[Из песочницы] Личный опыт: как мы выбирали DLP-систему

Добрый день всем! В статье расскажу, как тестировали 5 систем, что в них понравилось, а что нет. Мнение субъективное, зато на практике, а этого в сети мало (anti-malware приводит сравнение и подчеркивает, что оно базисное + на Хабре об этом писали, но получилась сравнительная таблица, что у кого есть/нет). Мы же пробовали функционал и меряли под себя, потратили почти полгода и можем поделиться опытом. Заранее приношу извинения разработчикам — по минусам продуктов пройдусь как есть (о плюсах они и сами хорошо рассказывают).


image


Для тех, кто не хочет читать статью полностью, — выводы и советы по выбору DLP сразу:


  • Всегда проверяйте заявленный функционал. У нас была куча довольно глупых ситуаций, когда продукт не соответствовал официальному описанию.


  • Подготовьте детальное ТЗ и отдайте его для заполнения вендору. Но даже в этом случае проверяйте результат. Разработчик всегда активно говорит только о сильных сторонах, о проблемах нет.


  • Используйте во время теста предлагаемые возможности софта по максимуму, а не только те, которые планируете приобретать. Например, мы расширили список требований в ТЗ, когда увидели функционал, который нам понравился.


  • Ведите статистику сами, как и итоговый отчет. В критерии обязательно включите пункты: результативность за период времени, стабильность серверных, клиентских и агентских частей, конфликты с другими системами и качество поддержки, т.к. этих важных данных, даже сильно усредненных, вы не найдете нигде.


  • Обратите внимание на безопасность самой DLP. Ведь там будет лежать такой архив, что любая база данных с персданными в сравнении с ним меркнет.


  • Создайте системе стресс-нагрузку. Нагружайте серверную часть, как только сможете! Ставьте агентов на критичных пользователей. Создавайте политики избыточной сложности. Не отказывайтесь от помощи техподдержки, отдавайте решение проблем им. Чем раньше вы поймете, где у системы предел, тем объективнее сделаете выбор. Да и маты пользователей лучше выслушать сразу)). Все-таки DLP это не только система, но еще и услуга — и нужно сразу определить, насколько качественно реализовано первое и второе.

Большааая суть


Итак, к делу — начнем обзор.


Zecurion


Установить и настроить систему сможет даже ребенок. Вопрос пары часов — самостоятельно и без мануала! Причем неважно, на одну ОС ставятся компоненты или разносятся — в обоих случаях все довольно очевидно.


С настройками тоже все хорошо, поначалу даже глаза разбегаются. Например, то, что в других DLP называется просто «контроль Интернет», тут разбито на кучу групп, причем на каждую можно назначать свои правила.


Есть много моделей работы — полноценный перехват, аудит, блокировки.


Вообще охват каналов передачи у Зекуриона довольно обширный, это отметили все коллеги. Но вот когда дело дошло до работы с информацией — полезли косяки.


Что понравилось:


  1. Большой охват каналов, разбитие индивидуальных настроек по группам или логическим блокам.
  2. Возможность реакции в зависимости от содержания документов и вообще работа с текстовым содержимым.
  3. Эмуляция прокси на агентском решении.

Что не понравилось:


  1. Нелогичная модульность.
    Если наличие нескольких серверных частей воспринимается позитивно, то наличие ДВУХ агентов воспринимается, мягко говоря, странно. Сложно сказать, какой логике это служит, лично мне такое решение не понравилось — оба агента выполняют, по сути, одну и ту же роль.


  2. Работа с архивом.
    Когда руки дошли до работы с перехваченной информацией — мнение о Зекурион резко изменилось. Интерфейс выполнен по технологии MMC, и, думаю, понятны все проблемы такого решения. Работать с архивом очень сложно — выборки данных, найденные нарушения просматривать неудобно. Во многих местах работа идет даже не с выборками из БД, а с фильтрацией журналов, и все вытекающие отсюда проблемы очевидны.


