Wie wir uns für ein DLP-System entschieden haben (praktische Erfahrung)

Hallo Habr! Vor nicht allzu langer Zeit trat eine ziemlich typische Situation auf - das Management gab den Befehl " Wählen Sie ein System zum Schutz von Daten vor Leckagen ". Das Hauptauswahlkriterium ist die Fähigkeit, das Problem der Verhinderung von Lecks kritischer (nach Ansicht des Handbuchs) Dokumentationen, Dateien und dergleichen zu lösen. Wie sich aus der mündlichen Behandlung des Kopfes ergibt, sind Magazine und verschiedene analytische Funktionsgeräte zweitrangig. Zitat des Chefs: "Um Eindringlinge zu fangen, können wir Videokameras aufhängen und das Problem so lösen, dass wir nicht mit Lecks umgehen, sondern sie beseitigen ." Natürlich versteht jeder, dass es unrealistisch ist, das Risiko von Lecks zu 100% zu beseitigen. Daher sprechen wir über die Minimierung des Risikos von Informationslecks.



Ein wenig über das Unternehmen: Wir sind mittelgroß - ungefähr 300 Arbeitsstationen (einige arbeiten in Schichten), und für einige Mitarbeiter wird der Fernzugriff auf virtuelle Arbeitsbereiche über Citrix Desktop organisiert. Als Nebeneffekt wurden einige Compliance-Bestimmungen gemäß 152FZ und der entsprechenden Organisation zum Schutz personenbezogener Daten in Betracht gezogen.

Wir haben keine Beziehung zum Staat, andere behördliche Vorschriften betreffen uns grundsätzlich auch nicht. Der Ausgabepreis und der Beschaffungsprozess im Allgemeinen sind Sache der zuständigen Einheit. Dementsprechend haben uns die Kosten der Lösung und das aktuelle Thema der Importsubstitution nicht eingeschränkt, und wir konnten alle Entwicklungen berücksichtigen: sowohl im Inland als auch im Ausland. Wir (eine kleine IS-Abteilung mit bis zu drei Personen) wollten nicht verschiedene Fragebögen und Formulare von Anbietern und Integratoren ausfüllen, daher haben wir beschlossen, den Speicher mit Fakten zu aktualisieren (wir waren bereits mit dem DLP-Thema vertraut, aber ohne viel praktische Erfahrung). Dies bedeutet, dass Sie mit Ihren eigenen Händen nur die DLP-Systeme testen können, die entweder relativ einfach („ohne Registrierung und SMS“ und Flashen des Unternehmens an den Verkäufer) sind, um einen unabhängigen Test auf Ihrem eigenen Stand durchzuführen, oder Sie können sich die Arbeit von Kollegen anderer Organisationen ansehen. Wichtig: In Anbetracht der Tatsache, dass die weitere Implementierung und der weitere Betrieb selbst durchgeführt werden, wollten wir sie selbst am Stand testen und keine „ordnungsgemäß debuggten“ Demoversionen „aus der Hand“ und Broschüren anzeigen, um sicherzustellen, dass die deklarierten Funktionen tatsächlich implementiert sind und arbeiten wie wir brauchen.

Systeme, die auf der Grundlage von Überwachungsanwendungen, Screenshots, Tastaturen usw. erstellt wurden. Sie haben nicht einmal versucht zu schauen - einfach, weil sie die Schlüsselaufgabe nicht gelöst haben, egal wie sich ihre Entwickler auf dem Markt positioniert haben. Dies bezieht sich auf Stakhanovets und seinen Klon von Infovotch Person Monitor, StaffCop, TimeInformer, KickIdler und dergleichen. Dies bedeutet nicht, dass diese Systeme schlecht sind - sie lösen einfach nicht die Schlüsselaufgabe „ Leckage verhindern! »Vertrauliche Daten, können aber (möglicherweise) ein gutes Werkzeug für andere Aufgaben mit passiver Beobachtung sein.

Zwischendurch haben wir unabhängige Analyse- und Überprüfungsmaterialien kennengelernt ... sie erwiesen sich als spärlich. Aus der lesbaren - zwei Veröffentlichungen zu Habré ( ein- und zweimal ) und der bereits veralteten und sehr oberflächlichen Übersicht über Anti-Malware mit einem separaten Vergleich in tabellarischer Form.

Wir waren interessiert an: ausländischem Symantec DLP, Forcepoint DLP, McAfee DLP, Sophos Endpoint Protection, russischem (oder sozusagen russischem) Solar Dozor, Zecurion DLP, InfoWatch-Verkehrsmonitor, DeviceLock DLP, SearchInform für Informationssicherheitsschaltungen, Falcongaze SecureTower.

