Bagaimana kami memilih sistem DLP (pengalaman praktis)

Halo, Habr! Belum lama berselang, situasi yang cukup khas muncul - manajemen memberi perintah " Pilih sistem untuk melindungi data dari kebocoran ." Kriteria pemilihan utama adalah kemampuan untuk memecahkan masalah mencegah kebocoran dokumen (file, dan dokumentasi kritis) (menurut pendapat manual). Sebagai berikut dari manajemen lisan kepala, majalah dan berbagai peralatan fungsional analitis adalah sekunder. Mengutip bos, " untuk menangkap penyusup, kita dapat menggantung kamera video, memecahkan masalah sedemikian rupa sehingga kita tidak berurusan dengan kebocoran, tetapi menghilangkannya ." Tentu saja, semua orang memahami bahwa tidak realistis untuk mencapai 100% penghapusan risiko kebocoran, oleh karena itu, kita berbicara tentang meminimalkan risiko kebocoran informasi.



Sedikit tentang perusahaan: kami berukuran sedang - sekitar 300 workstation (beberapa bekerja secara bergiliran), plus untuk beberapa karyawan, akses jarak jauh ke ruang kerja virtual diatur melalui Citrix Desktop. Sebagai efek samping, beberapa kepatuhan berdasarkan 152FZ dan organisasi terkait untuk melindungi data pribadi dipertimbangkan.

Kami tidak memiliki hubungan dengan negara, persyaratan peraturan industri lainnya, pada prinsipnya, tidak mempengaruhi kami juga. Masalah harga dan proses pengadaan secara umum adalah bisnis dari unit yang kompeten. Dengan demikian, biaya solusi dan topik substitusi impor saat ini tidak membatasi kami, dan kami dapat mempertimbangkan perkembangan apa pun: baik domestik maupun asing. Kami (departemen IS kecil yang terdiri dari sebanyak tiga orang) tidak ingin mengisi berbagai kuesioner dan formulir dari vendor dan integrator, jadi kami memutuskan untuk menyegarkan ingatan dengan memeriksa fakta (pada prinsipnya, kami sudah terbiasa dengan tema DLP, tetapi tanpa banyak pengalaman praktis). Ini berarti - dengan tangan Anda sendiri untuk menguji hanya sistem-DLP itu, yang relatif mudah ("tanpa registrasi dan SMS" dan mem-flash perusahaan ke penjual) untuk mendapatkan tes independen di stand Anda sendiri, atau Anda dapat melihat karya rekan-rekan dari organisasi lain. Penting: dengan mempertimbangkan bahwa implementasi dan operasi lebih lanjut akan dilakukan sendiri, kami ingin mengujinya di stand sendiri, dan tidak terlibat dalam melihat versi demo "dengan benar" di tangan "dan brosur untuk memastikan diri bahwa fungsi yang dideklarasikan benar-benar dilaksanakan dan bekerja sesuai kebutuhan.

Sistem dibangun berdasarkan pemantauan aplikasi, tangkapan layar, keyboard, dll. mereka bahkan tidak berusaha melihat - hanya karena mereka tidak menyelesaikan tugas utama, tidak peduli bagaimana pengembang mereka memposisikan diri di pasar. Ini mengacu pada Stakhanovets dan tiruannya dari Infovotch Person Monitor, StaffCop, TimeInformer, KickIdler dan sejenisnya. Ini tidak berarti bahwa sistem ini buruk - mereka hanya tidak menyelesaikan tugas utama " mencegah kebocoran! »Data rahasia, tetapi dapat (mungkin) alat yang baik untuk tugas-tugas lain dengan pengamatan pasif.

Di sela-sela itu, kami berkenalan dengan bahan analitik dan ulasan independen ... bahan-bahan itu ternyata jarang. Dari yang dapat dibaca - dua publikasi tentang Habré ( sekali dan dua kali ) dan ulasan yang sudah ketinggalan zaman dan sangat dangkal tentang Anti-Malware dengan perbandingan terpisah dalam bentuk tabel.

Kami tertarik pada: Symantec DLP asing, DLP Forcepoint, DLP McAfee, Sophos Endpoint Protection, Rusia (atau, Rusia) Solar Dozor, Zecurion DLP, InfoWatch Monitor Lalu Lintas, DeviceLock DLP, Informasi Sirkuit Keamanan PencarianInform, Falcongaze SecureTower.

