"إيغور ، لديه قلبان !!!"
آنا بوبوفا ، رئيسة مجموعة DLP Group من مجموعة شركات Infosecurity ، تواصل مشاركة انطباعاتها حول استخدام أنظمة DLP مختلفة. في
مقال سابق ، تحدثت عن إيجابيات وسلبيات حل SearchInform CIB. اليوم ، كما وعدنا ، لنتحدث عن خط منتجات InfoWatch. دعنا نقرر على الفور أننا لا نتظاهر بأننا مقارنة موضوعية.
بشكل عام ، من الصعب فهم ماهية الرأي الموضوعي حول النظام. الخصائص الموضوعية هي الامتثال لنظام DLP مع المتطلبات التقنية للعملاء ، ومتطلبات FSTEC ، وما إلى ذلك ، بالإضافة إلى ارتباطها بالقدرات اللازمة. كل شيء آخر غير موضوعي ، لأن الحقيقة هي أن الوظيفة التي "خلعها" أحد العملاء من الآخر ستنخفض. والأكثر من ذلك ، ليست هناك حاجة للحديث عن التفوق الموضوعي لنظام على آخر ، إذا كنا نتحدث عن تشغيله من قبل المحللين. شخص ما يحب واجهة واحدة ، شخص آخر ، شخص لا يحب تفريغ الأحداث ، بالنسبة لشخص ما ليس مهمًا.
يقول InfoWatch الكثير عن DLP. يتم نسخ العديد من النسخ حوله. الآراء متنوعة للغاية - من الأكثر قطبية إلى محايدة. بمرور الوقت ، كان لدى كل من الشركة والمنتج مسار طويل وشائك للتطوير ، لتنمية أكثر من وظيفة مفيدة ، وحتى الدخول في "الربع السحري" من Gartner. لذلك دعونا نحاول معرفة ما تمكن المنتج من تحقيقه ، سواء كان جيدًا جدًا (أو سيئًا) ، كما يقولون.
العمارة (من هو)
بادئ ذي بدء ، تحتاج إلى فهم ما نعمل معه. تتكون حزمة برنامج InfoWatch Traffic Monitor من المكونات التالية:
يعد InfoWatch Traffic Monitor المكون الرئيسي المسؤول عن اعتراض الشبكة وتحليل البيانات التي تم اعتراضها (التي يتم جمعها عبر الشبكة ومن الوكلاء). وهو يعمل على RHEL / CentOS 6. وهو مسؤول أيضًا عن عرض واجهة الويب ، وهي نقطة الدخول الرئيسية لمسؤول IS عند العمل مع النظام.
InfoWatch Device Monitor - هذا المكون مسؤول عن إدارة الوكلاء (بما في ذلك سياسات الوكيل). مدعوم من Windows Server. يحتوي على وحدة تحكم إدارة منفصلة يمكن تثبيتها على أي جهاز يعمل بنظام Windows - الشيء الرئيسي هو أن الوصول إلى الشبكة إلى خادم Device Monitor مفتوح.
برنامج InfoWatch Crawler - وحدة نمطية تسمح لك بفحص أدلة المستخدم المحددة وأدلة الشبكة. إنه يعمل على Windows Server (يمكن تثبيته على جهاز مزود بخادم Device Monitor) ، ولكنه مدمج في وحدة تحكم الويب Traffic Monitor وإدارته من هناك.
إن InfoWatch Vision هو مكون اختياري يمكن أن يبسط بشكل كبير عملية التحقيق في حوادث أمن المعلومات من خلال التصور. يمثل الأحداث من Traffic Monitor في شكل رسوم بيانية تفاعلية قابلة للضبط تلقائيًا. يتم تشغيله على Windows Server ويستند إلى منصة QlikSense.
إن InfoWatch Person Monitor هو أيضًا وحدة اختيارية توفر مراقبة وظيفية لساعات العمل. إنه يعمل على Win Server ، ويأخذ جذوره من نظام Stakhanovets الأسطوري ، بطريقة ما.
