Silicon Taiga: Сравнение систем защиты от утечек (DLP)

Во второй части мы завершим начатое ранее сравнение систем защиты от утечек конфиденциальных данных (DLP) и сопоставим их по возможностям контроля внешних устройств, мониторинга работы агентов, управлению, обработке инцидентов, отчетности, а также интеграции с решениями сторонних производителей.

Еще раз о методологии сравнения

На сегодняшний день существует достаточно много решений, которые даже весьма условно сложно отнести к классу полноценных DLP-cистем. Многие компании используют аббревиатуру DLP, называя ей фактически все, что угодно, где есть хоть какой-то функционал, контролирующий исходящий трафик или внешние носители.

Естественно, что мы не можем смешивать в кучу и сравнивать несравниваемые между собой в принципе продукты. Поэтому при отборе участников сравнения мы жестко руководствовались формулировкой, что такое DLP-система. Под этим мы понимаем такие системы, которые позволяют обнаружить и/или блокировать несанкционированную передачу (проще говоря - утечку) конфиденциальной информации по какому-либо каналу, используя информационную инфраструктуру предприятия.

В итоге на основании результатов проведенного годом ранее анализа российского DLP-рынка для участия в сравнении было отобрано шесть наиболее известных и популярных в России комплексных DLP-систем*:

* Все производители перечисленных выше DLP-систем (за исключением Websense) активно помогали со сбором необходимой для сравнения информации. DLP от компании McAfee из сравнения был исключен по причине недостатка информации и слабой поддержке самого вендора.

Краеугольным камнем любого сравнения является набор критериев, по которому оно производится. В силу разумных ограничений по объему сравнения невозможно охватить все мыслимые функциональные возможности DLP-систем. Поэтому на данном уровне детализации мы ограничились только наиболее важными из них с нашей точки зрения.

В итоге мы отобрали 92 наиболее важных критерия, сравнение по которым значительно облегчает для заказчика выбор DLP-системы. Для удобства все сравнительные критерии были разделены на следующие категории:

Сравнение по категориям 1-5 было опубликовано в первой части, а по категориям 6-9 во второй части.

В силу широкого спектра решаемых DLP-системами задач, мы не делали их итогового ранживания. Мы надеемся, что по результатам проведенного сравнения каждый читатель сможет самостоятельно определиться, какая из DLP-систем больше других подходит для его целей. Ведь в каждом конкретном случае потенциальный заказчик сам знает, какие технологии или функциональные возможности для него наиболее важны, а значит, сможет сделать из сравнения правильный именно для него вывод.

Сравнение DLP-систем

Возможности контроля подключаемых внешних устройств

	InfoWatch Traffic Monitor Enterprise	Дозор Джет	SecurIT Zgate и Zlock	Symantec DLP	Websense DSS	Trend Micro DLP
HDD	Есть	-	Есть	Есть	Есть	Есть
USB	Есть	-	Есть	Есть	Есть	Есть
COM/LPT	Есть	-	Есть	Есть	Есть	Есть
WiFi, Bluetooth и др.	Есть	-	Есть	Есть	Есть	Есть
Локальные принтеры	Есть	-	Есть	Есть	Есть	Есть
Запрет доступа к конфиденциальным файлам на рабочей станции для заданных приложений	Нет	-	Нет	Есть	Есть	Нет
Очистка диска рабочей станции от конфиденциальных данных (перемещение в карантин)	Нет	-	Разрабатывается, планируемый срок реализации конец 2 квартала	Есть	Есть	Нет
Ограничения доступа в зависимости от типа съемного носителя (производитель, серия, модель, экземпляр)	Есть	-	Есть	Есть	Есть	Есть
Возможность разрешать копирование только на доверенные носители	Есть	-	Есть	Есть	Есть	Есть
Автоматическое определение реального владельца данных на основе заданных критериев	Нет	-	Разрабатывается, планируемый срок реализации конец 2 квартала	Есть	Нет	Нет
Контроль буфера обмена	Нет	-	Есть	Есть	Есть	Есть
Контроль копирования из общих папок	Нет	-	Нет	Нет	Нет	Да, с возможностью блокировки
Контроль копирования в общие папки	Нет	-	Нет	Да, с возможностью блокировки	Есть	Есть
Контроль источников хранимых данных	Хранение документов на рабочих местах, сетевых папках, в базах данных, почтовых архивах, системах электронного документооборота, с возможностью поиска и перемещения (для рабочих станций и сетевых папок)	-	Разрабатывается, планируемый срок реализации конец 2 квартала	Хранение документов на рабочих местах, сетевых папках, в базах данных, почтовых архивах, системах электронного документооборота с возможностью поиска и перемещения (для рабочих станций и сетевых папок)	Хранение документов на рабочих местах, сетевых папках и в библиотеках Microsoft SharePoint	Хранение документов на рабочих местах, сетевых папках и в библиотеках Microsoft SharePoint
Мониторинг состояния в режиме онлайн	Есть	-	Есть (сохранением полной истории обращений, построение гибкой отчетности, настройка уведомлений о необычных событиях и попытках доступа)	Есть (сохранение полной истории обращений, построение гибкой отчетности, настройка уведомлений о необычных попытках доступа)	Есть	Есть