Segera setelah versi baru muncul di tangan kami atau undangan untuk kolega, pengujian fungsi dan kemampuan yang dinyatakan benar-benar dilakukan. Sebagai sumber informasi tambahan, publikasi dan catatan webinar vendor dan mitra mereka, serta data dari agen OBS, yaitu, pendapat ahli dari kolega dengan pengalaman, diambil.

Saya akan segera mendaftar sistem DLP mana yang tidak dapat dilihat.

1. Solar Dozor (Solar Dozor). Ya, sistem yang sangat berat. Deskripsi memiliki penekanan kuat pada kemampuan analitis. Situs web pengembang menyatakan "Arsitektur modular memungkinkan Anda untuk mendistribusikan beban dan menyebarkan Solar Dozor pada perangkat keras lama", dan menurut dokumentasi Anda perlu mengalokasikan server dengan 8 core dan memori 32 GB. Dan ini hanya untuk memastikan peluncuran konfigurasi minimum, ditambah menempatkan proxy tambahan dan server surat ... Rupanya, kami belum memiliki perangkat keras yang lama :) Kami mengabaikan konsumen sumber daya tersebut. Meskipun dikabarkan bahwa Anda dapat menjalankan konfigurasi 6 core / 24 GB.
2. Symantec DLP . Dari klik pertama di situs, formulir terbuka dengan banyak pertanyaan dan tidak ada sedikit pun percobaan. Beli dan coba. Terima kasih, bungkus kembali.
3. Forcepoint DLP (alias
   Websense ). Situs ini juga tidak memiliki petunjuk tentang percobaan, tetapi ada formulir untuk meminta demonstrasi agar terlihat “dari tangan” integrator. Terima kasih lagi, tapi tidak.
4. Zecurion DLP . Sekali lagi, tidak sedikit pun uji coba tanpa penjualan tetap, atau kesempatan untuk melihat rekan kerja.
5. Digital Guardian - umumnya tidak realistis untuk mendapatkan persidangan.
6. Daftar kecil lain dari kuadran Gartner, yang terlalu sulit didapat, dan produk Rusia "muda" yang belum mengalami pembobolan serius di pasar massal.

Hasil tes dirangkum dalam tabel tipe fungsi - sistem / kepatuhan; cukup banyak ternyata. Kami memeriksa bagaimana masing-masing DLP yang diuji memenuhi tugasnya untuk berbagai saluran kebocoran data, kemungkinan lain apa yang ada, bagaimana cara kerjanya dengan sistem pada prinsipnya ... Tesnya, tentu saja, bukan pilot yang lengkap, kami bisa melewatkan sesuatu, saya dapat segera meminta sesuatu, saya segera minta maaf atas hal ini.

Saya menekankan secara terpisah bahwa pendapat yang dijelaskan dalam artikel ini adalah subyektif dan didasarkan pada kesan pribadi karyawan dari satu unit berdasarkan hasil beberapa tes dasar dan tinjauan umum sistem. Semua kesimpulan dibangun dari "mencoba sendiri" dan memenuhi tugas utama "mencegah kebocoran", mereka tidak mengklaim telah lengkap.

Kami memeriksa hal-hal sederhana yang berhubungan langsung dengan tugas: memblokir saluran untuk pengguna ini (" ini tidak mungkin! "); mengirim salinan bayangan dari dokumen yang dicegat ke arsip; pemberitahuan untuk keamanan informasi ketika sebuah larangan dipicu.

Diperiksa:

• rekam pada flash drive;
• mencetak dokumen pada printer (lokal melalui USB dan jaringan);
• mengirim ke SMTP dan MAPI;
• mengirim ke webmail (melihat Mail.ru, Gmail, Yandex.Mail);
• mengirim ke jejaring sosial (menyaksikan Facebook dan Vkontakte);
• unggah ke awan (tampak Yandex.Disk dan Dropbox);
• mengirim file melalui formulir melalui HTTP;
• unggah ke server FTP;
• pengirim pesan instan: obrolan, pengiriman file, komunikasi suara atau video (menyaksikan Skype, Whatsapp, Telegram);
• kontrol dalam sesi terminal (apakah akan ada respons ketika dokumen ditarik keluar dari clipboard di sesi terminal dan ketika menulis ke disk diteruskan dari stasiun kerja jarak jauh ke sesi terminal).

