Comment nous avons choisi un système DLP (expérience pratique)

Bonjour, Habr! Il n'y a pas si longtemps, une situation assez typique s'est présentée - la direction a donné la commande « Choisissez un système pour protéger les données contre les fuites ». Le principal critère de sélection est la capacité de résoudre le problème de la prévention des fuites de documentation, de fichiers (etc.) critiques (de l'avis du manuel). Comme il résulte de la gestion orale de la tête, les magazines et divers équipements fonctionnels analytiques sont secondaires. Citant le patron, " pour attraper des intrus, nous pouvons raccrocher des caméras vidéo, résoudre le problème de telle manière que nous ne gérons pas les fuites, mais les éliminons ." Bien sûr, tout le monde comprend qu'il est irréaliste d'éliminer à 100% le risque de fuites, nous parlons donc de minimiser le risque de fuite d'informations.



Un peu sur l'entreprise: nous sommes de taille moyenne - environ 300 postes de travail (certains travaillent en équipe), ainsi que pour certains employés, l'accès à distance aux espaces de travail virtuels est organisé via Citrix Desktop. Comme effet secondaire, une certaine conformité sous 152FZ et l'organisation correspondante pour la protection des données personnelles a été considérée.

Nous n'avons aucun rapport avec l'État, les autres exigences réglementaires de l'industrie, en principe, ne nous affectent pas non plus. Le prix d'émission et le processus d'achat en général sont l'affaire de l'unité compétente. En conséquence, le coût de la solution et le sujet actuel de substitution des importations ne nous limitaient pas et nous pouvions envisager toute évolution: nationale ou étrangère. Nous (un petit service informatique composé de trois personnes au maximum) ne voulions pas remplir divers questionnaires et formulaires de fournisseurs et d'intégrateurs, nous avons donc décidé de rafraîchir la mémoire en vérifiant les faits (en principe, nous connaissions déjà le thème DLP, mais sans beaucoup d'expérience pratique). Cela signifie - de vos propres mains pour tester uniquement les systèmes DLP, qui sont soit relativement faciles ("sans inscription ni SMS" et qui font clignoter l'entreprise au vendeur) pour obtenir un test indépendant sur votre propre stand, ou vous pouvez regarder le travail de collègues d'autres organisations. Important: en tenant compte du fait que la mise en œuvre et le fonctionnement ultérieurs seront effectués par nous-mêmes, nous voulions les tester sur le stand par nous-mêmes, et ne pas nous engager à visualiser les versions de démonstration «correctement déboguées» «de la main» et les brochures pour nous assurer que les fonctions déclarées sont vraiment mises en œuvre et travailler comme nous en avons besoin.

Systèmes construits sur la base d'applications de surveillance, de captures d'écran, de claviers, etc. ils n'ont même pas essayé de regarder - simplement parce qu'ils n'ont pas résolu la tâche clé, quelle que soit la position de leurs développeurs sur le marché. Cela fait référence à Stakhanovets et son clone d'Infovotch Person Monitor, StaffCop, TimeInformer, KickIdler et similaires. Cela ne signifie pas que ces systèmes sont mauvais - ils ne résolvent tout simplement pas la tâche clé de « prévenir les fuites! »Des données confidentielles, mais peuvent (éventuellement) être un bon outil pour d'autres tâches d'observation passive.

Entre les deux, nous nous sommes familiarisés avec des documents d'analyse et d'examen indépendants ... ils se sont avérés rares. Du lisible - deux publications sur Habré ( une et deux fois ) et la revue déjà dépassée et très superficielle sur Anti-Malware avec une comparaison séparée sous forme de tableau.

Nous étions intéressés par: Symantec DLP étranger, DLP Forcepoint, McAfee DLP, Sophos Endpoint Protection, russe (ou pour ainsi dire russe) Solar Dozor, Zecurion DLP, InfoWatch Traffic Monitor, DeviceLock DLP, Information Security Circuit SearchInform, Falcongaze SecureTower.

