哈Ha! 不久之前,出现了一种非常典型的情况-管理人员发出了“
选择一个用于保护数据以防泄漏的系统 ”命令。 主要的选择标准是解决以下问题的能力:防止关键(在手册看来)重要的文档,文件等泄漏。 从头部的口腔管理来看,杂志和各种分析功能设备是次要的。 老板说:“
为了捉住入侵者,我们可以挂起摄像机,以不处理泄漏的方式解决问题,而消除泄漏 。” 当然,每个人都知道要100%消除泄漏风险是不现实的,因此,我们正在谈论将信息泄漏的风险降至最低。
关于公司的一点信息:我们是中型企业-大约300个工作站(一些轮班工作),另外一些员工通过Citrix Desktop组织了对虚拟工作区的远程访问。 副作用是,考虑了152FZ和相应组织对个人数据保护的某些合规性。
我们与国家没有关系,其他行业监管要求原则上也不会影响我们。 发行价格和采购流程通常是主管部门的业务。 因此,解决方案的成本和当前的进口替代主题并没有限制我们,我们可以考虑国内外的任何发展。 我们(一个由最多3人组成的小型IS部门)不想填写供应商和集成商提供的各种调查问卷和表格,因此我们决定通过事实检查来刷新记忆(原则上,我们已经熟悉DLP主题,但没有太多实践经验)。 这意味着-用自己的双手只测试那些DLP系统,这些DLP系统相对容易(“无需注册和SMS”并向卖方闪现公司信息)就可以在自己的展台上进行独立测试,或者您可以查看其他组织的同事的工作。 重要提示:考虑到将进一步执行和操作,我们希望自己对它进行测试,而不是亲自查看“经过适当调试”的演示版本和手册,以确保声明的功能得到了真正的实现和根据需要工作。
基于监视应用程序,屏幕截图,键盘等构建的系统。 他们甚至没有尝试看-仅仅是因为他们没有解决关键任务,无论开发人员如何将自己定位在市场上。 这是指Stakhanovets及其从Infovotch Person Monitor,StaffCop,TimeInformer,KickIdler等中克隆的副本。 这并不意味着这些系统是坏的-它们只是不能解决“
防止泄漏! »机密数据,但是(可能)是被动观察其他任务的良好工具。
在这之间,我们熟悉了独立的分析和评论材料……事实证明它们是稀疏的。 从可读的一本书到Habré的两本出版物(
一 两次 ),以及关于反恶意软件的已经过时且非常肤浅的
评论 ,并以表格形式进行单独
比较 。
我们的兴趣包括:国外Symantec DLP,Forcepoint DLP,McAfee DLP,Sophos Endpoint Protection,俄语(或俄语)Solar Dozor,Zecurion DLP,InfoWatch Traffic Monitor,DeviceLock DLP,信息安全电路SearchInform,Falcongaze SecureTower。
一旦出现新版本或对同事发出邀请,实际上就对声明的功能进行了测试。 供应商及其合作伙伴网络研讨会的出版物和记录以及OBS机构提供的数据(即具有经验的同事的专家意见)被用作补充信息的来源。
我将立即列出看不到的DLP系统。
- 太阳能Dozor(Solar Dozor)。 好吧,一个非常重的系统。 这些说明特别强调分析能力。 开发人员的网站指出:“模块化体系结构允许您分配负载并在任何旧硬件上部署Solar Dozor”,并且根据文档,您需要分配具有8核和32 GB内存的服务器。 而这仅仅是为了确保启动最低配置,并添加额外的代理和邮件服务器...显然,我们没有这么老的硬件:)我们放弃了这种资源使用者。 尽管有传言说您可以在6核/ 24 GB的配置上运行。
- 赛门铁克DLP 。 从站点的第一次单击开始,将打开一个包含一堆问题的表单,并且没有任何尝试的提示。 购买并尝试。 谢谢,把它包起来。
- Forcepoint DLP (又名
Websense )。 该站点也没有进行试用的提示,但是有一种表格可以要求进行演示,以便从集成商的手中“看”。 再次感谢,但不。 - Zecurion DLP 。 再次强调,没有暗示不拖延销售的尝试,也没有机会与同事见面。
- Digital Guardian-进行审判通常是不现实的。
- 来自Gartner象限的又一小清单,这些清单太难获得了,而“年轻”的俄罗斯产品尚未在大众市场上受到严重的冲击。
测试结果总结在类型功能表-系统/合规性中;结果证明了很多。 我们检查了每个经过测试的DLP如何在广泛的数据泄漏通道上完成其任务,还有其他可能性,它在系统上的原理如何...当然,该测试不是成熟的飞行员,我们可能会错过一些东西,对此我深表歉意。
我单独强调,本文中描述的观点是主观的,并且基于一个部门的员工的个人印象,该印象是基于几个基本测试的结果以及对该系统的总体审查而得出的。 所有结论都是基于“尝试一下自己”并完成“防止泄漏”的主要任务而得出的,它们并不声称是完整的。
我们检查了与任务直接对应的简单内容:阻塞这些用户的频道(“