وظيفة الحظر
نظرًا لأن النظام يتمتع بوضع فخور لـ DLP (والذي يعني ، على سبيل المثال ، منع تسرب البيانات - منع تسرب البيانات) ، أولاً وقبل كل شيء ، نعتبر الوظيفة "الكلاسيكية" لهذه الأنظمة - الوقاية. ماذا يمكن أن تقدم لنا حزمة البرامج هذه؟
حتى في الحد الأدنى من التثبيت (Traffic Monitor ، Device Monitor) ، فإن الوظائف غنية بما يكفي: يمكن حظر البريد ، ويمكن منع التسجيل على الوسائط القابلة للإزالة من خلال نتائج تحليل المحتوى أو القوائم البيضاء للوسائط ، يحظر تشغيل التطبيق ، يحظر FTP. مع اتصال وحدة مراقبة الأشخاص ، يتم توسيع الوظائف إلى حد ما: يتم إضافة القدرة على تنظيف الحافظة وحظر تنزيل الملفات على الإنترنت.
سيكون من الصعب على المستخدم غير الجاهز أن يفهم أولاً المجموعة الكاملة لوحدات التحكم الإدارية المختلفة: على سبيل المثال ، إحدى الميزات عند العمل مع النظام هي الحاجة إلى "تمكين" بعض قنوات التقاطع في Device Monitor.
بشكل عام ، لا تثير وظيفة الوقاية تساؤلات ؛ هناك مكان للتجول. على الرغم من أن العملاء الأكثر تطلبًا سيتعين عليهم على الأرجح التحول إلى منتجات تنافسية أكثر مرونة. أما بالنسبة للمحاسبة الوظيفية لساعات العمل ، يتم تنفيذها في IWTM بطريقة أصلية ، ولكنها مريحة تمامًا.
إدارة الوقت الوظيفي
لا يقتصر سوق منع فقدان البيانات ، خاصة في بلدان رابطة الدول المستقلة ، اليوم على وظائف الوقاية فقط. تدمج أنظمة DLP تدريجيًا وظيفة فئة أخرى من المنتجات - أنظمة مراقبة عمل الموظفين.
المنتج المعني لم يكن استثناءً واستوعب شيئًا أيضًا. كيف جودة عالية؟
يمكنك التحكم في الموظفين باستخدام وحدة مراقبة الأشخاص - بدءًا من كلوغر وتنتهي بالفيديو من سطح المكتب ، بالإضافة إلى التحكم في كاميرا الويب والصوت من الميكروفون. ومع ذلك ، ليس كل شيء وردية للغاية. ويذكر أعلاه أن هذه الوحدة هي تفسير "Stakhanovets" المشهود. ومن ثم فإن العيوب - على سبيل المثال ، النقص المطلق في التكامل مع الوحدات الأخرى للمجمع والتغطية المضمونة "للسيطرة الكاملة" على خمسين سيارة فقط. كانت حماية قاعدة البيانات مؤثرة بشكل خاص - التشفير ليس ضروريًا ، يتم تخزين البيانات في قاعدة البيانات فقط في ترميز تم تغييره. "حتى لا يخمن أحد .."
بالمناسبة ، فيما يتعلق بالعاطفة: عندما تفتح واجهة الويب لأول مرة ، يحذر Person Monitor من أن الاتصال غير مشفر (http عادي ، أي) ويقدم رابطًا إلى دليل يمكن للجميع من خلاله تكوين https لنفسه. لماذا لم يتم ذلك "خارج الصندوق" غير واضح.
هناك أيضًا التعرف الصوتي المثير للاهتمام جدًا لوظيفة النص. يتم تنفيذ ذلك من خلال Google API ، والتي ستكون مشكلة لكثير من العملاء: أولاً ، تحتاج إلى توصيل الخادم بالإنترنت ، وثانيًا ، لا يوافق الجميع على نقل معلوماتهم السرية إلى جهة خارجية.
عند إجراء التحقيقات بشأن المعلومات التي جمعتها Person Monitor ، كنا غير مرتاحين لأننا اعتدنا على العمل مع جميع المعلومات المتاحة من جميع القنوات المتاحة وجميع الموظفين. بالإضافة إلى ذلك ، لا يحتوي البحث المحلي باستخدام بيانات keylogger المشفرة إلا على الوظائف الأساسية - على سبيل المثال ، هناك مورفولوجيا ، ولكن لن يكون من الممكن بناء قواعد بحث نصية معقدة ومعقدة. ومع ذلك ، على أحجام صغيرة من حركة المرور وفي الشركات الصغيرة ، يمكن للجميع التعايش مع هذا.
