Личен опит как избрахме DLP система

Хубав ден на всички! В статията ще ви разкажа как тествахме 5 системи, какво ни хареса в тях и какво не. Мнението е субективно, но на практика и това не е достатъчно в мрежата (anti-malware дава сравнение и подчертава, че е основно + те писаха за него на Habré, но се оказа сравнителна таблица, която някой има / няма). Изпробвахме функционалността и я измерихме сами, прекарахме почти шест месеца и можем да споделим нашия опит. Предварително се извинявам на разработчиците - ще прегледам минусите на продуктите, каквито са (самите те говорят добре за плюсовете).

опит

Винаги проверявайте декларираната функционалност. Имахме куп доста глупави ситуации, в които продуктът не отговаряше на официалното описание.

Подгответе подробно ТЗ и го изпратете на доставчика за попълване. Но дори и в този случай проверете резултата. Разработчикът винаги активно говори само за силни страни, а не за проблеми.

По време на теста използвайте максимално предлаганите софтуерни функции, а не само тези, които смятате да закупите. Например, ние разширихме списъка с изисквания в ТЗ, когато видяхме функционалността, която ни хареса.

Водете сами статистиката, както и окончателния отчет. Не забравяйте да включите в критериите: производителност за период от време, стабилност на сървъра, клиентската и агентската част, конфликти с други системи и качеството на поддръжката, т.к. няма да намерите тези важни данни, дори и силно осреднени, никъде.

Обърнете внимание на сигурността на самата DLP. В крайна сметка ще има такъв архив, че всяка база данни с persdata бледнее в сравнение с него.

  • Поставете стрес върху системата. Заредете страната на сървъра възможно най-скоро! Поставете агенти на критични потребители. Създайте политики за излишна сложност. Неоткажете помощта на техническата поддръжка, дайте им решението на проблемите. Колкото по-рано разберете къде системата има лимит, толкова по-обективно ще направите избора си. Да, и изтривалките на потребителите са по-добре да се слушат веднага)). Все пак DLP е не само система, но и услуга - и трябва незабавно да определите колко добре са внедрени първото и второто.

    • Голяма същност

    И така, нека да се заемем с работата - да започнем прегледа.

    Дори дете може да инсталира и конфигурира системата. Въпрос на няколко часа - самостоятелно и без ръководство! И няма значение дали компонентите са инсталирани на една и съща операционна система или са разпределени - и в двата случая всичко е доста очевидно.

    С настройките също всичко е наред, в началото дори очите се разширяват. Например, това, което в други DLP се нарича просто „Интернет контрол“, тук е разделено на куп групи и на всяка може да се присвоят собствени правила.

    Има много модели на работа – пълноценно прихващане, ревизия, блокиране.

    Като цяло покритието на каналите за предаване на Zecurion е доста широко, всички колеги отбелязаха това. Но когато се стигна до работа с информация, имаше задръствания.

    Какво ми хареса:

    1. Голямо покритие на канала, разделяне на индивидуалните настройки на групи или логически блокове.
    2. Възможност за реагиране в зависимост от съдържанието на документи и като цяло работа с текстово съдържание.
    3. Прокси емулация на решение на агенция.

    Какво не ми хареса:

    Нелогична модулност. Ако наличието на няколко сървърни части се възприема положително, то присъствието на ДВА агента се възприема, меко казано, странно. Трудно е да се каже на каква логика служи това, на мен лично това решение не ми хареса - и двамата агенти изпълняват всъщност една и съща роля.

    Работа с архива. Когато ръцете се заеха с прихванатата информация -мнението за Zekurion се промени драстично. Интерфейсът е направен с помощта на MMC технология и мисля, че всички проблеми на такова решение са ясни. Работата с архива е много трудна - неудобно е да се преглеждат проби от данни, открити нарушения. На много места се работи дори не със селекции от бази данни, а с филтриране на журнали и всички проблеми, произтичащи от това, са очевидни.

  • Агенти. Имаше редица проблеми с агентите, администраторите са наясно със ситуацията - имаме споразумение да премахваме агент само в краен случай и само според договореността. Затова виждаме всички проблеми и запазваме статистика. Компютърът може да започне да става ужасно глупав просто от присъствието на агент, без видима причина. Не бяха открити възможни конфликти, несъвместимост със софтуера и други неща, които биха помогнали да се разбере причината.

