"¡Igor, tiene DOS corazones!"
Anna Popova, directora del Grupo DLP del Grupo de Empresas de Infoseguridad, continúa compartiendo sus impresiones sobre el uso de diferentes sistemas DLP. En un
artículo anterior, habló sobre los pros y los contras de la solución SearchInform CIB. Hoy, como se prometió, hablemos de la línea de productos InfoWatch. Simplemente decidamos de inmediato que no pretendemos ser una comparación objetiva.
En general, es difícil entender qué es una opinión objetiva sobre el sistema. Las características objetivas son el cumplimiento del sistema DLP con los requisitos técnicos del cliente, los requisitos FSTEC, etc., así como su correlación con las capacidades necesarias. Todo lo demás es subjetivo, porque la realidad es que la funcionalidad que un cliente "despegó" del otro caerá. Y aún más, no hay necesidad de hablar sobre la superioridad objetiva de un sistema sobre otro, si estamos hablando de su funcionamiento por parte de analistas. A alguien le gusta una interfaz, a otra persona, a alguien no le gusta la descarga de eventos, para alguien no es importante.
InfoWatch dice mucho sobre DLP; Muchas copias están rotas a su alrededor. Las opiniones son muy diversas, desde las más polares hasta las neutrales. Con el tiempo, tanto la compañía como el producto tuvieron un largo y espinoso camino de desarrollo, para desarrollar más de una función útil e incluso entrar en el "cuadrante mágico" de Gartner. Así que tratemos de averiguar qué logró el producto, si es tan bueno (o malo), como dicen.
Arquitectura (quien es quien)
En primer lugar, debe comprender con qué estamos trabajando. El paquete de software InfoWatch Traffic Monitor consta de los siguientes componentes:
InfoWatch Traffic Monitor es el componente principal responsable de la interceptación de la red y el análisis de los datos interceptados (recopilados a través de la red y de los agentes). Funciona en RHEL / CentOS 6. También es responsable de representar la interfaz web, que es el principal punto de entrada para el oficial de IS cuando trabaja con el sistema.
InfoWatch Device Monitor : este componente es responsable de administrar los agentes (incluidas las políticas de agentes). Desarrollado por Windows Server. Tiene una consola de administración separada que se puede instalar en cualquier máquina con Windows; lo principal es que el acceso de red al servidor de Device Monitor está abierto.
InfoWatch Crawler : un módulo que le permite escanear los directorios de usuario y directorios de red especificados. Funciona en Windows Server (se puede instalar en una máquina con un servidor Device Monitor), pero está integrado en la consola web Traffic Monitor y se administra desde allí.
InfoWatch Vision es un componente opcional que puede simplificar significativamente el proceso de investigación de incidentes de seguridad de la información a través de la visualización. Representa eventos de Traffic Monitor en forma de gráficos interactivos ajustables automáticamente. Se ejecuta en Windows Server y se basa en la plataforma QlikSense.
InfoWatch Person Monitor también es un módulo opcional que proporciona monitoreo funcional de las horas de trabajo. Funciona en Win Server, toma sus raíces del legendario, de alguna manera, el sistema Stakhanovets.
Funcionalidad de bloqueo
Dado que el sistema tiene el orgulloso estado de DLP (que, recuerda, significa Prevención de fuga de datos - prevención de fuga de datos), en primer lugar, consideramos la funcionalidad "clásica" para tales sistemas: prevención. ¿Qué nos puede ofrecer este paquete de software?
Incluso en una instalación mínima (Traffic Monitor, Device Monitor), la funcionalidad es lo suficientemente rica: el correo puede bloquearse, la grabación en medios extraíbles puede evitarse por los resultados del análisis de contenido o las listas blancas de medios, el inicio de aplicaciones está prohibido, FTP está prohibido. Con la conexión del módulo Person Monitor, la funcionalidad se amplía un poco: se agrega la capacidad de limpiar el portapapeles y la prohibición de descargar archivos a Internet.
Sería difícil para un usuario no capacitado comprender primero toda la variedad de consolas de administración diferentes: por ejemplo, una de las características cuando se trabaja con el sistema es la necesidad de "habilitar" algunos canales de intercepción en el Monitor de dispositivo.