Setelah berhasil menyelesaikan tes dasar, uji tegangan tambahan dilakukan dengan elemen beban dan komplikasi untuk modul analitik sistem:

1. Arsip bertingkat dengan ekstensi yang dimodifikasi dikirim melalui saluran yang diperiksa, dengan file excel berukuran raksasa di dalamnya, di mana teks target disembunyikan di antara ribuan sel teks sampah. Respons yang diharapkan terhadap kata-kata, nomor telepon, dan alamat email perusahaan yang diberikan.
   
   
   
   
   
   
2. Saluran yang akan dipindai mengirim pemindaian cetak dokumen ke dua halaman yang dipindai oleh MFP terbalik yang biasa. Respon yang diharapkan untuk nomor paspor dan SIM.
   
   
   
3. Kontrak yang terisi dikirim melalui saluran yang diperiksa, dan templat kontrak telah dimasukkan sebelumnya ke sistem.
   
   
   

Sebagai fungsi tambahan yang bermanfaat (selain memeriksa kepatuhan dengan kriteria utama, lihat di atas), kami melihat kemampuan analitis, bekerja dengan arsip, dan melaporkan. Mereka memutuskan untuk menunda fungsi pemindaian workstation (misalnya, bagaimana sistem mendeteksi dokumen dengan data paspor pada workstation) untuk menjalankan lagi, sekarang tugas ini tidak utama (dan kritis pada umumnya).

Bangku tes sederhana, sebagai server - mesin virtual dengan alokasi memori 8 GB, sebagai kelinci percobaan - komputer khas pada i5 / 2.3 GHz / 4 Gb RAM dan dengan Windows 10 32-bit.

Nah, berikut adalah beberapa sistem DLP yang akhirnya berhasil dilihat dan dirasakan di stand Anda atau di kolega Anda, dan tayangan yang sesuai pada mereka: McAfee DLP, Sophos Endpoint Protection, Monitor Traffic InfoWatch, DLL DeviceLock, Pencarian Information Circuit CircuitInform, Falcongaze SecureTower. Untuk memulai, saya akan menjelaskan tentang kesan umum, kemudian tinjauan umum dari tes yang sebenarnya berjalan.

McAfee DLP

Tes mendapatkan versi McAfee Data Loss Prevention 10.0.100.

Saya ingin segera mencatat bahwa ini adalah sistem yang sangat sulit untuk menginstal dan mengkonfigurasi. Untuk menginstal dan menggunakannya, Anda harus terlebih dahulu menggunakan McAfee ePolicy Orchestrator sebagai platform manajemen Anda sendiri. Mungkin bagi organisasi di mana ekosistem solusi McAfee diterapkan sepenuhnya, itu akan bermakna dan nyaman, tetapi demi satu produk ... kesenangan dari kategori diragukan. Situasi ini agak difasilitasi oleh fakta bahwa dokumentasi pengguna sangat bijaksana dan menggambarkan seluruh prosedur instalasi, dan installer itu sendiri menginstal semua komponen eksternal yang dibutuhkan. Tetapi untuk waktu yang lama ... Untuk menetapkan aturan juga bukan tugas yang mudah.

Saya menyukainya: kemampuan untuk menetapkan prioritas bersyarat untuk aturan, dan kemudian menggunakan prioritas ini sebagai parameter untuk menyaring peristiwa dalam log. Penyaringan itu sendiri dilakukan dengan sangat baik dan mudah. Kemampuan untuk memungkinkan pengguna untuk meneruskan file ketika dilarang, jika memberikan beberapa penjelasan (justifikasi pengguna).


Saya tidak menyukainya: kebutuhan yang sudah disebutkan untuk menginstal platform manajemen kami sendiri, yang sebagian besar duplikat AD. Modul OCR bawaan - tidak, kontrol dokumen yang dipindai - oleh. Mereka mengungkapkan sejumlah batasan, seperti mengontrol surat hanya di Outlook (korespondensi melalui The Bat! Flew melewati kontrol agen), ketergantungan pada versi browser tertentu, kurangnya kontrol korespondensi di Skype (hanya file yang dicegat).

Ringkasan: Sekilas, DLP McAfee bagi kami merupakan solusi yang sangat menarik, meskipun ada kelemahan yang disebutkan di atas. Sangat mengecewakan bahwa penyihir untuk mengatur politisi hilang - dalam versi lama yang pernah dieksplorasi, menurut kami itu lebih nyaman daripada di konsol web saat ini. Kelemahan utama adalah bahwa hampir semua kontrol diimplementasikan melalui kontrol aplikasi, dan bukan pada tingkat protokol atau driver. Memungkinkan Anda memblokir perangkat yang diteruskan dalam lingkungan Citrix.