Dès qu'une nouvelle version est apparue sur nos mains ou une invitation à des collègues, des tests des fonctions et capacités déclarées ont été effectués. Comme source d'informations supplémentaires, des publications et des enregistrements de webinaires de fournisseurs et de leurs partenaires, ainsi que des données de l'agence OBS, c'est-à-dire l'avis d'experts de collègues expérimentés, ont été pris.

Je vais immédiatement énumérer les systèmes DLP qui n'ont pas pu être vus.

1. Solar Dozor (Solar Dozor). Eh bien, un système très lourd. Les descriptions mettent fortement l'accent sur les capacités analytiques. Le site Web du développeur a déclaré: «L'architecture modulaire vous permet de répartir la charge et de déployer Solar Dozor sur n'importe quel ancien matériel», et selon la documentation, vous devez allouer un serveur avec 8 cœurs et 32 ​​Go de mémoire. Et c'est juste pour assurer le lancement de la configuration minimale, en plus de mettre un proxy et un serveur de messagerie supplémentaires ... Apparemment, nous n'avons pas un matériel aussi ancien :) Nous avons abandonné de tels consommateurs de ressources. Bien qu'il soit dit que vous pouvez exécuter la configuration 6 cœurs / 24 Go.
2. Symantec DLP . Dès le premier clic sur le site, un formulaire s'ouvre avec un tas de questions et il n'y a aucun soupçon d'essai. Achetez et essayez. Merci, enveloppez-le.
3. Forcepoint DLP (aka
   Websense ). Le site n'a pas non plus d'indice d'essai, mais il existe un formulaire pour demander une démonstration afin de regarder «de la main» de l'intégrateur. Merci encore, mais non.
4. Zecurion DLP . Encore une fois, pas un soupçon d'essai sans coller aux ventes, ni la possibilité de regarder des collègues.
5. Digital Guardian - il est généralement irréaliste d'obtenir un essai.
6. Une autre petite liste du quadrant Gartner, qui sont trop difficiles à obtenir, et des «jeunes» produits russes qui n'ont pas encore subi de percée sérieuse sur le marché de masse.

Les résultats des tests ont été résumés dans un tableau du type fonction - système / conformité; beaucoup se sont avérés. Nous avons vérifié comment chaque DLP testé remplit ses tâches pour un large éventail de canaux de fuite de données, quelles sont les autres possibilités, comment il fonctionne avec le système en principe ... Le test n'est bien sûr pas un pilote à part entière, nous aurions pu manquer quelque chose, je m'en excuse immédiatement.

J'insiste séparément sur le fait que l'opinion décrite dans cet article est subjective et se fonde sur les impressions personnelles des employés d'une unité sur la base des résultats de plusieurs tests de base et d'un examen général du système. Toutes les conclusions sont construites à partir "d'essayer sur vous-même" et d'accomplir la tâche principale de "prévenir les fuites", elles ne prétendent pas être complètes.

Nous avons vérifié des choses simples qui correspondaient directement à la tâche: bloquer le canal en tant que tel pour ces utilisateurs (" c'est impossible! "); envoyer un cliché instantané du document intercepté aux archives; notification pour la sécurité de l'information lorsqu'une interdiction est déclenchée.

Vérifié:

• enregistrer sur un lecteur flash;
• impression de documents sur une imprimante (locale via USB et réseau);
• envoi vers SMTP et MAPI;
• envoi vers webmail (regardé Mail.ru, Gmail, Yandex.Mail);
• envoi vers les réseaux sociaux (regardé Facebook et Vkontakte);
• télécharger vers les nuages ​​(regardé Yandex.Disk et Dropbox);
• envoi de fichiers via des formulaires via HTTP;
• télécharger sur le serveur FTP;
• messageries instantanées: chat, envoi de fichiers, communication vocale ou vidéo (regardé Skype, Whatsapp, Telegram);
• contrôle dans la session de terminal (s'il y aura une réponse lorsque le document est sorti du presse-papiers dans la session de terminal et lors de l'écriture sur un disque transféré d'un poste de travail distant à la session de terminal).

