كيف اخترنا نظام DLP (تجربة عملية)

مرحبا يا هبر! منذ وقت ليس ببعيد ، نشأ موقف نموذجي إلى حد ما - أعطت الإدارة الأمر " اختر نظامًا لحماية البيانات من التسرب ". معيار الاختيار الرئيسي هو القدرة على حل مشكلة منع التسريبات ذات الأهمية البالغة (في رأي الدليل) والملفات وما شابه. على النحو التالي من الإدارة الشفوية للرأس والمجلات ومختلف المعدات الوظيفية التحليلية والثانوية. نقلا عن رئيسه ، " للقبض على المتسللين ، يمكننا تعليق كاميرات الفيديو ، حل المشكلة بطريقة لا نتعامل بها مع التسريبات ، ولكننا نقضي عليها ". بالطبع ، الكل يدرك أنه من غير الواقعي التخلص من مخاطر التسرب بنسبة 100٪ ، لذلك نحن نتحدث عن تقليل خطر تسرب المعلومات.



قليلاً عن الشركة: نحن متوسطون الحجم - حوالي 300 محطة عمل (تعمل بعضها على نوبات العمل) ، بالإضافة إلى بعض الموظفين ، يتم تنظيم الوصول عن بعد إلى مساحات العمل الافتراضية من خلال Citrix Desktop. كأثر جانبي ، تم النظر في بعض الامتثال بموجب 152FZ والمنظمة المقابلة لحماية البيانات الشخصية.

ليس لدينا أي علاقة بالدولة ، ولا تؤثر علينا المتطلبات التنظيمية الأخرى للصناعة ، من حيث المبدأ. سعر الإصدار وعملية الشراء بشكل عام هي أعمال الوحدة المختصة. وفقًا لذلك ، فإن تكلفة الحل والموضوع الحالي لاستبدال الواردات لم يحدنا ، ويمكننا النظر في أي تطورات: محلية وأجنبية. نحن (قسم IS صغير يتألف من ما يصل إلى ثلاثة أشخاص) لا نريد ملء استبيانات ونماذج مختلفة من البائعين والمتكاملين ، لذلك قررنا تحديث الذاكرة من خلال التحقق من الحقائق (من حيث المبدأ ، كنا بالفعل على دراية بموضوع DLP ، ولكن دون خبرة عملية كبيرة). هذا يعني - بيديك لاختبار أنظمة DLP فقط ، والتي إما سهلة نسبيًا ("بدون تسجيل ورسائل نصية قصيرة") وتومض الشركة إلى البائع) للحصول على اختبار مستقل على المنصة الخاصة بك ، أو يمكنك الاطلاع على عمل الزملاء من المنظمات الأخرى. مهم: مع الأخذ في الاعتبار أنه سيتم تنفيذ مزيد من التنفيذ والتشغيل من تلقاء أنفسنا ، أردنا اختباره على أهبة الاستعداد ، وعدم الانخراط في مشاهدة الإصدارات التجريبية "التي تم تصحيحها بشكل صحيح" "من اليد" والكتيبات للتأكد من أن الوظائف المعلنة قد تم تنفيذها بالفعل و العمل كما نحتاج

الأنظمة المبنية على أساس تطبيقات المراقبة ، لقطات الشاشة ، لوحات المفاتيح ، إلخ. لم يحاولوا حتى البحث - لمجرد أنهم لم يحلوا المهمة الأساسية ، بغض النظر عن كيفية وضع مطوريهم أنفسهم في السوق. يشير هذا إلى Stakhanovets واستنساخه من Infovotch Person Monitor و StaffCop و TimeInformer و KickIdler وما شابه. هذا لا يعني أن هذه الأنظمة سيئة - فهي لا تحل المهمة الرئيسية المتمثلة في " منع التسرب! »البيانات السرية ، ولكن يمكن أن تكون (ربما) أداة جيدة للمهام الأخرى مع الملاحظة السلبية.

في ما بينهما ، تعرفنا على المواد التحليلية والمراجعة المستقلة ... واتضح أنها كانت متفرقة. من الإصدار المقروء - مطبوعان عن Habré ( مرة واحدة ومرتين ) والمراجعة القديمة والسطحية للغاية بالفعل على مكافحة البرامج الضارة مع مقارنة منفصلة في شكل جدول.

نحن مهتمون بـ: Symantec DLP الأجنبية ، و Forcepoint DLP ، و McAfee DLP ، و Sophos Endpoint Protection ، الروسية (أو كما هي ،) Solar Dozor ، و Zecurion DLP ، و InfoWatch ، Traffic Traffic ، و DeviceLock DLP ، و Circuit Security Information SearchInform ، و Falcongaze SecureTower.

بمجرد ظهور إصدار جديد على أيدينا أو دعوة للزملاء ، تم إجراء اختبارات للوظائف والقدرات المعلنة بالفعل. كمصدر للمعلومات الإضافية ، تم أخذ المنشورات وسجلات ندوات البائعين والشركاء ، وكذلك البيانات من وكالة OBS ، أي رأي الخبراء من الزملاء ذوي الخبرة.