这是不可能的! ”); 将截获的文档的卷影副本发送到存档; 禁令触发时的信息安全通知。
已检查:
- 记录在闪存驱动器上;
- 在打印机上打印文档(通过USB和网络在本地);
- 发送到SMTP和MAPI;
- 发送到webmail(看起来像Mail.ru,Gmail,Yandex.Mail);
- 发送到社交网络(观看过Facebook和Vkontakte);
- 上传到云端(看起来像Yandex.Disk和Dropbox);
- 通过HTTP通过表单发送文件;
- 上传到FTP服务器;
- 即时通讯工具:聊天,文件发送,语音或视频通讯(已观看Skype,Whatsapp,Telegram);
- 终端会话中的控制(将文档从终端会话中的剪贴板中拉出以及写入从远程工作站转发到终端会话的磁盘时,是否会有响应)。
成功完成基本测试后,对系统的分析模块进行了附加的压力测试,其中包括负载元素和复杂性:
- 通过检查的通道发送了具有修改后的扩展名的多级归档,其中包含一个巨大的excel文件,其中目标文本隐藏在数千个垃圾文本单元中。 对公司给定的单词,电话号码和电子邮件地址的预期响应。
- 要扫描的通道将文档打印扫描发送到普通的上下翻转MFP扫描的两页。 对护照号码和驾驶执照的预期答复。
- 通过检查的通道发送已填写的合同,并且合同模板已预送入系统。
作为其他有用的功能(除了检查是否符合主要标准外,请参见上文),我们研究了分析功能,使用归档和报告的功能。 他们决定推迟扫描工作站的功能(例如,系统如何在工作站上检测带有护照数据的文件),因为此任务不是主要任务(并且通常很关键)。
测试平台非常简单:服务器,分配了8 GB内存的虚拟机,实验兔子,具有i5 / 2.3 GHz / 4 Gb RAM和32位Windows 10的典型计算机。
嗯,以下是一些DLP系统,最终可以在您的展位或同事身上观察和感觉到它们,并给它们带来相应的印象:McAfee DLP,Sophos Endpoint Protection,InfoWatch Traffic Monitor,DeviceLock DLP,信息安全电路SearchInform,Falcongaze SecureTower。 首先,我将描述总体印象,然后概述实际测试。
迈克菲DLP
测试获得了McAfee Data Loss Prevention 10.0.100的版本。
我想马上指出,这是一个非常难以安装和配置的系统。 要安装和使用它,必须首先将McAfee ePolicy Orchestrator部署为自己的管理平台。 也许对于已完全实施McAfee解决方案生态系统的组织而言,这将是有意义且方便的,但是出于一种产品的考虑……从可疑类别中获得乐趣。 用户文档非常周到并描述了整个安装过程,并且安装程序本身安装了所需的所有外部组件,这在某种程度上促进了这种情况。 但是很长一段时间...制定规则也不是一件容易的事。
我喜欢它:可以为规则设置条件优先级,然后将这些优先级用作过滤日志中事件的参数的功能。 过滤本身非常好且方便。 允许用户在禁止时转发文件的功能(如果提供了某些说明(用户合理性))。
我不喜欢它:前面已经提到需要安装我们自己的管理平台,该平台在很大程度上复制了广告。 内置OCR模块-不,控制扫描文档-通过。 他们发现了许多限制,例如仅在Outlook中控制邮件(通过The Bat!Flew通过代理控制进行通信),对特定浏览器版本的依赖,在Skype中缺乏对通信的控制(仅截获文件)。
简介:乍一看,尽管存在上述缺点,但McAfee DLP在我们看来还是一个非常有趣的解决方案。 令人失望的是,设置政治家的向导不见了-在曾经探索过的旧版本中,我们认为它比当前的Web控制台更方便。 关键缺点是几乎所有控制都是通过应用程序控制实现的,而不是在协议或驱动程序级别上实现的。 允许您在Citrix环境中阻止转发的设备。
Sophos端点防护
为了进行测试,他们采用了Sophos Endpoint Protection 10版本。
解决方案很复杂,基础是防病毒。 我必须安装很长时间。 该手册甚至没有指出系统要求-请按照网站要求进行操作。 策略是根据每台计算机的逻辑设置的:(
喜欢:与McAfee中一样,可以在禁止时允许用户转发文件。 仅此而已。
我不喜欢它:绕过代理对设备的控制没有困难-从Sophos停止防病毒,然后在设备管理器中打开设备驱动程序-瞧,可以完全访问被禁止的闪存驱动器。 内容分析规则的实施和配置有些复杂而晦涩,因此实际上仍然没有执行。 令人惊讶的是,没有卷影副本。 必须从同一开发人员的防病毒配置电子邮件警报和SNMP消息形式的通知。 受监视的设备列表很差,通过嵌入邮件客户端来控制邮件。 对像防火墙一样的站点的访问控制。 内置OCR模块-不,控制扫描文档-通过。 用户手册让人很难过-您无法在其中找到任何详细信息。 甚至没有描述一个或另一个内置规则的含义-无论是字典检查还是正则表达式...