Une fois le test de base terminé avec succès, un test de résistance supplémentaire a été effectué avec les éléments de charge et les complications pour le module analytique du système:

1. Une archive à plusieurs niveaux avec une extension modifiée a été envoyée via les canaux en cours de vérification, avec un fichier Excel de taille gigantesque à l'intérieur, où le texte cible était caché parmi des milliers de cellules de texte inutiles. Réponse attendue aux mots, numéros de téléphone et adresses e-mail de l'entreprise.
   
   
   
   
   
   
2. Les canaux à numériser ont envoyé une numérisation d'impression de documents à deux pages numérisées par un MFP ordinaire à l'envers. Réponse attendue aux numéros de passeport et aux permis de conduire.
   
   
   
3. Le contrat rempli a été envoyé via les canaux vérifiés et le modèle de contrat a été pré-introduit dans le système.
   
   
   

En tant que fonctions supplémentaires utiles (en plus de vérifier la conformité au critère principal, voir ci-dessus), nous avons examiné les capacités analytiques, le travail avec l'archive et la génération de rapports. Ils ont décidé de reporter la fonction de numérisation des postes de travail (par exemple, comment le système détecte un document contenant des données de passeport sur un poste de travail) pour une autre exécution, maintenant cette tâche n'est plus principale (et critique en général).

Le banc de test est simple, en tant que serveur - une machine virtuelle avec 8 Go de mémoire allouée, comme un lapin expérimental - un ordinateur typique sur i5 / 2,3 GHz / 4 Go de RAM et avec Windows 10 32 bits.

Eh bien, voici quelques systèmes DLP qui ont finalement pu être visualisés et ressentis sur votre stand ou chez vos collègues, et les impressions correspondantes sur eux: McAfee DLP, Sophos Endpoint Protection, InfoWatch Traffic Monitor, DeviceLock DLP, Information Security Circuit SearchInform, Falcongaze SecureTower. Pour commencer, je vais décrire les impressions générales, puis un aperçu des tests réels.

McAfee DLP

Les tests ont obtenu la version de McAfee Data Loss Prevention 10.0.100.

Je veux tout de suite noter qu'il s'agit d'un système très difficile à installer et à configurer. Pour l'installer et l'utiliser, vous devez d'abord déployer McAfee ePolicy Orchestrator comme votre propre plate-forme de gestion. Peut-être que pour les organisations où l'écosystème de solutions McAfee est entièrement implémenté, il sera significatif et pratique, mais pour un seul produit ... le plaisir de la catégorie des douteux. La situation est quelque peu facilitée par le fait que la documentation utilisateur est très réfléchie et décrit l'ensemble de la procédure d'installation, et que le programme d'installation installe lui-même tous les composants externes dont il a besoin. Mais depuis longtemps ... Etablir les règles n'est pas non plus une tâche facile.

Je l'ai aimé: la possibilité de définir des priorités conditionnelles pour les règles, puis d'utiliser ces priorités comme paramètres pour filtrer les événements dans le journal. Le filtrage lui-même est très bien fait et très pratique. La possibilité de permettre à l'utilisateur de transférer le fichier lorsqu'il est interdit, s'il fournit des explications (justification de l'utilisateur).


Je n'aimais pas ça: le besoin déjà mentionné d'installer notre propre plate-forme de gestion, qui duplique en grande partie AD. Module OCR intégré - non, contrôle des documents numérisés - par. Ils ont révélé un certain nombre de restrictions, telles que le contrôle du courrier uniquement dans Outlook (correspondance via le contrôle de l'agent passé par Bat! Flew), la dépendance à des versions de navigateur spécifiques, le manque de contrôle de la correspondance dans Skype (seuls les fichiers sont interceptés).

Résumé: À première vue, le McAfee DLP nous a semblé une solution très intéressante, malgré les inconvénients mentionnés ci-dessus. Il était décevant que les assistants pour définir les politiciens aient disparu - dans les anciennes versions qui étaient autrefois explorées, à notre avis, c'était plus pratique que dans la console Web actuelle. L'inconvénient clé est que presque tout le contrôle est implémenté via le contrôle d'application, et non au niveau du protocole ou du pilote. Vous permet de bloquer les appareils transférés dans un environnement Citrix.

