"Igor, ele tem dois corações !!!"
Anna Popova, chefe do DLP Group do Infosecurity Group of Companies, continua compartilhando suas impressões sobre o uso de diferentes sistemas DLP. Em um
artigo anterior, ela falou sobre os prós e contras da solução SearchInform CIB. Hoje, como prometido, vamos falar sobre a linha de produtos InfoWatch. Apenas vamos decidir imediatamente que não pretendemos ser uma comparação objetiva.
Em geral, é difícil entender o que é uma opinião objetiva sobre o sistema. As características objetivas são a conformidade do sistema DLP com os requisitos técnicos do cliente, os requisitos do FSTEC, etc., bem como sua correlação com as capacidades necessárias. Todo o resto é subjetivo, porque a realidade é que a funcionalidade que um cliente "decolou" do outro cairá. E mais ainda, não há necessidade de falar sobre a superioridade objetiva de um sistema em detrimento de outro, se estivermos falando sobre sua operação por analistas. Alguém gosta de uma interface, outra pessoa, alguém não gosta de descarregar eventos, para alguém que não é importante.
O InfoWatch diz muito sobre o DLP; muitas cópias estão quebradas em torno dele. As opiniões são muito diversas - do mais polar ao neutro. Com o tempo, a empresa e o produto tiveram um longo e espinhoso caminho de desenvolvimento, para desenvolver mais de uma função útil e até entrar no "quadrante mágico" do Gartner. Então, vamos tentar descobrir o que o produto conseguiu alcançar, seja tão bom (ou ruim), como eles dizem.
Arquitetura (quem é quem)
Primeiro de tudo, você precisa entender com o que estamos trabalhando. O pacote de software InfoWatch Traffic Monitor consiste nos seguintes componentes:
O InfoWatch Traffic Monitor é o principal componente responsável pela interceptação de rede e análise de dados interceptados (coletados pela rede e pelos agentes). Ele funciona no RHEL / CentOS 6. Ele também é responsável por renderizar a interface da web, que é o principal ponto de entrada do oficial de SI ao trabalhar com o sistema.
InfoWatch Device Monitor - este componente é responsável pelo gerenciamento de agentes (incluindo políticas de agente). Desenvolvido por Windows Server. Ele possui um console de gerenciamento separado que pode ser instalado em qualquer máquina Windows - o principal é que o acesso à rede do servidor do Monitor de dispositivos está aberto.
InfoWatch Crawler - um módulo que permite verificar os diretórios de usuário e diretórios de rede especificados. Ele funciona no Windows Server (pode ser instalado em uma máquina com um servidor do Monitor de dispositivo), mas é integrado ao console da web do Traffic Monitor e gerenciado a partir daí.
O InfoWatch Vision é um componente opcional que pode simplificar significativamente o processo de investigação de incidentes de segurança da informação através da visualização. Representa eventos do Traffic Monitor na forma de gráficos interativos ajustáveis automaticamente. É executado no Windows Server e é baseado na plataforma QlikSense.
O InfoWatch Person Monitor também é um módulo opcional que fornece monitoramento funcional do horário de trabalho. Ele funciona no Win Server, tem suas raízes no lendário sistema Stakhanovets.
Funcionalidade de bloqueio
Como o sistema tem o status orgulhoso de DLP (que, lembre-se, significa Prevenção de vazamento de dados - prevenção de vazamento de dados), em primeiro lugar, consideramos a funcionalidade "clássica" de tais sistemas - prevenção. O que esse pacote de software pode nos oferecer?
Mesmo em uma instalação mínima (Traffic Monitor, Device Monitor), a funcionalidade é rica o suficiente: o correio pode ser bloqueado, a gravação em mídia removível pode ser evitada pelos resultados da análise de conteúdo ou listas brancas de mídia, o lançamento de aplicativos é proibido, o FTP é proibido. Com a conexão do módulo Monitor da Pessoa, a funcionalidade é um pouco expandida: a capacidade de limpar a área de transferência e a proibição de baixar arquivos para a Internet são adicionadas.
Seria difícil para um usuário não treinado entender primeiro toda a variedade de diferentes consoles de gerenciamento: por exemplo, um dos recursos ao trabalhar com o sistema é a necessidade de "ativar" alguns canais de interceptação no Monitor de dispositivos.
