Como escolhemos um sistema DLP (experiência prática)

Olá Habr! Há pouco tempo, surgiu uma situação bastante típica - o gerenciamento deu o comando " Escolha um sistema para proteger os dados contra vazamentos ". O principal critério de seleção é a capacidade de resolver o problema de evitar vazamentos de documentação crítica (na opinião do manual), arquivos e similares. Como se segue do gerenciamento oral da cabeça, as revistas e vários equipamentos funcionais analíticos são secundários. Citando o chefe, " para capturar invasores, podemos desligar as câmeras de vídeo, resolver o problema de forma que não lidemos com vazamentos, mas os eliminemos ". Obviamente, todos entendem que não é realista alcançar 100% de eliminação do risco de vazamentos; portanto, estamos falando em minimizar o risco de vazamento de informações.



Um pouco sobre a empresa: somos de tamanho médio - cerca de 300 estações de trabalho (algumas trabalham em turnos) e, para alguns funcionários, o acesso remoto a áreas de trabalho virtuais é organizado pelo Citrix Desktop. Como efeito colateral, foi considerada alguma conformidade com o 152FZ e a organização correspondente para proteção de dados pessoais.

Não temos relação com o estado, outros requisitos regulatórios do setor, em princípio, também não nos afetam. O preço de emissão e o processo de compras em geral são de responsabilidade da unidade competente. Conseqüentemente, o custo da solução e o tópico atual de substituição de importações não nos limitaram, e poderíamos considerar quaisquer desenvolvimentos: nacionais e estrangeiros. Nós (um pequeno departamento de SI composto por até três pessoas) não desejamos preencher vários questionários e formulários de fornecedores e integradores, por isso decidimos atualizar a memória com a verificação de fatos (em princípio, já estávamos familiarizados com o tema DLP, mas sem muita experiência prática). Isso significa - com suas próprias mãos, testar apenas os sistemas DLP, que são relativamente fáceis ("sem registro e SMS" e encaminhar a empresa ao vendedor) para obter um teste independente em seu próprio estande, ou você pode observar o trabalho de colegas de outras organizações. Importante: levando em conta que a implementação e operação adicionais serão realizadas por conta própria, queríamos testá-lo por conta própria e não nos envolver em visualizar versões demo "corretamente depuradas" "em mão" e folhetos para garantir que as funções declaradas sejam realmente implementadas e trabalhar como precisamos.

Sistemas construídos com base em aplicativos de monitoramento, capturas de tela, teclados etc. eles nem tentaram procurar - simplesmente porque não resolveram a tarefa principal, independentemente de como seus desenvolvedores se posicionaram no mercado. Refere-se a Stakhanovets e seu clone do Infovotch Person Monitor, StaffCop, TimeInformer, KickIdler e similares. Isso não significa que esses sistemas sejam ruins - eles simplesmente não resolvem a tarefa principal de “ impedir vazamentos! »Dados confidenciais, mas podem ser (possivelmente) uma boa ferramenta para outras tarefas com observação passiva.

No meio, nos familiarizamos com materiais analíticos e de análise independentes ... eles acabaram sendo escassos. Do legível - duas publicações sobre Habré ( uma e duas vezes ) e a revisão já desatualizada e muito superficial do Anti-Malware, com uma comparação separada em forma de tabela.

Nossos interesses incluem: Symantec DLP estrangeiro, Forcepoint DLP, McAfee DLP, Sophos Endpoint Protection, russo (ou, por assim dizer) russo) Solar Dozor, Zecurion DLP, InfoWatch Traffic Monitor, DeviceLock DLP, Information Security Circuit SearchInform, Falcongaze SecureTower.

Assim que uma versão nova apareceu em nossas mãos ou um convite para colegas, testes de funções e capacidades declaradas foram realmente conduzidos. Como fonte de informações adicionais, foram realizadas publicações e registros de seminários on-line de fornecedores e de seus parceiros, bem como dados da agência OBS, ou seja, a opinião de especialistas de colegas com experiência.

Vou listar imediatamente quais sistemas DLP não puderam ser vistos.