Sobald eine neue Version in unseren Händen erschien oder eine Einladung an Kollegen erfolgte, wurden tatsächlich Tests der deklarierten Funktionen und Fähigkeiten durchgeführt. Als Quelle für zusätzliche Informationen wurden Veröffentlichungen und Aufzeichnungen von Webinaren von Anbietern und ihren Partnern sowie Daten der OBS-Agentur, dh die Expertenmeinung von Kollegen mit Erfahrung, herangezogen.

Ich werde sofort auflisten, welche DLP-Systeme nicht gesehen werden konnten.

1. Solar Dozor (Solar Dozor). Nun, ein sehr schweres System. Die Beschreibungen haben einen starken Schwerpunkt auf analytischen Fähigkeiten. Auf der Entwickler-Website heißt es: "Die modulare Architektur ermöglicht es Ihnen, die Last zu verteilen und Solar Dozor auf jeder alten Hardware bereitzustellen." Gemäß der Dokumentation müssen Sie einen Server mit 8 Kernen und 32 GB Speicher zuweisen. Und dies dient nur dazu, den Start der Mindestkonfiguration sicherzustellen und einen zusätzlichen Proxy- und Mailserver einzurichten ... Anscheinend haben wir nicht so alte Hardware :) Wir haben solche Ressourcenkonsumenten aufgegeben. Obwohl gemunkelt wird, dass Sie auf der Konfiguration 6 Kerne / 24 GB ausführen können.
2. Symantec DLP . Ab dem ersten Klick auf die Website wird ein Formular mit einer Reihe von Fragen geöffnet, und es gibt keinen Hinweis auf eine Testversion. Kaufen und probieren. Danke, wickeln Sie es zurück.
3. Forcepoint DLP (aka
   Websense ). Die Site enthält auch keinen Hinweis auf eine Testversion, es gibt jedoch ein Formular zum Anfordern einer Demonstration, um „aus der Hand“ des Integrators zu schauen. Nochmals vielen Dank, aber nein.
4. Zecurion DLP . Auch hier kein Hinweis auf einen Versuch ohne Umsatzsteigerung oder die Möglichkeit, Kollegen anzusehen.
5. Digital Guardian - Es ist im Allgemeinen unrealistisch, eine Testversion zu erhalten.
6. Eine weitere kleine Liste aus dem Gartner-Quadranten, die zu schwer zu bekommen ist, und „junge“ russische Produkte, die noch keinen ernsthaften Einbruch in den Massenmarkt erfahren haben.

Die Testergebnisse wurden in einer Tabelle des Typs Funktion - System / Compliance zusammengefasst, wobei sich ziemlich viel herausstellte. Wir haben überprüft, wie jeder getestete DLP seine Aufgaben für eine Vielzahl von Datenverlustkanälen erfüllt, welche anderen Möglichkeiten es gibt, wie es im Prinzip mit dem System funktioniert ... Der Test ist natürlich kein vollwertiger Pilot, wir hätten etwas verpassen können, ich entschuldige mich sofort dafür.

Ich betone separat, dass die in diesem Artikel beschriebene Meinung subjektiv ist und auf den persönlichen Eindrücken der Mitarbeiter einer Einheit basiert, die auf den Ergebnissen mehrerer grundlegender Tests und einer allgemeinen Überprüfung des Systems beruhen. Alle Schlussfolgerungen basieren auf "Anprobieren" und der Erfüllung der Hauptaufgabe "Verhinderung von Leckagen". Sie erheben keinen Anspruch auf Vollständigkeit.

Wir haben einfache Dinge überprüft, die direkt der Aufgabe entsprachen: Blockieren des Kanals als solchen für diese Benutzer (" das ist unmöglich! "); Senden einer Schattenkopie des abgefangenen Dokuments an das Archiv; Benachrichtigung zur Informationssicherheit, wenn ein Verbot ausgelöst wird.

Überprüft:

• Aufnahme auf einem Flash-Laufwerk;
• Drucken von Dokumenten auf einem Drucker (lokal über USB und Netzwerk);
• Senden an SMTP und MAPI;
• Senden an Webmail (sah Mail.ru, Gmail, Yandex.Mail aus);
• Senden an soziale Netzwerke (Facebook und Vkontakte gesehen);
• Upload in die Cloud (sah nach Yandex.Disk und Dropbox aus);
• Senden von Dateien über Formulare über HTTP;
• auf FTP-Server hochladen;
• Instant Messenger: Chat, Dateisendung, Sprach- oder Videokommunikation (Skype, WhatsApp, Telegramm);
• Steuerung in der Terminalsitzung (ob eine Antwort erfolgt, wenn das Dokument in der Terminalsitzung aus der Zwischenablage gezogen wird und wenn auf eine Festplatte geschrieben wird, die von einer Remote-Workstation an die Terminalsitzung weitergeleitet wird).