Sophos Endpoint Protection

Pour les tests, ils ont pris la version de Sophos Endpoint Protection 10.

La solution est complexe, la base est un antivirus. J'ai dû installer longtemps. Le manuel n'indique même pas la configuration requise - veuillez les suivre sur le site. Les stratégies sont définies en fonction de la logique par ordinateur :(

Aimé: comme dans McAfee, il est possible d'autoriser l'utilisateur à transférer le fichier lorsqu'il est interdit. C’est probablement tout.

Je n'aimais pas cela: il n'y a aucune difficulté à contourner le contrôle de périphérique par l'agent - arrêtez l'antivirus de Sophos, puis activez le pilote de périphérique dans le Gestionnaire de périphériques - et le tour est joué, un accès complet au lecteur flash interdit. C'est en quelque sorte compliqué et obscur à voir avec l'implémentation et la configuration des règles d'analyse de contenu, qui, par conséquent, ne sont toujours pas exécutées en fait. Étonnamment, il n'y a pas de clichés instantanés. Les notifications sous forme d'alerte par e-mail et de messagerie SNMP doivent être configurées à partir de l'antivirus du même développeur. La liste des périphériques surveillés est pauvre, le courrier est contrôlé par l'intégration dans les clients de messagerie. Contrôle d'accès aux sites réalisé simplement comme un pare-feu. Module OCR intégré - non, contrôle des documents numérisés - par. Le manuel de l'utilisateur est triste - vous ne pouvez pas y trouver de détails. Il n'y a même pas de description de ce que l'on entend par l'une ou l'autre règle intégrée - qu'il s'agisse d'une vérification de dictionnaire ou d'une expression régulière ...

Résumé: Solution à notre avis infructueuse. En fait, il s'agit d'un appendice à l'antivirus, et même du manque total de capacité à créer une base de preuves sur les incidents. Les politiques ne sont pas définies par les utilisateurs, mais par les machines - c'est inacceptable. Eh bien, en fait, on n'attendait pas grand-chose d'un supplément antivirus gratuit, mais l'espoir meurt en dernier.

InfoWatch Traffic Monitor

Peut-être le complexe DLP le plus développé sur notre marché aujourd'hui, ce qui signifie que nous en attendions le plus. Des opportunités à saisir et à voir - non, mais le site regorge de beautés des marketeurs. C'était difficile à tester, mais j'ai réussi à obtenir InfoWatch Traffic Monitor 6.9 Enterprise. Il existe peut-être une version plus récente - mais nous ne le savons pas, nous n'avons pas trouvé le même marketing derrière les kilotonnes. Mais les informations techniques sur le site ne suffisent pas. Au cours du test, il a été constaté que la documentation avait le même problème - si quelque chose n'est pas clair, il est presque impossible de trouver une réponse dans le manuel, et il n'y a aucun détail en général. Cela réduit considérablement la possibilité d'un fonctionnement indépendant.

Aimé: une interface réfléchie de très haute qualité, avec une bonne structure. Tableaux de bord pratiques où vous pouvez configurer une demande spécifique, l'heure de sa mise à jour - puis observer l'ensemble de l'image. Un bon assortiment de widgets pour la console. Il est possible d'envoyer une demande utilisateur pour donner accès à l'appareil directement depuis le module agent. La possibilité de définir différents destinataires pour les notifications en fonction du type d'événement et de l'appartenance des utilisateurs à l'unité d'organisation. Un ensemble solide de rapports. De bonnes opportunités pour travailler avec l'archive, un large éventail d'outils pour analyser le contenu des données dans l'archive est pris en charge. Il y a des captures d'écran des postes de travail.