Perlindungan Endpoint Sophos

Untuk tes, mereka mengambil versi Sophos Endpoint Protection 10.

Solusinya kompleks, dasarnya adalah antivirus. Saya harus menginstal untuk waktu yang lama. Manual ini bahkan tidak menunjukkan persyaratan sistem - harap ikuti mereka ke situs. Kebijakan ditetapkan berdasarkan logika per komputer :(

Menyukai: seperti pada McAfee, dimungkinkan untuk memungkinkan pengguna meneruskan file ketika dilarang. Itu mungkin saja.

Saya tidak menyukainya: tidak ada kesulitan dalam menghindari kontrol perangkat oleh agen - hentikan antivirus dari Sophos, lalu nyalakan driver perangkat di Device Manager - dan voila, akses penuh ke flash drive yang dilarang. Entah bagaimana rumit dan suram berkaitan dengan implementasi dan konfigurasi aturan analisis konten, yang, sebagai hasilnya, masih belum dieksekusi pada kenyataannya. Anehnya, tidak ada salinan bayangan. Pemberitahuan dalam bentuk peringatan email dan pesan SNMP harus dikonfigurasi dari antivirus dari pengembang yang sama. Daftar perangkat yang dipantau buruk, surat dikontrol melalui penyematan klien surat. Kontrol akses ke situs yang dibuat seperti firewall. Modul OCR bawaan - tidak, kontrol dokumen yang dipindai - oleh. Manual pengguna sedih - Anda tidak dapat menemukan detail di dalamnya. Bahkan tidak ada deskripsi tentang apa yang dimaksud dengan satu atau lain aturan bawaan - apakah itu cek kamus, atau ekspresi reguler ...

Ringkasan: Tidak berhasil, menurut kami, solusi. Bahkan, ini merupakan tambahan untuk antivirus, dan bahkan kurangnya kemampuan untuk membuat bukti berdasarkan insiden. Kebijakan ditetapkan bukan oleh pengguna, tetapi oleh mesin - ini tidak dapat diterima. Sebenarnya, banyak yang tidak diharapkan dari suplemen antivirus gratis, tetapi harapan mati terakhir.

Monitor Lalu Lintas InfoWatch

Mungkin DLP-complex yang paling berkembang di pasar kita saat ini, yang berarti kita paling mengharapkannya. Peluang hanya untuk mengambil dan melihat - tidak, tetapi situs ini penuh dengan keindahan dari pemasar. Sulit untuk menguji, tetapi saya berhasil mendapatkan InfoWatch Traffic Monitor 6.9 versi Enterprise. Mungkin ada versi yang lebih baru - tetapi kami tidak tahu tentang ini, kami tidak menemukan pemasaran yang sama di belakang kiloton. Tetapi informasi teknis di situs itu entah bagaimana tidak cukup. Selama tes, ditemukan bahwa dokumentasi memiliki masalah yang sama - jika ada sesuatu yang tidak jelas, hampir tidak mungkin untuk menemukan jawaban di manual, dan tidak ada detail secara umum. Ini secara signifikan mengurangi kemungkinan operasi independen.

Menyukai: antarmuka yang sangat berkualitas tinggi, bijaksana, dengan struktur yang baik. Dasbor yang nyaman tempat Anda dapat mengonfigurasi permintaan tertentu, waktu pembaruannya - dan kemudian mengamati keseluruhan gambar. Beragam widget yang bagus untuk konsol. Dimungkinkan untuk mengirim permintaan pengguna untuk memberikan akses ke perangkat langsung dari modul agen. Kemampuan untuk mengatur penerima yang berbeda untuk pemberitahuan tergantung pada jenis acara dan keanggotaan pengguna di OU. Seperangkat laporan yang solid. Peluang yang baik untuk bekerja dengan arsip, didukung sejumlah besar alat untuk menganalisis konten data dalam arsip. Ada tangkapan layar dari workstation.