Nach erfolgreichem Abschluss des Basistests wurde ein zusätzlicher Stresstest mit Lastelementen und Komplikationen für das Analysemodul des Systems durchgeführt:

1. Ein mehrstufiges Archiv mit einer modifizierten Erweiterung wurde über die zu überprüfenden Kanäle gesendet, mit einer Excel-Datei von gigantischer Größe, in der der Zieltext unter Tausenden von Mülltextzellen versteckt war. Erwartete Antwort auf die angegebenen Wörter, Telefonnummern und E-Mail-Adressen des Unternehmens.
   
   
   
   
   
   
2. Die zu scannenden Kanäle sendeten einen Dokumentendruckscan an zwei Seiten, die von einem normalen verkehrten MFP gescannt wurden. Erwartete Antwort auf Passnummern und Führerscheine.
   
   
   
3. Der ausgefüllte Vertrag wurde über die überprüften Kanäle gesendet, und die Vertragsvorlage wurde dem System vorab zugeführt.
   
   
   

Als zusätzliche nützliche Funktionen (zusätzlich zur Überprüfung der Einhaltung des Hauptkriteriums, siehe oben) haben wir uns die Analysefunktionen, die Arbeit mit dem Archiv und die Berichterstellung angesehen. Sie beschlossen, die Funktion zum Scannen von Arbeitsstationen (z. B. wie das System ein Dokument mit Passdaten auf einer Arbeitsstation erkennt) auf einen anderen Lauf zu verschieben, da diese Aufgabe nicht primär (und im Allgemeinen kritisch) ist.

Der Prüfstand ist einfach, als Server - eine virtuelle Maschine mit 8 GB zugewiesenem Speicher, als experimentelles Kaninchen - ein typischer Computer mit i5 / 2,3 GHz / 4 Gb RAM und mit 32-Bit-Windows 10.

Nun, hier sind einige DLP-Systeme, die schließlich an Ihrem Stand oder bei Kollegen angezeigt und gefühlt werden konnten, und die entsprechenden Eindrücke: McAfee DLP, Sophos Endpoint Protection, InfoWatch-Verkehrsmonitor, DeviceLock DLP, SearchInform für Informationssicherheitsschaltungen, Falcongaze SecureTower. Zunächst beschreibe ich die allgemeinen Eindrücke und dann einen Überblick über die tatsächlichen Testläufe.

McAfee DLP

Die Tests haben die Version von McAfee Data Loss Prevention 10.0.100 erhalten.

Ich möchte sofort darauf hinweisen, dass dies ein sehr schwierig zu installierendes und zu konfigurierendes System ist. Um es zu installieren und zu verwenden, müssen Sie zuerst McAfee ePolicy Orchestrator als Ihre eigene Verwaltungsplattform bereitstellen. Vielleicht ist es für Unternehmen, in denen das McAfee-Ökosystem von Lösungen vollständig implementiert ist, sinnvoll und bequem, aber für ein Produkt ... Vergnügen aus der Kategorie der Zweifel. Die Situation wird etwas erleichtert durch die Tatsache, dass die Benutzerdokumentation sehr sorgfältig ist und den gesamten Installationsvorgang beschreibt und das Installationsprogramm selbst alle erforderlichen externen Komponenten installiert. Aber für eine lange Zeit ... Die Regeln festzulegen ist auch keine leichte Aufgabe.

Mir hat es gefallen: Die Möglichkeit, bedingte Prioritäten für die Regeln festzulegen und diese Prioritäten dann als Parameter zum Filtern von Ereignissen im Protokoll zu verwenden. Das Filtern selbst erfolgt sehr schön und bequem. Die Möglichkeit, dem Benutzer das Weiterleiten der Datei zu ermöglichen, wenn dies verboten ist, sofern dies eine Erklärung enthält (Benutzerbegründung).


Es hat mir nicht gefallen: Die bereits erwähnte Notwendigkeit, eine eigene Verwaltungsplattform zu installieren, die AD weitgehend dupliziert. Eingebautes OCR-Modul - nein, Kontrolle gescannter Dokumente - von. Sie enthüllten eine Reihe von Einschränkungen, z. B. die Kontrolle von E-Mails nur in Outlook (Korrespondenz über The Bat! Flog an der Agentenkontrolle vorbei), die Abhängigkeit von bestimmten Browserversionen und die mangelnde Kontrolle der Korrespondenz in Skype (nur Dateien werden abgefangen).

Zusammenfassung: Auf den ersten Blick schien uns das McAfee DLP trotz der oben genannten Nachteile eine sehr interessante Lösung zu sein. Es war enttäuschend, dass die Assistenten für die Einstellung von Politikern verschwunden waren - in den alten Versionen, die einst untersucht wurden, war es unserer Meinung nach bequemer als in der aktuellen Webkonsole. Der Hauptnachteil besteht darin, dass fast die gesamte Steuerung über die Anwendungssteuerung und nicht auf Protokoll- oder Treiberebene implementiert wird. Ermöglicht das Blockieren weitergeleiteter Geräte in einer Citrix-Umgebung.

