"Igor, dia punya DUA hati !!!"
Anna Popova, kepala Grup DLP Grup Perusahaan Keamanan Infosecurity, terus membagikan kesan-kesannya tentang penggunaan sistem DLP yang berbeda. Dalam
artikel sebelumnya, dia berbicara tentang pro dan kontra dari solusi CIB SearchInform. Hari ini, seperti yang dijanjikan, mari kita bicara tentang lini produk InfoWatch. Mari kita segera memutuskan bahwa kita tidak berpura-pura menjadi perbandingan yang objektif.
Secara umum, sulit untuk memahami apa pendapat objektif tentang sistem itu. Karakteristik objektif adalah kepatuhan sistem DLP dengan persyaratan teknis pelanggan, persyaratan FSTEC, dll., Serta korelasinya dengan kapasitas yang diperlukan. Yang lainnya adalah subyektif, karena kenyataannya adalah bahwa fungsi yang satu "lepas landas" klien dari yang lain akan turun. Dan lebih dari itu, tidak perlu berbicara tentang keunggulan objektif dari satu sistem di atas yang lain, jika kita berbicara tentang operasinya oleh analis. Seseorang menyukai satu antarmuka, orang lain, seseorang tidak suka pembongkaran acara, bagi seseorang itu tidak penting.
InfoWatch mengatakan banyak tentang DLP; banyak salinan yang rusak di sekelilingnya. Pendapat sangat beragam - dari yang paling kutub ke netral. Seiring waktu, baik perusahaan maupun produknya memiliki jalur pengembangan yang panjang dan berduri, untuk menumbuhkan lebih dari satu fungsi yang bermanfaat, dan bahkan masuk ke "kuadran ajaib" Gartner. Jadi mari kita coba mencari tahu apa yang berhasil dicapai produk, apakah itu sangat baik (atau buruk), seperti yang mereka katakan.
Arsitektur (siapa adalah siapa)
Pertama-tama, Anda perlu memahami apa yang sedang kami kerjakan. Paket perangkat lunak Traffic Monitor InfoWatch terdiri dari komponen-komponen berikut:
InfoWatch Traffic Monitor adalah komponen utama yang bertanggung jawab untuk intersepsi jaringan dan analisis data yang dicegat (dikumpulkan melalui jaringan dan dari agen). Ini bekerja pada RHEL / CentOS 6. Dia juga bertanggung jawab untuk membuat antarmuka web, yang merupakan titik masuk utama bagi petugas IS saat bekerja dengan sistem.
Monitor Perangkat InfoWatch - komponen ini bertanggung jawab untuk mengelola agen (termasuk kebijakan agen). Didukung oleh Windows Server. Ini memiliki konsol manajemen terpisah yang dapat diinstal pada mesin Windows apa pun - yang utama adalah akses jaringan ke server Device Monitor terbuka.
Crawler InfoWatch - modul yang memungkinkan Anda memindai direktori pengguna dan direktori jaringan yang ditentukan. Ini bekerja pada Windows Server (dapat diinstal pada mesin dengan server Device Monitor), tetapi terintegrasi ke dalam konsol web Traffic Monitor dan dikelola dari sana.
InfoWatch Vision adalah komponen opsional yang secara signifikan dapat menyederhanakan proses penyelidikan insiden keamanan informasi melalui visualisasi. Merupakan acara dari Traffic Monitor dalam bentuk grafik interaktif yang dapat disetel secara otomatis. Ini berjalan pada Windows Server dan didasarkan pada platform QlikSense.
InfoWatch Person Monitor juga merupakan modul opsional yang menyediakan pemantauan fungsional atas jam kerja. Ini bekerja pada Win Server, berakar dari sistem Stakhanovets yang legendaris.
Memblokir fungsi
Karena sistem memiliki status bangga DLP (yang, ingat, berarti Pencegahan Kebocoran Data - mencegah kebocoran data), pertama-tama, kami mempertimbangkan fungsionalitas "klasik" untuk sistem tersebut - pencegahan. Apa yang bisa ditawarkan paket perangkat lunak ini kepada kami?
Bahkan dalam instalasi minimal (Traffic Monitor, Device Monitor), fungsinya cukup kaya: surat dapat diblokir, rekaman pada media yang dapat dilepas dapat dicegah dengan hasil analisis konten atau daftar putih media, peluncuran aplikasi dilarang, FTP dilarang. Dengan koneksi modul Person Monitor, fungsinya agak diperluas: kemampuan untuk membersihkan clipboard dan larangan mengunduh file ke Internet ditambahkan.
Akan sulit bagi pengguna yang tidak terlatih untuk terlebih dahulu memahami seluruh variasi konsol manajemen yang berbeda: misalnya, salah satu fitur ketika bekerja dengan sistem adalah kebutuhan untuk "mengaktifkan" beberapa saluran intersep di Monitor Perangkat.
