"Igor, er hat ZWEI Herzen !!!"
Anna Popova, Leiterin der DLP-Gruppe der Infosecurity-Unternehmensgruppe, teilt weiterhin ihre Eindrücke von der Verwendung verschiedener DLP-Systeme. In einem
früheren Artikel sprach sie über die Vor- und Nachteile der SearchInform CIB-Lösung. Lassen Sie uns heute, wie versprochen, über die InfoWatch-Produktlinie sprechen. Lassen Sie uns einfach sofort entscheiden, dass wir nicht vorgeben, ein objektiver Vergleich zu sein.
Im Allgemeinen ist es schwierig zu verstehen, was eine objektive Meinung über das System ist. Objektive Merkmale sind die Einhaltung der technischen Anforderungen des Kunden, der FSTEC-Anforderungen usw. durch das DLP-System sowie deren Korrelation mit den erforderlichen Kapazitäten. Alles andere ist subjektiv, denn die Realität ist, dass die Funktionalität, die ein Client dem anderen "abgenommen" hat, abnimmt. Und noch mehr, es besteht keine Notwendigkeit, über die objektive Überlegenheit eines Systems gegenüber einem anderen zu sprechen, wenn wir über dessen Funktionsweise durch Analysten sprechen. Jemand mag eine Schnittstelle, jemand anderes, jemand mag das Entladen von Ereignissen nicht, für jemanden ist es nicht wichtig.
InfoWatch sagt viel über DLP aus; Viele Kopien sind um ihn herum zerbrochen. Die Meinungen sind sehr unterschiedlich - von polar bis neutral. Im Laufe der Zeit hatten sowohl das Unternehmen als auch das Produkt einen langen und heiklen Entwicklungspfad, um mehr als eine nützliche Funktion zu entwickeln und sogar in den „magischen Quadranten“ von Gartner zu gelangen. Versuchen wir also herauszufinden, was das Produkt erreicht hat, ob es so gut (oder schlecht) ist, wie es heißt.
Architektur (wer ist wer)
Zunächst müssen Sie verstehen, womit wir arbeiten. Das InfoWatch Traffic Monitor-Softwarepaket besteht aus folgenden Komponenten:
InfoWatch Traffic Monitor ist die Hauptkomponente, die für das Abfangen des Netzwerks und die Analyse abgefangener Daten (über das Netzwerk und von Agenten gesammelt) verantwortlich ist. Es funktioniert unter RHEL / CentOS 6. Er ist auch für das Rendern der Weboberfläche verantwortlich, die der Haupteinstiegspunkt für den IS-Beauftragten bei der Arbeit mit dem System ist.
InfoWatch Device Monitor - Diese Komponente ist für die Verwaltung von Agenten (einschließlich Agentenrichtlinien) verantwortlich. Powered by Windows Server. Es verfügt über eine separate Verwaltungskonsole, die auf jedem Windows-Computer installiert werden kann. Hauptsache, der Netzwerkzugriff auf den Geräteüberwachungsserver ist geöffnet.
InfoWatch Crawler - ein Modul, mit dem Sie die angegebenen Benutzer- und Netzwerkverzeichnisse scannen können. Es funktioniert unter Windows Server (es kann auf einem Computer mit einem Gerätemonitor-Server installiert werden), ist jedoch in die Traffic Monitor-Webkonsole integriert und wird von dort aus verwaltet.
InfoWatch Vision ist eine optionale Komponente, die die Untersuchung von Informationssicherheitsvorfällen durch Visualisierung erheblich vereinfachen kann. Stellt Ereignisse von Traffic Monitor in Form von automatisch einstellbaren interaktiven Diagrammen dar. Es läuft unter Windows Server und basiert auf der QlikSense-Plattform.
InfoWatch Person Monitor ist auch ein optionales Modul zur funktionalen Überwachung der Arbeitszeit. Es funktioniert auf Win Server und hat seine Wurzeln im legendären Stakhanovets-System.