摘要:我们认为解决方案不成功。 实际上,这是防病毒软件的附属,甚至完全缺乏基于事件创建证据的能力。 策略不是由用户设置的,而是由机器设置的-这是不可接受的。 好吧,实际上,免费防病毒补充软件并没有带来很多希望,但是希望死了。
InfoWatch交通监控器
也许是当今市场上最发达的DLP复合体,这意味着我们最期待它。 机会来看看-不,但是该网站充满了营销商的美。 很难测试,但是我设法获得了InfoWatch Traffic Monitor 6.9企业版。 也许有一个更新的版本-但我们对此并不了解,我们没有找到千里之外的相同营销方式。 但是该网站上的技术信息还不够。 在测试过程中,发现文档存在相同的问题-如果不清楚,几乎不可能在手册中找到答案,并且总体上也没有详细信息。 这大大降低了独立运行的可能性。
喜欢:高质量,周到的界面,结构良好。 方便的仪表板,您可以在其中配置特定请求,更新时间-然后观察整个情况。 控制台的各种小部件。 可以直接从代理模块发送用户请求以提供对设备的访问。 可以根据OU中事件的类型和用户成员身份为通知设置不同的收件人。 可靠的报告集。 支持使用存档的好机会,支持用于分析存档中数据内容的大量工具。 有工作站的屏幕截图。
我不喜欢它:实际上,这不是一个产品,而是一堆Infowatch Traffic Monitor和Infowatch Device Monitor,它可以在两个操作系统(Windows和Red Hat Linux)上运行,因此安装和配置运行很复杂。 还有两个管理控制台。 实际上,开发人员广泛宣传的逻辑是“检查内容,然后阻止它,我们不干扰业务流程”,实际上是在萌芽状态。 根本没有分析用于控制设备的内容-可以禁止用户访问设备,有白名单,但是Infowatch Device Monitor代理根本不知道将文件写入USB闪存驱动器。 对于网络通道,问题大致相同-仅针对SMTP和HTTP实施内容检查。 正如长期熟悉该决定的同事所说,至少在监视之前,现在至少有机会阻塞网络通道。 实际上-此功能仅限于HTTP,FTP,SMTP,文件共享和某些即时通讯程序。 我再说一遍,不可能基于检查即时通讯程序中的内容来阻止数据传输,例如SMTP和HTTP。 这还不错,但与手册中的描述不一致,不足以完全覆盖泄漏通道。 代理模块实际上是作为一种不同代理的组合来实现的。
简介:通常,该解决方案看起来(尤其是外观)非常好。 基本设备控制良好;对于网络通道,监视良好且阻止令人满意。 在终端会话中,它允许您限制对转发驱动器的访问,或者提供只读访问,卷影复制功能(同时用于闪存驱动器和转发驱动器)。 令人不安的是,大多数营销渠道(尤其是设备)都缺乏内容验证功能,尽管市场营销文件明确声明了逻辑。 我们希望这是一种路线图,开发人员迟早会赶上营销人员。 同时,公关团队是前五名,开发人员是前三名(加分)。 反之亦然。 怎么看
DeviceLock DLP
为了进行测试,从开发人员的网站下载了版本8.3(2018年12月发布的最新更新)。
一个相当狭窄的专业系统,仅提供泄漏保护,仅此而已-没有屏幕截图,没有应用程序控制...但是,如果您相信来自开发人员的网络研讨会的信息,那么通过屏幕截图的用户控制功能应该会在可预见的将来出现。 安装容易。 要使用一堆控制选项(老式控制台),至少需要一些系统管理员经验,然后一切都会变得显而易见和简单。 通常,印象是操作系统非常简单。
喜欢:控制设置中的细节。 不只是条件控制(例如Skype)-而是单独的监视,事件,卷影副本,警报,内容检查-以及使用单独的Skype组件-聊天,文件,呼叫...被监视的设备和网络通道的列表是合理构建的,并且非常庞大。 内置OCR模块。 内容锁确实可以工作,尽管工作站负载一定。 警报几乎可以立即发出。 代理相对于服务器端是完全独立的,他们可以按照要求生活。 模式的自动切换已完成-您可以放心地用笔记本电脑放开员工,政客会将自己切换到其他设置。 即使在控制台级别,系统中的锁定和监视也可以脱离使用-对于某些通道而言,启用单个同志的禁令并不困难,而对于其他同志来说,仅设置监视设置是没有困难的。 原则上,用于分析内容的规则看起来也很独立,并且在禁止关闭通道时都可以禁止传输,反之亦然。