Sophos Endpoint Protection

Für Tests wurde die Version von Sophos Endpoint Protection 10 verwendet.

Die Lösung ist komplex, die Basis ist ein Antivirus. Ich musste lange installieren. Das Handbuch enthält nicht einmal Angaben zu den Systemanforderungen - folgen Sie diesen bitte auf der Website. Richtlinien werden basierend auf der Computerlogik festgelegt :(

Gefallen: Wie in McAfee ist es möglich, dem Benutzer zu erlauben, die Datei weiterzuleiten, wenn dies verboten ist. Das ist wahrscheinlich alles.

Es hat mir nicht gefallen: Es gibt keine Schwierigkeiten, die Gerätesteuerung durch den Agenten zu umgehen - stoppen Sie das Antivirenprogramm von Sophos und schalten Sie dann den Gerätetreiber im Geräte-Manager ein - und voila, vollen Zugriff auf das verbotene Flash-Laufwerk. Es ist irgendwie kompliziert und trübe, mit der Implementierung und Konfiguration von Inhaltsanalyseregeln zu tun zu haben, die daher immer noch nicht ausgeführt werden. Überraschenderweise gibt es keine Schattenkopien. Benachrichtigungen in Form von E-Mail-Benachrichtigungen und SNMP-Nachrichten müssen über das Antivirenprogramm desselben Entwicklers konfiguriert werden. Die Liste der überwachten Geräte ist schlecht. E-Mails werden durch Einbetten in E-Mail-Clients gesteuert. Zugriffskontrolle auf Websites, die einfach wie eine Firewall erstellt wurden. Eingebautes OCR-Modul - nein, Kontrolle gescannter Dokumente - von. Das Benutzerhandbuch ist traurig - Sie können darin keine Details finden. Es gibt nicht einmal eine Beschreibung dessen, was mit der einen oder anderen integrierten Regel gemeint ist - ob es sich um eine Wörterbuchprüfung oder einen regulären Ausdruck handelt ...

Zusammenfassung: Nach unserer Meinung erfolglose Lösung. Tatsächlich ist dies ein Anhang zum Antivirus und sogar das völlige Fehlen der Fähigkeit, Beweise für Vorfälle zu erstellen. Richtlinien werden nicht von Benutzern, sondern von Maschinen festgelegt - dies ist nicht akzeptabel. Eigentlich wurde von einem kostenlosen Antiviren-Supplement nicht viel erwartet, aber die Hoffnung stirbt zuletzt.

InfoWatch Traffic Monitor

Vielleicht der am besten entwickelte DLP-Komplex in unserem heutigen Markt, was bedeutet, dass wir am meisten davon erwartet haben. Gelegenheiten nur zu nutzen und zu sehen - nein, aber die Website ist voller Schönheit von Vermarktern. Es war schwer zu testen, aber ich habe es geschafft, InfoWatch Traffic Monitor 6.9 Enterprise Version zu bekommen. Vielleicht gibt es eine neuere Version - aber wir wissen nichts darüber, wir haben nicht das gleiche Marketing hinter den Kilotonnen gefunden. Aber die technischen Informationen auf der Website reichen irgendwie nicht aus. Während des Tests wurde festgestellt, dass die Dokumentation das gleiche Problem hatte - wenn etwas unklar ist, ist es fast unmöglich, eine Antwort im Handbuch zu finden, und es gibt im Allgemeinen keine Details. Dies reduziert die Möglichkeit eines unabhängigen Betriebs erheblich.

Gefallen: eine sehr hochwertige, durchdachte Oberfläche mit guter Struktur. Praktische Dashboards, in denen Sie eine bestimmte Anforderung konfigurieren können, den Zeitpunkt ihrer Aktualisierung - und dann das gesamte Bild betrachten können. Eine gute Auswahl an Widgets für die Konsole. Es ist möglich, eine Benutzeranforderung zu senden, um den Zugriff auf das Gerät direkt vom Agentenmodul aus zu ermöglichen. Die Möglichkeit, abhängig von der Art des Ereignisses und der Benutzermitgliedschaft in der Organisationseinheit unterschiedliche Empfänger für Benachrichtigungen festzulegen. Eine solide Reihe von Berichten. Gute Möglichkeiten für die Arbeit mit dem Archiv, eine Vielzahl von Tools zur Analyse des Inhalts der Daten im Archiv wird unterstützt. Es gibt Screenshots von Workstations.