سأذكر على الفور أنظمة DLP التي لا يمكن رؤيتها.

1. الطاقة الشمسية Dozor (الطاقة الشمسية Dozor). حسنا ، نظام ثقيل جدا. الأوصاف لها تركيز قوي على القدرات التحليلية. ذكر موقع المطور أن "البنية المعيارية تسمح لك بتوزيع الحمل ونشر Solar Dozor على أي جهاز قديم" ، ووفقًا للوثائق التي تحتاجها لتخصيص خادم به 8 مراكز و 32 جيجابايت من الذاكرة. وهذا فقط لضمان إطلاق الحد الأدنى من التكوين ، بالإضافة إلى وضع خادم وكيل وخادم بريد إضافي ... على ما يبدو ، ليس لدينا أجهزة قديمة جدًا .. لقد تخلينا عن مستهلكي الموارد هؤلاء. رغم أنه يشاع أنه يمكنك تشغيل على التكوين 6 النوى / 24 جيجابايت.
2. سيمانتيك DLP . من أول نقرة على الموقع ، يتم فتح نموذج مع مجموعة من الأسئلة ولا يوجد أي تلميح للتجربة. شراء ومحاولة. شكرا ، لفه مرة أخرى.
3. Forcepoint DLP (الملقب
   Websense ). لا يحتوي الموقع أيضًا على تلميح للتجربة ، لكن هناك نموذجًا لطلب عرض توضيحي من أجل النظر "من يد" الموحد. شكرا مرة أخرى ، ولكن لا.
4. زيكوريون DLP . مرة أخرى ، ليس تلميحًا للتجربة دون التمسك بالمبيعات ، ولا فرصة للنظر إلى الزملاء.
5. Digital Guardian - من غير الواقعي عمومًا الحصول على محاكمة.
6. قائمة صغيرة أخرى من الربع غارتنر ، والتي يصعب الحصول عليها ، والمنتجات الروسية "الشابة" التي لم تشهد بعد اختراق خطير في السوق الشامل.

تم تلخيص نتائج الاختبار في جدول وظيفة النوع - نظام / الامتثال ؛ تحولت إلى حد كبير. لقد فحصنا كيف يفي كل DLP تم اختباره بمهامه الخاصة بمجموعة واسعة من قنوات تسرب البيانات ، وما هي الاحتمالات الأخرى الموجودة ، وكيف يعمل مع النظام من حيث المبدأ ... الاختبار ، بالطبع ، ليس طيارًا كاملاً ، كان يمكن أن نفتقد شيئًا ، وأعتذر على الفور عن ذلك.

أؤكد بشكل منفصل أن الرأي الموصوف في هذه المقالة هو موضوع شخصي ويستند إلى الانطباعات الشخصية لموظفي وحدة واحدة بناءً على نتائج العديد من الاختبارات الأساسية ومراجعة عامة للنظام. جميع الاستنتاجات مبنية على "محاولة على نفسك" والوفاء بالمهمة الرئيسية المتمثلة في "منع التسرب" ، فهي لا تدعي أنها كاملة.

لقد تحققنا من الأشياء البسيطة التي تتوافق مباشرة مع المهمة: حظر القناة على هذا النحو لهؤلاء المستخدمين (" هذا مستحيل! ") ؛ إرسال نسخة احتياطية من المستند الذي تم اعتراضه إلى الأرشيف ؛ إشعار لأمن المعلومات عندما يتم تشغيل الحظر.

تم الفحص:

• سجل على محرك أقراص فلاش ؛
• طباعة المستندات على طابعة (محلي عبر USB وشبكة) ؛
• إرسال إلى SMTP و MAPI ؛
• إرسال إلى البريد الإلكتروني (بدا Mail.ru ، Gmail ، Yandex.Mail) ؛
• إرسال إلى الشبكات الاجتماعية (شاهد Facebook و Vkontakte) ؛
• تحميل إلى السحب (بدا Yandex.Disk و Dropbox) ؛
• إرسال الملفات عبر النماذج عبر HTTP ؛
• تحميل إلى خادم بروتوكول نقل الملفات ؛
• الرسائل الفورية: الدردشة ، إرسال الملفات ، الاتصالات الصوتية أو المرئية (شاهد سكايب ، واتساب ، تلغرام) ؛
• التحكم في جلسة عمل المحطة الطرفية (ما إذا كان سيكون هناك استجابة عند سحب المستند من الحافظة في جلسة عمل المحطة الطرفية وعند الكتابة إلى قرص معاد توجيهه من محطة عمل بعيدة إلى جلسة عمل المحطة الطرفية).

