“伊戈尔,他有两颗心!”
信息安全集团公司DLP小组负责人Anna Popova继续分享她对使用不同DLP系统的印象。 在
上一篇文章中,她谈到了SearchInform CIB解决方案的优缺点。 今天,按照承诺,让我们谈谈InfoWatch产品线。 让我们立即决定不假装是客观的比较。
通常,很难理解关于该系统的客观意见。 客观特征是DLP系统符合客户技术要求,FSTEC要求等,以及它们与必要能力的关联。 其他一切都是主观的,因为现实是一个客户端从另一个客户端“摘下”的功能将下降。 甚至更重要的是,如果我们正在谈论分析师的操作,则无需谈论一种系统相对于另一种系统的客观优势。 有人喜欢一个界面,有人喜欢,有人不喜欢事件卸载,对于某人来说这并不重要。
InfoWatch谈到了有关DLP的很多内容。 他周围有很多副本。 意见非常多样化-从最极端到中立。 随着时间的流逝,公司和产品的发展道路漫长而棘手,要发展多个有用的功能甚至进入Gartner的“魔力象限”。 因此,让我们尝试弄清楚产品所能达到的目标,如他们所说的那样好(或坏)。
建筑(谁是谁)
首先,您需要了解我们正在使用什么。 InfoWatch Traffic Monitor软件包包含以下组件:
InfoWatch Traffic Monitor是负责网络拦截和分析(通过网络和从代理收集的)拦截数据的主要组件。 它可以在RHEL / CentOS 6上运行。他还负责呈现Web界面,这是IS人员在使用系统时的主要入口。
InfoWatch Device Monitor-此组件负责管理代理(包括代理策略)。 由Windows Server驱动。 它有一个单独的管理控制台,可以将其安装在任何Windows机器上-主要是打开了对设备监视器服务器的网络访问。
InfoWatch Crawler-一个模块,可让您扫描指定的用户目录和网络目录。 它可以在Windows Server上运行(可以安装在带有Device Monitor服务器的计算机上),但已集成到Traffic Monitor Web控制台中,并可以从中进行管理。
InfoWatch Vision是一个可选组件,可以通过可视化显着简化调查信息安全事件的过程。 以自动可调的交互式图形的形式表示来自Traffic Monitor的事件。 它运行在Windows Server上,并基于QlikSense平台。
InfoWatch Person Monitor也是一个可选模块,提供对工作时间的功能监视。 它可以在Win Server上运行,并从传说中的Stakhanovets系统中扎根。
阻止功能
由于系统具有DLP的骄傲地位(回想起来,意味着防止数据泄漏-防止数据泄漏),因此,我们首先考虑此类系统的“经典”功能-预防。 该软件包可以为我们提供什么?
即使在最小安装(流量监控器,设备监控器)中,功能也足够丰富:可以通过内容分析或媒体白名单来阻止邮件,在可移动媒体上进行记录,禁止启动应用程序,禁止FTP。 通过连接人员监控器模块,该功能得到了某种扩展:增加了清理剪贴板的功能以及禁止将文件下载到Internet的功能。
未经培训的用户可能很难先了解各种不同的管理控制台:例如,与系统一起使用时的功能之一是需要“启用” Device Monitor中的某些侦听通道。
通常,预防功能不会引发问题;可以在哪里漫游; 尽管要求最严格的客户可能不得不转向更具灵活性的竞争产品。 至于工作时间的功能核算,则在IWTM中以原始但非常方便的方式实现。
功能时间管理
DLP市场,特别是在独联体国家,今天不仅限于预防功能。 DLP系统逐渐合并了另一类产品的功能-员工工作监控系统。
所涉及的产品也不例外,也吸收了一些东西。 质量如何?
您可以使用人员监控器模块控制员工-从键盘记录器开始,以桌面视频结束,以及控制摄像头和麦克风声音。 但是,并非所有事情都如此乐观。 上面提到,该模块是著名的“ Stakhanovets”的解释。 因此,缺点是-例如,与该综合大楼的其他模块完全缺乏集成,并且只能保证五十辆汽车的“完全控制”。 数据库的保护特别令人感动-不需要加密,数据库中的数据仅以更改的编码存储。 “所以没人会猜!!”