Secara umum, fungsi pencegahan tidak menimbulkan pertanyaan, ada tempat untuk menjelajah; meskipun pelanggan yang paling menuntut mungkin harus beralih ke produk pesaing yang lebih fleksibel. Adapun akuntansi fungsional jam kerja, maka di IWTM diterapkan dalam cara yang asli, tetapi cukup nyaman.
Manajemen waktu fungsional
Pasar DLP, terutama di negara-negara CIS, saat ini tidak terbatas hanya pada fungsi pencegahan. Sistem DLP secara bertahap menggabungkan fungsionalitas kelas produk lain - sistem pemantauan kerja karyawan.
Produk yang dimaksud tidak terkecuali dan juga menyerap sesuatu. Seberapa tinggi kualitasnya?
Anda dapat mengontrol karyawan menggunakan modul Person Monitor - dimulai dengan keylogger dan diakhiri dengan video dari desktop, serta mengontrol webcam dan suara dari mikrofon. Namun, tidak semuanya begitu cerah. Disebutkan di atas bahwa modul ini adalah interpretasi dari “Stakhanovets” yang diakui. Oleh karena itu kerugian - misalnya, kurangnya integrasi dengan modul kompleks lainnya dan jaminan “kontrol penuh” dari hanya lima puluh mobil. Perlindungan database sangat menyentuh - enkripsi tidak diperlukan, data dalam database disimpan hanya dalam pengodean yang diubah. "Supaya tidak ada yang menebak!"
Ngomong-ngomong, mengenai emosi: ketika Anda pertama kali membuka antarmuka web, Person Monitor memperingatkan bahwa koneksi tidak dienkripsi (http normal, yaitu) dan menawarkan tautan ke manual yang dengannya setiap orang dapat mengkonfigurasi https untuk dirinya sendiri. Mengapa ini tidak dilakukan "di luar kotak" tidak jelas.
Ada juga pengenalan suara yang sangat menarik untuk fungsi teks. Ini diterapkan melalui Google API, yang akan menjadi masalah bagi banyak pelanggan: pertama, Anda harus menghubungkan server ke Internet, dan kedua, tidak semua orang setuju untuk mentransfer informasi rahasia mereka ke pihak ketiga.
Saat melakukan penyelidikan atas informasi yang dikumpulkan oleh Person Monitor, kami merasa tidak nyaman karena kami terbiasa bekerja dengan semua informasi yang tersedia dari semua saluran yang tersedia dan untuk semua karyawan. Selain itu, pencarian lokal menggunakan data keylogger terenkripsi hanya memiliki fungsi paling dasar - misalnya, ada morfologi, tetapi tidak mungkin untuk membuat aturan pencarian teks yang menarik dan kompleks. Namun demikian, pada volume lalu lintas kecil dan di perusahaan kecil, semua orang dapat hidup dengan ini.
Dari sudut pandang teknis, Person Monitor terdiri dari agen yang mengumpulkan data dari workstation pengguna, server dengan database (MSSQL), di mana data ini kemudian disimpan, dan Apache untuk Windows, yang menjadikan antarmuka web sistem. Atas permintaan pengguna, kueri SQL dikompilasi, dan hasilnya muncul sebelum pengguna dalam bentuk halaman laporan html.
Berbicara tentang perusahaan kecil dan besar, kami dengan lancar beralih ke modul lain - Visi. Seolah-olah dibuat oleh pesanan kami - ini memungkinkan Anda untuk mengatur data yang dicegat oleh Traffic Monitor untuk representasi visual dan, di samping itu, memungkinkan untuk membangun kembali permintaan dengan cepat. Semua ini dimungkinkan, paling tidak berkat platform QlikSense, yang mengoperasikan berbagai peristiwa yang diambil dari Traffic Monitor dalam memori server Vision.
Acara perlu dimuat satu kali dalam periode waktu tertentu - misalnya, setiap malam, karena mengunggah data dalam jumlah besar membutuhkan waktu lama.
Kesan umum
Sistem yang dipertimbangkan, seperti yang lain, bukan tanpa kekurangan. Sayangnya, masih ada beberapa "luka anak-anak" yang telah membentang dari versi sebelumnya (misalnya, masalah Person Monitor yang terdaftar); beberapa solusi terlihat kontroversial - tidak selalu jelas apakah ini bug atau fitur (konsol terputus dan menggunakan database yang berbeda untuk menyimpan acara). Jika Anda perlu menekankan pada fungsi tertentu, daripada solusi terintegrasi, disarankan agar Anda terus mempelajari pasar DLP.
Setelah kami mulai menjelajahi pasar DLP dengan InfoWatch Traffic Monitor, jadi kontra langsung menarik perhatian saya:
- bahkan dengan instalasi minimal, dua server diperlukan - Traffic Monitor, Device Monitor - pada sistem keluarga yang berbeda;
- pada pemasangan maksimum, diperlukan pemasangan dua agen di stasiun kerja karyawan;
- pengguna sistem dipaksa untuk menggunakan bukan satu konsol, tetapi dari dua hingga lima (Monitor Lalu Lintas, Monitor Perangkat, Monitor Orang, Monitor Orang, konsol Pengaturan Visi);
- dengan semua hal di atas, sama sekali tidak ada integrasi Person Monitor dengan sisa kompleks - perasaan bahwa Anda bekerja dalam sistem yang terpisah.