  3. Агенты.
    С агентами был ряд проблем, админы в курсе ситуации — у нас договоренность удалять агента только в крайнем случае и только по согласованию. Поэтому мы видим все проблемы и сохраняем статистику. Комп может начать жутко тупить просто от наличия агента, без объяснимых причин. Никаких возможных конфликтов, несовместимости с ПО и прочего, что помогло бы понять причину, найти не удалось.

Итого:


Огорчили непроработанные инструменты для работы с архивом, а архив там копится очень немалый — БД разрастается с фантастической скоростью! Да, есть инструменты выборки, есть сжатие данных, есть разнообразные опции фильтрации –, но это все не решает проблему устаревшего интерфейса. То, что в других системах делается в 2 действия, здесь может потребовать и 10, и 20 операций.


Infowatch


На тест нам отдали 5-ю версию. Система контролирует базовый список каналов (почта, интернет, мессенджеры, устройства хранения, печать) и имеет ряд предопределенных аналитических функций. На них и основана вся логика системы.


Еще до первого использования стало понятно, с системой не все так просто. Дело в том, что решение использует сразу несколько независимых друг от друга продуктов и платформ. Часть функционала вынесена в один продукт, часть — в другой. Абсолютно непонятно, зачем систему настолько усложнили. В целом можно было бы смириться с этой бедой, но возникают проблемы архитектурного плана — из трех решений анализ работает только для одного. Например, для почты анализ работает нормально, для скайпа под вопросом (смотря какой агент установлен), для вайбер — не работает вообще.


Что понравилось:


  1. Проработанный и довольно приятный пользовательский интерфейс.
  2. Каналов контроля не так много в траффик монитор. Но зато сразу, без всякого мануала, понятно, как ими пользоваться и за что они отвечают.
  3. Хорошо структурированная подача перехваченной информации. Все разбито на группы, все пошагово, все логично и просто.

Что не понравилось:


  1. Агенты.
    Достаточно сказать, что их несколько. Скайп контролируется одним агентом, Вайбер — другим. И речь не про разные «модули» одного решения — это абсолютно несвязанные решения.


  2. Архитектура системы.
    Обычно система работает либо в WIN, либо в UNIX. А тут требуется сразу две платформы. Зачем — непонятно.

Продукты разобщены — есть Traffic Monitor, есть Device Monitor. Как я уже говорил, они на разных платформах, но на самом деле это одна и та же система. А есть еще Endpoint Security и Personal Monitor — вроде бы задачи смежные, но это абсолютно другое решение, никак не совместимое с первыми двумя. Почему так — опять же непонятно, ведь то же «рабочее время» было бы полезно в DLP. Закрадываются мысли, что сделано это разделение, чтобы впарить вместе с DLP еще несколько продуктов и увеличить общий чек.


  1. Функциональность.
    Пока работаешь с Traffic Monitor — все отлично, консоль шустрая и приятная, все очень просто, работает система быстро. Но как только переходишь к другим задачам (и другим консолям) — начинается мрак. Тут можно блокировать, но нельзя создавать теневую копию. Здесь можно создавать теневую копию, но нельзя в ней ничего искать. Устройства хранения вообще контролируется во всех трех платформах, причем везде по-своему.

В процессе работы возникает проблема — нужно лезть в разные системы, нельзя просто кликнуть на событие два раза и увидеть все подробности, как сделано во ВСЕХ других решениях.


Итого:


Мы с коллегами и руководством сошлись во мнении, что за предлагаемое решение цена неоправданно высокая, с учетом того, что она представляет из себя некую «солянку» из разношерстного софта, никак не соединенную вместе.


Searchinform


Система состоит из множества приложений и клиентских, и серверных. После установки на рабочем столе появляется столько иконок, что поначалу испытываешь состояние близкое к шоку. Потом ситуация сглаживается: по факту, нужных компонентов 3–4, остальное — запускается однократно и после настройки не используется. Все компоненты исключительно приложения для Windows, никакой мультиплатформенности не предусмотрено. Есть некий веб доступ, но он работает только для графических отчетов.


Что касается контроля каналов, то тут все очень хорошо — закрыты практически все пути. Можно логировать и изменения файловой системы, и изменения в конфигурациях машин, короче, вплоть до записи видео действий пользователя. Заблокировать в системе можно не все, зато с доказательствами проблем нет.


