prueba

Como se mencionó anteriormente, los resultados de las pruebas básicas están tabulados. Los parámetros que pueden evaluarse subjetivamente se evaluaron condicionalmente, de acuerdo con la "escala del semáforo", por color.

La tabla en sí se ve así (se puede hacer clic):




Las pruebas de resistencia se realizaron solo para McAfee y DeviceLock DLP. En otros casos, simplemente no tenía sentido (ver la tabla a continuación).

McAfee ha resuelto correctamente la prohibición del archivo con el archivo Excel.


La prueba con la intercepción del escaneo en McAfee no se realizó; no hay un OCR incorporado.

Al verificar las plantillas, solo funciona con total conformidad, si se modifica el documento, el sistema DLP lo omite.

Con DeviceLock DLP, todas las pruebas funcionaron por completo. Contrato modificado, intercepción en skype:


Grabe en una unidad flash de archivo con el archivo de Excel lleno de basura:


Impresión de bloqueo de escaneo de documentos invertidos:



Los resultados resumidos de las pruebas son los siguientes (se puede hacer clic):

Conclusiones

Anticipando la pregunta de los lectores: "¿qué elegiste al final, porque el título es" experiencia de elección "? Desafortunadamente, al momento de escribir esto, el manual aún no se ha decidido. Intentamos cumplir con nuestra tarea: realizamos pruebas en varios sistemas, presentamos los resultados de las pruebas a la gerencia y, en el camino, decidimos compartir con la comunidad de Habra.

Repito, nuestra opinión es subjetiva, basada en impresiones personales y está determinada por la tarea, por lo que nuestra elección permanecerá inédita.

En general, las tareas establecidas son siempre primarias, por lo tanto, recomendamos que todos los que elijan un sistema DLP para resolver sus problemas sigan su propio camino y, a partir de las tareas establecidas, se ocupen de las capacidades de los sistemas propuestos. Esperamos que nuestras tabletas sean una hoja de trucos útil para usted.

¡Gracias a todos por su atención!