Saya tidak menyukainya: faktanya, ini bukan satu produk, tetapi sekelompok Infowatch Traffic Monitor dan Infowatch Device Monitor, dan ini berfungsi pada dua sistem operasi (Windows dan Red Hat Linux), jadi pemasangan dan konfigurasi untuk menjalankannya rumit. Ada juga dua konsol manajemen. Logika yang diiklankan secara luas oleh pengembang “memeriksa konten, hanya setelah itu kami memblokirnya, kami tidak mengganggu proses bisnis” sebenarnya di suatu tempat di awal. Tidak ada analisis konten untuk mengendalikan perangkat - akses ke perangkat dapat dinonaktifkan untuk pengguna, ada Daftar Putih, tetapi agen Monitor Perangkat Infowatch tidak tahu apa yang ditulis dalam dokumen pada drive flash USB. Untuk saluran jaringan, masalahnya kira-kira sama - pengecekan konten hanya diterapkan untuk SMTP dan HTTP. Sebagai kolega yang telah lama akrab dengan keputusan ini mengatakan, sekarang setidaknya ada peluang untuk memblokir saluran jaringan - sebelum hanya ada pemantauan. Bahkan - fitur ini terbatas untuk HTTP, FTP, SMTP, plus berbagi file dan beberapa pengirim pesan instan. Saya ulangi, tidak ada kemungkinan memblokir transfer data berdasarkan memeriksa konten mereka di, misalnya, pesan instan - hanya SMTP dan HTTP. Ini tidak buruk, tetapi tidak terlalu konsisten dengan deskripsi di brosur, dan ini tidak cukup untuk sepenuhnya menutupi saluran bocor. Modul agen sebenarnya diimplementasikan sebagai semacam campuran agen yang berbeda.


Ringkasan: Secara umum, solusinya terlihat (terutama terlihat) sangat baik. Kontrol perangkat dasar baik, untuk saluran jaringan, pemantauan baik dan pemblokiran memuaskan. Dalam sesi terminal, ini memungkinkan Anda untuk membatasi akses ke drive yang diteruskan, atau untuk menyediakan akses hanya baca, karya penyalinan bayangan (untuk drive flash dan untuk drive yang diteruskan pada saat yang sama). Kesalnya adalah kurangnya verifikasi konten untuk sebagian besar saluran yang dikendalikan, terutama perangkat - terlepas dari kenyataan bahwa dokumen pemasaran menyatakan logika dengan tepat. Mari kita berharap ini adalah semacam peta jalan, dan cepat atau lambat, pengembang akan mengejar ketinggalan dengan pemasar. Sementara itu, tim PR adalah lima besar, pengembang adalah tiga teratas dengan nilai tambah. Atau sebaliknya. Bagaimana cara melihatnya.

DeviceLock DLP

Untuk pengujian, versi 8.3 (pembaruan terakhir yang dirilis pada bulan Desember 2018) telah diunduh, diunduh dari situs pengembang.

Sistem yang agak terspesialisasi, hanya perlindungan kebocoran dan tidak lebih - tidak ada tangkapan layar, kontrol aplikasi ... Namun, jika Anda yakin informasi dari webinar dari pengembang, fungsi kontrol pengguna melalui tangkapan layar akan muncul di masa mendatang. Instalasi mudah. Sejumlah opsi kontrol, konsol old-school, untuk bekerja dengannya, Anda memerlukan setidaknya beberapa pengalaman administrator sistem - maka semuanya menjadi jelas dan sederhana. Secara umum, kesan sangat sederhana untuk mengoperasikan sistem.

Menyukai: merinci dalam pengaturan kontrol. Bukan hanya kontrol bersyarat, misalnya, Skype - tetapi pemantauan terpisah, acara, salinan bayangan, peringatan, pengecekan konten - dan menggunakan komponen Skype yang terpisah - obrolan, file, panggilan ... Daftar perangkat yang dipantau dan saluran jaringan dibuat secara wajar, dan sangat besar. Modul OCR bawaan. Kunci konten berfungsi, meskipun dengan beberapa beban workstation. Lansiran dapat datang hampir secara instan. Agen sepenuhnya independen sehubungan dengan sisi server, mereka dapat menjalani hidup mereka sendiri selama diperlukan. Pergantian mode otomatis telah dilakukan - Anda dapat dengan aman melepaskan seorang karyawan dengan laptop, politisi akan beralih ke pengaturan lain. Kunci dan pemantauan dalam sistem diceraikan bahkan pada tingkat konsol - tidak ada kesulitan untuk beberapa saluran untuk memungkinkan larangan untuk kawan-kawan individu, dan untuk kawan-kawan lainnya untuk mengatur pengaturan hanya untuk pemantauan. Aturan untuk menganalisis konten juga terlihat independen dan berfungsi baik untuk melarang maupun sebaliknya untuk memungkinkan transmisi ketika saluran pada dasarnya ditutup.