Je ne l' aimais pas: en fait, ce n'est pas un produit, mais un tas d'Infowatch Traffic Monitor et d'Infowatch Device Monitor, et cela fonctionne sur deux systèmes d'exploitation (Windows et Red Hat Linux), donc l'installation et la configuration pour s'exécuter sont compliquées. Il existe également deux consoles de gestion. La logique largement annoncée par le développeur "vérifiait le contenu, alors seulement nous le bloquons, nous n'interférons pas avec les processus commerciaux" en fait quelque part dans l'œuf. Il n'y a tout simplement pas d'analyse du contenu pour contrôler les périphériques - l'accès aux périphériques peut être désactivé pour les utilisateurs, il existe des listes blanches, mais l'agent Infowatch Device Monitor ne sait tout simplement pas sur quoi le document est écrit sur la clé USB. Pour les canaux réseau, le problème est à peu près le même: la vérification du contenu n'est implémentée que pour SMTP et HTTP. Comme le disent des collègues qui connaissent depuis longtemps cette décision, il existe maintenant au moins la possibilité de bloquer les canaux du réseau - avant la surveillance uniquement. En fait - cette fonctionnalité est limitée aux protocoles HTTP, FTP, SMTP, ainsi qu'au partage de fichiers et à certaines messageries instantanées. Je le répète, il n'y a aucune possibilité de bloquer le transfert de données basé sur la vérification de leur contenu dans, par exemple, les messageries instantanées - uniquement SMTP et HTTP. Ce n'est pas mal, mais pas très conforme à la description dans les brochures, et ce n'est pas suffisant pour couvrir complètement les canaux de fuite. Le module d'agent est en fait implémenté comme une sorte de mélange d'agents différents.


Résumé: En général, la solution semble (en particulier) très bonne. Le contrôle de base de l'appareil est bon; pour les canaux réseau, la surveillance est bonne et le blocage est satisfaisant. Dans les sessions de terminal, il vous permet de restreindre l'accès aux lecteurs transférés ou de fournir un accès en lecture seule, des travaux de copie miroir (pour les lecteurs flash et pour les lecteurs transférés en même temps). Le bouleversement est le manque de vérification du contenu pour la plupart des canaux contrôlés, en particulier les appareils - malgré le fait que les documents marketing déclarent exactement la logique. Espérons qu'il s'agit d'une sorte de feuille de route et que les développeurs rattraperont tôt ou tard les marketeurs. En attendant, l'équipe PR est dans le top cinq, les développeurs sont les trois premiers avec un plus. Ou vice versa. Comment regarder.

DeviceLock DLP

Pour les tests, la version 8.3 (la dernière mise à jour publiée en décembre 2018) a été téléchargée, téléchargée depuis le site du développeur.

Un système assez spécialisé, seulement une protection contre les fuites et rien de plus - pas de captures d'écran, de contrôle des applications ... Cependant, si vous croyez aux informations des webinaires du développeur, la fonction de contrôle utilisateur via les captures d'écran devrait apparaître dans un avenir prévisible. L'installation est simple. Un tas d'options de contrôle, des consoles old-school, pour travailler avec elles, vous avez besoin d'au moins une certaine expérience d'administrateur système - alors tout devient évident et simple. En général, l'impression est très simple de faire fonctionner le système.

Aimé: détaillant dans les paramètres de contrôle. Pas seulement un contrôle conditionnel, par exemple, Skype - mais une surveillance séparée, des événements, des clichés instantanés, des alertes, une vérification du contenu - et l'utilisation de composants Skype distincts - chat, fichiers, appels ... La liste des appareils surveillés et des canaux réseau est construite de manière raisonnable et très grande. Module OCR intégré. Les verrous de contenu fonctionnent, bien qu'avec une certaine charge de poste de travail. Les alertes peuvent arriver presque instantanément. Les agents sont complètement indépendants du côté serveur, ils peuvent vivre leur propre vie aussi longtemps que nécessaire. La commutation automatique des modes a été effectuée - vous pouvez lâcher en toute sécurité un employé avec un ordinateur portable, les politiciens passeront eux-mêmes à d'autres paramètres. Les verrous et la surveillance dans le système sont divorcés même au niveau de la console - il n'y a aucune difficulté pour certains canaux à activer l'interdiction pour les partenaires individuels, et pour d'autres partenaires à définir les paramètres uniquement pour la surveillance. Les règles d'analyse du contenu semblent également indépendantes et fonctionnent à la fois pour interdire et vice versa pour permettre la transmission lorsque le canal est fermé en principe.