1. Solar Dozor (Solar Dozor). Bem, um sistema muito pesado. As descrições têm uma forte ênfase nos recursos analíticos. O site do desenvolvedor declarou "A arquitetura modular permite distribuir a carga e implantar o Solar Dozor em qualquer hardware antigo" e, de acordo com a documentação, é necessário alocar um servidor com 8 núcleos e 32 GB de memória. E isso é apenas para garantir o lançamento da configuração mínima, além de colocar um servidor proxy e de correio adicional ... Aparentemente, não temos hardware tão antigo :) Abandonamos esses consumidores de recursos. Embora haja rumores de que você pode executar na configuração 6 núcleos / 24 GB.
2. Symantec DLP . Desde o primeiro clique no site, um formulário é aberto com várias perguntas e não há uma sugestão de avaliação. Compre e experimente. Obrigado, embrulhe de volta.
3. Forcepoint DLP (aka
   Websense ). O site também não tem uma sugestão de avaliação, mas existe um formulário para solicitar uma demonstração para parecer "da mão" do integrador. Mais uma vez obrigado, mas não.
4. Zecurion DLP . Novamente, nem um indício de um julgamento sem prejudicar as vendas, nem a oportunidade de olhar para os colegas.
5. Digital Guardian - geralmente não é realista obter um julgamento.
6. Outra pequena lista do quadrante da Gartner, que é muito difícil de obter, e produtos "jovens" russos que ainda não sofreram uma invasão séria no mercado de massa.

Os resultados dos testes foram resumidos em uma tabela do tipo função - sistema / conformidade; Verificamos como cada DLP testado cumpre suas tarefas em uma ampla variedade de canais de vazamento de dados, que outras possibilidades existem, como ele funciona com o sistema em princípio ... O teste não é, obviamente, um piloto de pleno direito, podemos ter perdido algo, peço desculpas imediatamente por isso.

Enfatizo separadamente que a opinião descrita neste artigo é subjetiva e se baseia nas impressões pessoais dos funcionários de uma unidade, com base nos resultados de vários testes básicos e em uma revisão geral do sistema. Todas as conclusões são construídas a partir de "tentar a si mesmo" e cumprir a tarefa principal de "evitar vazamentos", que não afirmam estar completas.

Verificamos coisas simples que correspondiam diretamente à tarefa: bloquear o canal como tal para esses usuários (" isso é impossível! "); enviar uma cópia de sombra do documento interceptado para o arquivo; notificação para segurança da informação quando uma proibição é acionada.

Verificado:

• gravar em uma unidade flash;
• imprimir documentos em uma impressora (local via USB e rede);
• enviando para SMTP e MAPI;
• enviando para webmail (olhou Mail.ru, Gmail, Yandex.Mail);
• envio para redes sociais (assisti Facebook e Vkontakte);
• upload para as nuvens (parecia Yandex.Disk e Dropbox);
• envio de arquivos via formulários via HTTP;
• upload para o servidor FTP;
• mensageiros instantâneos: bate-papo, envio de arquivos, comunicação de voz ou vídeo (via Skype, Whatsapp, Telegram);
• controle na sessão do terminal (se haverá uma resposta quando o documento for retirado da área de transferência na sessão do terminal e ao gravar em um disco encaminhado de uma estação de trabalho remota para a sessão do terminal).

Após a conclusão bem-sucedida do teste básico, foi realizado um teste de estresse adicional com elementos de carga e complicações para o módulo analítico do sistema:

1. Um arquivo multinível com uma extensão modificada foi enviado através dos canais que estão sendo verificados, com um arquivo excel de tamanho gigantesco, onde o texto de destino estava oculto entre milhares de células de texto de lixo. Resposta esperada às palavras, números de telefone e endereços de email da empresa.
   
   
   
   
   
   
2. Os canais a serem digitalizados enviaram uma digitalização de impressão de documento para duas páginas digitalizadas por uma MFP de cabeça para baixo comum. Resposta esperada a números de passaporte e carteiras de motorista.
   
   
   
3. O contrato preenchido foi enviado pelos canais verificados e o modelo do contrato foi pré-alimentado ao sistema.
   
   
   

Como funções úteis adicionais (além de verificar a conformidade com o critério principal, veja acima), analisamos os recursos analíticos, trabalhando com o arquivo morto e os relatórios. Eles decidiram adiar a função de digitalizar estações de trabalho (por exemplo, como o sistema detecta um documento com dados de passaporte em uma estação de trabalho) para outra chamada, agora essa tarefa não é primária (e crítica em geral).

