- PVSM.RU - https://www.pvsm.ru -
Добрый день всем! В статье расскажу, как тестировали 5 систем, что в них понравилось, а что нет. Мнение субъективное, зато на практике, а этого в сети мало (anti-malware [1] приводит сравнение и подчеркивает, что оно базисное + на Хабре об этом писали [2], но получилась сравнительная таблица, что у кого есть/нет). Мы же пробовали функционал и меряли под себя, потратили почти полгода и можем поделиться опытом. Заранее приношу извинения разработчикам – по минусам продуктов пройдусь как есть (о плюсах они и сами хорошо рассказывают).
Для тех, кто не хочет читать статью полностью, – выводы и советы по выбору DLP сразу:
Всегда проверяйте заявленный функционал. У нас была куча довольно глупых ситуаций, когда продукт не соответствовал официальному описанию.
Подготовьте детальное ТЗ и отдайте его для заполнения вендору. Но даже в этом случае проверяйте результат. Разработчик всегда активно говорит только о сильных сторонах, о проблемах нет.
Используйте во время теста предлагаемые возможности софта по максимуму, а не только те, которые планируете приобретать. Например, мы расширили список требований в ТЗ, когда увидели функционал, который нам понравился.
Ведите статистику сами, как и итоговый отчет. В критерии обязательно включите пункты: результативность за период времени, стабильность серверных, клиентских и агентских частей, конфликты с другими системами и качество поддержки, т.к. этих важных данных, даже сильно усредненных, вы не найдете нигде.
Обратите внимание на безопасность самой DLP. Ведь там будет лежать такой архив, что любая база данных с персданными в сравнении с ним меркнет.
Большааая суть
Итак, к делу – начнем обзор.
Установить и настроить систему сможет даже ребенок. Вопрос пары часов – самостоятельно и без мануала! Причем неважно, на одну ОС ставятся компоненты или разносятся – в обоих случаях все довольно очевидно.
С настройками тоже все хорошо, поначалу даже глаза разбегаются. Например, то, что в других DLP называется просто “контроль Интернет”, тут разбито на кучу групп, причем на каждую можно назначать свои правила.
Есть много моделей работы – полноценный перехват, аудит, блокировки.
Вообще охват каналов передачи у Зекуриона довольно обширный, это отметили все коллеги. Но вот когда дело дошло до работы с информацией – полезли косяки.
Что понравилось:
Что не понравилось:
Нелогичная модульность.
Если наличие нескольких серверных частей воспринимается позитивно, то наличие ДВУХ агентов воспринимается, мягко говоря, странно. Сложно сказать, какой логике это служит, лично мне такое решение не понравилось – оба агента выполняют, по сути, одну и ту же роль.
Работа с архивом.
Когда руки дошли до работы с перехваченной информацией – мнение о Зекурион резко изменилось. Интерфейс выполнен по технологии MMC, и, думаю, понятны все проблемы такого решения. Работать с архивом очень сложно – выборки данных, найденные нарушения просматривать неудобно. Во многих местах работа идет даже не с выборками из БД, а с фильтрацией журналов, и все вытекающие отсюда проблемы очевидны.
Итого:
Огорчили непроработанные инструменты для работы с архивом, а архив там копится очень немалый – БД разрастается с фантастической скоростью! Да, есть инструменты выборки, есть сжатие данных, есть разнообразные опции фильтрации – но это все не решает проблему устаревшего интерфейса. То, что в других системах делается в 2 действия, здесь может потребовать и 10, и 20 операций.
На тест нам отдали 5-ю версию. Система контролирует базовый список каналов (почта, интернет, мессенджеры, устройства хранения, печать) и имеет ряд предопределенных аналитических функций. На них и основана вся логика системы.