Es hat mir nicht gefallen: Tatsächlich handelt es sich nicht um ein Produkt, sondern um eine Reihe von Infowatch Traffic Monitor und Infowatch Device Monitor. Es funktioniert auf zwei Betriebssystemen (Windows und Red Hat Linux), sodass die Installation und Konfiguration für die Ausführung kompliziert ist. Es gibt auch zwei Verwaltungskonsolen. Die vom Entwickler weit verbreitete Logik "den Inhalt überprüft, erst dann blockieren wir ihn, wir stören die Geschäftsprozesse nicht" ist tatsächlich irgendwo im Keim. Es gibt einfach keine Analyse des Inhalts zur Steuerung von Geräten - der Zugriff auf Geräte kann für Benutzer deaktiviert werden, es gibt weiße Listen, aber der Infowatch Device Monitor-Agent weiß einfach nicht, auf was das Dokument auf dem USB-Stick geschrieben ist. Bei Netzwerkkanälen ist das Problem ungefähr dasselbe - die Inhaltsprüfung wird nur für SMTP und HTTP implementiert. Wie Kollegen, die mit dieser Entscheidung schon lange vertraut sind, sagen, besteht jetzt zumindest die Möglichkeit, Netzwerkkanäle zu blockieren - bevor es nur eine Überwachung gab. Tatsächlich ist diese Funktion auf HTTP, FTP, SMTP sowie Dateifreigabe und einige Instant Messenger beschränkt. Ich wiederhole, es gibt keine Möglichkeit, die Datenübertragung zu blockieren, wenn beispielsweise deren Inhalt in Instant Messenger überprüft wird - nur in SMTP und HTTP. Dies ist nicht schlecht, aber nicht sehr konsistent mit der Beschreibung in den Broschüren, und dies reicht nicht aus, um die Leckkanäle vollständig abzudecken. Das Agentenmodul ist tatsächlich als eine Art Mischung verschiedener Agenten implementiert.


Zusammenfassung: Im Allgemeinen sieht die Lösung sehr gut aus (sieht besonders gut aus). Die grundlegende Gerätesteuerung ist gut, bei Netzwerkkanälen ist die Überwachung gut und die Blockierung zufriedenstellend. In Terminalsitzungen können Sie den Zugriff auf die weitergeleiteten Laufwerke einschränken oder schreibgeschützten Schattenkopiervorgang (für Flash-Laufwerke und gleichzeitig für weitergeleitete Laufwerke) bereitstellen. Die Überraschung ist das Fehlen einer Inhaltsüberprüfung für die meisten kontrollierten Kanäle, insbesondere für Geräte - trotz der Tatsache, dass die Marketingdokumente genau die Logik deklarierten. Hoffen wir, dass dies eine Art Roadmap ist, und früher oder später werden Entwickler die Vermarkter einholen. In der Zwischenzeit ist das PR-Team die Top 5, die Entwickler die Top 3 mit einem Plus. Oder umgekehrt. Wie man aussieht.

DeviceLock DLP

Für Tests wurde Version 8.3 (das letzte im Dezember 2018 veröffentlichte Update) heruntergeladen und von der Entwicklerseite heruntergeladen.

Ein eher eng spezialisiertes System, nur Auslaufschutz und nichts weiter - keine Screenshots, Anwendungskontrolle ... Wenn Sie jedoch den Informationen aus den Webinaren des Entwicklers glauben, sollte die Benutzersteuerungsfunktion durch Screenshots in absehbarer Zukunft erscheinen. Die Installation ist einfach. Eine Reihe von Steuerungsoptionen, Konsolen der alten Schule, um mit ihnen zu arbeiten, benötigen Sie mindestens einige Erfahrung als Systemadministrator - dann wird alles offensichtlich und einfach. Im Allgemeinen ist der Eindruck sehr einfach, das System zu bedienen.

Gefallen: Detaillierung in den Steuerungseinstellungen. Nicht nur bedingte Steuerung, zum Beispiel Skype - sondern separate Überwachung, Ereignisse, Schattenkopien, Warnungen, Inhaltsprüfung - und Verwendung separater Skype-Komponenten - Chat, Dateien, Anrufe ... Die Liste der überwachten Geräte und Netzwerkkanäle ist angemessen und sehr umfangreich. Eingebautes OCR-Modul. Inhaltssperren funktionieren, wenn auch mit einer gewissen Auslastung der Workstation. Warnungen können fast sofort eingehen. Agenten sind in Bezug auf die Serverseite völlig unabhängig und können so lange wie nötig ihr eigenes Leben führen. Das automatische Umschalten der Modi wurde durchgeführt - Sie können einen Mitarbeiter mit einem Laptop sicher loslassen, Politiker wechseln selbst zu anderen Einstellungen. Die Sperren und die Überwachung im System sind auch auf Konsolenebene getrennt. Für einige Kanäle ist es nicht schwierig, das Verbot für einzelne Partner zu aktivieren, und für andere Partner, die Einstellungen nur für die Überwachung festzulegen. Die Regeln für die Analyse von Inhalten sehen ebenfalls unabhängig aus und verhindern und umgekehrt die Übertragung, wenn der Kanal im Prinzip geschlossen ist.