O banco de testes é simples, como um servidor - uma máquina virtual com 8 GB de memória alocada, como um coelho experimental - um computador típico com i5 / 2,3 GHz / 4 Gb de RAM e Windows 10 de 32 bits.

Bem, aqui estão alguns sistemas DLP que acabaram sendo gerenciados para serem visualizados e sentidos em seu estande ou em colegas, e as impressões correspondentes neles: McAfee DLP, Sophos Endpoint Protection, InfoWatch Traffic Monitor, DeviceLock DLP, DeviceLock DLP, Information Security Circuit SearchInform, Falcongaze SecureTower. Para começar, descreverei as impressões gerais e, em seguida, uma visão geral dos testes reais.

McAfee DLP

Os testes obtiveram a versão do McAfee Data Loss Prevention 10.0.100.

Quero notar imediatamente que este é um sistema muito difícil de instalar e configurar. Para instalar e usá-lo, você deve implantar o McAfee ePolicy Orchestrator como sua própria plataforma de gerenciamento. Talvez para organizações nas quais o ecossistema de soluções da McAfee esteja totalmente implementado, isso seja significativo e conveniente, mas pelo bem de um produto ... o prazer da categoria duvidoso. A situação é um pouco facilitada pelo fato de a documentação do usuário ser muito cuidadosa e descrever todo o procedimento de instalação, e o próprio instalador instala todos os componentes externos necessários. Mas por muito tempo ... Definir as regras também não é uma tarefa fácil.

Eu gostei: a capacidade de definir prioridades condicionais para as regras e depois usá-las como parâmetros para filtrar eventos no log. A filtragem em si é feita de maneira muito agradável e conveniente. A capacidade de permitir que o usuário encaminhe o arquivo quando proibido, se ele fornecer alguma explicação (justificativa para o usuário).


Não gostei: a necessidade já mencionada de instalar nossa própria plataforma de gerenciamento, que em grande parte duplica o AD. Módulo OCR embutido - não, controle de documentos digitalizados - por. Eles revelaram várias restrições, como controle de email apenas no Outlook (correspondência através do controle de agente anterior do The Bat! Flew), dependência de versões específicas do navegador, falta de controle de correspondência no Skype (apenas arquivos são interceptados).

Resumo: À primeira vista, o McAfee DLP nos pareceu uma solução muito interessante, apesar das desvantagens mencionadas acima. Foi decepcionante o fato de os assistentes para definir políticos terem desaparecido - nas versões antigas que antes eram exploradas, em nossa opinião, era mais conveniente do que no console da web atual. A principal desvantagem é que quase todo o controle é implementado através do controle de aplicativos, e não no nível do protocolo ou driver. Permite bloquear dispositivos encaminhados em um ambiente Citrix.

Sophos Endpoint Protection

Para testes, eles fizeram a versão do Sophos Endpoint Protection 10.

A solução é complexa, a base é um antivírus. Eu tive que instalar por um longo tempo. O manual nem indica os requisitos do sistema - siga-os no site. As políticas são definidas com base na lógica por computador :(

Gostou: como na McAfee, é possível permitir que o usuário encaminhe o arquivo quando proibido. Provavelmente é tudo.

Não gostei: não há dificuldade em ignorar o controle do dispositivo pelo agente - interrompa o antivírus da Sophos e ative o driver de dispositivo no Gerenciador de dispositivos - e pronto, acesso total à unidade flash proibida. De alguma forma, é complicado e obscuro a implementação e a configuração de regras de análise de conteúdo, que, como resultado, ainda não são executadas. Surpreendentemente, não há cópias de sombra. As notificações na forma de alerta por email e mensagens SNMP devem ser configuradas a partir do antivírus do mesmo desenvolvedor. A lista de dispositivos monitorados é ruim, o correio é controlado através da incorporação em clientes de correio. Controle de acesso a sites criados simplesmente como um firewall. Módulo OCR embutido - não, controle de documentos digitalizados - por. O manual do usuário é triste - você não encontra nenhum detalhe. Não há sequer uma descrição do significado de uma ou outra regra interna - seja uma verificação de dicionário ou uma expressão regular ...