عند الانتهاء بنجاح من الاختبار الأساسي ، تم إجراء اختبار إجهاد إضافي مع عناصر الحمل ومضاعفات الوحدة النمطية التحليلية للنظام:

1. تم إرسال أرشيف متعدد المستويات بامتداد معدّل عبر القنوات التي يتم فحصها ، مع وجود ملف excel بحجم هائل في الداخل ، حيث تم إخفاء النص الهدف بين الآلاف من خلايا النص غير المهم. الاستجابة المتوقعة للكلمات المحددة وأرقام الهواتف وعناوين البريد الإلكتروني للشركة.
   
   
   
   
   
   
2. أرسلت القنوات المراد مسحها ضوئيًا طباعة المستند إلى صفحتين تم مسحهما ضوئيًا بواسطة جهاز MFP عادي رأسًا على عقب. الاستجابة المتوقعة لأرقام جواز السفر ورخص القيادة.
   
   
   
3. تم إرسال العقد المملوء عبر القنوات المحددة ، وتم تقديم قالب العقد مسبقًا إلى النظام.
   
   
   

كوظائف إضافية مفيدة (بالإضافة إلى التحقق من الامتثال للمعايير الأساسية ، انظر أعلاه) ، نظرنا في القدرات التحليلية ، والعمل مع الأرشيف ، وإعداد التقارير. قرروا تأجيل وظيفة مسح محطات العمل (على سبيل المثال ، كيف يكتشف النظام وثيقة تحتوي على بيانات جواز السفر على محطة عمل) لتشغيل آخر ، والآن هذه المهمة ليست أساسية (وهي مهمة بشكل عام).

إن مقعد الاختبار بسيط ، كخادم - جهاز افتراضي به ذاكرة مخصصة تبلغ 8 جيجا بايت ، كأرنب تجريبي - كمبيوتر نموذجي على ذاكرة الوصول العشوائي i5 / 2.3 جيجاهرتز / 4 جيجا بايت و Windows 10 بت 32 بت.

حسنًا ، إليك بعض أنظمة DLP التي تمت إدارتها في نهاية المطاف ليتم عرضها وشعورها بالموقف الخاص بك أو عند زملائك ، والانطباعات المقابلة لها: McAfee DLP و Sophos Endpoint Protection و InfoWatch Traffic Monitor و DeviceLock DLP و Information Security Circuit SearchInform و Falcongaze SecureTower. للبدء ، سأصف الانطباعات العامة ، ثم نظرة عامة على الاختبار الفعلي.

مكافي DLP

حصلت الاختبارات على إصدار McAfee Data Loss Prevention 10.0.100.

أريد أن أشير على الفور إلى أن هذا نظام صعب للغاية لتثبيته وتكوينه. لتثبيته واستخدامه ، يجب أولاً نشر McAfee ePolicy Orchestrator كنظام إدارة خاص بك. ربما بالنسبة للمؤسسات التي يتم فيها تطبيق نظام McAfee للحلول بشكل كامل ، سيكون ذلك مفيدًا وملائمًا ، ولكن من أجل منتج واحد ... يسرني من فئة المشكوك في تحصيلها. يتم تسهيل الموقف إلى حد ما من خلال حقيقة أن وثائق المستخدم مدروس للغاية ويصف إجراء التثبيت بأكمله ، ويقوم المثبت نفسه بتثبيت جميع المكونات الخارجية التي يحتاجها. ولكن لفترة طويلة ... ليس من السهل أيضًا تعيين القواعد.

أعجبتني: القدرة على تحديد أولويات مشروطة للقواعد ، ثم استخدام هذه الأولويات كمعلمات لتصفية الأحداث في السجل. تتم تصفية نفسها بشكل جيد للغاية ومريحة. القدرة على السماح للمستخدم بإعادة توجيه الملف عند حظره ، إذا كان يوفر بعض التفسير (تبرير المستخدم).


لم يعجبني ذلك: الحاجة المذكورة سابقًا لتثبيت نظام الإدارة الخاص بنا ، والذي يكرر إلى حد كبير ميلادي. المدمج في وحدة التعرف الضوئي على الحروف - لا ، السيطرة على الوثائق الممسوحة ضوئيا - من قبل. لقد كشفوا عن عدد من القيود ، مثل التحكم في البريد فقط في Outlook (المراسلات من خلال The Bat! Fly التحكم السابق بالوكيل) ، والاعتماد على إصدارات متصفح معينة ، وعدم التحكم في المراسلات في Skype (يتم اعتراض الملفات فقط).

ملخص: للوهلة الأولى ، بدا لنا McAfee DLP حلاً مثيراً للاهتمام ، على الرغم من العيوب المذكورة أعلاه. كان من المخيب للآمال أن تكون المعالجات الخاصة بتعيين السياسيين قد اختفت - في الإصدارات القديمة التي تم استكشافها ذات مرة ، في رأينا أنها كانت أكثر ملاءمة من وحدة التحكم الحالية على الويب. العيب الرئيسي هو أن كل التحكم تقريباً يتم تنفيذه من خلال التحكم في التطبيق ، وليس على مستوى البروتوكول أو برنامج التشغيل. يتيح لك حظر الأجهزة المعاد توجيهها في بيئة Citrix.