Je n'ai pas aimé: il n'y a pas de sorciers.Pour configurer une politique, vous devez immédiatement comprendre ce que vous devez obtenir, allez dans la section appropriée de la console et cochez les cases, sélectionnez les utilisateurs, etc. Une option étape par étape pour créer une politique se suggère. D'un autre côté, vous pouvez vérifier ce qui est réellement défini dans le plan de contrôle. La recherche d'archives est limitée à la recherche en texte intégral par le contenu des clichés instantanés; il n'est pas possible de rechercher par modèle de document ou à l'aide de dictionnaires. Un système de filtrage développé aide plus ou moins, mais ceux-ci sont loin d'être des filtres de contenu. Charge inévitable sur les postes de travail lors de l'utilisation de règles dépendantes du contenu (terminologie développeur).


Résumé:Le système est facile à utiliser, fonctionne clairement, avec un riche arsenal de capacités spécifiquement pour la protection contre les fuites d'informations. Selon la remarque judicieuse de l'un des collègues, il est fait sur la base de «accordé et oublié». Étant donné que toutes les stratégies sont définies par utilisateur, pour modifier les opérations disponibles pour un utilisateur, transférez-les simplement vers un autre groupe d'utilisateurs du domaine pour lequel d'autres règles de contrôle sont configurées, des simples contrôles aux règles avec analyse de contenu. Dans les sessions de terminal, il vous permet de définir des autorisations pour les lecteurs transférés (verrouillé ou en lecture seule), pour le presse-papiers (tout est assez flexible selon le sens de la copie, le type de données transférées), les travaux de copie miroir, les verrous sur le contenu fonctionnent lors de l'écriture vers le transfert lecteurs et lors du transfert de données via le presse-papiers.

