Для зарегистрированных пользователей |
|
Информационная безопасность |
Сравнение систем защиты от утечек (DLP) - часть 1
Александр Панасенко
Представляем вашему вниманию первое в своем роде публичное сравнение систем защиты от утечек конфиденциальных данных (DLP). В нем мы проанализировали и сравнили между собой шесть ведущих российских и зарубежных решений. Результаты сравнения помогут понять, чем принципиально отличаются между собой различные решения и на что стоит ориентироваться при их выборе.
Введение
Если раньше распространение информации можно было достаточно эффективно контролировать административными мерами, предоставляя физический доступ к ней только для ограниченного числа лиц, то в эпоху всеобщей информатизации контролировать доступ к информации и тем более ее перемещение становится сложнейшей задачей. Поэтому всё острее встаёт проблема инсайдеров и утечек конфиденциальной информации.
На помощь бизнесу в такой ситуации приходят производители программных и аппаратных средств защиты, которые достаточно давно предлагают на рынке целый ряд решений для защиты от утечек конфиденциальных данных (систем Data Leak Prevention, далее DLP). Применение таких продуктов на практике может быть несколько шире, так как технологически с их помощью можно контролировать перемещение информации любого вида, а не только строго конфиденциальной.
Однако изначальная сложность DLP-систем, сильная технологическая и функциональная закрытость значительно усложняют процесс их осознанного выбора для заказчика. Дело в том, что производители зачастую не могут правильным образом представить рынку объемную и сложную систему с множеством функций и нетривиальных технологий. Часть из производителей вовсе не заинтересованы в том, чтобы доступно и понятно рассказывать о технических тонкостях работы своих продуктов, очевидно, опасаясь излишний осведомленности клиентов и прямых сравнений с конкурентами.
К тому же из-за незрелости рынка и значительных технологических и функциональных различий между конкурирующими решениями у потенциального клиента возникает полная дезориентация, какое решение лучше использовать в том или ином случае. Появляется множество вопросов. Чем принципиально отличаются между собой различные решения? На что ориентироваться при выборе DLP-системы? Как выбрать наиболее подходящее решение?
Во всех тонкостях работы DLP-систем зачастую трудно разобраться даже профессионалам из этой отрасли, не говоря уже о потенциальных клиентах. Еще сложнее сравнить их возможности между собой. Цель данного сравнения состоит в том, чтобы показать ключевые отличия наиболее популярных российских и зарубежных DLP-систем, тем самым сделав выбор менее сложным для клиента.
Таким образом, ознакомившись с результатами этого сравнения, потенциальный заказчик сможет уже на начальном этапе сориентироваться, какие системы защиты от утечек конфиденциальных данных подходят для его задач наилучшим образом, сузить поле выбора и в итоге значительно сэкономить время и деньги.
Данное сравнение нужно рассматривать как базисное. Мы ни в коем случае не будем останавливаться на достигнутом в своем стремлении сделать DLP-рынок более открытым. В дальнейшем мы планируем проводить более глубокие сравнения DLP-систем, как по отдельным группам критериев, так и по реальной технологической эффективности.
Методология сравнения DLP-систем
На сегодняшний день существует достаточно много решений, которые даже весьма условно сложно отнести к классу полноценных DLP-cистем. Многие компании используют аббревиатуру DLP, называя ей фактически все, что угодно, где есть хоть какой-то функционал, контролирующий исходящий трафик или внешние носители.
Естественно, что мы не можем смешивать в кучу и сравнивать несравниваемые между собой в принципе продукты. Поэтому при отборе участников сравнения мы жестко руководствовались формулировкой, что такое DLP-система. Под этим мы понимаем такие системы, которые позволяют обнаружить и/или блокировать несанкционированную передачу (проще говоря - утечку) конфиденциальной информации по какому-либо каналу, используя информационную инфраструктуру предприятия.
В итоге на основании результатов проведенного годом ранее анализа российского DLP-рынка для участия в сравнении было отобрано шесть наиболее известных и популярных в России комплексных DLP-систем*:
Российские:
- InfoWatch Traffic Monitor Enterprise 3.5
- SecurIT Zgate 3.0 и SecurIT Zlock 3.0
- Дозор Джет 4.0.24
Зарубежные:
- Symantec Data Loss Prevention (DLP) 11.1
- Websense Data Security Suite (DSS) 7.5
- Trend Micrо Data Loss Prevention (DLP) 5.5
* Все производители перечисленных выше DLP-систем (за исключением Websense) активно помогали со сбором необходимой для сравнения информации. DLP от компании McAfee из сравнения был исключен по причине недостатка информации и слабой поддержке самого вендора.