سوفوس نقطة النهاية الحماية

للاختبارات ، أخذوا إصدار Sophos Endpoint Protection 10.

الحل معقد ، والأساس هو مكافحة الفيروسات. اضطررت لتثبيت لفترة طويلة. لا يشير الدليل حتى إلى متطلبات النظام - يرجى متابعته إلى الموقع. يتم تعيين السياسات بناءً على منطق كل كمبيوتر :(

أعجبني: كما في McAfee ، من الممكن السماح للمستخدم بإعادة توجيه الملف عند حظره. ربما هذا كل شيء.

لم يعجبني ذلك: لا توجد صعوبة في تجاوز عنصر التحكم في الجهاز بواسطة العامل - أوقف برنامج مكافحة الفيروسات من Sophos ، ثم قم بتشغيل برنامج تشغيل الجهاز في Device Manager - و voila ، وصولاً كاملاً إلى محرك الأقراص المحمول المحظور. إن الأمر معقد وغامض إلى حد ما فيما يتعلق بتنفيذ قواعد تكوين المحتوى وتكوينها ، والتي ، نتيجة لذلك ، لا تزال غير منفذة في الواقع. من المستغرب ، لا توجد نسخ الظل. يجب تكوين الإشعارات في شكل تنبيه البريد الإلكتروني ورسائل SNMP من برنامج مكافحة الفيروسات الخاص بالمطور نفسه. قائمة الأجهزة التي تتم مراقبتها ضعيفة ، ويتم التحكم في البريد من خلال التضمين في عملاء البريد. التحكم في الوصول إلى المواقع المصنوعة ببساطة مثل جدار الحماية. المدمج في وحدة التعرف الضوئي على الحروف - لا ، السيطرة على الوثائق الممسوحة ضوئيا - من قبل. دليل المستخدم حزين - لا يمكنك العثور على أي تفاصيل فيه. لا يوجد حتى وصف للمقصود بقاعدة مضمنة أو أخرى - سواء أكانت عملية بحث في القاموس أو تعبيرًا عاديًا ...

ملخص: الحل غير الناجح في رأينا. في الواقع ، هذا هو ملحق لبرنامج مكافحة الفيروسات ، وحتى النقص التام في القدرة على إنشاء قاعدة أدلة على الحوادث. لا يتم تعيين السياسات من قِبل المستخدمين ، ولكن بواسطة الأجهزة - هذا غير مقبول. حسنًا ، في الواقع ، لم يكن من المتوقع حدوث الكثير من مكمل مضاد الفيروسات المجاني ، ولكن الأمل مات أخيرًا.

InfoWatch مرصد حركة المرور

ربما الأكثر تعقيدًا DLP المعقدة في سوقنا اليوم ، مما يعني أننا توقعنا أكثر منه. فرص لمجرد ورؤية - لا ، ولكن الموقع مليء بالجمال من المسوقين. كان من الصعب الاختبار ، لكنني تمكنت من الحصول على إصدار InfoWatch Traffic Monitor 6.9 Enterprise. ربما يوجد إصدار أحدث - لكننا لا نعرف ذلك ، لم نجد نفس التسويق وراء الكيلوتونات. لكن المعلومات التقنية على الموقع ليست كافية بطريقة أو بأخرى. أثناء الاختبار ، تبين أن الوثائق تواجه نفس المشكلة - إذا كان هناك شيء غير واضح ، فمن المستحيل تقريبًا العثور على إجابة في الدليل ، ولا توجد تفاصيل بشكل عام. هذا يقلل بشكل كبير من إمكانية التشغيل المستقل.

أحببت: واجهة عالية الجودة ، مدروس ، مع بنية جيدة. لوحات معلومات مريحة حيث يمكنك تكوين طلب محدد ، وقت تحديثه - ثم مراقبة الصورة بأكملها. مجموعة جيدة من الحاجيات لوحدة التحكم. من الممكن إرسال طلب مستخدم لتوفير الوصول إلى الجهاز مباشرةً من وحدة الوكيل. القدرة على تعيين مستلمين مختلفين للإشعارات اعتمادًا على نوع الحدث وعضوية المستخدم في OU. مجموعة قوية من التقارير. فرص جيدة للعمل مع الأرشيف ، يتم دعم مجموعة كبيرة من الأدوات لتحليل محتويات البيانات في الأرشيف. هناك لقطات من محطات العمل.


