"Igor, il a DEUX cœurs !!!"
Anna Popova, chef du groupe DLP du groupe de sociétés Infosecurity, continue de partager ses impressions sur l'utilisation de différents systèmes DLP. Dans un
article précédent, elle a parlé des avantages et des inconvénients de la solution SearchInform CIB. Aujourd'hui, comme promis, parlons de la gamme de produits InfoWatch. Décidons immédiatement que nous ne prétendons pas être une comparaison objective.
En général, il est difficile de comprendre ce qu'est une opinion objective sur le système. Les caractéristiques objectives sont la conformité du système DLP aux exigences techniques du client, aux exigences FSTEC, etc., ainsi que leur corrélation avec les capacités nécessaires. Tout le reste est subjectif, car la réalité est que la fonctionnalité qu'un client a «décollée» de l'autre va chuter. Et plus encore, il n'est pas nécessaire de parler de la supériorité objective d'un système sur un autre, si nous parlons de son fonctionnement par les analystes. Quelqu'un aime une interface, quelqu'un d'autre, quelqu'un n'aime pas le déchargement d'événements, pour quelqu'un ce n'est pas important.
InfoWatch en dit long sur DLP; de nombreuses copies sont cassées autour de lui. Les opinions sont très diverses - des plus polaires aux neutres. Au fil du temps, l'entreprise et le produit ont eu un long et épineux chemin de développement, pour développer plus d'une fonction utile, et même entrer dans le «quadrant magique» de Gartner. Essayons donc de comprendre ce que le produit a réussi à réaliser, qu'il soit si bon (ou mauvais), comme on dit.
Architecture (qui est qui)
Tout d'abord, vous devez comprendre avec quoi nous travaillons. Le progiciel InfoWatch Traffic Monitor comprend les composants suivants:
InfoWatch Traffic Monitor est le principal composant responsable de l'interception du réseau et de l'analyse des données interceptées (collectées sur le réseau et auprès des agents). Il fonctionne sur RHEL / CentOS 6. Il est également responsable du rendu de l'interface web, qui est le principal point d'entrée pour le responsable SI lorsqu'il travaille avec le système.
InfoWatch Device Monitor - ce composant est responsable de la gestion des agents (y compris les stratégies d'agent). Propulsé par Windows Server. Il dispose d'une console de gestion distincte qui peut être installée sur n'importe quelle machine Windows - l'essentiel est que l'accès réseau au serveur Device Monitor est ouvert.
InfoWatch Crawler - un module qui vous permet d'analyser les répertoires utilisateur et les répertoires réseau spécifiés. Il fonctionne sur Windows Server (il peut être installé sur une machine avec un serveur Device Monitor), mais il est intégré à la console Web Traffic Monitor et géré à partir de là.
InfoWatch Vision est un composant facultatif qui peut considérablement simplifier le processus d'enquête sur les incidents de sécurité des informations grâce à la visualisation. Représente les événements de Traffic Monitor sous forme de graphiques interactifs réglables automatiquement. Il fonctionne sur Windows Server et est basé sur la plate-forme QlikSense.
InfoWatch Person Monitor est également un module optionnel qui fournit une surveillance fonctionnelle des heures de travail. Il fonctionne sur Win Server, prend ses racines dans le légendaire système Stakhanovets.
Fonctionnalité de blocage
Étant donné que le système a le statut fier de DLP (ce qui, rappelons-le, signifie prévention des fuites de données - prévention des fuites de données), tout d'abord, nous considérons la fonctionnalité «classique» de ces systèmes - la prévention. Que peut nous offrir ce progiciel?
Même dans une installation minimale (Traffic Monitor, Device Monitor), la fonctionnalité est assez riche: le courrier peut être bloqué, l'enregistrement sur des supports amovibles peut être empêché par les résultats de l'analyse de contenu ou des listes blanches de supports, le lancement d'application est interdit, FTP est interdit. Avec la connexion du module Person Monitor, la fonctionnalité est quelque peu élargie: la possibilité de nettoyer le presse-papiers et l'interdiction de télécharger des fichiers sur Internet sont ajoutées.
Il serait difficile pour un utilisateur inexpérimenté de comprendre d'abord toute la variété des différentes consoles de gestion: par exemple, l'une des fonctionnalités lors de l'utilisation du système est la nécessité «d'activer» certains canaux d'interception dans Device Monitor.
