Сравнение систем защиты от утечек (DLP) - часть 2
Александр Панасенко
Во второй части мы завершим начатое ранее сравнение систем защиты от утечек конфиденциальных данных (DLP) и сопоставим их по возможностям контроля внешних устройств, мониторинга работы агентов, управлению, обработке инцидентов, отчетности, а также интеграции с решениями сторонних производителей.
Еще раз о методологии сравнения
На сегодняшний день существует достаточно много решений, которые даже весьма условно сложно отнести к классу полноценных DLP-cистем. Многие компании используют аббревиатуру DLP, называя ей фактически все, что угодно, где есть хоть какой-то функционал, контролирующий исходящий трафик или внешние носители.
Естественно, что мы не можем смешивать в кучу и сравнивать несравниваемые между собой в принципе продукты. Поэтому при отборе участников сравнения мы жестко руководствовались формулировкой, что такое DLP-система. Под этим мы понимаем такие системы, которые позволяют обнаружить и/или блокировать несанкционированную передачу (проще говоря - утечку) конфиденциальной информации по какому-либо каналу, используя информационную инфраструктуру предприятия.
В итоге на основании результатов проведенного годом ранее анализа российского DLP-рынка для участия в сравнении было отобрано шесть наиболее известных и популярных в России комплексных DLP-систем*:
Российские:
- InfoWatch Traffic Monitor Enterprise 3.5
- SecurIT Zgate 3.0 и SecurIT Zlock 3.0
- Дозор Джет 4.0.24
Зарубежные:
- Symantec Data Loss Prevention (DLP) 11.1
- Websense Data Security Suite (DSS) 7.5
- Trend Micrо Data Loss Prevention (DLP) 5.5
* Все производители перечисленных выше DLP-систем (за исключением Websense) активно помогали со сбором необходимой для сравнения информации. DLP от компании McAfee из сравнения был исключен по причине недостатка информации и слабой поддержке самого вендора.
Краеугольным камнем любого сравнения является набор критериев, по которому оно производится. В силу разумных ограничений по объему сравнения невозможно охватить все мыслимые функциональные возможности DLP-систем. Поэтому на данном уровне детализации мы ограничились только наиболее важными из них с нашей точки зрения.
В итоге мы отобрали 92 наиболее важных критерия, сравнение по которым значительно облегчает для заказчика выбор DLP-системы. Для удобства все сравнительные критерии были разделены на следующие категории:
- Позиционирование системы на рынке;
- Системные требования;
- Используемые технологии детектирования;
- Контролируемые каналы передачи данных;
- Возможности контроля подключаемых внешних устройств;
- Мониторинг агентов и их защита;
- Управление системой и обработка инцидентов;
- Отчетность;
- Интеграция с решениями сторонних производителей.
Сравнение по категориям 1-5 было опубликовано в первой части, а по категориям 6-9 во второй части.
В силу широкого спектра решаемых DLP-системами задач, мы не делали их итогового ранживания. Мы надеемся, что по результатам проведенного сравнения каждый читатель сможет самостоятельно определиться, какая из DLP-систем больше других подходит для его целей. Ведь в каждом конкретном случае потенциальный заказчик сам знает, какие технологии или функциональные возможности для него наиболее важны, а значит, сможет сделать из сравнения правильный именно для него вывод.
Сравнение DLP-систем
Возможности контроля подключаемых внешних устройств
|
InfoWatch Traffic Monitor Enterprise |
Дозор Джет |
SecurIT Zgate и Zlock |
Symantec DLP |
Websense DSS |
Trend Micro DLP |
| HDD |
Есть |
- |
Есть |
Есть |
Есть |
Есть |
| USB |
Есть |
- |
Есть |
Есть |
Есть |
Есть |
| COM/LPT |
Есть |
- |
Есть |
Есть |
Есть |
Есть |
| WiFi, Bluetooth и др. |
Есть |
- |
Есть |
Есть |
Есть |
Есть |
| Локальные принтеры |
Есть |
- |
Есть |
Есть |
Есть |
Есть |
Запрет доступа к
конфиденциальным
файлам на рабочей
станции для заданных
приложений |
Нет |
- |
Нет |
Есть |
Есть |
Нет |
Очистка диска
рабочей станции от
конфиденциальных
данных (перемещение
в карантин) |
Нет |
- |
Разрабатывается, планируемый срок реализации конец 2 квартала |
Есть |
Есть |
Нет |
Ограничения доступа в
зависимости от типа
съемного носителя
(производитель, серия,
модель, экземпляр) |
Есть |
- |
Есть |
Есть |
Есть |
Есть |
Возможность разрешать
копирование только на
доверенные носители |
Есть |
- |
Есть |
Есть |
Есть |
Есть |
Автоматическое
определение реального
владельца данных на
основе заданных
критериев |
Нет |
- |
Разрабатывается, планируемый срок реализации конец 2 квартала |
Есть |
Нет |
Нет |
Контроль буфера
обмена |
Нет |
- |
Есть |
Есть |
Есть |
Есть |