En general, la funcionalidad de prevención no plantea preguntas, hay dónde moverse; aunque los clientes más exigentes probablemente tendrán que recurrir a productos competidores más flexibles. En cuanto a la contabilidad funcional de las horas de trabajo, en IWTM se implementa de una manera original, pero bastante conveniente.
Gestión funcional del tiempo.
El mercado de DLP, especialmente en los países de la CEI, hoy en día no se limita únicamente a la funcionalidad de prevención. Los sistemas DLP incorporan gradualmente la funcionalidad de otra clase de productos: los sistemas de monitoreo del trabajo de los empleados.
El producto en cuestión no fue la excepción y también absorbió algo. ¿Qué tan alta calidad?
Puede controlar a los empleados utilizando el módulo Monitor de persona, comenzando con el keylogger y terminando con el video desde el escritorio, así como controlando la cámara web y el sonido desde el micrófono. Sin embargo, no todo es tan color de rosa. Se menciona anteriormente que este módulo es una interpretación de los aclamados "Stakhanovets". De ahí las desventajas, por ejemplo, la falta absoluta de integración con otros módulos del complejo y la cobertura garantizada de "control total" de solo cincuenta automóviles. La protección de la base de datos fue especialmente conmovedora: el cifrado no es necesario, los datos en la base de datos se almacenan solo en una codificación modificada. "¡Para que nadie lo adivine! ..."
Por cierto, con respecto a la emoción: cuando abre la interfaz web por primera vez, Person Monitor advierte que la conexión no está cifrada (http normal, es decir) y ofrece un enlace a un manual mediante el cual todos pueden configurar https por sí mismos. Por qué esto no se hizo "fuera de la caja" no está claro.
También hay un reconocimiento de voz muy interesante para la función de texto. Esto se implementa a través de la API de Google, lo que será un problema para muchos clientes: en primer lugar, debe conectar el servidor a Internet y, en segundo lugar, no todos aceptan transferir su información confidencial a un tercero.
Al realizar investigaciones sobre la información recopilada por Person Monitor, nos sentimos incómodos porque estábamos acostumbrados a trabajar con toda la información disponible de todos los canales disponibles y para todos los empleados. Además, una búsqueda local que utiliza los datos del registrador de teclas cifrado tiene solo la funcionalidad más básica; por ejemplo, existe una morfología, pero no será posible construir reglas de búsqueda de texto interesantes y complejas. Sin embargo, en pequeños volúmenes de tráfico y en pequeñas empresas, todos pueden vivir con esto.
Desde un punto de vista técnico, Person Monitor consiste en un agente que recopila datos de la estación de trabajo de un usuario, un servidor con una base de datos (MSSQL), donde se almacenan estos datos, y Apache para Windows, que representa la interfaz web del sistema. A solicitud del usuario, se compila una consulta SQL y su resultado aparece ante el usuario en forma de una página de informe html.
Hablando de pequeñas y grandes empresas, pasamos a otro módulo: Vision. Fue como si fuera creado por nuestro pedido: le permite organizar los datos interceptados por Traffic Monitor para su representación visual y, además, permite reconstruir las solicitudes sobre la marcha. Todo esto es posible, sobre todo gracias a la plataforma QlikSense, que opera eventos extraídos del Traffic Monitor en la memoria del servidor Vision.
Los eventos deben cargarse una vez en un cierto período de tiempo, por ejemplo, todas las noches, ya que cargar grandes cantidades de datos lleva mucho tiempo.
Impresión general
El sistema en consideración, como cualquier otro, no está exento de inconvenientes. Desafortunadamente, todavía hay algunas "llagas de los niños" que se han extendido desde versiones anteriores (por ejemplo, los problemas enumerados de Person Monitor); algunas soluciones parecen controvertidas: no siempre está claro si se trata de un error o una función (consolas desconectadas y el uso de diferentes bases de datos para almacenar eventos). Si necesita énfasis en una funcionalidad específica, en lugar de una solución integrada, se recomienda que continúe estudiando el mercado DLP.