Resumo: Solução malsucedida, em nossa opinião,. De fato, esse é um apêndice do antivírus e até a completa falta de capacidade de criar base de evidências em incidentes. As políticas são definidas não pelos usuários, mas pelas máquinas - isso é inaceitável. Bem, na verdade, não se esperava muito de um suplemento antivírus gratuito, mas a esperança morre por último.

Monitor de Tráfego InfoWatch

Talvez o complexo DLP mais desenvolvido em nosso mercado hoje, o que significa que mais esperávamos dele. Oportunidades apenas para aproveitar e ver - não, mas o site está repleto de beleza dos profissionais de marketing. Foi difícil testar, mas consegui obter a versão InfoWatch Traffic Monitor 6.9 Enterprise. Talvez exista uma versão mais recente - mas não sabemos sobre isso, não encontramos o mesmo marketing por trás dos quilotons. Mas as informações técnicas no site não são suficientes. Durante o teste, verificou-se que a documentação apresentava o mesmo problema - se algo não está claro, é quase impossível encontrar uma resposta no manual e não há detalhes em geral. Isso reduz significativamente a possibilidade de operação independente.

Gostei: uma interface muito alta e atenciosa, com boa estrutura. Painéis convenientes onde você pode configurar uma solicitação específica, o horário de sua atualização - e observar toda a imagem. Uma boa variedade de widgets para o console. É possível enviar uma solicitação do usuário para fornecer acesso ao dispositivo diretamente do módulo do agente. A capacidade de definir diferentes destinatários para notificações, dependendo do tipo de evento e associação do usuário na UO. Um conjunto sólido de relatórios. Boas oportunidades para trabalhar com o arquivo morto, um grande conjunto de ferramentas para analisar o conteúdo dos dados no arquivo morto é suportado. Existem capturas de tela das estações de trabalho.


Eu não gostei: na verdade, este não é um produto, mas um monte de Infowatch Traffic Monitor e Infowatch Device Monitor, e funciona em dois sistemas operacionais (Windows e Red Hat Linux), portanto, instalar e configurar para executar é complicado. Existem também dois consoles de gerenciamento. A lógica amplamente divulgada pelo desenvolvedor "verificou o conteúdo, só então o bloqueamos, não interferimos nos processos de negócios", de fato, em algum lugar pela raiz. Simplesmente não há análise do conteúdo para controlar dispositivos - o acesso aos dispositivos pode ser desativado para os usuários, existem listas brancas, mas o agente do Infowatch Device Monitor simplesmente não sabe para o que o documento está escrito na unidade flash USB. Para canais de rede, o problema é aproximadamente o mesmo - a verificação de conteúdo é implementada apenas para SMTP e HTTP. Como dizem os colegas que estão familiarizados com essa decisão, agora pelo menos há uma oportunidade de bloquear canais de rede - antes que houvesse apenas monitoramento. De fato - esse recurso é limitado a HTTP, FTP, SMTP, além de compartilhamento de arquivos e alguns mensageiros instantâneos. Repito, não há possibilidade de bloquear a transferência de dados com base na verificação de seu conteúdo, por exemplo, em mensagens instantâneas - apenas SMTP e HTTP. Isso não é ruim, mas não muito consistente com a descrição das brochuras, e isso não é suficiente para cobrir completamente os canais de vazamento. O módulo do agente é realmente implementado como uma espécie de combinação de diferentes agentes.


Resumo: em geral, a solução parece (especialmente parece) muito boa. O controle básico do dispositivo é bom; para canais de rede, o monitoramento é bom e o bloqueio é satisfatório. Nas sessões de terminal, ele permite restringir o acesso às unidades encaminhadas ou fornecer acesso somente leitura, trabalhos de cópia de sombra (para unidades flash e unidades encaminhadas ao mesmo tempo). O inconveniente é a falta de verificação de conteúdo para a maioria dos canais controlados, especialmente dispositivos - apesar de ser a lógica que está declarada nos documentos de marketing. Vamos torcer para que esse seja um tipo de roteiro e, mais cedo ou mais tarde, os desenvolvedores alcançarão os profissionais de marketing. Enquanto isso, a equipe de relações públicas é os cinco primeiros, os desenvolvedores são os três primeiros com uma vantagem. Ou vice-versa. Como olhar.