لم يعجبني ذلك: في الواقع ، هذا ليس منتجًا واحدًا ، ولكن مجموعة من Infowatch Traffic Monitor و Infowatch Device Monitor ، وهو يعمل على نظامي تشغيل (Windows و Red Hat Linux) ، لذلك فإن التثبيت والتهيئة للتشغيل معقدان. هناك أيضا اثنين من لوحات المفاتيح الإدارة. المنطق الذي تم الإعلان عنه على نطاق واسع من قبل المطور "فحص المحتوى ، وعندها فقط نقوم بحظره ، نحن لا نتداخل مع العمليات التجارية" في الواقع في مكان ما في مهدها. لا يوجد ببساطة تحليل للمحتويات الخاصة بالتحكم في الأجهزة - يمكن تعطيل الوصول إلى الأجهزة للمستخدمين ، وهناك قوائم بيضاء ، لكن وكيل Infowatch Device Monitor ببساطة لا يعرف ما تتم كتابة المستند إليه على محرك أقراص فلاش USB. بالنسبة لقنوات الشبكة ، تكون المشكلة هي نفسها تقريبًا - يتم تنفيذ فحص المحتوى فقط من أجل SMTP و HTTP. كما يقول الزملاء الذين كانوا مطلعين على هذا القرار منذ فترة طويلة ، هناك الآن على الأقل فرصة لحظر قنوات الشبكة - قبل إجراء المراقبة فقط. في الواقع - تقتصر هذه الميزة على HTTP و FTP و SMTP ومشاركة الملفات وبعض الرسائل الفورية. أكرر ، لا توجد إمكانية لمنع نقل البيانات استنادًا إلى التحقق من محتوياتها ، على سبيل المثال ، الرسائل الفورية - SMTP و HTTP فقط. هذا ليس سيئًا ، لكنه غير متسق للغاية مع الوصف الوارد في الكتيبات ، وهذا لا يكفي لتغطية قنوات التسرب بالكامل. يتم تطبيق وحدة الوكيل بالفعل كنوع من مزيج من العوامل المختلفة.


ملخص: بشكل عام ، يبدو الحل (بشكل خاص) جيدًا جدًا. التحكم الأساسي في الجهاز جيد ؛ لقنوات الشبكة ، المراقبة جيدة والحظر مرض. في جلسات العمل الطرفية ، يسمح لك بتقييد الوصول إلى محركات الأقراص المعاد توجيهها ، أو توفير وصول للقراءة فقط ، ويعمل نسخ الظل (لمحركات الأقراص المحمولة ومحركات إعادة التوجيه في نفس الوقت). يتمثل الانزعاج في عدم التحقق من المحتوى لمعظم القنوات التي يتم التحكم فيها ، خاصةً الأجهزة - على الرغم من حقيقة أن مستندات التسويق قد أعلنت المنطق تمامًا. دعونا نأمل أن يكون هذا هو نوع من خارطة الطريق ، وعاجلاً أم آجلاً ، سيتعقب المطورون المسوقين. في غضون ذلك ، فإن فريق العلاقات العامة هو الخمسة الأوائل ، والمطورين هم الثلاثة الأوائل مع علامة زائد. أو العكس. كيف تبدو.

DeviceLock DLP

للاختبارات ، تم تنزيل الإصدار 8.3 (آخر تحديث تم إصداره في ديسمبر 2018) ، وتم تنزيله من موقع المطور.

نظام متخصص بدرجة ضيقة للغاية ، وحماية تسرب فقط ولا شيء أكثر - لا لقطات شاشة ، تحكم في التطبيق ... ومع ذلك ، إذا كنت تعتقد أن المعلومات الواردة من ندوات الويب من المطور ، يجب أن تظهر وظيفة التحكم في المستخدم من خلال لقطات الشاشة في المستقبل المنظور. التثبيت سهل. هناك مجموعة من خيارات التحكم ، وحدات تحكم المدرسة القديمة ، للعمل معهم تحتاج إلى تجربة مسؤول النظام على الأقل - ثم يصبح كل شيء واضحًا وبسيطًا. بشكل عام ، الانطباع هو سهل جدا لتشغيل النظام.

أحب: بالتفصيل في إعدادات التحكم. ليس فقط التحكم الشرطي ، على سبيل المثال ، Skype - ولكن المراقبة المنفصلة ، والأحداث ، ونسخ الظل ، والتنبيهات ، والتحقق من المحتوى - واستخدام مكونات Skype منفصلة - الدردشة والملفات والمكالمات ... تم إنشاء قائمة بالأجهزة وقنوات الشبكة المراقبة بشكل معقول وكبير للغاية. المدمج في وحدة التعرف الضوئي على الحروف. تعمل أقفال المحتوى ، وإن كان ذلك مع بعض حمل محطة العمل. يمكن أن تأتي التنبيهات على الفور تقريبًا. الوكلاء مستقلون تمامًا فيما يتعلق بجانب الخادم ، ويمكنهم أن يعيشوا حياتهم طالما كان ذلك مطلوبًا. تم التبديل التلقائي للأوضاع - يمكنك ترك موظف بأمان مع كمبيوتر محمول ، وسوف يتحول السياسيون إلى إعدادات أخرى. يتم فصل الأقفال والمراقبة في النظام حتى على مستوى وحدة التحكم - لا توجد صعوبة بالنسبة لبعض القنوات في تمكين حظر الرفاق الفرديين ، وللرفاق الآخرين تعيين الإعدادات للمراقبة فقط. تبدو قواعد تحليل المحتوى مستقلة وتعمل أيضًا على الحظر والعكس بالعكس للسماح بالإرسال عند إغلاق القناة من حيث المبدأ.