Es hat mir nicht gefallen: Es gibt keine Zauberer.Um eine Richtlinie zu konfigurieren, müssen Sie sofort verstehen, was Sie benötigen, zum entsprechenden Abschnitt der Konsole gehen und Häkchen setzen, Benutzer auswählen usw. Eine schrittweise Option zum Erstellen einer Richtlinie bietet sich an. Auf der anderen Seite können Sie überprüfen, was wirklich im Kontrollplan festgelegt ist. Die Archivsuche beschränkt sich auf die Volltextsuche nach dem Inhalt von Schattenkopien. Es besteht keine Möglichkeit, nach Dokumentvorlagen oder Wörterbüchern zu suchen. Ein entwickeltes Filtersystem hilft mehr oder weniger, aber diese sind weit entfernt von Inhaltsfiltern. Unvermeidliche Belastung von Workstations bei der Arbeit mit inhaltsabhängigen Regeln (Entwicklerterminologie).


Zusammenfassung:Das System ist einfach zu bedienen, funktioniert klar und verfügt über ein umfangreiches Arsenal an Funktionen, die speziell zum Schutz vor Informationslecks geeignet sind. Nach der treffenden Bemerkung eines der Kollegen wird es auf der Grundlage von „abgestimmt und vergessen“ gemacht. Wenn Sie bedenken, dass alle Richtlinien von pro Benutzer festgelegt werden, übertragen Sie die verfügbaren Vorgänge für einen Benutzer einfach auf eine andere Benutzergruppe der Domäne, für die andere Steuerungsregeln konfiguriert sind, von einfachen Steuerelementen bis hin zu Regeln mit Inhaltsanalyse. In Terminalsitzungen können Sie Berechtigungen für weitergeleitete Laufwerke (sperren oder schreibgeschützt), für die Zwischenablage (alles ist sehr flexibel, abhängig von der Kopierrichtung, der Art der übertragenen Daten), Schattenkopieren und Sperren des Inhalts beim Schreiben auf weitergeleitete Laufwerke festlegen Laufwerke und beim Übertragen von Daten durch die Zwischenablage.