Em geral, a funcionalidade de prevenção não levanta questões: há onde andar; embora os clientes mais exigentes provavelmente precisem recorrer a produtos concorrentes mais flexíveis. Quanto à contabilidade funcional do horário de trabalho, em IWTM, ela é implementada de maneira original, mas bastante conveniente.
Gerenciamento de tempo funcional
O mercado de DLP, especialmente nos países da CEI, hoje não se limita apenas à funcionalidade de prevenção. Os sistemas DLP incorporam gradualmente a funcionalidade de outra classe de produtos - sistemas de monitoramento de trabalho dos funcionários.
O produto em questão não foi exceção e também absorveu algo. Quão alta qualidade?
Você pode controlar os funcionários usando o módulo Monitor de Pessoa - começando com o keylogger e terminando com o vídeo da área de trabalho, além de controlar a webcam e o som do microfone. No entanto, nem tudo é tão róseo. É mencionado acima que este módulo é uma interpretação dos aclamados "Stakhanovets". Daí as desvantagens - por exemplo, a absoluta falta de integração com outros módulos do complexo e a cobertura garantida do “controle total” de apenas cinquenta carros. A proteção do banco de dados foi especialmente tocante - a criptografia não é necessária, os dados no banco de dados são armazenados apenas em uma codificação alterada. "Para que ninguém pudesse adivinhar! .."
A propósito, em relação à emoção: quando você abre a interface da Web pela primeira vez, o Person Monitor avisa que a conexão não está criptografada (http normal, ou seja) e oferece um link para um manual pelo qual todos podem configurar https para si. Por que isso não foi feito "fora da caixa" não está claro.
Há também um reconhecimento de voz muito interessante para a função de texto. Isso é implementado através da API do Google, o que será um problema para muitos clientes: primeiro, você precisa conectar o servidor à Internet e, segundo, nem todos concordam em transferir suas informações confidenciais para terceiros.
Ao conduzir investigações sobre as informações coletadas pelo Person Monitor, ficamos desconfortáveis porque estávamos acostumados a trabalhar com todas as informações disponíveis de todos os canais disponíveis e com todos os funcionários. Além disso, uma pesquisa local usando os dados do keylogger criptografado possui apenas a funcionalidade mais básica - por exemplo, existe uma morfologia, mas não será possível criar regras de pesquisa de texto interessantes e complexas. No entanto, em pequenos volumes de tráfego e em pequenas empresas, todos podem conviver com isso.
Do ponto de vista técnico, o Person Monitor consiste em um agente que coleta dados da estação de trabalho do usuário, um servidor com um banco de dados (MSSQL), onde esses dados são armazenados, e o Apache for Windows, que processa a interface da web do sistema. A pedido do usuário, uma consulta SQL é compilada e seu resultado aparece diante do usuário na forma de uma página de relatório html.
Falando em pequenas e grandes empresas, passamos sem problemas para outro módulo - Visão. Era como se tivesse sido criado por nosso pedido - permite organizar os dados interceptados pelo Traffic Monitor para representação visual e, além disso, possibilita a reconstrução de pedidos em tempo real. Tudo isso é possível, graças à plataforma QlikSense, que opera eventos retirados do Traffic Monitor na memória do servidor Vision.
Os eventos precisam ser carregados uma vez em um determinado período de tempo - por exemplo, todas as noites, pois o upload de grandes quantidades de dados leva muito tempo.
Impressão geral
O sistema em consideração, como qualquer outro, não apresenta desvantagens. Infelizmente, ainda existem algumas “feridas infantis” que se estendem desde as versões anteriores (por exemplo, os problemas listados no Person Monitor); algumas soluções parecem controversas - nem sempre é claro se é um bug ou um recurso (consoles desconectados e uso de bancos de dados diferentes para armazenar eventos). Se você precisar enfatizar uma funcionalidade específica, em vez de uma solução integrada, é recomendável continuar estudando o mercado de DLP.
