Особистий досвід, як ми вибирали DLP-систему

Добрий день всім! У статті розповім, як тестували 5 систем, що сподобалося, а що ні. Думка суб'єктивна, зате на практиці, а цього в мережі мало (anti-malware наводить порівняння і підкреслює, що воно базисне + на Хабрі про це писали, але вийшла порівняльна таблиця, що в кого є/ні). Ми ж пробували функціонал та міряли під себе, витратили майже півроку і можемо поділитися досвідом. Заздалегідь перепрошую розробників – з мінусів продуктів пройдуся як є (про плюси вони і самі добре розповідають).

dlp-систему

Завжди перевіряйте заявлений функціонал. Ми мали купу досить дурних ситуацій, коли продукт не відповідав офіційному опису.

Підготуйте детальне ТЗ та віддайте його для заповнення вендору. Але навіть у цьому випадку перевіряйте результат. Розробник завжди активно говорить лише про сильні сторони, проблеми немає.

Використовуйте під час тесту пропоновані можливості софту по максимуму, а не тільки ті, які плануєте придбати. Наприклад, ми розширили список вимог до ТЗ, коли побачили функціонал, який нам сподобався.

Ведіть статистику самі, як і підсумковий звіт. У критерії обов'язково включіть пункти: результативність у період, стабільність серверних, клієнтських і агентських елементів, конфлікти коїться з іншими системами і якість підтримки, т.к. цих важливих даних, навіть сильно усереднених, ви знайдете ніде.

Зверніть увагу на безпеку DLP. Адже там лежатиме такий архів, що будь-яка база даних із перданними порівняно з ним тьмяніє.

  • Створіть системі стрес-навантаження. Навантажуйте серверну частину як тільки зможете! Ставте агентів на критичних користувачів. Створюйте політики надмірної складності. Невідмовляйтесь від допомоги техпідтримки, віддавайте вирішення проблем їм. Чим раніше ви зрозумієте, де система має межу, тим об'єктивніше зробите вибір. Та й мати користувачів краще вислухати відразу)). Все ж таки DLP це не тільки система, але ще й послуга – і потрібно відразу визначити, наскільки якісно реалізовано перше та друге.

    • Велика суть

    Отже, до діла – розпочнемо огляд.

    Встановити та налаштувати систему зможе навіть дитина. Питання кількох годин – самостійно і без мануалу! Причому байдуже, на одну ОС ставляться компоненти або розносяться – в обох випадках все очевидно.

    З налаштуваннями теж все гаразд, спочатку навіть очі розбігаються. Наприклад, те, що в інших DLP називається просто "контроль Інтернет", тут розбито на купу груп, причому на кожну можна призначати свої правила.

    Є багато моделей роботи – повноцінне перехоплення, аудит, блокування.

    Загалом охоплення каналів передачі у Зекуріона досить велике, це відзначили всі колеги. Але коли справа дійшла до роботи з інформацією – полізли косяки.

    Що сподобалося:

    1. Велике охоплення каналів, розбиття індивідуальних налаштувань за групами чи логічними блоками.
    2. Можливість реакції залежно від змісту документів та взагалі робота з текстовим вмістом.
    3. Емуляція проксі на агентському рішенні.

    Що не сподобалося:

    Нелогічна модульність. Якщо наявність кількох серверних частин сприймається позитивно, наявність ДВУХ агентів сприймається, м'яко кажучи, дивно. Складно сказати, якій логіці це служить, особисто мені таке рішення не сподобалося – обидва агенти виконують, по суті, ту саму роль.

    Робота з архівом. Коли руки дійшли до роботи з перехопленою інформацією –думка про Зекуріон різко змінилася. Інтерфейс виконаний за технологією MMC, і, гадаю, зрозумілі всі проблеми такого рішення. Працювати з архівом дуже складно – вибірки даних, знайдені порушення переглядати незручно. У багатьох місцях робота йде навіть не з вибірками з БД, а з фільтрацією журналів, і всі проблеми, що випливають звідси, очевидні.

  • Агенти. З агентами була низка проблем, адміни в курсі ситуації – у нас домовленість видаляти агента тільки в крайньому випадку і лише за погодженням. Тому ми бачимо всі проблеми та зберігаємо статистику. Комп'ютер може почати страшно тупити просто від наявності агента, без зрозумілих причин. Жодних можливих конфліктів, несумісності з ПЗ та іншого, що допомогло б зрозуміти причину, знайти не вдалося.