Saya tidak suka: tidak ada penyihir.Untuk mengonfigurasi kebijakan, Anda harus segera memahami apa yang perlu Anda dapatkan, buka bagian konsol yang sesuai dan cari tanda centang, pilih pengguna, dll. Opsi langkah-demi-langkah untuk membuat kebijakan menunjukkan sendiri. Di sisi lain, Anda dapat memeriksa apa yang sebenarnya diatur dalam rencana kontrol. Pencarian arsip terbatas pada pencarian teks lengkap dengan isi salinan bayangan, tidak ada kemungkinan untuk mencari berdasarkan templat dokumen atau menggunakan kamus. Sistem filter yang dikembangkan membantu kurang lebih, tetapi ini jauh dari filter konten. Muatan tak terhindarkan pada workstation saat bekerja dengan aturan yang bergantung pada konten (terminologi pengembang).


Ringkasan:Sistem ini mudah dioperasikan, bekerja dengan jelas, dengan persenjataan yang kaya kemampuan khusus untuk perlindungan terhadap kebocoran informasi. Menurut komentar tepat dari salah satu kolega, itu dibuat atas dasar "disetel dan dilupakan". Mempertimbangkan bahwa semua kebijakan ditetapkan oleh per pengguna, untuk mengubah operasi yang tersedia untuk pengguna, cukup transfer ke grup Pengguna lain dari domain yang aturan kontrol lainnya dikonfigurasi, dari kontrol sederhana hingga aturan dengan analisis konten. Dalam sesi terminal, ini memungkinkan Anda untuk mengatur izin untuk drive yang diteruskan (mengunci atau hanya-baca), untuk clipboard (semuanya cukup fleksibel tergantung pada arah penyalinan, jenis data yang ditransfer), pekerjaan penyalinan bayangan, mengunci konten berfungsi saat menulis untuk diteruskan drive dan saat mentransfer data melalui clipboard.