Depois que começamos a explorar o mercado DLP com o InfoWatch Traffic Monitor, os contras imediatamente chamaram minha atenção:
- mesmo com instalação mínima, são necessários dois servidores - Traffic Monitor, Device Monitor - em sistemas de famílias diferentes;
- na instalação máxima, é necessária a instalação de dois agentes na estação de trabalho do funcionário;
- o usuário do sistema é forçado a usar não um console, mas de dois a cinco (Monitor de tráfego, Monitor de dispositivo, Monitor de pessoa, Monitor de pessoa, console de configurações do Vision);
- com todas as opções acima, simplesmente não há integração do Person Monitor com o restante do complexo - a sensação de que você está trabalhando em um sistema separado.
No entanto, continuando a estudar mais o mercado, encontramos muitas vantagens (na verdade, tudo é conhecido em comparação):
- estabilidade do trabalho;
- simplicidade e velocidade de rolamento. Há uma imagem de kickstart do Traffic Monitor e os componentes do Windows são instalados de acordo com o padrão “Próximo - Próximo - Concluído”;
- flexibilidade do sistema. Tendo dominado a interface de todos os consoles, você pode criar regras de acionamento bastante complexas que serão aplicadas imediatamente quando o tráfego chegar;
- velocidade da investigação. Apesar de a Vision ainda ser jovem e não ter ganho funções suficientes para nós, sua velocidade e visibilidade compensam isso. Ao trabalhar com grandes clientes anteriores, ele seria muito útil para nós como parte do sistema de combate.
Ao preparar o artigo, entrevistamos nossos colegas analistas praticantes sobre como eles ficaram impressionados com o sistema DLP da InfoWatch. Resumindo tudo o que foi dito, destacamos vários prós e contras.
Contras:
- inconsistência de consoles;
- controle de acesso não funcional (como existe, mas nem sempre é possível configurar como você deseja - por exemplo, um painel);
- um dos módulos geralmente coleta informações que o kernel não pode analisar;
- dois agentes são usados, algumas funções estão incluídas em ambos;
- os dados precisam ser destilados entre bancos de dados;
- é impossível colocar a funcionalidade completa em um servidor, mesmo na implementação mínima;
- a lógica do PM (operando não com eventos, mas com relatórios) não permite que ele seja utilizado confortavelmente em toda a área de cobertura, mas exclusivamente "em sentido horário".
Prós:
- vontade de implementar funcionalidade, se necessário;
- facilidade de instalação (kickstart);
- escalabilidade
- vê muito, entende muito - uma grande variedade de canais, trabalha com tráfego móvel, uma grande variedade de métodos para detectar dados confidenciais;
- pesquisa relativamente rápida e visualizador conveniente com destaque de vários objetos em cores diferentes;
- descrição detalhada das tecnologias e objetos de proteção;
- detecção automática de criticidade, descarga de um oficial, etc.;
- É dada muita atenção à visualização das informações coletadas. Uma das melhores soluções do mercado.
Dos pontos negativos - sim, infelizmente, isso é consonância múltipla e nem sempre é uma separação lógica de funcionalidade entre eles. Isso não é apenas inconveniente, mas também completamente ineficaz quando é necessário coletar a base de evidências para a investigação e os dados em diferentes bancos de dados, e é impossível trazê-los para um formulário usando o próprio sistema. Muito trabalho manual desnecessário do analista ou segurança.
Ficamos satisfeitos com o desejo do fornecedor de implementar melhorias para clientes em potencial, ou seja, sem vínculos contratuais vinculativos. Este é um exemplo absolutamente real: seis meses depois de discutirmos várias melhorias que anunciamos no piloto em um dos clientes, vimos na funcionalidade implementada, o que foi extremamente agradável.
Além disso, a IW é um dos poucos fornecedores que está atento à discussão de tais problemas, não chuta a etiqueta - por que você precisa, você é o primeiro a perguntar sobre isso etc. (Sasha Klevtsov, damos-lhe um olá em separado e os melhores votos :)).
No final das contas, temos um sistema bastante equilibrado que cobre a maioria dos requisitos dos clientes mais chatos e não possui requisitos de sistema excessivos. O InfoWatch "bombeia" consistentemente seu complexo, adicionando novos recursos interessantes. Resta apenas costurá-los cuidadosamente :).
Anna Popova, Chefe do DLP Block, Infosecurity Group of Companies
Nikita Shevchenko, chefe do grupo de suporte de engenharia do DLP Block, Infosecurity Group of Companies