Una vez que comenzamos a explorar el mercado DLP con InfoWatch Traffic Monitor, los inconvenientes me llamaron la atención de inmediato:
- incluso con una instalación mínima, se requieren dos servidores: Traffic Monitor, Device Monitor, en sistemas de diferentes familias;
- en la instalación máxima, se requiere la instalación de dos agentes en la estación de trabajo del empleado;
- el usuario del sistema se ve obligado a usar no una consola, sino de dos a cinco (Traffic Monitor, Device Monitor, Person Monitor, Person Monitor, Vision settings console);
- Con todo lo anterior, simplemente no hay integración de Person Monitor con el resto del complejo: la sensación de que está trabajando en un sistema separado.
Sin embargo, al continuar estudiando el mercado, encontramos muchas ventajas (en verdad, todo se sabe en comparación):
- estabilidad del trabajo;
- simplicidad y velocidad de rodadura. Hay una imagen kickstart de Traffic Monitor, y los componentes de Windows se instalan de acuerdo con el patrón "Siguiente - Siguiente - Listo";
- flexibilidad del sistema Habiendo dominado la interfaz de todas las consolas, puede terminar reglas de activación bastante complejas que se aplicarán inmediatamente cuando llegue el tráfico;
- velocidad de investigación. A pesar de que Vision todavía es joven y no ha obtenido suficientes funciones para nosotros, su velocidad y visibilidad compensan esto. Cuando trabaja con clientes importantes anteriores, sería muy útil para nosotros como parte del sistema de combate.
Al preparar el artículo, entrevistamos a nuestros colegas analistas en ejercicio sobre lo impresionados que estaban con el sistema DLP de InfoWatch. Resumiendo todo lo que se ha dicho, destacamos varios pros y contras.
Contras:
- inconsistencia de las consolas;
- control de acceso no funcional (como existe, pero no siempre es posible configurarlo como desee, por ejemplo, un tablero);
- uno de los módulos generalmente recopila información que el núcleo no puede analizar;
- se usan dos agentes, algunas funciones están incluidas en ambos;
- los datos deben ser destilados entre bases de datos;
- es imposible poner la funcionalidad completa en un servidor incluso en la implementación más mínima;
- La lógica de PM (que opera no con eventos, sino con informes) no permite que se use cómodamente para toda el área de cobertura, sino exclusivamente "puntiagudo".
Pros:
- voluntad de implementar funcionalidad, si es necesario;
- facilidad de instalación (kickstart);
- escalabilidad
- ve mucho, comprende mucho: una gran selección de canales, trabajar con tráfico móvil, una gran selección de métodos para detectar datos confidenciales;
- búsqueda relativamente rápida y vista previa conveniente con resaltado de varios objetos en diferentes colores;
- descripción detallada de tecnologías y objetos de protección;
- detección automática de criticidad, descarga de un oficial, etc.
- Se presta mucha atención a la visualización de la información recopilada. Una de las mejores soluciones del mercado.
De las desventajas, sí, por desgracia, esta es una consonancia múltiple y no siempre es una separación lógica de la funcionalidad entre ellas. Esto no solo es inconveniente, sino también completamente ineficaz cuando es necesario recopilar la base de evidencia para la investigación y los datos en diferentes bases de datos, y es imposible llevarlos a una forma utilizando el sistema mismo. Mucho trabajo manual adicional del analista o guardia de seguridad.
Nos complació el deseo del proveedor de implementar mejoras para clientes potenciales, es decir sin relaciones contractuales vinculantes. Este es un ejemplo absolutamente real: seis meses después de discutir un montón de mejoras anunciadas por nosotros en el piloto en uno de los clientes, los vimos en la funcionalidad implementada, lo cual fue extremadamente agradable.
Además, IW es uno de los pocos proveedores que está atento a la discusión de tales problemas, no patea la etiqueta: por qué lo necesita, usted es el primero en preguntar al respecto, etc. (Sasha Klevtsov, te damos un saludo por separado y los mejores deseos :)).
En resumen, tenemos un sistema bastante equilibrado que cubre la mayoría de los requisitos de los clientes más aburridos y no tiene requisitos excesivos del sistema. InfoWatch constantemente "bombea" su complejo, agregando nuevas características interesantes. Solo queda coserlos cuidadosamente :).
Anna Popova, directora de DLP Block, grupo de empresas de seguridad
Nikita Shevchenko, jefe del grupo de soporte de ingeniería del DLP Block, Grupo de empresas de seguridad