DLP DeviceLock

Para os testes, foi baixada a versão 8.3 (a última atualização lançada em dezembro de 2018), baixada do site do desenvolvedor.

Um sistema bastante restrito, apenas proteção contra vazamentos e nada mais - sem capturas de tela, controle de aplicativos ... No entanto, se você acredita nas informações dos seminários on-line do desenvolvedor, a função de controle do usuário através de capturas de tela deve aparecer em um futuro previsível. A instalação é fácil. Várias opções de controle, consoles da velha escola, para trabalhar com eles, você precisa de pelo menos alguma experiência com o administrador do sistema - tudo se torna óbvio e simples. Em geral, a impressão é muito simples de operar o sistema.

Gostei: detalhando nas configurações de controle. Não apenas o controle condicional, por exemplo, o Skype - mas o monitoramento separado, eventos, cópias de sombra, alertas, verificação de conteúdo - e o uso de componentes separados do Skype - bate-papo, arquivos, chamadas ... A lista de dispositivos monitorados e canais de rede é construída razoavelmente e muito grande. Módulo de OCR embutido. Os bloqueios de conteúdo funcionam, embora com alguma carga na estação de trabalho. Os alertas podem vir quase instantaneamente. Os agentes são completamente independentes em relação ao lado do servidor, eles podem viver suas próprias vidas pelo tempo que for necessário. A troca automática de modos foi realizada - você pode deixar um funcionário em segurança com um laptop, os políticos mudam para outras configurações. Bloqueios e monitoramento no sistema são divorciados, mesmo no nível do console - não há dificuldade para alguns canais permitirem a proibição de camaradas individuais e para outros camaradas definirem as configurações apenas para monitoramento. As regras para análise de conteúdo também parecem independentes e funcionam para proibir e vice-versa para permitir a transmissão quando o canal é fechado em princípio.


Eu não gostei: não há magos.Para configurar uma política, você deve entender imediatamente o que precisa obter, ir para a seção apropriada do console e selecionar marcas de seleção, selecionar usuários etc. Uma opção passo a passo para criar uma política se sugere. Por outro lado, você pode verificar o que realmente está definido no plano de controle. A pesquisa de arquivo é limitada à pesquisa de texto completo pelo conteúdo das cópias de sombra; não há possibilidade de pesquisar por modelo de documento ou usar dicionários. Um sistema de filtro desenvolvido ajuda mais ou menos, mas isso está longe de ser um filtro de conteúdo. Carga inevitável nas estações de trabalho ao trabalhar com regras dependentes de conteúdo (terminologia do desenvolvedor).


Resumo:O sistema é fácil de operar, funcionando claramente, com um rico arsenal de recursos especificamente para proteção contra vazamento de informações. De acordo com a observação apropriada de um dos colegas, é feita com base no “sintonizado e esquecido”. Considerando que todas as políticas são definidas por usuário, para alterar as operações disponíveis para um usuário, basta transferi-lo para outro grupo de usuários do domínio para o qual outras regras de controle estão configuradas, de controles simples a regras com análise de conteúdo. Em sessões de terminal, ele permite definir permissões para unidades encaminhadas (bloqueio ou somente leitura), para a área de transferência (tudo é bastante flexível, dependendo da direção da cópia, do tipo de dados transferidos), a cópia de sombra funciona, as trocas de conteúdo funcionam quando a gravação é encaminhada para encaminhamento unidades e ao transferir dados pela área de transferência.