Краеугольным камнем любого сравнения является набор критериев, по которому оно производится. В силу разумных ограничений по объему сравнения невозможно охватить все мыслимые функциональные возможности DLP-систем. Поэтому на данном уровне детализации мы ограничились только наиболее важными из них с нашей точки зрения.
В итоге мы отобрали 92 наиболее важных критерия, сравнение по которым значительно облегчает для заказчика выбор DLP-системы. Для удобства все сравнительные критерии были разделены на следующие категории:
- Позиционирование системы на рынке;
- Системные требования;
- Используемые технологии детектирования;
- Контролируемые каналы передачи данных;
- Возможности контроля подключаемых внешних устройств;
- Мониторинг агентов и их защита;
- Управление системой и обработка инцидентов;
- Отчетность;
- Интеграция с решениями сторонних производителей.
Сравнение по категориям 1-5 будет опубликовано в первой части, а по категориям 6-9 - во второй части.
В силу широкого спектра решаемых DLP-системами задач, мы не делали их итогового ранживания. Мы надеемся, что по результатам проведенного сравнения каждый читатель сможет самостоятельно определиться, какая из DLP-систем больше других подходит для его целей. Ведь в каждом конкретном случае потенциальный заказчик сам знает, какие технологии или функциональные возможности для него наиболее важны, а значит, сможет сделать из сравнения правильный именно для него вывод.
Сравнение DLP-систем
Позиционирование DLP-систем на рынке
|
InfoWatch Traffic Monitor Enterprise |
Дозор Джет |
SecurIT Zgate и Zlock |
Symantec DLP |
Websense DSS |
Trend Micro DLP |
Позиционирование на рынке |
Система защиты от утечек, основанная на анализе исходящего трафика, мониторинге содержимого, передаваемого на сменные носители, и принтеры. Собственная технология лингвистического анализа, позволяет осуществлять категоризацию перехваченной информации и обнаруживать в ней конфиденциальные данные. |
Шлюзовая система защиты от утечек информации, основанная на контроле исходящего сетевого трафика, поиска хранимых данных. |
Система защиты от утечек информации, основанная на контроле входящего, исходящего и внутреннего сетевого трафика, поиска хранимых данных, агентского контроля, мониторинга содержимого, передаваемого на сменные носители и принтеры. Первая российская DLP-система с возможностью гибридного анализа. |
Универсальное решение для поиска, отслеживания и защиты конфиденциальных данных, где бы они ни находились. Обеспечивает комплексную защиту конфиденциальных данных в конечных системах, сети и системах хранения данных. |
Система защиты от утечек информации, основанная на контроле исходящего сетевого трафика, поиска хранимых данных. Система работает как на уровне шлюза, так и на уровне конечных точек сети. |
Система защиты от утечек информации, основанная на контроле исходящего сетевого трафика, поиска хранимых данных, мониторинга содержимого, передаваемого на сменные носители. Система работает как на уровне шлюза, так и на уровне конечных точек сети. |
Целевой сегмент рынка |
Средний и крупный бизнес, госсектор с численностью от 500 до 5 тыс. пользователей и более. Поддержка филиальной разветвленной структуры. Возможность хранения всех событий компании до 3-х и более лет |
Средний и крупный бизнес, госсектор |