من وجهة نظر فنية ، يتكون Person Monitor من وكيل يقوم بجمع البيانات من محطة عمل المستخدم ، وخادم بقاعدة بيانات (MSSQL) ، حيث يتم تخزين هذه البيانات بعد ذلك ، و Apache لـ Windows ، والتي تعرض واجهة الويب للنظام. بناء على طلب المستخدم ، يتم تجميع استعلام SQL ، وتظهر نتائجه أمام المستخدم في شكل صفحة تقرير html.
بالحديث عن الشركات الصغيرة والكبيرة ، ننتقل بسلاسة إلى وحدة أخرى - الرؤية. كان الأمر كما لو تم إنشاؤه بأمرنا - فهو يسمح لك بتنظيم البيانات التي تم اعتراضها بواسطة Traffic Monitor للتمثيل المرئي ، بالإضافة إلى ذلك ، يجعل من الممكن إعادة بناء الطلبات بسرعة. كل هذا ممكن ، على الأقل بفضل منصة QlikSense ، التي تدير أحداثًا مستمدة من Traffic Monitor في ذاكرة خادم Vision.
يجب تحميل الأحداث مرة واحدة في فترة زمنية معينة - على سبيل المثال ، كل ليلة ، حيث يستغرق تحميل كميات كبيرة من البيانات وقتًا طويلاً.
الانطباع العام
النظام قيد الدراسة ، مثل أي نظام آخر ، لا يخلو من العيوب. لسوء الحظ ، لا تزال هناك بعض "تقرحات الأطفال" التي امتدت من الإصدارات السابقة (على سبيل المثال ، المشاكل المدرجة في برنامج بيرسون مونيتور) ؛ تبدو بعض الحلول مثيرة للجدل - ليس من الواضح دائمًا ما إذا كان هذا خطأ أو ميزة (وحدات تحكم غير متصلة واستخدام قواعد بيانات مختلفة لتخزين الأحداث). إذا كنت بحاجة إلى التركيز على وظيفة محددة ، بدلاً من حل متكامل ، فمن المستحسن أن تستمر في دراسة سوق DLP.
بمجرد أن بدأنا في استكشاف سوق DLP باستخدام InfoWatch Traffic Monitor ، لفت نظر العيوب على الفور:
- حتى مع الحد الأدنى من التثبيت ، يلزم وجود خادمين - Traffic Monitor ، Device Monitor - على أنظمة من عائلات مختلفة ؛
- عند التثبيت الأقصى ، يلزم تركيب عاملين على محطة عمل الموظف ؛
- يضطر مستخدم النظام إلى استخدام ليس وحدة تحكم واحدة ، ولكن من اثنين إلى خمسة (مراقب حركة المرور ، مراقب جهاز ، مراقب شخص ، مراقب شخص ، وحدة تحكم إعدادات الرؤية) ؛
- مع كل ما سبق ، لا يوجد ببساطة تكامل مع مراقب الشخص مع بقية المجمع - الشعور بأنك تعمل في نظام منفصل.
ومع ذلك ، من خلال مواصلة دراسة السوق ، وجدنا العديد من المزايا (حقًا ، كل شيء معروف في المقارنة):
- استقرار العمل
- بساطة وسرعة التدحرج. هناك صورة انطلاق لمرصد حركة المرور ، ويتم تثبيت مكونات Windows وفقًا للنمط "التالي - التالي - تم" ؛
- مرونة النظام. بعد إتقان واجهة جميع وحدات التحكم ، يمكنك إنهاء قواعد التشغيل المعقدة تمامًا التي سيتم تطبيقها فور وصول حركة المرور ؛
- سرعة التحقيق. على الرغم من حقيقة أن Vision لا تزال صغيرة ولم تكتسب وظائف كافية لنا ، إلا أن سرعتها ورؤيتها تعوض عن ذلك. عند العمل مع العملاء الرئيسيين السابقين ، سيكون مفيدًا جدًا لنا كجزء من نظام القتال.