Circuit de sécurité de l'information SearchInform

Nous avons regardé avec des collègues, donc le timing était très serré. Au début, je voulais écrire "J'ai eu la version XXXX pour les tests", mais je ne pouvais pas. Tout simplement parce que CIB Searchinform n'est pas un système, mais un déjeuner complexeun ensemble de plusieurs systèmes pratiquement indépendants. Jusqu'à des consoles individuelles pour différentes tâches - compté jusqu'à 5 pièces. Des collègues disent qu'il y avait encore plus de consoles avant ... Le module clé de ce complexe est le module EndpointController - version 5.49. Les autres ont leur propre numérotation. Soit dit en passant, le kit de distribution provient également d'un tas d'archives ... Par conséquent, l'installation d'un tel système n'est pas facile - vous ne pouvez pas vous passer de documentation. À son tour, il est également spécifique - il est écrit sur le principe «ce que je vois, puis j'écris», sans expliquer la logique du travail. La gestion ressemble à ceci: les stratégies d'interception sont créées dans une seule console de gestion, les paramètres d'indexation et d'indexation pour l'affichage des données capturées sont une console distincte, l'affichage des données d'audit et de cliché instantané est à nouveau une console distincte, la génération de rapports est à nouveau une console distincte, etc. Et dans les descriptions marketing du site,et dans la documentation le mot "interception" est constamment trouvé. En pratique, cela signifie que pour presque tous les canaux de fuite réseau, ils ne reçoivent qu'un cliché instantané. Il existe des verrous pour les appareils, mais pour les canaux Internet, vous pouvez désactiver SMTP pour tous les utilisateurs - ou l'autoriser. Une autre option consiste à utiliser la mise en quarantaine des messages, qui est implémentée sur l'agent, pour SMTP. L'analyse du contenu comme motif de blocage est faite de manière très précise: l'agent met en quarantaine tous les messages qui sont déjà affichés sur le serveur (manuellement ou à l'aide de l'analyseur de contenu) par l'administrateur puis il choisit quoi envoyer ensuite et quoi bloquer. Nous avons imaginé à quoi cela ressemblerait dans une organisation où il y a au moins 5 fois plus d'employés que la nôtre ...En pratique, cela signifie que pour presque tous les canaux de fuite réseau, ils ne reçoivent qu'un cliché instantané. Il existe des verrous pour les appareils, mais pour les canaux Internet, vous pouvez désactiver SMTP pour tous les utilisateurs - ou l'autoriser. Une autre option consiste à utiliser la mise en quarantaine des messages, qui est implémentée sur l'agent, pour SMTP. L'analyse du contenu comme motif de blocage se fait de manière très précise: l'agent envoie en quarantaine tous les messages qui sont déjà affichés sur le serveur (manuellement ou à l'aide de l'analyseur de contenu) par l'administrateur puis il choisit quoi envoyer ensuite et quoi bloquer. Nous avons imaginé à quoi cela ressemblerait dans une organisation où il y a au moins 5 fois plus d'employés que la nôtre ...En pratique, cela signifie que pour presque tous les canaux de fuite réseau, ils ne reçoivent qu'un cliché instantané. Il existe des verrous pour les appareils, mais pour les canaux Internet, vous pouvez désactiver SMTP pour tous les utilisateurs - ou l'autoriser. Une autre option consiste à utiliser la mise en quarantaine des messages, qui est implémentée sur l'agent, pour SMTP. L'analyse du contenu comme motif de blocage est faite de manière très précise: l'agent met en quarantaine tous les messages qui sont déjà affichés sur le serveur (manuellement ou à l'aide de l'analyseur de contenu) par l'administrateur puis il choisit quoi envoyer ensuite et quoi bloquer. Nous avons imaginé à quoi cela ressemblerait dans une organisation où il y a au moins 5 fois plus d'employés que la nôtre ...Une autre option consiste à utiliser la mise en quarantaine des messages, qui est implémentée sur l'agent, pour SMTP. L'analyse du contenu comme motif de blocage est faite de manière très précise: l'agent met en quarantaine tous les messages qui sont déjà affichés sur le serveur (manuellement ou à l'aide de l'analyseur de contenu) par l'administrateur puis il choisit quoi envoyer ensuite et quoi bloquer. Nous avons imaginé à quoi cela ressemblerait dans une organisation où il y a au moins 5 fois plus d'employés que la nôtre ...Une autre option consiste à utiliser la mise en quarantaine des messages, qui est implémentée sur l'agent, pour SMTP. L'analyse du contenu comme motif de blocage est faite de manière très précise: l'agent met en quarantaine tous les messages qui sont déjà affichés sur le serveur (manuellement ou à l'aide de l'analyseur de contenu) par l'administrateur puis il choisit quoi envoyer ensuite et quoi bloquer. Nous avons imaginé à quoi cela ressemblerait dans une organisation où il y a au moins 5 fois plus d'employés que la nôtre ...Nous avons imaginé à quoi cela ressemblerait dans une organisation où il y a au moins 5 fois plus d'employés que la nôtre ...Nous avons imaginé à quoi cela ressemblerait dans une organisation où il y a au moins 5 fois plus d'employés que la nôtre ...

J'ai bien aimé: les possibilités de travailler avec l'archive sont puissamment développées. Il y a tout. De nombreux critères, des outils de recherche de dictionnaires, des expressions régulières, des empreintes digitales, de la marque "Rechercher des similaires" ... Il existe des balises pour différents incidents - vous pouvez marquer déjà vu, par exemple. Il existe un cryptage transparent des lecteurs flash.


Je n'aimais pas ça: le chaos dans la logique du contrôle du système, un nombre écrasant de consoles de contrôle. Absence de blocage pour les canaux réseau. L'absence de blocage de contenu pour l'ensemble des chaînes "interceptées".


Résumé: Les dispositifs de blocage sont mis en œuvre à un niveau décent, pour les canaux réseau - à l'embryon. Dans les sessions de terminal, vous pouvez définir des autorisations pour les lecteurs transférés (verrouillage, lecture seule), les clichés instantanés fonctionnent pour les lecteurs transférés. En général, le système est assez compliqué à utiliser, se concentrant strictement sur les enquêtes sur les incidents - c'est-à-dire la surveillance et le travail avec les archives. Pour cela, il y a peut-être tout ce qui est nécessaire. La protection de l'organisation contre les fuites de données n'est clairement pas là, sauf pour fermer les appareils inutiles pour les utilisateurs.