En général, la fonctionnalité de prévention ne soulève pas de questions, il y a où errer; bien que les clients les plus exigeants devront probablement se tourner vers des produits concurrents plus flexibles. Quant à la comptabilité fonctionnelle des heures de travail, alors dans IWTM elle est implémentée de manière originale mais assez pratique.
Gestion fonctionnelle du temps
Le marché DLP, en particulier dans les pays de la CEI, ne se limite pas aujourd'hui uniquement à la fonctionnalité de prévention. Les systèmes DLP intègrent progressivement les fonctionnalités d'une autre classe de produits - les systèmes de surveillance du travail des employés.
Le produit en question ne faisait pas exception et absorbait également quelque chose. Quelle qualité?
Vous pouvez contrôler les employés à l'aide du module Moniteur personnel - en commençant par l'enregistreur de frappe et en terminant par la vidéo du bureau, ainsi qu'en contrôlant la webcam et le son du microphone. Cependant, tout n'est pas si rose. Il est mentionné ci-dessus que ce module est une interprétation des célèbres «Stakhanovets». D'où les inconvénients - par exemple, le manque absolu d'intégration avec les autres modules du complexe et la couverture garantie du «contrôle total» de seulement cinquante voitures. La protection de la base de données était particulièrement touchante - le cryptage n'est pas nécessaire, les données de la base de données ne sont stockées que dans un encodage modifié. "Pour que personne ne devine! .."
Soit dit en passant, concernant l'émotion: lorsque vous ouvrez l'interface Web pour la première fois, Person Monitor avertit que la connexion n'est pas cryptée (http normal, c'est-à-dire) et propose un lien vers un manuel par lequel chacun peut configurer https pour lui-même. Pourquoi cela n'a pas été fait «hors de la boîte» n'est pas clair.
Il existe également une fonction de reconnaissance vocale très intéressante pour la fonction texte. Cela est mis en œuvre via l'API Google, ce qui sera un problème pour de nombreux clients: d'une part, vous devez connecter le serveur à Internet, et d'autre part, tout le monde n'accepte pas de transférer ses informations confidentielles à un tiers.
Lors des enquêtes sur les informations collectées par Person Monitor, nous étions mal à l'aise car nous étions habitués à travailler avec toutes les informations disponibles de tous les canaux disponibles et à tous les employés. De plus, une recherche locale utilisant les données de l'enregistreur de frappe chiffré n'a que les fonctionnalités les plus élémentaires - par exemple, il y a une morphologie, mais il ne sera pas possible de construire des règles de recherche de texte intéressantes et complexes. Néanmoins, sur de petits volumes de trafic et dans de petites entreprises, tout le monde peut vivre avec.
D'un point de vue technique, Person Monitor se compose d'un agent qui collecte les données du poste de travail de l'utilisateur, d'un serveur avec une base de données (MSSQL), où ces données sont ensuite stockées, et d'Apache pour Windows, qui rend l'interface Web du système. À la demande de l'utilisateur, une requête SQL est compilée et son résultat apparaît devant l'utilisateur sous la forme d'une page de rapport html.
En parlant de petites et grandes entreprises, nous passons en douceur à un autre module - Vision. Tout était comme créé par notre commande - il vous permet d'organiser les données interceptées par Traffic Monitor pour une représentation visuelle et, en plus, permet de reconstruire les demandes à la volée. Tout cela est possible, notamment grâce à la plateforme QlikSense, qui gère les événements tirés du Traffic Monitor dans la mémoire du serveur Vision.
Les événements doivent être chargés une fois dans une certaine période de temps - par exemple, chaque nuit, car le téléchargement de grandes quantités de données prend beaucoup de temps.
Impression générale
Le système considéré, comme tout autre, n'est pas sans inconvénients. Malheureusement, il existe encore des «plaies d'enfants» qui s'étendent depuis les versions antérieures (par exemple, les problèmes répertoriés de Person Monitor); certaines solutions semblent controversées - il n'est pas toujours clair s'il s'agit d'un bogue ou d'une fonctionnalité (consoles déconnectées et utilisation de différentes bases de données pour stocker des événements). Si vous avez besoin de mettre l'accent sur une fonctionnalité spécifique plutôt que sur une solution intégrée, il est recommandé de continuer à étudier le marché DLP.
Une fois que nous avons commencé à explorer le marché DLP avec InfoWatch Traffic Monitor, les inconvénients ont immédiatement attiré mon attention:
- même avec une installation minimale, deux serveurs sont requis - Traffic Monitor, Device Monitor - sur des systèmes de familles différentes;
- à l'installation maximale, l'installation de deux agents sur le poste de travail de l'employé est requise;
- l'utilisateur du système est obligé d'utiliser non pas une console, mais de deux à cinq (Traffic Monitor, Device Monitor, Person Monitor, Person Monitor, Vision settings console);
- avec tout ce qui précède, il n'y a tout simplement pas d'intégration de Person Monitor avec le reste du complexe - le sentiment que vous travaillez dans un système séparé.