Mencari Informasi Sirkuit Keamanan Informasi

Kami menyaksikan dengan rekan kerja, jadi waktunya sangat ketat. Awalnya saya ingin menulis "Saya mendapat versi XXXX untuk tes", tetapi saya tidak bisa. Hanya karena informasi pencarian CIB bukanlah sistem, tetapi makan siang yang kompleksseperangkat beberapa sistem yang praktis independen. Hingga konsol individu untuk berbagai tugas - terhitung sebanyak 5 buah. Rekan kerja mengatakan bahwa ada lebih banyak konsol sebelumnya ... Modul kunci dalam kompleks ini adalah modul EndpointController - versi 5.49. Sisanya memiliki penomoran sendiri. Omong-omong, kit distribusi juga berasal dari banyak arsip ... Karenanya, memasang sistem seperti itu tidak mudah - Anda tidak dapat melakukannya tanpa dokumentasi. Ini, pada gilirannya, juga spesifik - ditulis pada prinsip "apa yang saya lihat, kemudian saya tulis", tanpa menjelaskan logika kerja. Manajemen terlihat seperti ini - kebijakan intersepsi dibuat dalam satu konsol manajemen, pengaturan pengindeksan dan indeks untuk melihat data yang dicegat adalah konsol yang terpisah, melihat audit dan membayangi data lagi merupakan konsol yang terpisah, pelaporan lagi merupakan konsol yang terpisah, dan seterusnya. Dan dalam deskripsi pemasaran di situs,dan dalam dokumentasi kata "intersepsi" selalu ditemukan. Dalam praktiknya, ini berarti bahwa untuk hampir semua saluran kebocoran jaringan, hanya menerima salinan bayangan. Ada kunci untuk perangkat, tetapi untuk saluran Internet Anda dapat menonaktifkan SMTP untuk semua pengguna - atau mengizinkannya. Pilihan lain adalah menggunakan karantina pesan, yang diterapkan pada agen, untuk SMTP. Analisis konten sebagai alasan pemblokiran dibuat dengan sangat spesifik: agen mengirim untuk mengkarantina semua pesan yang sudah dilihat di server (secara manual atau menggunakan penganalisa konten) oleh administrator dan kemudian ia memilih apa yang akan dikirim berikutnya dan apa yang akan diblokir. Kami membayangkan bagaimana itu akan terlihat dalam sebuah organisasi di mana setidaknya ada 5 kali lebih banyak karyawan daripada kami ...Dalam praktiknya, ini berarti bahwa untuk hampir semua saluran kebocoran jaringan, hanya menerima salinan bayangan. Ada kunci untuk perangkat, tetapi untuk saluran Internet Anda dapat menonaktifkan SMTP untuk semua pengguna - atau mengizinkannya. Pilihan lain adalah menggunakan karantina pesan, yang diterapkan pada agen, untuk SMTP. Analisis konten sebagai alasan pemblokiran dibuat dengan sangat spesifik: agen mengirim untuk mengkarantina semua pesan yang sudah dilihat di server (secara manual atau menggunakan penganalisa konten) oleh administrator dan kemudian ia memilih apa yang akan dikirim berikutnya dan apa yang akan diblokir. Kami membayangkan bagaimana itu akan terlihat dalam sebuah organisasi di mana setidaknya ada 5 kali lebih banyak karyawan daripada kami ...Dalam praktiknya, ini berarti bahwa untuk hampir semua saluran kebocoran jaringan, hanya menerima salinan bayangan. Ada kunci untuk perangkat, tetapi untuk saluran Internet Anda dapat menonaktifkan SMTP untuk semua pengguna - atau mengizinkannya. Pilihan lain adalah menggunakan karantina pesan, yang diterapkan pada agen, untuk SMTP. Analisis konten sebagai alasan pemblokiran dibuat dengan sangat spesifik: agen mengirim untuk mengkarantina semua pesan yang sudah dilihat di server (secara manual atau menggunakan penganalisa konten) oleh administrator dan kemudian ia memilih apa yang akan dikirim berikutnya dan apa yang akan diblokir. Kami membayangkan bagaimana itu akan terlihat dalam sebuah organisasi di mana setidaknya ada 5 kali lebih banyak karyawan daripada kami ...Pilihan lain adalah menggunakan karantina pesan, yang diterapkan pada agen, untuk SMTP. Analisis konten sebagai alasan pemblokiran dibuat dengan sangat spesifik: agen mengirim untuk mengkarantina semua pesan yang sudah dilihat di server (secara manual atau menggunakan penganalisa konten) oleh administrator dan kemudian ia memilih apa yang akan dikirim berikutnya dan apa yang akan diblokir. Kami membayangkan bagaimana itu akan terlihat dalam sebuah organisasi di mana setidaknya ada 5 kali lebih banyak karyawan daripada kami ...Pilihan lain adalah menggunakan karantina pesan, yang diterapkan pada agen, untuk SMTP. Analisis konten sebagai alasan pemblokiran dibuat dengan sangat spesifik: agen mengirim untuk mengkarantina semua pesan yang sudah dilihat di server (secara manual atau menggunakan penganalisa konten) oleh administrator dan kemudian ia memilih apa yang akan dikirim berikutnya dan apa yang akan diblokir. Kami membayangkan bagaimana itu akan terlihat dalam sebuah organisasi di mana setidaknya ada 5 kali lebih banyak karyawan daripada kami ...Kami membayangkan bagaimana itu akan terlihat dalam sebuah organisasi di mana setidaknya ada 5 kali lebih banyak karyawan daripada kami ...Kami membayangkan bagaimana itu akan terlihat dalam sebuah organisasi di mana setidaknya ada 5 kali lebih banyak karyawan daripada kami

Saya menyukainya: kemungkinan bekerja dengan arsip dikembangkan dengan kuat. Ada segalanya. Banyak kriteria, alat pencarian untuk kamus, ekspresi reguler, sidik jari, bermerek "search for similar" ... Ada tag untuk berbagai insiden - Anda dapat menandai sudah dilihat, misalnya. Ada enkripsi flash drive transparan.


Saya tidak menyukainya: kekacauan dalam logika kontrol sistem, sejumlah besar konsol kontrol. Kurangnya pemblokiran untuk saluran jaringan. Tidak adanya pemblokiran konten untuk seluruh rangkaian saluran "yang dicegat".


Ringkasan: Perangkat pemblokiran diterapkan pada tingkat yang layak, untuk saluran jaringan - di embrio. Dalam sesi terminal, Anda dapat mengatur izin untuk drive yang diteruskan (kunci, hanya-baca), pekerjaan menyalin bayangan untuk drive yang diteruskan. Secara umum, sistem ini agak rumit untuk dioperasikan, hanya berfokus pada investigasi insiden - yaitu, pada pemantauan dan bekerja dengan arsip. Untuk ini, mungkin ada, semua yang dibutuhkan. Melindungi organisasi dari kebocoran data jelas tidak ada di sini, kecuali untuk menutup perangkat yang tidak perlu bagi pengguna.