Мониторинг агентов и их защита

Управление системой и обработка инцидентов

	InfoWatch Traffic Monitor Enterprise	Дозор Джет	SecurIT Zgate и Zlock	Symantec DLP	Websense DSS	Trend Micro DLP
Собственная консоль	Есть	Есть (веб-консоль)	Есть	Есть (веб-консоль)	Есть (веб-консоль)	Есть (веб-консоль)
Разделение ролей администратора и офицера безопасности	Любое количество настраиваемых ролей + преднастроенные роли	Поддерживается несколько ролей + стандартные преднастроенные роли	Поддерживается несколько ролей + делегирование прав между ролями	Любое количество настраиваемых ролей + преднастроенные роли	Поддерживается несколько ролей + преднастроенные роли	Поддерживается несколько ролей + делегирование прав между ролями
Настройка оповещений	Офицера безопасности, пользователя (будет реализовано в след. версии)	Владельца информации, офицера безопасности, пользователя	Офицера безопасности, аудитора или любого другого заранее указанного адресата	Офицера безопасности, пользователя, его руководителя или любого другого заранее указанного адресата	Офицера безопасности, пользователя	Офицера безопасности, пользователя
Предоставляемые возможности по реагированию на инциденты	Эскалация инцидента, разрешение прохождения заблокированного, закрытие инцидента, запуск скрипта, перенаправление электронной почты на шлюз шифрования разрешение с записью об инциденте или запрещение на пропуск задержанного сообщения.	Эскалация инцидента, разрешение прохождения заблокированного, закрытие инцидента, помещение в архив.	Эскалация инцидента, разрешение прохождения заблокированного, закрытие инцидента, запуск скрипта, помещение в карантин.	Эскалация инцидента, разрешение прохождения заблокированного, закрытие инцидента, помещение в архив, а также любая настраиваемая последовательность действий.	Эскалация инцидента, разрешение прохождения заблокированного, закрытие инцидента, запуск скрипта, перенаправление электронной почты на шлюз шифрования.	Эскалация инцидента, разрешение прохождения заблокированного, закрытие инцидента.
Анализ событий, зафиксированных системой	Есть, через консоль	Есть, через веб-консоль	Есть, через консоль	Есть, через веб-консоль	Есть, через веб-консоль	Есть, через веб-консоль
Сохранение истории инцидентов для последующего анализа	Есть (включая хранение протокола всех инцидентов, карантина задержанных объектов, неограниченное хранение истории для будущих расследований)	Есть (протокол инцидентов и архив сообщений для расследований)	Есть (протокол инцидентов, карантин задержанных сообщений и копии перехваченных объектов)	Есть (протокол инцидентов и всех сопутствующих объектов, неограниченное их хранение для будущих расследований)	Есть (протокол инцидентов и копии перехваченных объектов)	Есть (протокол инцидентов и копии перехваченных объектов)
Запрещение на пропуск задержанного сообщения или разрешение с записью об инциденте	Есть	Нет (только информирование офицера безопасности)	Через карантин (офицер безопасности решает, пропускать или задержать подозрительное сообщение или письмо)	Сотруднику предлагается указать причину необходимости отправки данных (самостоятельно или выбрать из списка), что будет отражено в информации об инциденте	Сотруднику отправляется специальное оповещение по e-mail о нарушении, ответ на которое разблокирует сообщение и выпускает его из карантина	Сотруднику предлагается указать причину необходимости отправки данных, что будет отражено в инциденте в консоли офицера безопасности