Cependant, en poursuivant l'étude du marché, nous avons trouvé de nombreux avantages (en vérité, tout est connu en comparaison):
- stabilité du travail;
- simplicité et vitesse de roulement. Il existe une image de démarrage de Traffic Monitor et les composants Windows sont installés selon le modèle «Suivant - Suivant - Terminé»;
- flexibilité du système. Après avoir maîtrisé l'interface de toutes les consoles, vous pouvez aboutir à des règles de déclenchement assez complexes qui seront appliquées immédiatement lorsque le trafic arrivera;
- rapidité de l'enquête. Malgré le fait que Vision soit encore jeune et n'ait pas gagné suffisamment de fonctions pour nous, sa vitesse et sa visibilité compensent cela. Lorsqu'il travaillait avec d'anciens clients importants, il nous serait très utile dans le cadre du système de combat.
Lors de la préparation de l'article, nous avons interrogé nos collègues analystes praticiens sur leur impression du système DLP d'InfoWatch. Pour résumer tout ce qui a été dit, nous mettons en évidence plusieurs avantages et inconvénients.
Inconvénients:
- incohérence des consoles;
- contrôle d'accès non fonctionnel (comme c'est le cas, mais il n'est pas toujours possible de configurer comme vous le souhaitez - par exemple, un tableau de bord);
- l'un des modules recueille généralement des informations que le noyau ne peut pas analyser;
- deux agents sont utilisés, certaines fonctions sont incluses dans les deux;
- les données doivent être distillées entre les bases de données;
- il est impossible de mettre toutes les fonctionnalités sur un seul serveur, même dans l'implémentation la plus minimale;
- la logique de PM (fonctionnant non avec des événements, mais avec des rapports) ne permet pas de l'utiliser confortablement pour toute la zone de couverture, mais exclusivement "ponctuellement".
Avantages:
- volonté de mettre en œuvre des fonctionnalités, si nécessaire;
- facilité d'installation (kickstart);
- évolutivité
- voit beaucoup, comprend beaucoup - une grande sélection de canaux, travailler avec le trafic mobile, une grande sélection de méthodes pour détecter les données sensibles;
- recherche relativement rapide et aperçu pratique avec mise en évidence de divers objets de différentes couleurs;
- description détaillée des technologies et des objets de protection;
- détection automatique de la criticité, déchargement d'un officier, etc .;
- Une grande attention est accordée à la visualisation des informations collectées. L'une des meilleures solutions du marché.
Parmi les inconvénients - oui, hélas, c'est une multi-consonance et pas toujours une séparation logique de la fonctionnalité entre eux. Cela est non seulement gênant, mais aussi totalement inefficace lorsqu'il est nécessaire de collecter la base de preuves pour l'enquête et les données dans différentes bases de données et qu'il est impossible de les rassembler sous une seule forme à l'aide du système lui-même. Beaucoup de travail manuel supplémentaire de l'analyste ou du gardien de sécurité
Nous avons été satisfaits de la volonté du fournisseur de mettre en œuvre des améliorations pour les clients potentiels, à savoir sans relations contractuelles contraignantes. Ceci est un exemple absolument réel: six mois après avoir discuté d'un tas d'améliorations annoncées par nous sur le pilote chez l'un des clients, nous les avons vues dans la fonctionnalité implémentée, ce qui était extrêmement agréable.
De plus, IW est l'un des rares fournisseurs à être attentif à la discussion de tels problèmes, ne botte pas le tag - pourquoi en avez-vous besoin, vous êtes le premier à le demander, etc. (Sasha Klevtsov, nous vous souhaitons un bonjour séparé et nos meilleurs voeux :)).
En fin de compte, nous avons un système assez équilibré qui couvre la plupart des exigences des clients les plus ennuyeux et n'a pas d'exigences système excessives. InfoWatch "pompe" constamment son complexe, en ajoutant de nouvelles fonctionnalités intéressantes. Il ne reste plus qu'à les coudre soigneusement :).
Anna Popova, responsable du bloc DLP, groupe d'entreprises Infosecurity
Nikita Shevchenko, responsable du groupe de support technique du bloc DLP, Infosecurity Group of Companies