Blockierungsfunktionalität
Da das System den stolzen Status von DLP hat (was, wie wir uns erinnern, die Verhinderung von Datenlecks bedeutet - Verhinderung von Datenlecks), betrachten wir zunächst die "klassische" Funktionalität für solche Systeme - die Verhinderung. Was kann uns dieses Softwarepaket bieten?
Selbst bei einer minimalen Installation (Traffic Monitor, Device Monitor) ist die Funktionalität ausreichend: E-Mails können blockiert werden, Aufzeichnungen auf Wechselmedien können durch Ergebnisse der Inhaltsanalyse oder weiße Listen von Medien verhindert werden, der Start von Anwendungen ist verboten, FTP ist verboten. Mit dem Anschluss des Person Monitor-Moduls wird die Funktionalität etwas erweitert: Die Möglichkeit, die Zwischenablage zu bereinigen und das Herunterladen von Dateien ins Internet zu verbieten, wird hinzugefügt.
Für einen ungeübten Benutzer ist es schwierig, zunächst die gesamte Vielfalt der verschiedenen Verwaltungskonsolen zu verstehen. Eine der Funktionen bei der Arbeit mit dem System ist beispielsweise die Notwendigkeit, einige Abfangkanäle im Geräte-Monitor zu aktivieren.
Im Allgemeinen wirft die Präventionsfunktion keine Fragen auf: Es gibt einen Ort, an dem man sich bewegen kann. obwohl die anspruchsvollsten Kunden wahrscheinlich auf flexiblere Konkurrenzprodukte zurückgreifen müssen. Die funktionale Abrechnung der Arbeitszeiten wird in IWTM auf originelle, aber recht bequeme Weise implementiert.
Funktionales Zeitmanagement
Der DLP-Markt, insbesondere in den GUS-Ländern, beschränkt sich heute nicht nur auf Präventionsfunktionen. DLP-Systeme integrieren schrittweise die Funktionalität einer anderen Produktklasse - Mitarbeiterarbeitsüberwachungssysteme.
Das fragliche Produkt war keine Ausnahme und absorbierte auch etwas. Wie hoch ist die Qualität?
Sie können Mitarbeiter mit dem Personenmonitor-Modul steuern - beginnend mit dem Keylogger und endend mit dem Video vom Desktop sowie der Steuerung der Webcam und des Tons vom Mikrofon. Allerdings ist nicht alles so rosig. Es wurde oben erwähnt, dass dieses Modul eine Interpretation der gefeierten „Stakhanovets“ ist. Daher die Nachteile - zum Beispiel die absolute mangelnde Integration mit anderen Modulen des Komplexes und die garantierte Abdeckung der „vollen Kontrolle“ von nur fünfzig Autos. Der Schutz der Datenbank war besonders berührend - eine Verschlüsselung ist nicht erforderlich, die Daten in der Datenbank werden nur in einer geänderten Codierung gespeichert. "Damit niemand raten würde! .."
Übrigens in Bezug auf Emotionen: Wenn Sie die Weboberfläche zum ersten Mal öffnen, warnt Person Monitor, dass die Verbindung nicht verschlüsselt ist (dh normales http), und bietet einen Link zu einem Handbuch, mit dem jeder https für sich selbst konfigurieren kann. Warum dies nicht „out of the box“ gemacht wurde, ist unklar.
Es gibt auch eine sehr interessante Spracherkennung für die Textfunktion. Dies wird über die Google-API implementiert, was für viele Kunden ein Problem darstellt: Erstens müssen Sie den Server mit dem Internet verbinden, und zweitens stimmen nicht alle zu, ihre vertraulichen Informationen an Dritte weiterzugeben.