Falcongaze SecureTower

Tes mendapat versi 6.2. Dua kata kunci yang menggambarkan sistem ini, jika tidak menggali nuansa, mudah, nyaman. Mudah dipasang, nyaman untuk dikelola, nyaman untuk melihat laporan, nyaman untuk bekerja dengan arsip. Dokumentasi praktis tidak diperlukan. Kemudian fokus dimulai lagi dengan kata "intersepsi", seperti dalam CIB. Intersepsi di sini hanya untuk pemantauan, yaitu, salinan bayangan dibuat, praktis tidak ada pembicaraan tentang pemblokiran (kecuali untuk HTTP, SMTP dan MAPI). Ada tangkapan layar dari workstation dan beberapa fungsi lain untuk memantau aktivitas pengguna.

Disukai:antarmuka pengguna yang ramah. Semuanya dilakukan untuk kenyamanan kerja. Alat yang baik untuk melihat dan menganalisis arsip, grafik tautan telah berhasil diimplementasikan. Dari hampir semua laporan, Anda dapat pergi ke acara (kejadian) yang ditunjukkan di sana. Insiden dapat diberikan kategori (diselidiki, tidak dijelajahi, ditangguhkan). Memantau Telegram dan Viber.


Saya tidak suka: tidak adanya kunci untuk saluran jaringan. Ketidakmampuan untuk mengunci printer dan drive dilemparkan ke sesi terminal. Tidak adanya pemblokiran konten untuk seluruh rangkaian saluran "yang dicegat". Stabilitas agen yang rendah - pembekuan yang tidak dapat diprediksi dan penampilan tempat pembuangan dicatat. Pembekuan konsol yang tidak terduga bahkan saat bekerja dengan arsip.


Ringkasan: Sistem ini sangat mudah dan nyaman untuk dipasang dan dioperasikan, tetapi diarahkan untuk memantau dan bekerja dengan arsip. Ada perasaan bahwa sistemnya agak lembab, OTC kurang berkembang.

Hasil tes

Seperti disebutkan di atas, hasil tes dasar ditabulasi. Parameter yang dapat dievaluasi secara subyektif dievaluasi secara kondisional, sesuai dengan “skala lampu lalu lintas” - berdasarkan warna.

Tabel itu sendiri terlihat seperti ini (dapat diklik):




Tes stres dilakukan hanya untuk McAfee dan DeviceLock DLP. Dalam kasus lain, itu sama sekali tidak masuk akal (lihat tabel di bawah).

McAfee telah benar-benar mengatasi larangan arsip dengan file Excel.


Tes dengan intersepsi pemindaian di McAfee tidak berjalan - tidak ada OCR bawaan.

Dengan memeriksa templat - hanya berfungsi dengan kepatuhan penuh, jika dokumen diubah - sistem DLP melewatkannya.

Dengan DeviceLock DLP, semua tes berfungsi sepenuhnya. Kontrak yang diubah, intersepsi dalam skype:


Rekam pada flash drive arsip dengan file excel yang berserakan:


Kunci cetak pindaian dokumen terbalik:



Ringkasan hasil tes adalah sebagai berikut (dapat diklik):

Kesimpulan

Mengantisipasi pertanyaan pembaca - “apa yang Anda pilih pada akhirnya, karena tajuknya adalah“ pengalaman memilih ”? Sayangnya, pada saat penulisan ini, manual belum diputuskan. Kami mencoba untuk memenuhi tugas kami - kami menjalankan tes pada sejumlah sistem, mempresentasikan hasil tes kepada manajemen, dan sepanjang jalan memutuskan untuk berbagi dengan komunitas Habra.

Saya ulangi, pendapat kami adalah subyektif, berdasarkan pada kesan pribadi dan ditentukan oleh tugas, sehingga pilihan kita sendiri akan tetap tidak dipublikasikan.

Pada umumnya, set tugas selalu utama, oleh karena itu, kami menyarankan agar setiap orang yang memilih sistem DLP untuk menyelesaikan masalah mereka berjalan dengan cara kita sendiri, dan mulai dari set tugas, berurusan dengan kemampuan sistem yang diusulkan. Kami berharap tablet kami akan menjadi lembar contekan yang bermanfaat bagi Anda.

Terima kasih atas perhatian Anda!