لم يعجبني ذلك: لا توجد معالجات.لتكوين سياسة ، يجب أن تفهم على الفور ما تحتاج إلى الحصول عليه ، وانتقل إلى القسم المناسب من وحدة التحكم وكز علامات اختيار ، حدد المستخدمين ، إلخ. يقترح خيار خطوة بخطوة لإنشاء سياسة نفسه. من ناحية أخرى ، يمكنك التحقق مما تم تعيينه بالفعل في خطة التحكم. يقتصر البحث في الأرشيف على البحث عن النص الكامل بواسطة محتويات النسخ الخلفية ؛ لا توجد إمكانية للبحث عن طريق قالب المستند أو باستخدام القواميس. يساعد نظام المرشح المطوّر أكثر أو أقل ، ولكنه بعيد عن مرشحات المحتوى. حمل لا مفر منه على محطات العمل عند العمل مع القواعد المعتمدة على المحتوى (مصطلحات المطور).


ملخص:النظام سهل التشغيل ، ويعمل بوضوح ، مع ترسانة غنية من القدرات على وجه التحديد للحماية من تسرب المعلومات. وفقًا لملاحظة أحد الزملاء ، يتم ذلك على أساس "ضبطها ونسيانها". بالنظر إلى أن جميع السياسات يتم تعيينها من قبل كل مستخدم ، لتغيير العمليات المتاحة للمستخدم ، ما عليك سوى نقلها إلى مجموعة مستخدمين أخرى في المجال تم تكوين قواعد تحكم أخرى لها ، من عناصر تحكم بسيطة إلى قواعد مع تحليل المحتوى. في جلسات العمل الطرفية ، يسمح لك بتعيين أذونات لمحركات الأقراص المعاد توجيهها (القفل أو القراءة فقط) ، للحافظة (كل شيء مرن تمامًا اعتمادًا على اتجاه النسخ ، ونوع البيانات المنقولة) ، وأعمال نسخ الظل ، وأقفال محتويات العمل عند الكتابة لإعادة التوجيه محركات الأقراص وعند نقل البيانات من خلال الحافظة.