Bei der Durchführung von Untersuchungen zu den von Person Monitor gesammelten Informationen war es uns unangenehm, weil wir es gewohnt waren, mit allen verfügbaren Informationen aus allen verfügbaren Kanälen und allen Mitarbeitern zu arbeiten. Darüber hinaus verfügt eine lokale Suche mit den verschlüsselten Keylogger-Daten nur über die grundlegendsten Funktionen. Beispielsweise gibt es eine Morphologie, aber es ist nicht möglich, interessante und komplexe Textsuchregeln zu erstellen. Trotzdem kann bei kleinem Verkehrsaufkommen und in kleinen Unternehmen jeder damit leben.
Aus technischer Sicht besteht Person Monitor aus einem Agenten, der Daten von der Arbeitsstation des Benutzers sammelt, einem Server mit einer Datenbank (MSSQL), auf dem diese Daten gespeichert werden, und Apache für Windows, das die Weboberfläche des Systems rendert. Auf Anforderung des Benutzers wird eine SQL-Abfrage kompiliert, und das Ergebnis wird dem Benutzer in Form einer HTML-Berichtsseite angezeigt.
Wenn wir von kleinen und großen Unternehmen sprechen, wechseln wir reibungslos zu einem anderen Modul - Vision. Es war wie von unserer Bestellung erstellt - es ermöglicht Ihnen, die von Traffic Monitor abgefangenen Daten zur visuellen Darstellung zu organisieren und darüber hinaus Anforderungen im laufenden Betrieb neu zu erstellen. All dies ist nicht zuletzt dank der QlikSense-Plattform möglich, die Ereignisse aus dem Verkehrsmonitor im Speicher des Vision-Servers ausführt.
Ereignisse müssen in einem bestimmten Zeitraum einmal geladen werden - beispielsweise jede Nacht, da das Hochladen großer Datenmengen sehr lange dauert.
Allgemeiner Eindruck
Das betrachtete System ist wie jedes andere nicht ohne Nachteile. Leider gibt es immer noch einige „Wunden bei Kindern“, die sich von früheren Versionen erstrecken (zum Beispiel die aufgeführten Probleme von Person Monitor). Einige Lösungen sehen kontrovers aus - es ist nicht immer klar, ob es sich um einen Fehler oder eine Funktion handelt (getrennte Konsolen und Verwendung unterschiedlicher Datenbanken zum Speichern von Ereignissen). Wenn Sie sich auf eine bestimmte Funktionalität anstatt auf eine integrierte Lösung konzentrieren möchten, wird empfohlen, den DLP-Markt weiter zu untersuchen.
Als wir mit InfoWatch Traffic Monitor den DLP-Markt erkundeten, fielen mir sofort die Nachteile auf:
- Selbst bei minimaler Installation sind zwei Server erforderlich - Traffic Monitor, Device Monitor - auf Systemen verschiedener Familien.
- Bei maximaler Installation müssen zwei Agenten auf der Workstation des Mitarbeiters installiert werden.
- Der Systembenutzer muss nicht nur eine, sondern zwei bis fünf Konsolen verwenden (Verkehrsüberwachung, Gerätemonitor, Personenüberwachung, Personenüberwachung, Vision-Einstellungskonsole).
- Bei all dem gibt es einfach keine Integration von Person Monitor in den Rest des Komplexes - das Gefühl, dass Sie in einem separaten System arbeiten.
Als wir den Markt jedoch weiter untersuchten, fanden wir viele Vorteile (wahrlich, im Vergleich ist alles bekannt):
- Stabilität der Arbeit;
- Einfachheit und Rollgeschwindigkeit. Es gibt ein Kickstart-Image von Traffic Monitor, und Windows-Komponenten werden gemäß dem Muster „Weiter - Weiter - Fertig“ installiert.
- Systemflexibilität. Nachdem Sie die Benutzeroberfläche aller Konsolen beherrschen, können Sie recht komplexe Auslöseregeln erstellen, die sofort angewendet werden, wenn der Datenverkehr eintrifft.
- Geschwindigkeit der Untersuchung. Trotz der Tatsache, dass Vision noch jung ist und nicht genügend Funktionen für uns erhalten hat, kompensieren seine Geschwindigkeit und Sichtbarkeit dies. Bei der Arbeit mit früheren Großkunden wäre er für uns als Teil des Kampfsystems sehr nützlich.