От SMB (до 500 пользователей) до крупного бизнеса и государственных организаций (внедрения до 250 тыс. пользователей). Поддержка любой ИТ-инфраструктуры. Бессрочное хранение событий и данных в архиве |
Малый бизнес ( версия Symantec DLP Standard), средний и крупный бизнес от 50 до более 100 тыс. рабочих мест (Symantec DLP) |
Средний и крупный бизнес |
Средний бизнес |
Штаб-квартира |
Россия, Москва |
Россия, Москва |
Россия, Москва |
Маунтин-Вью, Кремниевая Долина, США |
Сан-Диего, Калифорния, США |
Токио, Япония |
Веб-сайт |
www.infowatch.ru |
www.jet.msk.su |
www.securit.ru |
www.symantec.com |
www.websense.com |
www.trendmicro.com |
Лицензии |
ФСТЭК, ФСБ |
ФСБ, ФСТЭК |
ФСТЭК, ФСБ |
Нет |
ФСБ |
Нет |
Сертификаты |
ФСТЭК НДВ 4 и ИСПДн 1, Газпромсерт, Аккредитация ЦБ, сертификат совместимости eToken |
ФСТЭК НДВ 4 |
ФСТЭК НДВ 3 и ОУД4 |
ФСТЭК НДВ 4 |
ФСТЭК ТУ |
Нет |
Услуги |
Аудит, консалтинг, пилотный проект, внедрение, техническая поддержка и обучение |
Аудит, консалтинг, пилотный проект, внедрение, техническая поддержка и обучение |
Аудит, консалтинг, пилотный проект, внедрение, техническая поддержка (24х7), обучение |
Пилотный проект, остальные услуги силами партнеров |
|
Пилотный проект, остальные услуги силами партнеров |
Средние сроки внедрения |
От 1 рабочей недели |
В зависимости от масштаба внедрения |
От 1 рабочего дня в зависимости от масштаба внедрения |
В зависимости от масштаба внедрения |
В зависимости от масштаба внедрения |
От 3 рабочих дней |
Системные требования
|
InfoWatch Traffic Monitor Enterprise |
Дозор Джет |
SecurIT Zgate и Zlock |
Symantec DLP |
Websense DSS |
Trend Micro DLP |
Системные требования для серверной части |
Защита периметра сети: InfoWatch Traffic Monitor Enterprise: Сервер: HP DL360 G6, ОС RHEL 5.6, x86-32 Централизованноеархивированиеиуправление InfoWatch Forensic Storage Server: HP DL360 G6, Oracle RDBMS 11gR2 Защита рабочих станций: InfoWatch Device Monitor Server: Intel Pentium 4 2ГГц или выше, Windows 2003 Server SP 1, RDBMS: Oracle / MS SQL Server / PostgreSQL / MS SQL Express, .NET Framework 3.0 Консоль Управления (Management Console) Pentium 4, 3ГГц, Microsoft Windows XP SP 2 |
Сенсор: CPU 2ГГц и выше, ОЗУ 4 Гб, 900Мб/с трафика на одном SPAN порту или 400+400 на 2х Windows 2003, 2008 (х64) Фильтры:Два 2-х ядерных CPU 2 ГГц и выше, 8Гб ОЗУ Linux Centos, Red Hat Enterprise LinuxХранилище:Два 2-х ядерных CPU 2 ГГц и выше, 8Гб ОЗУ (при использовании PostgreSQL 8,4, Oracle 10,11 - 16 Гб ОЗУ ) Linux Centos или Red Hat Enterprise Linux |
SecurIT Zgate: Intel Pentium 4, 1 ГБ ОЗУ Microsoft Windows 2000 SP4 / 2000 Server SP4 / XP SP3/ 2003 SP2 / Vista SP1 / 2008/ Windows 7 (32 и 64 бит). Microsoft SQL Server 2000 SP2, 2005 или Oracle Database 10g R2. |
2 CPU 3ГГц и выше, 6-8 Гб ОЗУ, 140Гб свободного дискового пространства, RAID 1+0 Microsoft Windows Server 2003 Enterprise Edition (32-bit) SP2 или Microsoft Windows Server 2008 R2, Enterprise Edition (x64) или Red Hat Enterprise Linux 5 (32 и 64 бит) Update 2 |
2-х ядерный Intel Xeon 2ГГц или эквивалент от AMD, 2ГБ ОЗУ, 75Гб свободного дискового пространства, RAID 1+0 или 1, Microsoft Windows Server 2003 R2 |