SearchInform دائرة أمن المعلومات

شاهدنا مع الزملاء ، لذلك كان التوقيت ضيقًا للغاية. في البداية أردت أن أكتب "لقد حصلت على نسخة XXXX للاختبارات" ، لكنني لم أستطع. فقط لأن CIB Searchinform ليس نظامًا ، لكنه غداء معقدمجموعة من عدة أنظمة مستقلة عمليا. ما يصل إلى لوحات المفاتيح الفردية لمختلف المهام - تحسب ما يصل إلى 5 قطع. يقول الزملاء أنه كانت هناك وحدات تحكم أكثر من قبل ... الوحدة الرئيسية في هذا المجمع هي وحدة EndpointController - الإصدار 5.49. الباقي لديهم ترقيم الخاصة بهم. بالمناسبة ، مجموعة التوزيع هي أيضًا من مجموعة من المحفوظات ... وفقًا لذلك ، فإن تثبيت مثل هذا النظام ليس بالأمر السهل - لا يمكنك الاستغناء عن الوثائق. وهي بدورها محددة أيضًا - فهي مكتوبة على مبدأ "ما أراه ، ثم أكتب" ، دون توضيح منطق العمل. تبدو الإدارة كما يلي - يتم إنشاء سياسات اعتراض في وحدة تحكم إدارة واحدة ، وإعدادات الفهرسة والفهرسة لعرض البيانات المتقاطعة هي وحدة تحكم منفصلة ، وعرض بيانات التدقيق والتظليل مرة أخرى وحدة تحكم منفصلة ، وإعداد التقارير مرة أخرى وحدة تحكم منفصلة ، وهكذا. وفي أوصاف التسويق على الموقع ،وفي الوثائق تم العثور على كلمة "اعتراض" باستمرار. في الممارسة العملية ، هذا يعني أنه بالنسبة لجميع قنوات تسرب الشبكة تقريبًا ، لا تتلقى سوى نسخة احتياطية. هناك أقفال للأجهزة ، ولكن بالنسبة لقنوات الإنترنت ، يمكنك تعطيل SMTP لجميع المستخدمين - أو السماح بذلك. خيار آخر هو استخدام الحجر الصحي للرسائل ، والذي يتم تنفيذه على الوكيل ، لبروتوكول نقل البريد الإلكتروني. يتم إجراء تحليل للمحتوى كسبب للحجب على وجه التحديد: يعزل الوكيل جميع الرسائل التي يتم عرضها بالفعل على الخادم (يدويًا أو باستخدام محلل المحتوى) من قبل المسؤول ثم يختار ما يرسل بعد ذلك وما الذي يجب حظره. تخيلنا كيف سيبدو في منظمة حيث يوجد عدد الموظفين على الأقل 5 مرات أكثر من موظفينا ...في الممارسة العملية ، هذا يعني أنه بالنسبة لجميع قنوات تسرب الشبكة تقريبًا ، لا تتلقى سوى نسخة احتياطية. هناك أقفال للأجهزة ، ولكن بالنسبة لقنوات الإنترنت ، يمكنك تعطيل SMTP لجميع المستخدمين - أو السماح بذلك. خيار آخر هو استخدام الحجر الصحي للرسائل ، والذي يتم تنفيذه على الوكيل ، لبروتوكول نقل البريد الإلكتروني. يتم إجراء تحليل للمحتوى كسبب للحجب على وجه التحديد: يرسل الوكيل عزل جميع الرسائل التي تم عرضها بالفعل على الخادم (يدويًا أو باستخدام محلل المحتوى) من قبل المسؤول ثم يختار ما يرسله بعد ذلك وما الذي يجب حظره. تخيلنا كيف سيبدو في منظمة حيث يوجد عدد الموظفين على الأقل 5 مرات أكثر من موظفينا ...في الممارسة العملية ، هذا يعني أنه بالنسبة لجميع قنوات تسرب الشبكة تقريبًا ، لا تتلقى سوى نسخة احتياطية. هناك أقفال للأجهزة ، ولكن بالنسبة لقنوات الإنترنت ، يمكنك تعطيل SMTP لجميع المستخدمين - أو السماح بذلك. خيار آخر هو استخدام الحجر الصحي للرسائل ، والذي يتم تنفيذه على الوكيل ، لبروتوكول نقل البريد الإلكتروني. يتم إجراء تحليل للمحتوى كسبب للحجب على وجه التحديد: يعزل الوكيل جميع الرسائل التي يتم عرضها بالفعل على الخادم (يدويًا أو باستخدام محلل المحتوى) من قبل المسؤول ثم يختار ما يرسل بعد ذلك وما الذي يجب حظره. تخيلنا كيف سيبدو في منظمة حيث يوجد عدد الموظفين على الأقل 5 مرات أكثر من موظفينا ...خيار آخر هو استخدام الحجر الصحي للرسائل ، والذي يتم تنفيذه على الوكيل ، لبروتوكول نقل البريد الإلكتروني. يتم إجراء تحليل للمحتوى كسبب للحجب على وجه التحديد: يعزل الوكيل جميع الرسائل التي يتم عرضها بالفعل على الخادم (يدويًا أو باستخدام محلل المحتوى) من قبل المسؤول ثم يختار ما يرسل بعد ذلك وما الذي يجب حظره. تخيلنا كيف سيبدو في منظمة حيث يوجد عدد الموظفين على الأقل 5 مرات أكثر من موظفينا ...خيار آخر هو استخدام الحجر الصحي للرسائل ، والذي يتم تنفيذه على الوكيل ، لبروتوكول نقل البريد الإلكتروني. يتم إجراء تحليل للمحتوى كسبب للحجب على وجه التحديد: يعزل الوكيل جميع الرسائل التي يتم عرضها بالفعل على الخادم (يدويًا أو باستخدام محلل المحتوى) من قبل المسؤول ثم يختار ما يرسل بعد ذلك وما الذي يجب حظره. تخيلنا كيف سيبدو في منظمة حيث يوجد عدد الموظفين على الأقل 5 مرات أكثر من موظفينا ...تخيلنا كيف سيبدو في منظمة حيث يوجد عدد الموظفين على الأقل 5 مرات أكثر من موظفينا ...تخيلنا كيف سيبدو في منظمة حيث يوجد عدد الموظفين على الأقل 5 مرات أكثر من موظفينا ...

أعجبتني: لقد تم تطوير إمكانات العمل مع الأرشيف بقوة. هناك كل شيء. هناك الكثير من المعايير ، وأدوات البحث عن القواميس ، والتعبيرات العادية ، وبصمات الأصابع ، و "البحث عن مماثل" ... هناك علامات للحوادث المختلفة - يمكنك وضع علامة للعرض الذي تم عرضه بالفعل ، على سبيل المثال. هناك تشفير شفاف لمحركات أقراص الفلاش.


لم يعجبني ذلك: فوضى في منطق التحكم في النظام ، وعدد هائل من وحدات التحكم. عدم وجود حظر لقنوات الشبكة. عدم وجود حظر للمحتوى لمجموعة كاملة من القنوات "المعترضة".