顺便说一句,关于情感:第一次打开Web界面时,Person Monitor警告该连接未加密(即正常的http),并提供了指向手册的链接,每个人都可以通过该手册为自己配置https。 目前尚不清楚为什么没有“开箱即用”。
文本功能还具有非常有趣的语音识别功能。 这是通过Google API实现的,这对许多客户来说都是一个问题:首先,您需要将服务器连接到Internet,其次,并非每个人都同意将其机密信息传输给第三方。
当对Person Monitor收集的信息进行调查时,我们感到不舒服,因为我们习惯于处理来自所有可用渠道以及所有员工的所有可用信息。 此外,使用加密的键盘记录器数据进行的本地搜索仅具有最基本的功能-例如,存在某种形态,但无法构建有趣且复杂的文本搜索规则。 但是,在少量流量和小型公司中,每个人都可以接受。
从技术角度来看,Person Monitor包括一个从用户的工作站收集数据的代理,一个具有数据库(MSSQL)的服务器(该数据随后存储在该服务器中)和用于Windows的Apache(用于呈现系统的Web界面)。 根据用户的要求,将编译一个SQL查询,其结果以html报告页面的形式显示在用户面前。
说到大小公司,我们会平稳地转移到另一个模块-视觉。 就像是由我们的订单创建的一样-它使您可以组织Traffic Monitor截获的数据以进行可视化表示,并且还可以即时重建请求。 所有这一切都是可能的,尤其要感谢QlikSense平台,该平台可操作从Vision服务器内存中的流量监控器提取的事件。
需要在特定时间段内(例如,每晚)加载一次事件,因为上传大量数据需要很长时间。
总体印象
与其他系统一样,所考虑的系统也不是没有缺点。 不幸的是,仍然有一些“儿童疮”在早期版本中出现过(例如,Person Monitor中列出的问题); 有些解决方案存在争议-尚不清楚这是错误还是功能(断开控制台连接并使用不同的数据库存储事件)。 如果您需要强调特定功能而不是集成解决方案,建议您继续研究DLP市场。
一旦我们开始使用InfoWatch Traffic Monitor探索DLP市场,那么缺点立即引起了我的注意:
- 即使安装最少,也需要两台服务器-不同系列的系统上的流量监控器,设备监控器;
- 在最大安装时,需要在员工工作站上安装两个代理;
- 系统用户被迫使用一个控制台,而不是两个控制台(交通监控器,设备监控器,人员监控器,人员监控器,视觉设置控制台);
- 有了上述所有功能,Person Monitor就不会与其余的系统集成在一起-感觉就像您在一个单独的系统中工作。
但是,继续研究市场,我们发现了许多优点(确实,所有方面都可以比较):
- 工作的稳定性;
- 滚动的简单性和速度。 有一个Traffic Monitor的启动映像,并且按照“下一步-下一步-完成”模式安装了Windows组件。
- 系统的灵活性。 掌握了所有控制台的界面后,您可以关闭非常复杂的触发规则,当流量到达时将立即应用这些触发规则。
- 调查速度。 尽管Vision还很年轻,并且还没有为我们提供足够的功能,但它的速度和可见性弥补了这一点。 与过去的主要客户合作时,他将在战斗系统中对我们非常有用。
在准备这篇文章时,我们采访了我们的从业分析师,他们对InfoWatch的DLP系统印象深刻。 总结以上所有内容,我们重点介绍了一些利弊。
缺点:
- 控制台不一致;
- 非功能性的访问控制(例如,但并非总是可以根据需要进行配置,例如仪表板);
- 其中一个模块通常收集内核无法分析的信息;
- 使用了两个代理,两个都包含一些功能;
- 数据需要在数据库之间进行提炼;
- 即使以最小的实现,也无法将全部功能集成在一台服务器中;
- PM的逻辑(不是对事件进行操作,而是对报告进行操作)不允许将其舒适地用于整个覆盖区域,而只能“按需”使用。
优点:
- 必要时愿意实施功能;
- 易于安装(kickstart);
- 可扩展性
- 看到很多东西,了解很多东西-大量的渠道选择,处理移动流量,大量的检测敏感数据的方法;
- 相对快速的搜索和便捷的预览器,可以突出显示不同颜色的各种对象;
- 保护技术和对象的详细说明;
- 自动危险程度检测,人员卸货等;
- 人们非常重视所收集信息的可视化。 市场上最好的解决方案之一。
在缺点中-是的,a,这是多重和声,并不总是将它们之间的功能逻辑分离。 这不仅不方便,而且在需要收集调查的证据库以及不同数据库中的数据时完全无效,并且无法使用系统本身将它们转换为一种形式。 分析人员或保安人员的许多不必要的手工工作。
我们很高兴供应商希望为潜在客户(即 没有约束性的合同关系。 这是一个绝对真实的例子:六个月后,我们在一个客户中讨论了我们在试用版上宣布的一系列改进之后,我们在实现的功能中看到了这些改进,这非常令人愉快。
此外,IW是关注这些问题的少数供应商之一,没有打上标签-您为什么需要它,您是第一个询问它的公司,等等。 (Sasha Klevtsov,我们给您一个单独的问候和最良好的祝愿:))。
最重要的是,我们拥有一个相当平衡的系统,可以满足最无聊的客户的大多数需求,并且没有过多的系统需求。 InfoWatch始终如一地“抽取”其复杂的内容,并添加了新的出色功能。 剩下的只是仔细地将它们缝在一起:)。
信息安全集团公司DLP部门负责人Anna Popova
信息安全集团公司DLP部门的工程支持小组负责人Nikita Shevchenko