Circuito de Segurança da Informação

Observamos com os colegas, então o tempo foi muito apertado. No começo, eu queria escrever "obtive a versão XXXX para os testes", mas não consegui. Só porque o CIB Searchinform não é um sistema, mas um almoço complexoum conjunto de vários sistemas praticamente independentes. Até consoles individuais para diferentes tarefas - contados até 5 peças. Os colegas dizem que havia ainda mais consoles antes ... O módulo principal neste complexo é o módulo EndpointController - versão 5.49. O restante tem sua própria numeração. A propósito, o kit de distribuição também é de vários arquivos ... Portanto, a instalação de um sistema desse tipo não é fácil - você não pode ficar sem documentação. Por sua vez, também é específico - está escrito com o princípio de "o que vejo, depois escrevo", sem explicar a lógica do trabalho. O gerenciamento se parece com isso - as políticas de interceptação são criadas em um console de gerenciamento, as configurações de indexação e índice para visualização de dados interceptados são um console separado, a visualização de dados de auditoria e sombreamento é novamente um console separado, os relatórios são novamente um console separado e assim por diante. E nas descrições de marketing no site,e na documentação a palavra "interceptação" é constantemente encontrada. Na prática, isso significa que, para quase todos os canais de vazamento de rede, apenas recebe uma cópia de sombra. Existem bloqueios para dispositivos, mas para canais da Internet você pode desativar o SMTP para todos os usuários - ou permitir. Outra opção é usar a quarentena de mensagens, implementada no agente, para SMTP. A análise do conteúdo como motivo do bloqueio é feita de maneira muito específica: o agente coloca em quarentena todas as mensagens que já são exibidas no servidor (manualmente ou usando o analisador de conteúdo) pelo administrador e, em seguida, escolhe o que enviar em seguida e o que bloquear. Imaginamos como ficaria em uma organização onde há pelo menos 5 vezes mais funcionários que o nosso ...Na prática, isso significa que, para quase todos os canais de vazamento de rede, apenas recebe uma cópia de sombra. Existem bloqueios para dispositivos, mas para canais da Internet você pode desativar o SMTP para todos os usuários - ou permitir. Outra opção é usar a quarentena de mensagens, implementada no agente, para SMTP. A análise do conteúdo como motivo do bloqueio é feita de maneira muito específica: o agente coloca em quarentena todas as mensagens que já são exibidas no servidor (manualmente ou usando o analisador de conteúdo) pelo administrador e, em seguida, escolhe o que enviar em seguida e o que bloquear. Imaginamos como ficaria em uma organização onde há pelo menos 5 vezes mais funcionários que o nosso ...Na prática, isso significa que, para quase todos os canais de vazamento de rede, apenas recebe uma cópia de sombra. Existem bloqueios para dispositivos, mas para canais da Internet você pode desativar o SMTP para todos os usuários - ou permitir. Outra opção é usar a quarentena de mensagens, implementada no agente, para SMTP. A análise do conteúdo como motivo do bloqueio é feita de maneira muito específica: o agente coloca em quarentena todas as mensagens que já são exibidas no servidor (manualmente ou usando o analisador de conteúdo) pelo administrador e, em seguida, escolhe o que enviar em seguida e o que bloquear. Imaginamos como ficaria em uma organização onde há pelo menos 5 vezes mais funcionários que o nosso ...Outra opção é usar a quarentena de mensagens, implementada no agente, para SMTP. A análise do conteúdo como motivo do bloqueio é feita de maneira muito específica: o agente envia para a quarentena todas as mensagens que já são visualizadas no servidor (manualmente ou usando o analisador de conteúdo) pelo administrador e, em seguida, escolhe o que enviar em seguida e o que bloquear. Imaginamos como ficaria em uma organização onde há pelo menos 5 vezes mais funcionários que o nosso ...Outra opção é usar a quarentena de mensagens, implementada no agente, para SMTP. A análise do conteúdo como motivo do bloqueio é feita de maneira muito específica: o agente coloca em quarentena todas as mensagens que já são exibidas no servidor (manualmente ou usando o analisador de conteúdo) pelo administrador e, em seguida, escolhe o que enviar em seguida e o que bloquear. Imaginamos como ficaria em uma organização onde há pelo menos 5 vezes mais funcionários que o nosso ...Imaginamos como ficaria em uma organização onde há pelo menos 5 vezes mais funcionários que o nosso ...Imaginamos como ficaria em uma organização onde há pelo menos 5 vezes mais funcionários que o nosso ...

Gostei: as possibilidades de trabalhar com o arquivo são poderosamente desenvolvidas. Tem tudo. Muitos critérios, ferramentas de pesquisa para dicionários, expressões regulares, impressões digitais, com a marca "pesquisar por similar" ... Existem tags para diferentes incidentes - você pode marcar já visto, por exemplo. Existe uma criptografia transparente de unidades flash.


Eu não gostei: caos na lógica do controle do sistema, um número esmagador de consoles de controle. Falta de bloqueio para canais de rede. A ausência de bloqueio de conteúdo para todo o conjunto de canais "interceptados".