我不喜欢它:没有向导。
要配置任何策略,您必须立即了解您需要获得的内容,转到控制台的相应部分并戳号,选择用户等。创建策略的分步选项会提示自己。另一方面,您可以检查控制计划中实际设置的内容。存档搜索仅限于通过卷影副本的内容进行全文搜索;无法通过文档模板或字典进行搜索。一个发达的过滤器系统或多或少地提供了帮助,但是这些与内容过滤器相去甚远。使用依赖于内容的规则(开发人员术语)时,工作站上不可避免的负载。总结:该系统易于操作,运行清晰,具有丰富的功能,专门用于防止信息泄漏。根据一位同事的恰当评论,它是基于“被遗忘”的。考虑到所有策略都是按用户设置的,要更改用户的可用操作,只需将其转移到配置了其他控制规则的域的另一个用户组中,从简单控件到带有内容分析的规则。在终端会话中,它允许您设置转发驱动器的权限(锁定或只读),剪贴板(一切都非常灵活,具体取决于复制方向,传输的数据类型),卷影复制有效,写入转发时对内容进行锁定驱动器以及通过剪贴板传输数据时。SearchInform信息安全电路
我们和同事一起看,所以时间很紧。一开始我想写“我的测试版本为XXXX”,但我没有。仅仅因为CIB Searchinform不是一个系统,而是一个复杂的午餐一组几个实际上独立的系统。多达用于不同任务的单个控制台-多达5个。同事们说,以前还有更多的控制台……这个复杂系统中的关键模块是EndpointController模块-版本5.49。其余的都有自己的编号。顺便说一句,分发工具包也来自大量档案...因此,安装这样的系统并不容易-如果没有文档,您将无法做到。反过来,它也是特定的-它是按照“先看见后看见,然后写下”的原则编写的,而没有解释工作的逻辑。管理看起来像这样-拦截策略是在一个管理控制台中创建的,用于查看拦截数据的索引和索引设置是一个单独的控制台,查看审核和影子数据也是一个单独的控制台,报告又是一个单独的控制台,依此类推。在网站上的营销说明中,并且在文档中经常发现“拦截”一词。实际上,这意味着对于几乎所有网络泄漏通道,仅接收卷影副本。有用于设备的锁,但对于Internet通道,您可以为所有用户禁用SMTP或允许它。另一种选择是使用在代理上实现的SMTP邮件隔离。内容分析是阻止原因的非常具体的说明:代理将管理员已经在服务器上查看过的所有消息(手动或使用内容分析器)发送给隔离区,然后由他选择下一步发送什么以及阻止什么。我们设想在一个组织中员工人数至少比我们多5倍的组织中会是什么样子...实际上,这意味着对于几乎所有网络泄漏通道,仅接收卷影副本。有用于设备的锁,但对于Internet通道,您可以为所有用户禁用SMTP或允许它。另一种选择是使用在代理上实现的SMTP邮件隔离。内容分析是阻止原因的非常具体的说明:代理将管理员已经在服务器上查看过的所有消息(手动或使用内容分析器)发送给隔离区,然后由他选择下一步发送什么以及阻止什么。我们设想在一个组织中员工人数至少比我们多5倍的组织中会是什么样子...实际上,这意味着对于几乎所有网络泄漏通道,仅接收卷影副本。有用于设备的锁,但对于Internet通道,您可以为所有用户禁用SMTP或允许它。另一种选择是使用在代理上实现的SMTP邮件隔离。内容分析是阻止原因的非常具体的说明:代理将管理员已经在服务器上查看过的所有消息(手动或使用内容分析器)发送给隔离区,然后由他选择下一步发送什么以及阻止什么。我们设想在一个组织中员工人数至少比我们多5倍的组织中会是什么样子...