Что понравилось:


  1. Много разносторонних каналов и методов перехвата. Много неDLP`шных, но полезных возможностей, по типу аудита оборудования, шифрования, блокировки объектов файловой системы.
  2. Классное средство поиска по архиву. Масса опций, поиски, фильтрации, выборки, группировки.
  3. Нет ограничения на сложность политик безопасности — в одной настройке может быть любая комбинация: регулярка паспорта, фингерпринт документа, словарь, морфология, категоризация, учет опечаток, поиск похожего смысла и т.п.
  4. Стабильность — единственная система, которая во время нашего теста не глючила.

Что не понравилось:


  1. Блокировка каналов.
    Блокировать можно далеко не все перехватываемые каналы. И нет контентных правил блокировки, все исключительно по атрибутам.


  2. Сложный интерфейс.
    Начать работу с системой под силу не каждому: много консолей и в каждой запутанный интерфейс, над которыми еще нужно поломать голову, чтобы разобраться. Либо читать мануал, что ни в одной другой системе не потребовалось.


  3. Количество консолей
    9 консолей. Они серьезно?!

Итого:


В плане работы с архивом КИБ действительно силен. Расстроил слабый функционал блокировок по контенту и напрягли консоли.


Работу ТП стоить упомянуть отдельно. Возникшие косяки и пожелания были решены во время пилота, когда мы еще не заплатили ни копейки. Возможно, роль сыграла наша денежность, но факт остается фактом: работали с нами хорошо.


Falcongaze


Сказать, что система разворачивается просто — недостаточно, редко увидишь настолько простой в установке продукт. Разработчик утверждает, что полноценное развертывание занимает считанные часы — на самом деле оно занимает минуты! На первых порах складывается впечатление, что продукт очень простой и в администрировании — все основные действия выполняются логично и как нечто, само собой разумеющееся.


Количество контролируемых каналов достаточно обширно — в дополнение к базовым, есть такие возможности, как запись звука с микрофона, онлайн-подключения и другие специфические каналы, список можно найти в любом обзоре, поэтому я не буду на нем останавливаться.


Что понравилось:


  1. Очень много различных каналов контроля, в дополнение к основным, есть такие вещи как Viber, скрины, кейлоггер, поиск и т.д.
  2. Проработанный механизм выборки данных. Удобно искать какие-то конкретные вещи.
  3. Комплект поставки (шаблоны, политики, даже Abbyy OCR) можно использовать через пять минут после установки агентов перехвата.
  4. Эффективность пользователя, как отдельный и довольно проработанный канал контроля: кто, что делал и сколько по времени, очень хорошо видно.

Что не понравилось:


  1. Обработка данных.
    Большая задержка в получении данных, связанная с особенностями обработки, (индексирование) — может измеряться часами.


  2. Отчеты.
    Бестолковые отчеты: есть несколько проработанных, с которыми можно иметь дело и отдавать начальству, но основная масса отчетов абсолютно бесполезна.


  3. Глюки.
    Если при тестировании некоторых других систем пользователи страдали от проблем с агентами, то тут мы сами оказались на их месте, т.к. к агентским добавились еще и серверные глюки — политика, проверки вполне могут повиснуть, утащив вместе с собой консоль. Причем ситуация не всегда решается перезапуском.


  4. Блокировки.
    У меня сложилось впечатление, что система отчасти недоделана, отчасти — реализована, что называется, для галочки. Поясню на примере. В ПО заявлен функционал блокировки через прокси. Такая функция действительно есть, но нужно видеть, как она сделана!

Пользователю доступен мастер настройки правил блокировки, в котором все параметры выбираются вручную. Например, желаете заблокировать вложения Gmail — пожалуйста, система такое позволяет, садитесь в Шарк и смотрите траффик, когда поймете какую часть URI блокировать — мастер к вашим услугам. Желаете залочить отправку на dropbox? — нет ничего проще: заливаете тестовый док, попутно просматривая траффик, ищете нужный кусок, добавляете его в правило, проверяете и всего делов-то! Не забываем воспроизвести все способы закачки. И это нужно делать для всех задач. А блокировок на основании содержания нет.