Еще до первого использования стало понятно, с системой не все так просто. Дело в том, что решение использует сразу несколько независимых друг от друга продуктов и платформ. Часть функционала вынесена в один продукт, часть – в другой. Абсолютно непонятно, зачем систему настолько усложнили. В целом можно было бы смириться с этой бедой, но возникают проблемы архитектурного плана – из трех решений анализ работает только для одного. Например, для почты анализ работает нормально, для скайпа под вопросом (смотря какой агент установлен), для вайбер – не работает вообще.
Что понравилось:
Что не понравилось:
Агенты.
Достаточно сказать, что их несколько. Скайп контролируется одним агентом, Вайбер – другим. И речь не про разные “модули” одного решения – это абсолютно несвязанные решения.
Продукты разобщены – есть Traffic Monitor, есть Device Monitor. Как я уже говорил, они на разных платформах, но на самом деле это одна и та же система. А есть еще Endpoint Security и Personal Monitor – вроде бы задачи смежные, но это абсолютно другое решение, никак не совместимое с первыми двумя. Почему так – опять же непонятно, ведь то же “рабочее время” было бы полезно в DLP. Закрадываются мысли, что сделано это разделение, чтобы впарить вместе с DLP еще несколько продуктов и увеличить общий чек.
В процессе работы возникает проблема – нужно лезть в разные системы, нельзя просто кликнуть на событие два раза и увидеть все подробности, как сделано во ВСЕХ других решениях.
Итого:
Мы с коллегами и руководством сошлись во мнении, что за предлагаемое решение цена неоправданно высокая, с учетом того, что она представляет из себя некую “солянку” из разношерстного софта, никак не соединенную вместе.
Система состоит из множества приложений и клиентских, и серверных. После установки на рабочем столе появляется столько иконок, что поначалу испытываешь состояние близкое к шоку. Потом ситуация сглаживается: по факту, нужных компонентов 3-4, остальное – запускается однократно и после настройки не используется. Все компоненты исключительно приложения для Windows, никакой мультиплатформенности не предусмотрено. Есть некий веб доступ, но он работает только для графических отчетов.
Что касается контроля каналов, то тут все очень хорошо – закрыты практически все пути. Можно логировать и изменения файловой системы, и изменения в конфигурациях машин, короче, вплоть до записи видео действий пользователя. Заблокировать в системе можно не все, зато с доказательствами проблем нет.
Что понравилось:
Что не понравилось:
Блокировка каналов.
Блокировать можно далеко не все перехватываемые каналы. И нет контентных правил блокировки, все исключительно по атрибутам.
Сложный интерфейс.
Начать работу с системой под силу не каждому: много консолей и в каждой запутанный интерфейс, над которыми еще нужно поломать голову, чтобы разобраться. Либо читать мануал, что ни в одной другой системе не потребовалось.
Итого:
В плане работы с архивом КИБ действительно силен. Расстроил слабый функционал блокировок по контенту и напрягли консоли.
Работу ТП стоить упомянуть отдельно. Возникшие косяки и пожелания были решены во время пилота, когда мы еще не заплатили ни копейки. Возможно, роль сыграла наша денежность, но факт остается фактом: работали с нами хорошо.
Сказать, что система разворачивается просто – недостаточно, редко увидишь настолько простой в установке продукт. Разработчик утверждает, что полноценное развертывание занимает считанные часы – на самом деле оно занимает минуты! На первых порах складывается впечатление, что продукт очень простой и в администрировании – все основные действия выполняются логично и как нечто, само собой разумеющееся.
Количество контролируемых каналов достаточно обширно – в дополнение к базовым, есть такие возможности, как запись звука с микрофона, онлайн-подключения и другие специфические каналы, список можно найти в любом обзоре, поэтому я не буду на нем останавливаться.
Что понравилось:
Что не понравилось:
Обработка данных.
Большая задержка в получении данных, связанная с особенностями обработки, (индексирование) – может измеряться часами.
Отчеты.
Бестолковые отчеты: есть несколько проработанных, с которыми можно иметь дело и отдавать начальству, но основная масса отчетов абсолютно бесполезна.
Глюки.