ملخص: يتم تنفيذ أجهزة الحظر على مستوى لائق ، لقنوات الشبكة - في الجنين. في جلسات العمل الطرفية ، يمكنك تعيين أذونات لمحركات الأقراص المعاد توجيهها (القفل ، للقراءة فقط) ، ويعمل نسخ الظل لمحركات الأقراص المعاد توجيهها. بشكل عام ، النظام معقد تمامًا للعمل ، مع التركيز بشكل صارم على التحقيقات في الحوادث - أي مراقبة الأرشيف والعمل معه. لهذا ، ربما ، هناك كل ما هو مطلوب. من الواضح أن حماية المؤسسة من تسرب البيانات ليست موجودة هنا ، باستثناء إغلاق الأجهزة غير الضرورية للمستخدمين.

Falcongaze SecureTower

حصلت الاختبارات على الإصدار 6.2. اثنين من الكلمات الرئيسية التي تصف هذا النظام ، إن لم يكن الخوض في الفروق الدقيقة ، هي سهلة ومريحة. سهلة التركيب ، مريحة للإدارة ، مريحة لعرض التقارير ، مريحة للعمل مع الأرشيف. الوثائق غير مطلوبة عمليا. ثم يبدأ التركيز مرة أخرى بكلمة "اعتراض" ، كما في CIB. الاعتراض هنا مخصص للمراقبة فقط ، أي يتم إنشاء نسخة احتياطية ، ولا يوجد أي حديث عن الحجب (باستثناء HTTP و SMTP و MAPI). هناك لقطات شاشة من محطات العمل وبعض الوظائف الأخرى لمراقبة نشاط المستخدم.

أعجبني:واجهة المستخدم ودية. كل شيء يتم لراحة العمل. أداة جيدة لعرض وتحليل الأرشيف ، تم تنفيذ رسم بياني للروابط بنجاح. من أي تقرير تقريبًا ، يمكنك الذهاب إلى الحدث (الحادث) المشار إليه هناك. يمكن تعيين الحوادث فئات (التحقيق ، غير مستكشفة ، تأجيل). مراقبة برقية وفايبر.


لم يعجبني: عدم وجود أقفال لقنوات الشبكة. عدم القدرة على قفل الطابعات ومحركات الأقراص التي ألقيت في جلسة العمل الطرفية. عدم وجود حظر للمحتوى لمجموعة كاملة من القنوات "المعترضة". انخفاض الاستقرار للعامل - تجميد لا يمكن التنبؤ به وظهور مقالب. يتجمد بشكل غير متوقع من وحدة التحكم حتى عند العمل مع الأرشيف.


ملخص: النظام سهل ومريح للغاية للتثبيت والتشغيل ، ولكنه موجه نحو المراقبة والعمل مع الأرشيف. هناك شعور بأن النظام رطب إلى حد ما ، و OTC متخلفة.

نتائج الاختبار

كما ذكر أعلاه ، يتم جدولة نتائج الاختبارات الأساسية. تم تقييم المعلمات التي يمكن تقييمها ذاتيًا بشكل مشروط ، وفقًا لـ "مقياس إشارة المرور" - حسب اللون.

يشبه الجدول نفسه هذا (قابل للنقر):




أجريت اختبارات الإجهاد فقط على McAfee و DeviceLock DLP. في حالات أخرى ، لم يكن الأمر منطقيًا ببساطة (انظر الجدول أدناه).

عمل McAfee بشكل صحيح على حظر الأرشيف باستخدام ملف Excel.


لم الاختبار مع اعتراض المسح في مكافي لا تذهب - لا يوجد المدمج في التعرف الضوئي على الحروف.

من خلال التحقق من القوالب - لا يعمل إلا مع الامتثال الكامل ، في حالة تغيير المستند - يتخطاها نظام DLP.

مع DeviceLock DLP ، عملت جميع الاختبارات بشكل كامل. تعديل العقد ، اعتراض في سكايب:


قم بالتسجيل على محرك أقراص فلاش للأرشيف باستخدام ملف excel المتناثر:


قفل طباعة مسح المستند المقلوب:



نتائج ملخص الاختبارات هي كما يلي (قابلة للنقر):

الاستنتاجات

توقع سؤال القراء - "ماذا اخترت في النهاية ، لأن العنوان هو" تجربة الاختيار "؟ لسوء الحظ ، في وقت كتابة هذا التقرير ، لم يتم تحديد الدليل بعد. حاولنا إنجاز مهمتنا - أجرينا اختبارات على عدد من الأنظمة ، وقدمنا ​​نتائج الاختبار إلى الإدارة ، وقررنا مشاركتها مع مجتمع Habra على طول الطريق.

أكرر ، رأينا شخصي ، بناءً على الانطباعات الشخصية وتحدده المهمة ، لذلك سيظل اختيارنا غير منشور.

على العموم ، تكون مجموعة المهام أساسية دائمًا ، لذلك نوصي كل من يختار نظام DLP لحل مشاكله بأن يذهب بطريقته الخاصة ، بداية من مجموعة المهام ، يتعامل مع إمكانيات الأنظمة المقترحة. نأمل أن تكون أقراصنا بمثابة ورقة غش مفيدة لك.

شكرا لكم جميعا على اهتمامكم!