Итого:


Система имеет мощные возможности по сбору различных данных, но кроме просмотра архива ничего не позволяет с ними делать. То есть возможная реакция на инцидент одна — уведомить админа. Блокировки заявлены, но работают специфически. Да и вообще все работает специфически — может конечно это нам не повезло, но называть ее безглючной язык не поворачивается.


Device Lock


Тест заходил тяжело — мы заведомо знали, что нет необходимого нам функционала, т.к. система работает только на агентах, что в нашем случае не всегда возможно. Как бы то ни было, решили тестировать, так как разработчик заверял, что много функционала мы не видели.


Система ставится очень просто, клиент-серверная архитектура, присущая DLP-решениям, здесь носит весьма условный характер. Агенты вообще могут работать без связи с сервером, поэтому установка происходит фактически, как у обычной программы. Разворачивается все крайне быстро, есть специальные средства для администрирования настроек — это довольно удобно. Работа с самой системой не вызывает особых затруднений, все очень понятно.


Что понравилось:


  1. Система простая. Конечно все проблемы, присущие MMC никуда не делись, зато все очень понятно и ожидаемо.
  2. Очень хорошая работа с устройствами. Грамотное деление устройств на типы — например, мобильники (IOS, PALM, WinPhone и т.д.) разделены на разные категории, для каждой можно создать свое правило.
  3. Контекстуальные блокировки доступны для любых контролируемых каналов. Если документ содержит, например, фио или данные кредитной карты — его можно заблокировать, вне зависимости от метода передачи, будь то хоть почта, хоть удаленный сеанс или даже скайп!
  4. Система слабо зависит от сервера и способна работать без связи с ним. Раз настроенные правила будут работать, если работает агент. Более того, доступны режимы офлайн и онлайн для любых каналов и для каждой политики. Все это можно настроить индивидуально.

Что не понравилось:


  1. Работа исключительно на агентах.
    Нет возможности контролировать сеть, нет возможности блокировать на прокси, практически нет интеграций с корпоративными системами (почтарями и т.д.)


  2. Работа с архивом.
    Архив ведется, но фактически, пользователю доступна не выборка, а фильтрация полученных данных. Из-за этого проблемы, во-первых, со скоростью, во-вторых, с возможностями — доступно очень мало элементов для фильтрации. Полученные результаты не имеют предпросмотра, для изучения нужно каждый открывать и смотреть — это начинает раздражать после первой же более-менее серьезной задачи.

Есть средство поиска текста по архиву, но оно поставляется отдельно, а сами поисковые возможности не идут ни в какое сравнение с теми же Сёрчем и Фалконом.


  1. Аналитика.
    Вся аналитика отрабатывает в реальном времени, и, вроде как, это момент положительный. Но по факту это не всегда так. Доступны регулярные выражения и поиск с морфологией, ну еще различные атрибутивные правила. Этого хватает только для очень простых блокировок, что далеко не всегда позволяет решить прикладные задачи.


  2. Нет некоторых инструментов.
    Нет технологии сверки файлов по цифровым отпечаткам и поиска измененного текста внутри документов. Это дало бы возможность задать в систему список конфиденциальных файлов и конфиденциального содержания, включить блокировку для всех каналов и больше туда никогда не заходить.

Итого:


Система кардинально отличается от аналогов — она сделана для «работы в моменте». Взаимодействие с архивом, расследования, поиск данных — это все проработано плохо. Ну и работа только на агентах: их не поставишь на телефоны и планшеты, даже если они корпоративные — у всех остальных это решается через прокси.


Не буду делать каких-то глобальных выводов — для каждой организации они будут свои, ведь у всех разные требования к технологиям и функционалу. Надеюсь только, что мой обзор пригодится кому-то в нелегком деле выбора DLP-системы.

Комментарии (2)

  • 23 декабря 2016 в 17:30

    0

    Почему не тестировали McAfee DLP?

  • 23 декабря 2016 в 17:42

    0

    А почему не рассматривали лидеров Gartner — Forcepoint и Symantec?

© Habrahabr.ru