Контроль копирования
из общих папок |
Нет |
- |
Нет |
Нет |
Нет |
Да, с возможностью блокировки |
Контроль копирования
в общие папки |
Нет |
- |
Нет |
Да, с возможностью блокировки |
Есть |
Есть |
Контроль источников
хранимых данных |
Хранение документов на рабочих местах, сетевых папках, в базах данных, почтовых архивах, системах электронного документооборота, с возможностью поиска и перемещения (для рабочих станций и сетевых папок) |
- |
Разрабатывается, планируемый срок реализации конец 2 квартала |
Хранение документов на рабочих местах, сетевых папках, в базах данных, почтовых архивах, системах электронного документооборота с возможностью поиска и перемещения (для рабочих станций и сетевых папок) |
Хранение документов на рабочих местах, сетевых папках и в библиотеках Microsoft SharePoint |
Хранение документов на рабочих местах, сетевых папках и в библиотеках Microsoft SharePoint |
Мониторинг состояния
в режиме онлайн |
Есть |
- |
Есть (сохранением полной истории обращений, построение гибкой отчетности, настройка уведомлений о необычных событиях и попытках доступа) |
Есть (сохранение полной истории обращений, построение гибкой отчетности, настройка уведомлений о необычных попытках доступа) |
Есть |
Есть |
Мониторинг агентов и их защита
|
InfoWatch Traffic Monitor Enterprise |
Дозор Джет |
SecurIT Zgate и Zlock |
Symantec DLP |
Websense DSS |
Trend Micro DLP |
| Возможность в режиме online контролировать клиентские компьютеры |
Есть |
- |
Есть |
Есть |
Есть |
Есть |
| Контроль работы агента |
Есть |
- |
Есть |
Есть |
Есть |
Есть |
| Контроль политик агента |
Есть |
- |
Есть |
Есть |
Есть |
Есть |
| Возможность настройки реагирования на события |
Есть |
- |
Есть |
Есть |
Есть |
Есть |
| Защита агента от удаления или выключения |
Есть |
- |
Есть |
Есть |
Есть |
Есть |
| Контроль целостности |
Есть |
- |
Есть |
Есть |
Есть |
Есть (клиент
скрыт от несанкциони-
рованного
доступа) |
Управление системой и обработка инцидентов
|
InfoWatch Traffic Monitor Enterprise |
Дозор Джет |
SecurIT Zgate и Zlock |
Symantec DLP |
Websense DSS |
Trend Micro DLP |
| Собственная консоль |
Есть |
Есть (веб-консоль) |
Есть |
Есть (веб-консоль) |
Есть (веб-консоль) |
Есть (веб-консоль) |
| Разделение ролей администратора и офицера безопасности |
Любое количество настраиваемых ролей + преднастроенные роли |
Поддерживается несколько ролей + стандартные преднастроенные роли |
Поддерживается несколько ролей + делегирование прав между ролями |
Любое количество настраиваемых ролей + преднастроенные роли |
Поддерживается несколько ролей + преднастроенные роли |
Поддерживается несколько ролей + делегирование прав между ролями |
| Настройка оповещений |
Офицера безопасности, пользователя (будет реализовано в след. версии) |
Владельца информации, офицера безопасности, пользователя |
Офицера безопасности, аудитора или любого другого заранее указанного адресата |
Офицера безопасности, пользователя, его руководителя или любого другого заранее указанного адресата |
Офицера безопасности, пользователя |
Офицера безопасности, пользователя |
| Предоставляемые возможности по реагированию на инциденты |
Эскалация инцидента, разрешение прохождения заблокированного, закрытие инцидента, запуск скрипта, перенаправление электронной почты на шлюз шифрования разрешение с записью об инциденте или запрещение на пропуск задержанного сообщения. |
Эскалация инцидента, разрешение прохождения заблокированного, закрытие инцидента, помещение в архив. |
Эскалация инцидента, разрешение прохождения заблокированного, закрытие инцидента, запуск скрипта, помещение в карантин. |
Эскалация инцидента, разрешение прохождения заблокированного, закрытие инцидента, помещение в архив, а также любая настраиваемая последовательность действий. |
Эскалация инцидента, разрешение прохождения заблокированного, закрытие инцидента, запуск скрипта, перенаправление электронной почты на шлюз шифрования. |
Эскалация инцидента, разрешение прохождения заблокированного, закрытие инцидента. |
| Анализ событий, зафиксированных системой |
Есть, через консоль |
Есть, через веб-консоль |
Есть, через консоль |
Есть, через веб-консоль |
Есть, через веб-консоль |
Есть, через веб-консоль |
| Сохранение истории инцидентов для последующего анализа |
Есть (включая хранение протокола всех инцидентов, карантина задержанных объектов, неограниченное хранение истории для будущих расследований) |
Есть (протокол инцидентов и архив сообщений для расследований) |
Есть (протокол инцидентов, карантин задержанных сообщений и копии перехваченных объектов) |