أثناء إعداد المقال ، أجرينا مقابلة مع زملائنا المحللين الممارسين حول مدى إعجابهم بنظام DLP الخاص بـ InfoWatch. تلخيص كل ما قيل ، نسلط الضوء على العديد من الإيجابيات والسلبيات.
السلبيات:
- تناقض لوحات المفاتيح ؛
- التحكم في الوصول غير الوظيفي (كما هو موجود ، ولكن ليس من الممكن دائمًا التهيئة كما تريد - على سبيل المثال ، لوحة تحكم) ؛
- تقوم إحدى الوحدات بشكل عام بجمع المعلومات التي لا تستطيع النواة تحليلها ؛
- يتم استخدام عاملين ، يتم تضمين بعض الوظائف في كليهما ؛
- يلزم تقطير البيانات بين قواعد البيانات ؛
- من المستحيل وضع الوظائف الكاملة في خادم واحد حتى في الحد الأدنى من التنفيذ ؛
- منطق PM (لا يعمل مع الأحداث ، ولكن مع التقارير) لا يسمح باستخدامه بشكل مريح لمنطقة التغطية بأكملها ، ولكن بشكل حصري "نقطة".
الإيجابيات:
- الاستعداد لتنفيذ الوظائف ، إذا لزم الأمر ؛
- سهولة التثبيت (kickstart) ؛
- قابلية التوسع
- يرى الكثير ويفهم الكثير - مجموعة كبيرة من القنوات ، وتعمل مع حركة مرور الهاتف المحمول ، ومجموعة كبيرة من طرق الكشف عن البيانات الحساسة ؛
- بحث سريع نسبيًا ومعاين مناسب مع إبراز كائنات مختلفة بألوان مختلفة ؛
- وصف مفصل لتقنيات الحماية وأهدافها ؛
- الكشف التلقائي عن الأهمية ، وتفريغ الضابط ، وما إلى ذلك ؛
- يتم إيلاء الكثير من الاهتمام لتصور المعلومات التي تم جمعها. أحد أفضل الحلول في السوق.
من السلبيات - نعم ، للأسف ، هذا هو التوافق المتعدد وليس الفصل المنطقي للوظائف بينهما دائمًا. هذا ليس مزعجًا فحسب ، ولكنه أيضًا غير فعال تمامًا عندما يكون من الضروري جمع قاعدة الأدلة للتحقيق والبيانات في قواعد البيانات المختلفة ، ومن المستحيل إحضارها إلى نموذج واحد باستخدام النظام نفسه. الكثير من الأعمال اليدوية غير الضرورية للمحلل أو حارس الأمن.
لقد سررنا برغبة المورد في تنفيذ التحسينات للعملاء المحتملين ، أي بدون علاقات تعاقدية ملزمة. هذا مثال حقيقي تمامًا: بعد ستة أشهر من مناقشة مجموعة من التحسينات التي أعلنا عنها في الإصدار التجريبي في أحد العملاء ، شاهدناها في الوظيفة المنفذة ، والتي كانت ممتعة للغاية.
علاوة على ذلك ، فإن IW هي واحدة من البائعين القلائل الذين يهتمون بمناقشة مثل هذه المشاكل ، ولا تطرد العلامة - لماذا تحتاجها ، أنت أول من يسأل عنها ، إلخ. (ساشا كليفتسوف ، نقدم لكم تحية منفصلة وأفضل التمنيات :)).
في النهاية ، لدينا نظام متوازن إلى حد ما يغطي معظم متطلبات العملاء الأكثر مملة وليس لديه متطلبات نظام مفرطة. يقوم InfoWatch باستمرار "بضخ" مجمعه ، بإضافة ميزات باردة جديدة. يبقى فقط لخياطتها بعناية معا :).
آنا بوبوفا ، رئيسة DLP Block ، مجموعة شركات Infosecurity
نيكيتا شيفتشينكو ، رئيس مجموعة الدعم الهندسي لـ DLP Block ، مجموعة شركات Infosecurity