    • Разом:

    Засмутили непророблені інструменти для роботи з архівом, а архів там накопичується дуже чималий - БД розростається з фантастичною швидкістю! Так, є інструменти вибірки, є стиснення даних, є різноманітні опції фільтрації – але це не вирішує проблему застарілого інтерфейсу. Те, що в інших системах робиться на 2 дії, тут може вимагати і 10, і 20 операцій.

    Ще до першого використання стало зрозуміло, що з системою не все так просто. Справа в тому, що рішення використовує відразу кілька незалежних один від одного продуктів та платформ. Частину функціоналу винесено на один продукт, частина – на другий. Абсолютно незрозуміло, навіщо систему так ускладнили. Загалом можна було б змиритися з цим лихом, але виникають проблеми архітектурного плану – із трьох рішень аналіз працює лише для одного. Наприклад, для пошти аналіз працює нормально, для скайпу під питанням (дивлячись який агент встановлений), для вайбер – не працює взагалі.

    Що сподобалося:

    1. Пророблений і досить приємний інтерфейс користувача.
    2. Каналів контролю не так багато в трафік монітор. Але відразу, без жодного мануалу, зрозуміло, як ними користуватися і за що вони відповідають.
    3. Добре структурована подача перехопленої інформації. Все розбите на групи, все покроково, все логічно та просто.

    Що не сподобалося:

    Агенти. Досить сказати, що їх кілька. Скайп контролюється одним агентом, Вайбер – іншим. І не про різні “модулі” одного рішення – це абсолютно незв'язані рішення.

  • Архітектура системи. Зазвичай система працює або в WIN, або в UNIX. А тут потрібні відразу дві платформи. Навіщо – незрозуміло.

    • Продукти роз'єднані - є Traffic Monitor, є Device Monitor. Як я вже казав, вони на різних платформах, але насправді це та сама система. А є ще Endpoint Security і Personal Monitor - як би завдання суміжні, але це абсолютно інше рішення, ніяк не сумісне з першими двома. Чому так – знову ж таки незрозуміло, адже той же “робочий час” було б корисним у DLP. Закрадаються думки, що зроблено цей поділ, щоб впарити разом із DLP ще кілька продуктів та збільшити загальний чек.

    1. Функціональність. Поки працюєш з Traffic Monitor - все чудово, консоль спритна і приємна, все дуже просто, працює система швидко. Але як тільки переходиш до інших завдань (та інших консолей) – починається морок. Тут можна блокувати, але не можна створювати тіньову копію. Тут можна створювати тіньову копію, але не можна нічого шукати. Пристрої зберігання взагалі контролюються у всіх трьох платформах, причому скрізь по-своєму.

    У процесі роботи виникає проблема – треба лізти у різні системи, не можнапросто натиснути на подію двічі і побачити всі подробиці, як зроблено у ВСІХ інших рішеннях.

    Разом:

    Ми з колегами та керівництвом зійшлися на думці, що за пропоноване рішення ціна невиправдано висока, з урахуванням того, що вона є якоюсь “солянкою” з різношерстого софту, ніяк не з'єднаною разом.

    Searchinform

    Система складається з багатьох додатків і клієнтських, і серверних. Після встановлення на робочому столі з'являється стільки іконок, що спочатку відчуваєш стан близький до шоку. Потім ситуація згладжується: за фактом, необхідних компонентів 3-4, інше – запускається одноразово і після налаштування не використовується. Усі компоненти виключно програми для Windows, жодної мультиплатформенності не передбачено. Є певний веб-доступ, але він працює тільки для графічних звітів.

    Що сподобалося:

    Що не сподобалося:

    Блокування каналів. Блокувати можна далеко не всі канали, що перехоплюються. І немає контентних правил блокування, все виключно за атрибутами.

  • Кількість консолей 9 консолей. Вони серйозно?

    • Разом:

    У плані роботи з архівом КІБ справді сильний. Засмутив слабкий функціонал блокувань за контентом і напружили консолі.

    Роботу ТП варто згадати окремо. Виникли косяки та побажання були вирішені під час пілота, коли ми ще не заплатили жодної копійки. Можливо, роль зіграла наша грошовість, але факт залишається фактом: працювали з нами добре.

    Falcongaze

    Сказати, що система розгортається просто - недостатньо, рідко побачиш настільки простий в установці продукт. Розробник стверджує, що повноцінне розгортання займає лічені години - насправді воно займає хвилини! наСпочатку складається враження, що продукт дуже простий і в адмініструванні - всі основні дії виконуються логічно і як щось, само собою зрозуміле.