另一种选择是使用在代理上实现的SMTP邮件隔离。内容分析是阻止原因的非常具体的说明:代理将管理员已经在服务器上查看过的所有消息(手动或使用内容分析器)发送给隔离区,然后由他选择下一步发送什么以及阻止什么。我们设想在一个组织中员工人数至少比我们多5倍的组织中会是什么样子...另一种选择是使用在代理上实现的SMTP邮件隔离。内容分析是阻止原因的非常具体的说明:代理将管理员已经在服务器上查看过的所有消息(手动或使用内容分析器)发送给隔离区,然后由他选择下一步发送什么以及阻止什么。我们设想在一个组织中员工人数至少比我们多5倍的组织中会是什么样子...我们设想在一个组织中员工人数至少比我们多5倍的组织中会是什么样子...我们设想在一个组织中员工人数至少比我们多5倍的组织中会是什么样子...我喜欢它:强大地开发了使用存档的可能性。一切都有。许多标准,字典搜索工具,正则表达式,指纹,带有商标的“搜索类似”……有针对不同事件的标记-例如,您可以标记已查看的事件。闪存驱动器有透明加密。我不喜欢它:系统控制逻辑混乱,大量的控制台。缺少对网络通道的阻止。对于整个“拦截”频道集,没有内容阻塞。简介:阻塞设备是在体面的水平上针对网络通道实现的-处于萌芽状态。在终端会话中,您可以设置转发驱动器的权限(锁定,只读),卷影复制适用于转发驱动器。一般而言,该系统的操作非常复杂,严格关注事件调查-即监视和处理存档。为此,也许就需要所有这些。除了关闭用户不必要的设备外,保护组织免受数据泄漏的保护显然不是这里。猎鹰安全塔
测试版本为6.2。描述该系统的两个关键字,如果不细致入微,则非常简单,方便。易于安装,易于管理,方便查看报告,方便使用存档。实际上不需要文档。然后,焦点再次从“拦截”一词开始,就像在CIB中一样。这里的拦截只是为了监视,即创建了卷影副本,实际上没有谈论阻塞(HTTP,SMTP和MAPI除外)。有工作站的屏幕截图和其他一些用于监视用户活动的功能。喜欢:友好的用户界面。一切都是为了方便工作。作为查看和分析档案的好工具,链接图已成功实现。从几乎所有报告中,您都可以转到此处指示的事件(事件)。可以为事件分配类别(已调查,未探索,推迟)。监视电报和Viber。我不喜欢它:网络通道没有锁。无法锁定抛出终端会话的打印机和驱动器。对于整个“拦截”频道集,没有内容阻塞。药剂的稳定性低-出现不可预测的冻结和倾倒现象。即使使用存档,控制台也会意外冻结。简介:该系统非常易于安装和操作,但适用于监视和使用存档。感觉系统有点潮湿,OTC尚未开发。测试结果
如上所述,将基本测试的结果制成表格。可以主观评估的参数是根据“交通灯标度”(按颜色)有条件评估的。该表本身如下所示(可点击):仅针对McAfee和DeviceLock DLP进行了压力测试。在其他情况下,这根本没有意义(请参见下表)。McAfee已使用Excel文件正确制定了禁止存档的规则。McAfee中拦截扫描的测试没有进行-没有内置的OCR。通过检查模板-仅在完全合规的情况下才能工作,如果您更改文档-DLP系统将跳过它。使用DeviceLock DLP,所有测试都可以完全工作。修改合同,在Skype中进行拦截:使用乱码的excel文件记录在存档的闪存驱动器上:锁定打印倒排文档扫描:测试的摘要结果如下(可单击):结论
预料到读者的问题-“您最终选择了什么,因为标题是“选择的经历”? 不幸的是,在撰写本文时,该手册尚未确定。 我们试图完成任务-我们在多个系统上进行了测试,将测试结果呈现给了管理层,并决定与Habra社区共享。
我再说一遍,我们的意见是主观的,基于个人印象并且由任务决定,因此我们自己的选择将保持不变。
总的来说,任务集始终是首要任务,因此,我们建议选择DLP系统来解决问题的每个人都按照自己的方式行事,并从任务集开始处理建议的系统的功能。 我们希望我们的平板电脑将是对您有用的备忘单。
谢谢大家的关注!