Trend Micro DLP Network Monitor Software Appliance: Два 4-х ядерных X5550 Xeon, 8Гб ОЗУ, 300Гб 15K RPM, Intel PRO 1000PT 1GbE Dual Port NIC, PCIe-4. Trend Micro DLP Management Server Hardware Appliance: 4-х ядерный Xeon E5506, ОЗУ 6Гб, 250Гб 7.2K RPM, Broadcom NetXtreme II 5709 Trend Micro DLP Management Server (Software or Virtual Appliance): 2-х ядерный Intel XEON или AMD Opteron, ОЗУ 2Гб, жесткий диск 30Гб, VMWare ESX и ESXi 3.5 |
Системные требования для клиентской части |
InfoWatch Device Monitor Client: Intel Pentium 4 2ГГц или выше, Windows XP/2000/Vista |
- |
SecurIT Zlock: Intel Pentium II, 128 МБ ОЗУ Microsoft Windows 2000 SP4 / XP SP2 / 2003 SP1 / Vista, 2008 / Windows 7 (32 и 64 бит). Microsoft SQL Server 2000 SP2, 2005 или Oracle Database 10g R2. |
512 Мб ОЗУ и выше Microsoft Windows Server 2003 (32-bit) SP2 или Windows Server 2003 R2 (32-bit); Microsoft Windows XP Professional SP2 или SP3(32-bit); Microsoft Windows Vista Enterprise or Business SP1 или SP2 (32-bit); Microsoft Windows 7 Enterprise, Professional, or Ultimate (32-bit или 64-bit) |
Pentium 4 1.8 ГГц и выше, 512Мб ОЗУ (для Windows XP), 1Гб ОЗУ (для Windows Vista, 7, 2003, 2008) (все ОС - x86) |
Trend Micro DLP Endpoint: 300 МГц Intel Pentium и выше, 512 Мб ОЗУ, 300Мб свободного места на жёстком диске Windows 2008, 2003, Vista, 7 (x86) и XP |
Русификация |
Есть |
Есть |
Есть |
Есть |
Нет |
Нет |
Используемые технологии детектирования
|
InfoWatch Traffic Monitor Enterprise |
Дозор Джет |
SecurIT Zgate и Zlock |
Symantec DLP |
Websense DSS |
Trend Micro DLP |
Анализ по словарю и регулярные выражения |
Есть |
Есть |
Есть |
Есть |
Есть |
Есть |
Лингвистический анализ (словоформы, синонимы, морфология и т.п.) |
Есть + база контентной фильтрации (БКФ), содержащая слова и выражения, наличие, которых в документе позволяет определить тематику и степень конфиденциаль- ности информации. |
Есть |
Есть |
Нет |
Нет |
Нет |
Поддержка анализа транслита |
Есть |
Нет |
Есть |
Нет |
Нет |
Есть (требуется формирование собственной таблицы соответствия слов их замаскированным вариантам) |
Поддержка анализа замаскированного текста |
Есть |
Нет |
Есть |
Есть |
Нет |
Нет |
Поддержка особенностей русского языка при анализе содержимого |
Есть |
Есть |
Есть |
Есть |
Нет |
Нет |
Анализ с использованием цифровых отпечатков |
Есть |
Есть |
Есть |
Есть |
Есть |
Есть |
Самообучающаяся система для анализа еще неклассифици- рованных данных (искусственный интеллект) |
Нет |
Нет |
Есть |
Есть |
Нет |
Нет |
Поддерживаемые форматы анализируемых документов (включая версии и собственные форматы для распознавания) |
Все основные форматы (более 400), в том числе вложенные в архивы. Поддержка OCR (оптическое распознавание текста). |
Более 100 вариантов архивов , более 150 типов документов и известных бинарных данных , возможность общего анализа бинарного потока на наличие текстовых строк в русских кодировках . |
Все основные форматы (более 500), в том числе вложенные в архивы. |
Все основные форматы (более 400), в том числе вложенные в архивы,. |
Более 400 основных форматов, в том числе вложенные в архивы. |
Распознавание и обработка более 300 типов файлов, в том числе вложенные в архивы. |
Предустановлен- ные шаблоны данных |
Есть (шаблоны и отраслевые базы контентной фильтрации) |
Есть (лексиконы в модуле idid) |
Есть |
Есть |
Есть |
Есть |
Контролируемые каналы передачи данных
|
InfoWatch Traffic Monitor Enterprise |