Если при тестировании некоторых других систем пользователи страдали от проблем с агентами, то тут мы сами оказались на их месте, т.к. к агентским добавились еще и серверные глюки – политика, проверки вполне могут повиснуть, утащив вместе с собой консоль. Причем ситуация не всегда решается перезапуском.
Пользователю доступен мастер настройки правил блокировки, в котором все параметры выбираются вручную. Например, желаете заблокировать вложения Gmail – пожалуйста, система такое позволяет, садитесь в Шарк и смотрите траффик, когда поймете какую часть URI блокировать – мастер к вашим услугам. Желаете залочить отправку на dropbox? – нет ничего проще: заливаете тестовый док, попутно просматривая траффик, ищете нужный кусок, добавляете его в правило, проверяете и всего делов-то! Не забываем воспроизвести все способы закачки. И это нужно делать для всех задач. А блокировок на основании содержания нет.
Итого:
Система имеет мощные возможности по сбору различных данных, но кроме просмотра архива ничего не позволяет с ними делать. То есть возможная реакция на инцидент одна – уведомить админа. Блокировки заявлены, но работают специфически. Да и вообще все работает специфически – может конечно это нам не повезло, но называть ее безглючной язык не поворачивается.
Тест заходил тяжело – мы заведомо знали, что нет необходимого нам функционала, т.к. система работает только на агентах, что в нашем случае не всегда возможно. Как бы то ни было, решили тестировать, так как разработчик заверял, что много функционала мы не видели.
Система ставится очень просто, клиент-серверная архитектура, присущая DLP-решениям, здесь носит весьма условный характер. Агенты вообще могут работать без связи с сервером, поэтому установка происходит фактически, как у обычной программы. Разворачивается все крайне быстро, есть специальные средства для администрирования настроек – это довольно удобно. Работа с самой системой не вызывает особых затруднений, все очень понятно.
Что понравилось:
Что не понравилось:
Работа исключительно на агентах.
Нет возможности контролировать сеть, нет возможности блокировать на прокси, практически нет интеграций с корпоративными системами (почтарями и т.д.)
Есть средство поиска текста по архиву, но оно поставляется отдельно, а сами поисковые возможности не идут ни в какое сравнение с теми же Сёрчем и Фалконом.
Аналитика.
Вся аналитика отрабатывает в реальном времени, и, вроде как, это момент положительный. Но по факту это не всегда так. Доступны регулярные выражения и поиск с морфологией, ну еще различные атрибутивные правила. Этого хватает только для очень простых блокировок, что далеко не всегда позволяет решить прикладные задачи.
Итого:
Система кардинально отличается от аналогов – она сделана для “работы в моменте”. Взаимодействие с архивом, расследования, поиск данных – это все проработано плохо. Ну и работа только на агентах: их не поставишь на телефоны и планшеты, даже если они корпоративные – у всех остальных это решается через прокси.
Не буду делать каких-то глобальных выводов – для каждой организации они будут свои, ведь у всех разные требования к технологиям и функционалу. Надеюсь только, что мой обзор пригодится кому-то в нелегком деле выбора DLP-системы.
Автор: MakAlex_35
Источник [8]
Сайт-источник PVSM.RU: https://www.pvsm.ru
Путь до страницы источника: https://www.pvsm.ru/opy-t/224467
Ссылки в тексте:
[1] anti-malware: https://www.anti-malware.ru/comparisons/data_leak_protection_2014_part1
[2] об этом писали: https://habrahabr.ru/post/141000/
[3] Zecurion: http://www.zecurion.ru/
[4] Infowatch: https://www.infowatch.ru/
[5] Searchinform: http://searchinform.ru/
[6] Falcongaze: https://falcongaze.ru/
[7] Device Lock: http://www.devicelock.com/ru/
[8] Источник: https://habrahabr.ru/post/318324/?utm_source=habrahabr&utm_medium=rss&utm_campaign=sandbox
Нажмите здесь для печати.