    Кількість контрольованих каналів досить широка - на додаток до базових, є такі можливості, як запис звуку з мікрофона, онлайн-підключення та інші специфічні канали, список можна знайти в будь-якому огляді, тому я не зупинятимуся на ньому.

    Що сподобалося:

    1. Дуже багато різних каналів контролю, крім основних, є такі речі як Viber, скрини, кейлоггер, пошук і т.д.
    2. Опрацьований механізм вибірки даних. Зручно шукати якихось конкретних речей.
    3. Комплект поставки (шаблони, політики, навіть Abbyy OCR) можна використовувати за п'ять хвилин після встановлення агентів перехоплення.
    4. Ефективність користувача, як окремий і досить опрацьований канал контролю: хто, що робив і скільки часу, дуже добре видно.

    Що не сподобалося:

    Обробка даних. Велика затримка в отриманні даних, пов'язана з особливостями обробки (індексування) - може вимірюватися годинами.

    Звіти. Безглузді звіти: є кілька опрацьованих, з якими можна мати справу і віддавати начальству, але основна маса звітів абсолютно марна.

    Глюки. Якщо при тестуванні деяких інших систем користувачі страждали від проблем з агентами, то тут ми опинилися на їх місці, т.к. до агентських додалися ще й серверні глюки – політика, перевірки цілком можуть повиснути, поцупивши разом із собою консоль. Причому ситуація не завжди вирішується перезапуском.

  • Блокування. У мене склалося враження, що система частково недороблена, частково – реалізована, щоназивається, для галочки. Поясню з прикладу. У ПЗ заявлено функціонал блокування через проксі. Така функція справді є, але треба бачити, як вона зроблена!

    • Користувачеві доступний майстер налаштування правил блокування, в якому всі параметри вибираються вручну. Наприклад, бажаєте заблокувати вкладення Gmail - будь ласка, система таке дозволяє, сідайте в Шарк і дивіться трафік, коли зрозумієте якусь частину URI блокувати - майстер до ваших послуг. Бажаєте закласти відправку на dropbox? - немає нічого простіше: заливаєте тестовий док, попутно переглядаючи трафік, шукаєте потрібний шматок, додаєте його в правило, перевіряєте і всього діл-те! Не забуваймо відтворити всі способи закачування. І це потрібно робити всім завданням. А блокувань на підставі змісту немає.

    Разом:

    Device Lock

    Тест заходив важко – ми знали, що немає необхідного нам функціоналу, т.к. система працює тільки на агентах, що в нашому випадку не завжди можливе. Як би там не було, вирішили тестувати, оскільки розробник запевняв, що багато функціоналу ми не бачили.

    Система ставиться дуже просто, клієнт-серверна архітектура, притаманна DLP-рішенням, тут має досить умовний характер. Агенти взагалі можуть працювати без зв'язку із сервером, тому установка відбувається фактично, як у звичайної програми. Розгортається все дуже швидко, є спеціальні засоби для адміністрування налаштувань – це досить зручно. Робота з самою системою не викликає особливих труднощів, все дуже зрозуміло.

    Що сподобалося:

    Що не сподобалося:

    Є засіб пошуку тексту по архіву, але він поставляється окремо, а самі пошукові можливості не йдуть ні в яке порівняння з тими самими Серчем і Фалкон.

    Аналітика. Всяаналітика відпрацьовує в реальному часі, і начебто це момент позитивний. Але за фактом це не завжди так. Доступні регулярні висловлювання та пошук з морфологією, ну ще різні атрибутивні правила. Цього вистачає тільки для дуже простих блокувань, що не завжди дозволяє вирішити прикладні завдання.

  • Немає деяких інструментів. Немає технології звіряння файлів за цифровими відбитками та пошуку зміненого тексту всередині документів. Це дало б можливість задати в систему список конфіденційних файлів та конфіденційного змісту, включити блокування для всіх каналів і більше туди ніколи не заходити.

    • Разом:

    Не робитиму якихось глобальних висновків – для кожної організації вони будуть свої, адже всі мають різні вимоги до технологій і функціоналу. Сподіваюся тільки, що мій огляд стане в нагоді комусь у нелегкій справі вибору DLP-системи.

    А у нас тут можна отримати грант на тестовий період Яндекс.Хмари. Варто лише у полі «секретний пароль» запровадити «Хабр»