Falcongaze SecureTower

Les tests ont obtenu la version 6.2. Deux mots-clés décrivant ce système, s'ils ne plongent pas dans les nuances, sont faciles et pratiques. Facile à installer, pratique à gérer, pratique pour afficher les rapports, pratique pour travailler avec l'archive. La documentation n'est pratiquement pas requise. Ensuite, le focus recommence avec le mot «interception», comme dans le CIB. L'interception ici est juste pour la surveillance, c'est-à-dire qu'un cliché instantané est créé, il n'est pratiquement pas question de blocage (sauf pour HTTP, SMTP et MAPI). Il existe des captures d'écran des stations de travail et de certaines autres fonctions pour surveiller l'activité des utilisateurs.

J'ai aimé:interface utilisateur conviviale. Tout est fait pour la commodité du travail. Un bon outil pour visualiser et analyser l'archive, un graphique de liens a été implémenté avec succès. À partir de presque n'importe quel rapport, vous pouvez vous rendre à l'événement (incident) qui y est indiqué. Les incidents peuvent être classés en catégories (enquêtés, inexplorés, différés). Surveillance de Telegram et Viber.


Je n'ai pas aimé: l' absence de verrous pour les canaux réseau. L'incapacité de verrouiller les imprimantes et les lecteurs jetés dans la session de terminal. L'absence de blocage de contenu pour l'ensemble des chaînes "interceptées". Une faible stabilité de l'agent - des gelées imprévisibles et l'apparition de décharges ont été notées. Gel inattendu de la console même lorsque vous travaillez avec l'archive.


Résumé: Le système est très facile et pratique à installer et à utiliser, mais orienté vers la surveillance et l'utilisation des archives. On a l'impression que le système est un peu humide, l'OTC est sous-développé.

Résultats des tests

Comme mentionné ci-dessus, les résultats des tests de base sont tabulés. Les paramètres qui peuvent être évalués subjectivement ont été évalués conditionnellement, selon «l'échelle des feux de circulation» - par couleur.

Le tableau lui-même ressemble à ceci (cliquable):




Des tests de résistance ont été effectués uniquement pour McAfee et DeviceLock DLP. Dans d'autres cas, cela n'avait tout simplement pas de sens (voir le tableau ci-dessous).

McAfee a correctement défini l'interdiction des archives avec le fichier Excel.


Le test avec interception de l'analyse dans McAfee ne s'est pas déroulé - il n'y a pas d'OCR intégré.

Avec la vérification des modèles - cela ne fonctionne qu'en toute conformité, si vous changez le document - le système DLP l'ignore.

Avec DeviceLock DLP, tous les tests ont fonctionné complètement. Contrat modifié, interception dans skype:


Enregistrez sur un lecteur flash d'archives avec le fichier Excel jonché:


Verrouillage de l'impression de documents inversés:



Les résultats résumés des tests sont les suivants (cliquables):

Conclusions

Anticiper la question des lecteurs - «qu'avez-vous finalement choisi, car le titre est« expérience de choix »? Malheureusement, au moment d'écrire ces lignes, le manuel n'a pas encore été décidé. Nous avons essayé de remplir notre tâche - nous avons effectué des tests sur un certain nombre de systèmes, présenté les résultats des tests à la direction et décidé en cours de route de les partager avec la communauté Habra.

Je le répète, notre opinion est subjective, basée sur des impressions personnelles et est déterminée par la tâche, notre propre choix restera donc inédit.

Dans l'ensemble, l'ensemble des tâches est toujours principal, nous recommandons donc à tous ceux qui choisissent un système DLP de résoudre leurs problèmes de suivre notre propre chemin et, à partir de l'ensemble des tâches, de gérer les capacités des systèmes proposés. Nous espérons que nos tablettes vous seront utiles.

Merci à tous pour votre attention!