Дозор Джет |
SecurIT Zgate и Zlock |
Symantec DLP |
Websense DSS |
Trend Micro DLP |
Электронная почта (E-mail) |
Входящая SMTP |
Нет |
Нет |
Есть |
Есть |
Нет |
Нет |
Исходящая SMTP |
Есть |
Есть |
Есть |
Есть |
Есть |
Есть |
SMTPS |
Есть |
Есть |
Есть |
Есть |
Есть |
Нет |
Внутренняя Microsoft Exchange |
Есть |
Есть |
Есть |
Есть |
Есть |
Есть |
Внутренняя IBM Lotus Domino |
Есть |
Есть |
Есть |
Есть |
Есть |
Есть |
ESMTP |
Есть |
Есть |
Есть |
Есть |
Есть |
Есть |
POP3 |
Нет |
Есть |
Есть |
Есть |
Есть |
Нет |
POP3S |
Нет |
Есть |
Есть |
Нет |
Нет |
Нет |
IMAP4 |
Нет |
Нет |
Есть |
Нет |
Есть |
Нет |
IMAP4S |
Нет |
Нет |
Есть |
Нет |
Нет |
Нет |
Изменение сообщений |
Нет |
Есть |
Есть |
Есть (изменение темы и header"ов по заданным критериям) |
|
Есть |
Интернет-пейджеры |
ICQ, Miranda (OSCAR) |
Есть |
Есть |
Есть |
Нет |
Нет |
Нет (будет в версии 5.7, Q4 2011) |
Mail.ru Агент |
Частичная поддержка (OSCAR, MMP будет в версии 4.0) |
Есть |
Есть |
Нет |
Нет |
Нет (будет в версии 5.7, Q4 2011) |
Windows Live Messenger |
Нет (будет в версии 4.0) |
Есть |
Есть |
Есть |
Есть |
Есть |
AOL AIM |
Есть (только OSCAR) |
Есть |
Есть |
Есть |
Есть |
Есть |
Yahoo! Messenger |
Нет |
Нет |
Есть |
Есть |
Есть |
Есть |
Google Talk |
Нет (будет в версии 4.0) |
Есть |
Есть |
Нет |
Есть |
Нет |
Skype (текст) |
Нет (будет в версии 4.0) |
Есть |
Есть |
Нет |
Есть |
Есть |
Microsoft Office Communicator |
Есть |
Нет |
Есть |
Есть |
Есть |
Нет |
Jabber |
Нет (будет в версии 4.0) |
Есть |
Есть |
Нет |
Есть |
Нет |
MySpace IM |
Нет |
Нет |
Есть |
Есть |
Есть |
Нет |
Перехват файлов IM |
Есть (только OSCAR) |
Есть |
Есть |
Есть |
Есть |
Есть |
HTTP, FTP и иные протоколы |
Входящий HTTP-трафик |
Нет |
Нет |
Есть |
Есть |
Нет |
Есть |
Исходящий HTTP-трафик |
Есть |
Есть |
Есть |
Есть |
Есть |
Есть |
HTTPS |
Есть (интеграция с решениями партнёров) |
Есть |
Есть (с возможностью блокировки/фильтрации) |
Есть (интеграция с прокси-серверами либо при помощи агентской части DLP Endpoint Prevent) |
Есть (при наличии собственного продукта Websense Content Gateway для подстановки сертификатов) |
Есть |
FTP |
Нет (будет в версии 4.0) |
Есть |
Есть |
Есть |
Есть |
Есть |
FTP over HTTP |
Нет (будет в версии 4.0) |
Есть |
Есть |
Есть |
Есть |
Есть |
FTPS |
Нет |
Нет |
Есть |
Нет |
Нет |
Нет |
Р2Р |
Нет |
Нет |
Нет |
Есть |
Есть |
Есть |
Возможность сканирования почтового и веб-трафика в облаке |
Нет |
Нет |
Нет |
Есть |
Нет |
Нет |
Сетевые принтеры |
Есть (с возможностью оптического распознавания текста OCR) |
Нет |
Есть |
Есть |
Есть (с возможностью оптического распознавания текста OCR) |
Есть |
Блокирование |
Протоколы, блокирование передачи данных по которых возможно |
HTTP, HTTPS, SMTP, OSCAR (ICQ и другие агенты) |
HTTP, FTP, SMTP, FTP over HTTP, HTTPS, IM (ICQ, Mail.ru, MSN, Jabber , детектор Skype, веб-мессенжеры vKontakte, Google, MeeGo) |
HTTP, HTTPS, FTP, FTP over HTTP, FTPS, SMTP, SMTP/S, ESMTP, POP3, POP3S, IMAP4, IMAP4S, ICQ, Mail.Ru Агент, Skype и др. IM |
SMTP, HTTP, HTTPS FTP, IM |
HTTP, HTTPS, FTP, SMTP, ESMTP |
HTTP, HTTPS, FTP, SMTP, ESMTP |
Скорость анализа сетевого трафика |
~100 Мб/с |
Скорость анализа на одном хосте 2 Гб/с канала загрузкой до 70% |
Нет ограничений |
~330 Мб/с |
Нет данных |
~190 Мб/с |
Продолжение следует во второй части сравнения.
|