SearchInform Information Security Circuit

Wir haben mit Kollegen zugesehen, daher war das Timing sehr eng. Zuerst wollte ich schreiben "Ich habe Version XXXX für die Tests", aber ich konnte nicht. Nur weil CIB Searchinform kein System ist, sondern ein komplexes Mittagesseneine Reihe von mehreren praktisch unabhängigen Systemen. Bis zu einzelnen Konsolen für verschiedene Aufgaben - bis zu 5 Stück gezählt. Kollegen sagen, dass es vorher noch mehr Konsolen gab ... Das Schlüsselmodul in diesem Komplex ist das EndpointController-Modul - Version 5.49. Der Rest hat eine eigene Nummerierung. Das Distributionskit stammt übrigens auch aus einer Reihe von Archiven ... Dementsprechend ist die Installation eines solchen Systems nicht einfach - Sie können nicht auf Dokumentation verzichten. Es ist wiederum auch spezifisch - es ist nach dem Prinzip "Was ich sehe, dann schreibe ich" geschrieben, ohne die Logik der Arbeit zu erklären. Die Verwaltung sieht folgendermaßen aus: Abfangrichtlinien werden in einer Verwaltungskonsole erstellt. Indizierungs- und Indexeinstellungen für die Anzeige abgefangener Daten sind eine separate Konsole, die Anzeige von Prüf- und Shadowing-Daten ist wiederum eine separate Konsole, die Berichterstellung ist wiederum eine separate Konsole usw. Und in den Marketingbeschreibungen auf der Website,und in der Dokumentation wird das Wort "Abfangen" ständig gefunden. In der Praxis bedeutet dies, dass für fast alle Netzwerkverlustkanäle nur eine Schattenkopie empfangen wird. Es gibt Sperren für Geräte, aber für Internetkanäle können Sie SMTP für alle Benutzer deaktivieren - oder zulassen. Eine weitere Option ist die Verwendung der auf dem Agenten implementierten Nachrichtenquarantäne für SMTP. Die Analyse des Inhalts als Grund für die Blockierung erfolgt sehr spezifisch: Der Agent stellt alle Nachrichten unter Quarantäne, die bereits vom Administrator (manuell oder mithilfe des Inhaltsanalysators) auf dem Server angezeigt werden, und wählt dann aus, was als Nächstes gesendet und was blockiert werden soll. Wir haben uns vorgestellt, wie es in einer Organisation aussehen würde, in der mindestens fünfmal mehr Mitarbeiter beschäftigt sind als in unserer ...In der Praxis bedeutet dies, dass für fast alle Netzwerkverlustkanäle nur eine Schattenkopie empfangen wird. Es gibt Sperren für Geräte, aber für Internetkanäle können Sie SMTP für alle Benutzer deaktivieren - oder zulassen. Eine weitere Option ist die Verwendung der auf dem Agenten implementierten Nachrichtenquarantäne für SMTP. Die Analyse des Inhalts als Grund für das Blockieren erfolgt sehr spezifisch: Der Agent sendet alle Nachrichten, die vom Administrator bereits auf dem Server angezeigt wurden (manuell oder mithilfe des Inhaltsanalysators), in Quarantäne und wählt dann aus, was als Nächstes gesendet und was blockiert werden soll. Wir haben uns vorgestellt, wie es in einer Organisation aussehen würde, in der mindestens fünfmal mehr Mitarbeiter beschäftigt sind als in unserer ...In der Praxis bedeutet dies, dass für fast alle Netzwerkverlustkanäle nur eine Schattenkopie empfangen wird. Es gibt Sperren für Geräte, aber für Internetkanäle können Sie SMTP für alle Benutzer deaktivieren - oder zulassen. Eine weitere Option ist die Verwendung der auf dem Agenten implementierten Nachrichtenquarantäne für SMTP. Die Analyse des Inhalts als Grund für die Blockierung erfolgt sehr spezifisch: Der Agent stellt alle Nachrichten unter Quarantäne, die bereits vom Administrator (manuell oder mithilfe des Inhaltsanalysators) auf dem Server angezeigt werden, und wählt dann aus, was als Nächstes gesendet und was blockiert werden soll. Wir haben uns vorgestellt, wie es in einer Organisation aussehen würde, in der mindestens fünfmal mehr Mitarbeiter beschäftigt sind als in unserer ...Eine weitere Option ist die Verwendung der auf dem Agenten implementierten Nachrichtenquarantäne für SMTP. Die Analyse des Inhalts als Grund für das Blockieren erfolgt sehr spezifisch: Der Agent sendet alle Nachrichten, die vom Administrator bereits auf dem Server angezeigt wurden (manuell oder mithilfe des Inhaltsanalysators), in Quarantäne und wählt dann aus, was als Nächstes gesendet und was blockiert werden soll. Wir haben uns vorgestellt, wie es in einer Organisation aussehen würde, in der mindestens fünfmal mehr Mitarbeiter beschäftigt sind als in unserer ...Eine weitere Option ist die Verwendung der auf dem Agenten implementierten Nachrichtenquarantäne für SMTP. Die Analyse des Inhalts als Grund für die Blockierung erfolgt sehr spezifisch: Der Agent stellt alle Nachrichten unter Quarantäne, die bereits vom Administrator (manuell oder mithilfe des Inhaltsanalysators) auf dem Server angezeigt werden, und wählt dann aus, was als Nächstes gesendet und was blockiert werden soll. Wir haben uns vorgestellt, wie es in einer Organisation aussehen würde, in der mindestens fünfmal mehr Mitarbeiter beschäftigt sind als in unserer ...Wir haben uns vorgestellt, wie es in einer Organisation aussehen würde, in der mindestens fünfmal mehr Mitarbeiter beschäftigt sind als in unserer ...Wir haben uns vorgestellt, wie es in einer Organisation aussehen würde, in der mindestens fünfmal mehr Mitarbeiter beschäftigt sind als in unserer ...

Mir hat es gefallen: Die Möglichkeiten, mit dem Archiv zu arbeiten, sind stark entwickelt. Da ist alles. Viele Kriterien, Suchwerkzeuge für Wörterbücher, reguläre Ausdrücke, Fingerabdrücke, die Marke "Suche nach ähnlichen" ... Es gibt Tags für verschiedene Vorfälle - Sie können beispielsweise bereits angezeigte Markierungen markieren. Es gibt eine transparente Verschlüsselung von Flash-Laufwerken.


Es hat mir nicht gefallen: Chaos in der Logik der Systemsteuerung, eine überwältigende Anzahl von Steuerkonsolen. Fehlende Blockierung für Netzwerkkanäle. Das Fehlen einer Inhaltsblockierung für den gesamten Satz von "abgefangenen" Kanälen.


Zusammenfassung: Das Blockieren von Geräten wird für Netzwerkkanäle auf einem angemessenen Niveau implementiert - beim Embryo. In Terminalsitzungen können Sie Berechtigungen für die weitergeleiteten Laufwerke festlegen (Sperren, schreibgeschützt). Das Schattenkopieren funktioniert für weitergeleitete Laufwerke. Im Allgemeinen ist die Bedienung des Systems recht kompliziert und konzentriert sich ausschließlich auf die Untersuchung von Vorfällen, dh die Überwachung und Arbeit mit dem Archiv. Dafür gibt es vielleicht alles, was benötigt wird. Der Schutz der Organisation vor Datenlecks ist hier eindeutig nicht möglich, außer um Geräte zu schließen, die für Benutzer nicht erforderlich sind.