Resumo: Os dispositivos de bloqueio são implementados em um nível decente, para os canais de rede - no embrião. Nas sessões do terminal, você pode definir permissões para as unidades encaminhadas (bloqueio, somente leitura), a cópia de sombra funciona para as unidades encaminhadas. Em geral, o sistema é bastante complicado de operar, concentrando-se estritamente nas investigações de incidentes - ou seja, monitorando e trabalhando com o arquivo. Para isso, talvez exista tudo o que é necessário. A proteção da organização contra vazamentos de dados claramente não está aqui, exceto para fechar dispositivos desnecessários para os usuários.

Falcongaze SecureTower

Os testes receberam a versão 6.2. Duas palavras-chave que descrevem esse sistema, se não investigar as nuances, são fáceis e convenientes. Fácil de instalar, fácil de gerenciar, fácil de visualizar relatórios, fácil de trabalhar com o arquivo morto. A documentação praticamente não é necessária. Então o foco começa novamente com a palavra "interceptação", como no CIB. A interceptação aqui é apenas para monitoramento, ou seja, é criada uma cópia de sombra, praticamente não se fala em bloqueio (exceto HTTP, SMTP e MAPI). Existem capturas de tela das estações de trabalho e algumas outras funções para monitorar a atividade do usuário.

Gostei:interface de usuário amigável. Tudo é feito para a conveniência do trabalho. Uma boa ferramenta para visualizar e analisar o arquivo, um gráfico de links foi implementado com sucesso. De quase qualquer relatório, você pode ir para o evento (incidente) indicado lá. Os incidentes podem ser atribuídos a categorias (investigadas, inexploradas, adiadas). Monitoramento de Telegram e Viber.


Eu não gostei: a ausência de bloqueios para canais de rede. A incapacidade de bloquear impressoras e unidades lançadas na sessão do terminal. A ausência de bloqueio de conteúdo para todo o conjunto de canais "interceptados". Baixa estabilidade do agente - congelamentos imprevisíveis e aparecimento de lixões foram observados. Congelamentos inesperados do console, mesmo ao trabalhar com o arquivo morto.


Resumo: O sistema é muito fácil e conveniente de instalar e operar, mas voltado para o monitoramento e o trabalho com o arquivo. Há uma sensação de que o sistema está um pouco úmido, o OTC está subdesenvolvido.

Resultados do teste

Como mencionado acima, os resultados dos testes básicos são tabulados. Os parâmetros que podem ser avaliados subjetivamente foram avaliados condicionalmente, de acordo com a “escala de semáforo” - por cor.

A tabela em si é assim (clicável):




Os testes de estresse foram realizados apenas para o McAfee e o DeviceLock DLP. Em outros casos, simplesmente não fazia sentido (veja a tabela abaixo).

A McAfee determinou corretamente a proibição do arquivo morto com o arquivo do Excel.


O teste com interceptação da varredura na McAfee não foi aprovado - não há OCR embutido.

Ao verificar os modelos - ele funciona apenas com total conformidade, se o documento for alterado - o sistema DLP o ignora.

Com o DeviceLock DLP, todos os testes funcionaram completamente. Contrato alterado, interceptação no skype:


Grave em uma unidade flash de arquivo com o arquivo excel desarrumado:


Bloqueie a digitalização invertida de impressão de documentos:



Os resultados resumidos dos testes são os seguintes (clicáveis):

Conclusões

Antecipando a pergunta dos leitores - “o que você escolheu no final, porque o título é“ experiência de escolha ”? Infelizmente, no momento desta redação, o manual ainda não havia sido decidido. Tentamos cumprir nossa tarefa - executamos testes em vários sistemas, apresentamos os resultados à gerência e, ao longo do caminho, decidimos compartilhar com a comunidade Habra.

Repito, nossa opinião é subjetiva, baseada em impressões pessoais e é determinada pela tarefa, portanto nossa própria escolha permanecerá inédita.

De um modo geral, as tarefas definidas são sempre primárias; portanto, recomendamos que todos que escolherem um sistema DLP para resolver seus problemas sigam nosso próprio caminho e, a partir das tarefas definidas, lidem com os recursos dos sistemas propostos. Esperamos que nossos tablets sejam uma dica útil para você.

Obrigado a todos pela atenção!