Система отчетности о работе DLP-системы

	InfoWatch Traffic Monitor Enterprise	Дозор Джет	SecurIT Zgate и Zlock	Symantec DLP	Websense DSS	Trend Micro DLP
Возможность построения отчетов о нарушениях	Собственные графики и отчеты системы	Собственные графики и отчеты системы	Собственные отчеты в виде журнала событий	Собственные графики и отчеты системы + наличие Reporting API для интеграции со сторонними системами	Собственные графики и отчеты системы	Собственные графики и отчеты системы
Варианты получения отчетов о нарушениях	По электронной почте, через консоль	По электронной почте и через консоль	По электронной почте и через консоль	По электронной почте и через консоль	По электронной почте и через консоль	По электронной почте и через консоль
Временная запись отчёта в локальное хранилище в случае недоступности сервера	Есть	Есть	Есть	Есть	Есть	Есть
Экспорт отчетов	Есть	Есть	Есть (текстовый ANSI, текстовый Unicode и XML)	Есть	Протоколы инцидентов доступны в формате xml-файлов	Есть (PDF, Excel, HTML)
Логирование действий администраторов системы	Есть	Есть	Есть	Полная история всех действий, даже для инцидентов, удаленных из системы	Есть	Есть

Интеграция с решениями сторонних производителей

	InfoWatch Traffic Monitor Enterprise	Дозор Джет	SecurIT Zgate и Zlock	Symantec DLP	Websense DSS	Trend Micro DLP
Интеграция с любыми сторонними утилитами посредством встроенных API	Нет	Есть	Есть	Есть	Нет	Нет
Интеграция со сторонними решениями	Oracle IRM, IBM TSOM, Alladdin eSafe, Cisco IronPort, Bluecoat ProxySG, Lumension Device Control, DeviceLock, ArcSight (будет в версии 4.0)	Lumension Device Control, ArcSight, NetForensics, антивирусы (kav,drweb), категоризаторы (iss, iadmin)	Microsoft RMS, Oracle IRM, ABBYY FineReader, и т. д.	Microsoft RMS, Oracle IRM, PGP и т.д.	Websense Web security, Safend Protector, Lumension Device Control	Поддерживает отправку данных через syslog (обычно идет в привязке к SIEM)
Интеграция с прокси-серверами	С прокси-серверами, поддерживающими ICAP	Bluecoat, McAffe, eSafe - ICAP	С прокси-серверами, поддерживающими ICAP, а также с Microsoft ISA Server	С прокси-серверами, поддерживающими ICAP, а также с Microsoft ISA Server	С прокси-серверами, поддерживающими ICAP	Нет
Интеграция с почтовыми серверами	С любым SMTP-сервером	Интеграция с Exchange и Lotus - через журналирование	С любыми SMTP-серверами, в т. ч. Microsoft Exchange 2007/2010	С любым SMTP-сервером	С любым SMTP-сервером	Для корпоративных систем - Lotus Domino и Microsoft Exchange
Интеграция с Active Directory	Есть	Есть	Есть	Есть	Есть	Есть
Инсталляция и управление через групповые политики	Есть	Нет	Есть	Есть	Есть	Только для политик безопасности

В силу широкого спектра решаемых DLP-системами задач, мы не делали их однозначных выводом о превосходстве того или иного продукта. Мы надеемся, что по результатам проведенного сравнения каждый читатель сможет самостоятельно определиться, какая из DLP-систем больше других подходит для его целей. Ведь в каждом конкретном случае потенциальный заказчик сам знает, какие технологии или функциональные возможности для него наиболее важны, а значит, сможет сделать из сравнения правильный именно для него вывод.

Мы не будем останавливаться на достигнутом и в дальнейшем планируем проводить более глубокие сравнения DLP-систем, как по отдельным группам критериев, так и по их реальной технологической эффективности.