Namun, terus mempelajari pasar lebih lanjut, kami menemukan banyak keuntungan (sesungguhnya, semuanya diketahui sebagai perbandingan):
- stabilitas kerja;
- kesederhanaan dan kecepatan bergulir. Ada gambar awal dari Traffic Monitor, dan komponen Windows dipasang sesuai dengan pola "Next - Next - Done";
- fleksibilitas sistem. Setelah menguasai antarmuka semua konsol, Anda dapat membuat aturan pemicu yang cukup rumit yang akan segera diterapkan ketika lalu lintas tiba;
- kecepatan investigasi. Terlepas dari kenyataan bahwa Visi masih muda dan belum mendapatkan fungsi yang cukup bagi kami, kecepatan dan visibilitasnya mengimbangi hal ini. Ketika bekerja dengan pelanggan utama masa lalu, dia akan sangat berguna bagi kita sebagai bagian dari sistem pertempuran.
Dalam menyiapkan artikel, kami mewawancarai rekan analis kami tentang betapa terkesannya mereka dengan sistem DLP InfoWatch. Menyimpulkan semua yang telah dikatakan, kami menyoroti beberapa pro dan kontra.
Cons:
- ketidakkonsistenan konsol;
- kontrol akses non-fungsional (seperti ada, tetapi tidak selalu memungkinkan untuk mengonfigurasi seperti yang Anda inginkan - misalnya, dasbor);
- salah satu modul umumnya mengumpulkan informasi yang tidak dapat dianalisis kernel;
- dua agen digunakan, beberapa fungsi termasuk dalam keduanya;
- data perlu disaring di antara basis data;
- tidak mungkin untuk menempatkan fungsionalitas penuh dalam satu server bahkan dalam implementasi paling minimal;
- logika PM (beroperasi bukan dengan peristiwa, tetapi dengan laporan) tidak memungkinkannya digunakan dengan nyaman untuk seluruh area cakupan, tetapi secara eksklusif "searah".
Pro:
- kesediaan untuk mengimplementasikan fungsionalitas, jika perlu;
- kemudahan instalasi (kickstart);
- skalabilitas
- melihat banyak, mengerti banyak - banyak pilihan saluran, bekerja dengan lalu lintas seluler, banyak pilihan metode untuk mendeteksi data sensitif;
- pencarian relatif cepat dan pratinjau nyaman dengan menyoroti berbagai objek dalam berbagai warna;
- deskripsi terperinci tentang teknologi dan objek perlindungan;
- deteksi kekritisan otomatis, pembongkaran petugas, dll;
- Banyak perhatian diberikan pada visualisasi informasi yang dikumpulkan. Salah satu solusi terbaik di pasaran.
Dari minus - ya, sayangnya, ini adalah multi-konsonan dan tidak selalu pemisahan fungsionalitas di antara mereka. Ini tidak hanya merepotkan, tetapi juga sama sekali tidak efektif ketika perlu untuk mengumpulkan basis bukti untuk penyelidikan, dan data dalam database yang berbeda, dan tidak mungkin untuk membawanya ke satu bentuk menggunakan sistem itu sendiri. Banyak pekerjaan manual yang tidak perlu dari analis atau penjaga keamanan.
Kami senang dengan keinginan vendor untuk mengimplementasikan peningkatan bagi pelanggan potensial, mis. tanpa mengikat hubungan kontraktual. Ini adalah contoh yang benar-benar nyata: enam bulan setelah membahas banyak perbaikan yang kami umumkan pada pilot di salah satu klien, kami melihatnya dalam fungsionalitas yang diimplementasikan, yang sangat menyenangkan.
Selain itu, IW adalah salah satu dari sedikit vendor yang memperhatikan diskusi masalah seperti itu, tidak menendang tag - mengapa Anda membutuhkannya, Anda adalah yang pertama bertanya tentang hal itu, dll. (Sasha Klevtsov, kami memberi Anda halo terpisah dan salam hangat :)).
Pada intinya, kami memiliki sistem yang cukup seimbang yang mencakup sebagian besar persyaratan pelanggan yang paling membosankan dan tidak memiliki persyaratan sistem yang berlebihan. InfoWatch secara konsisten "memompa" kompleksnya, menambahkan fitur keren baru. Tetap hanya untuk hati-hati menjahit mereka bersama-sama :).
Anna Popova, Kepala Blok DLP, Infosecurity Group of Companies
Nikita Shevchenko, kepala kelompok dukungan teknik Blok DLP, Infosecurity Group of Companies