Есть (протокол инцидентов и всех сопутствующих объектов, неограниченное их хранение для будущих расследований) |
Есть (протокол инцидентов и копии перехваченных объектов) |
Есть (протокол инцидентов и копии перехваченных объектов) |
| Запрещение на пропуск задержанного сообщения или разрешение с записью об инциденте |
Есть |
Нет (только информирование офицера безопасности) |
Через карантин (офицер безопасности решает, пропускать или задержать подозрительное сообщение или письмо) |
Сотруднику предлагается указать причину необходимости отправки данных (самостоятельно или выбрать из списка), что будет отражено в информации об инциденте |
Сотруднику отправляется специальное оповещение по e-mail о нарушении, ответ на которое разблокирует сообщение и выпускает его из карантина |
Сотруднику предлагается указать причину необходимости отправки данных, что будет отражено в инциденте в консоли офицера безопасности |
Система отчетности о работе DLP-системы
|
InfoWatch Traffic Monitor Enterprise |
Дозор Джет |
SecurIT Zgate и Zlock |
Symantec DLP |
Websense DSS |
Trend Micro DLP |
Возможность
построения
отчетов о
нарушениях |
Собственные графики и отчеты системы |
Собственные графики и отчеты системы |
Собственные отчеты в виде журнала событий |
Собственные графики и отчеты системы + наличие Reporting API для интеграции со сторонними системами |
Собственные графики и отчеты системы |
Собственные графики и отчеты системы |
Варианты получения
отчетов о нарушениях |
По электронной почте, через консоль |
По электронной почте и через консоль |
По электронной почте и через консоль |
По электронной почте и через консоль |
По электронной почте и через консоль |
По электронной почте и через консоль |
Временная запись
отчёта в локальное
хранилище в случае
недоступности сервера |
Есть |
Есть |
Есть |
Есть |
Есть |
Есть |
| Экспорт отчетов |
Есть |
Есть |
Есть (текстовый ANSI, текстовый Unicode и XML) |
Есть |
Протоколы инцидентов доступны в формате xml-файлов |
Есть (PDF, Excel, HTML) |
Логирование
действий
администраторов
системы |
Есть |
Есть |
Есть |
Полная история всех действий, даже для инцидентов, удаленных из системы |
Есть |
Есть |
Интеграция с решениями сторонних производителей
|
InfoWatch Traffic Monitor Enterprise |
Дозор Джет |
SecurIT Zgate и Zlock |
Symantec DLP |
Websense DSS |
Trend Micro DLP |
| Интеграция с любыми сторонними утилитами посредством встроенных API |
Нет |
Есть |
Есть |
Есть |
Нет |
Нет |
| Интеграция со сторонними решениями |
Oracle IRM, IBM TSOM, Alladdin eSafe, Cisco IronPort, Bluecoat ProxySG, Lumension Device Control, DeviceLock, ArcSight (будет в версии 4.0) |
Lumension Device Control, ArcSight, NetForensics, антивирусы (kav,drweb), категоризаторы (iss, iadmin) |
Microsoft RMS, Oracle IRM, ABBYY FineReader, и т. д. |
Microsoft RMS, Oracle IRM, PGP и т.д. |
Websense Web security, Safend Protector, Lumension Device Control |
Поддерживает отправку данных через syslog (обычно идет в привязке к SIEM) |
| Интеграция с прокси-серверами |
С прокси-серверами, поддерживающими ICAP |
Bluecoat, McAffe, eSafe - ICAP |
С прокси-серверами, поддерживающими ICAP, а также с Microsoft ISA Server |
С прокси-серверами, поддерживающими ICAP, а также с Microsoft ISA Server |
С прокси-серверами, поддерживающими ICAP |
Нет |
| Интеграция с почтовыми серверами |
С любым SMTP-сервером |
Интеграция с Exchange и Lotus - через журналирование |
С любыми SMTP-серверами, в т. ч. Microsoft Exchange 2007/2010 |
С любым SMTP-сервером |
С любым SMTP-сервером |
Для корпоративных систем - Lotus Domino и Microsoft Exchange |
| Интеграция с Active Directory |
Есть |
Есть |
Есть |
Есть |
Есть |
Есть |
| Инсталляция и управление через групповые политики |
Есть |
Нет |
Есть |
Есть |
Есть |
Только для политик безопасности |
В силу широкого спектра решаемых DLP-системами задач, мы не делали их однозначных выводом о превосходстве того или иного продукта. Мы надеемся, что по результатам проведенного сравнения каждый читатель сможет самостоятельно определиться, какая из DLP-систем больше других подходит для его целей. Ведь в каждом конкретном случае потенциальный заказчик сам знает, какие технологии или функциональные возможности для него наиболее важны, а значит, сможет сделать из сравнения правильный именно для него вывод.
Мы не будем останавливаться на достигнутом и в дальнейшем планируем проводить более глубокие сравнения DLP-систем, как по отдельным группам критериев, так и по их реальной технологической эффективности.
Первая часть сравнения
Страница сайта http://silicontaiga.ru
Оригинал находится по адресу http://silicontaiga.ru/home.asp?artId=11240
|