Falcongaze SecureTower

Die Tests haben Version 6.2. Zwei Schlüsselwörter, die dieses System beschreiben, sind einfach und bequem, wenn sie sich nicht mit den Nuancen befassen. Einfach zu installieren, bequem zu verwalten, bequem Berichte anzuzeigen, bequem mit dem Archiv zu arbeiten. Dokumentation ist praktisch nicht erforderlich. Dann beginnt der Fokus wieder mit dem Wort „Abfangen“, wie im CIB. Das Abfangen dient hier nur zur Überwachung, dh es wird eine Schattenkopie erstellt. Es wird praktisch nicht über das Blockieren gesprochen (außer über HTTP, SMTP und MAPI). Es gibt Screenshots von Workstations und einige andere Funktionen zur Überwachung der Benutzeraktivität.

Gefiel:freundliche Benutzeroberfläche. Alles wird für die Bequemlichkeit der Arbeit getan. Als gutes Werkzeug zum Anzeigen und Analysieren des Archivs wurde ein Diagramm mit Links erfolgreich implementiert. Aus fast jedem Bericht können Sie zu dem dort angegebenen Ereignis (Vorfall) gehen. Vorfälle können Kategorien zugeordnet werden (untersucht, unerforscht, zurückgestellt). Überwachung von Telegramm und Viber.


Es hat mir nicht gefallen: das Fehlen von Sperren für Netzwerkkanäle. Die Unfähigkeit, Drucker und Laufwerke zu sperren, die in die Terminalsitzung geworfen werden. Das Fehlen einer Inhaltsblockierung für den gesamten Satz von "abgefangenen" Kanälen. Geringe Stabilität des Mittels - unvorhersehbare Einfrierungen und das Auftreten von Deponien wurden festgestellt. Unerwartetes Einfrieren der Konsole auch bei der Arbeit mit dem Archiv.


Zusammenfassung: Das System ist sehr einfach und bequem zu installieren und zu bedienen, aber auf die Überwachung und Arbeit mit dem Archiv ausgerichtet. Es besteht das Gefühl, dass das System etwas feucht ist, der OTC ist unterentwickelt.

Testergebnisse

Wie oben erwähnt, sind die Ergebnisse der Basistests tabellarisch aufgeführt. Die Parameter, die subjektiv ausgewertet werden können, wurden bedingt nach der „Ampelskala“ bewertet - nach Farbe.

Die Tabelle selbst sieht folgendermaßen aus (anklickbar):




Stresstests wurden nur für McAfee und DeviceLock DLP durchgeführt. In anderen Fällen ergab dies einfach keinen Sinn (siehe Tabelle unten).

McAfee hat das Verbot des Archivs mit der Excel-Datei korrekt ausgearbeitet.


Der McAfee-Scan-Abfangtest wurde nicht durchgeführt - es gibt keine integrierte OCR.

Beim Überprüfen von Vorlagen - es funktioniert nur mit vollständiger Konformität, wenn das Dokument geändert wird - überspringt das DLP-System es.

Mit DeviceLock DLP haben alle Tests vollständig funktioniert. Geänderter Vertrag, Abfangen in Skype:


Nehmen Sie mit der übersäten Excel-Datei auf einem Flash-Archivlaufwerk auf:


Scan des invertierten Dokumentenscans sperren:



Die zusammenfassenden Ergebnisse der Tests sind wie folgt (anklickbar):

Schlussfolgerungen

Vorwegnahme der Leserfrage: „Was haben Sie am Ende gewählt, weil die Überschrift„ Erfahrung der Wahl “lautet? Leider ist das Handbuch zum Zeitpunkt dieses Schreibens noch nicht entschieden. Wir haben versucht, unsere Aufgabe zu erfüllen - wir haben Tests auf einer Reihe von Systemen durchgeführt, die Testergebnisse dem Management vorgestellt und uns dabei entschlossen, diese mit der Habra-Community zu teilen.

Ich wiederhole, unsere Meinung ist subjektiv, basiert auf persönlichen Eindrücken und wird von der Aufgabe bestimmt, so dass unsere eigene Wahl unveröffentlicht bleibt.

Im Großen und Ganzen sind die gestellten Aufgaben immer primär. Daher empfehlen wir, dass jeder, der ein DLP-System zur Lösung seiner Probleme auswählt, seinen eigenen Weg geht und sich ausgehend von den gestellten Aufgaben mit den Fähigkeiten der vorgeschlagenen Systeme befasst. Wir hoffen, dass unsere Tablets ein nützlicher Spickzettel für Sie sind.

Vielen Dank für Ihre Aufmerksamkeit!