Bei der Vorbereitung des Artikels haben wir unsere praktizierenden Analysten befragt, wie beeindruckt sie vom DLP-System von InfoWatch waren. Zusammenfassend fassen wir einige Vor- und Nachteile zusammen.
Nachteile:
- Inkonsistenz der Konsolen;
- nicht funktionierende Zugriffskontrolle (wie es sie gibt, aber es ist nicht immer möglich, sie nach Ihren Wünschen zu konfigurieren - zum Beispiel ein Dashboard);
- Eines der Module sammelt im Allgemeinen Informationen, die der Kernel nicht analysieren kann.
- Es werden zwei Agenten verwendet, einige Funktionen sind in beiden enthalten.
- Daten müssen zwischen Datenbanken destilliert werden;
- Es ist unmöglich, die volle Funktionalität auf einem Server zu platzieren, selbst bei minimaler Implementierung.
- Die Logik von PM (nicht mit Ereignissen, sondern mit Berichten) erlaubt es nicht, es bequem für den gesamten Abdeckungsbereich zu verwenden, sondern ausschließlich "punktweise".
Vorteile:
- Bereitschaft zur Implementierung von Funktionen, falls erforderlich;
- einfache Installation (Kickstart);
- Skalierbarkeit
- sieht viel, versteht viel - eine große Auswahl an Kanälen, arbeitet mit mobilem Verkehr, eine große Auswahl an Methoden zur Erkennung sensibler Daten;
- relativ schnelle Suche und bequeme Vorschau mit Hervorhebung verschiedener Objekte in verschiedenen Farben;
- detaillierte Beschreibung von Technologien und Schutzobjekten;
- automatische Erkennung der Kritikalität, Entladen eines Offiziers usw.;
- Besonderes Augenmerk wird auf die Visualisierung der gesammelten Informationen gelegt. Eine der besten Lösungen auf dem Markt.
Von den Minuspunkten - ja, leider ist dies eine Mehrkonsonanz und nicht immer eine logische Trennung der Funktionalität zwischen ihnen. Dies ist nicht nur unpraktisch, sondern auch völlig ineffektiv, wenn die Evidenzbasis für die Untersuchung und die Daten in verschiedenen Datenbanken gesammelt werden müssen und es unmöglich ist, sie mit dem System selbst in eine Form zu bringen. Viel unnötige manuelle Arbeit des Analytikers oder Sicherheitsbeamten.
Wir waren mit dem Wunsch des Anbieters zufrieden, Verbesserungen für potenzielle Kunden zu implementieren, d. H. ohne verbindliche Vertragsverhältnisse. Dies ist ein absolut reales Beispiel: Sechs Monate nachdem wir eine Reihe von Verbesserungen besprochen hatten, die wir bei einem der Kunden für das Pilotprojekt angekündigt hatten, sahen wir sie in der implementierten Funktionalität, was äußerst angenehm war.
Darüber hinaus ist IW einer der wenigen Anbieter, der sich intensiv mit der Diskussion solcher Probleme befasst, nicht auf den Tag tritt - warum brauchen Sie es, Sie sind die Ersten, die danach fragen usw. (Sasha Klevtsov, wir geben Ihnen ein separates Hallo und die besten Wünsche :)).
Unter dem Strich haben wir ein ziemlich ausgewogenes System, das die meisten Anforderungen der langweiligsten Kunden abdeckt und keine übermäßigen Systemanforderungen hat. InfoWatch "pumpt" seinen Komplex konsequent und fügt neue coole Funktionen hinzu. Es bleibt nur, sie sorgfältig zusammenzunähen :).
Anna Popova, Leiterin DLP Block, Infosecurity Group of Companies
Nikita Shevchenko, Leiter der Engineering Support Group des DLP Block, Infosecurity Group of Companies