    • Общо:

    Бяхме разстроени от неразработените инструменти за работа с архива, а архивът там се натрупва много - базата данни расте с фантастична скорост! Да, има инструменти за вземане на проби, има компресиране на данни, има различни опции за филтриране - но всичко това не решава проблема с остарелия интерфейс. Това, което се прави в 2 стъпки в други системи, може да изисква 10 или 20 стъпки тук.

    Още преди първото използване стана ясно, че системата не е толкова проста. Факт е, че решението използва няколко независими продукта и платформи наведнъж. Част от функционалността се премества в един продукт, част в друг. Абсолютно неразбираемо е защо системата е толкова сложна. Като цяло може да се примири с това бедствие, но възникват архитектурни проблеми - от три решения анализът работи само за едно. Например за пощата анализът работи добре, за skype е под въпрос (в зависимост от това кой агент е инсталиран), за viber изобщо не работи.

    Какво ми хареса:

    1. Добре проектиран и доста приятен потребителски интерфейс.
    2. В монитора на трафика няма толкова много канали за управление. Но веднага, без ръководство, е ясно как да ги използвате и за какво отговарят.
    3. Добре структурирано представяне на прихваната информация. Всичко е разделено на групи, всичко е стъпка по стъпка, всичко е логично и просто.

    Какво не ми хареса:

    Агенти. Достатъчно е да се каже, че има няколко. Skype се контролира от един агент, Viber от друг. И ние не говорим за различни „модули“ на едно решение - това са абсолютно несвързани решения.

  • Системна архитектура. Обикновено системата работи на WIN или UNIX. И тук са необходими две платформи наведнъж. Защо не е ясно.

    • Продуктите са разделени - има Traffic Monitor, има Device Monitor. Както казах, те са на различни платформи, но всъщност са една и съща система. Има и Endpoint Security и Personal Monitor - привидно свързани задачи, но това е напълно различно решение, по никакъв начин несъвместимо с първите две. Защо това е така, отново не е ясно, защото същото „работно време“ би било полезно в DLP. Прокрадват се мисли, че това разделение е направено, за да се продадат още няколко продукта заедно с DLP и да се увеличи общата сметка.

    1. Функционалност. Докато работите с Traffic Monitor всичко е наред, конзолата е пъргава и приятна, всичко е много просто, системата работи бързо. Но веднага щом преминете към други задачи (и други конзоли), тъмнината започва. Тук можете да блокирате, но не можете да създадете копие в сянка. Тук можете да създадете скрито копие, но не можете да търсите нищо в него. Устройствата за съхранение обикновено се управляват и в трите платформи и навсякъде по свой начин.

    В процеса на работа възниква проблем - трябва да се изкачите в различни системи, не можетепросто щракнете двукратно върху събитие и вижте всички подробности, както се прави във ВСИЧКИ други решения.

    Общо:

    Моите колеги и ръководството се съгласиха, че цената на предложеното решение е неоправдано висока, като се има предвид, че това е своеобразна „месавица” от разнороден софтуер, който не е свързан по никакъв начин.

    searchinform

    Системата се състои от много приложения, както клиентски, така и сървърни. След инсталирането на работния плот се появяват толкова много икони, че в началото изпитвате състояние, близко до шок. Тогава ситуацията се изглажда: всъщност има 3-4 необходими компонента, останалите се стартират веднъж и не се използват след конфигуриране. Всички компоненти са изключително приложения за Windows, не се предоставя мултиплатформа. Има известен уеб достъп, но той работи само за графични отчети.

    Какво ми хареса:

    Какво не ми хареса:

    Блокиране на канали. Не всички прихванати канали могат да бъдат блокирани. И няма правила за блокиране на съдържание, всичко е изключително по атрибути.

  • Брой конзоли 9 конзоли. Сериозни ли са?!

    • Общо:

    По отношение на работата с архива КИБ наистина е много силен. Той разстрои слабата функционалност на блокирането по съдържание и натовари конзолите.

    Заслужава да се спомене отделно работата на ТП. Възникналите задръствания и желания бяха разрешени по време на пилота, когато още не бяхме платили нито стотинка. Може би нашите пари изиграха роля, но фактът остава: те работиха добре с нас.

    Falcongaze

    Не е достатъчно да се каже, че системата е просто внедрена, рядко ще видите продукт, толкова лесен за инсталиране. Разработчикът твърди, че пълното внедряване отнема няколко часа - всъщност отнема минути! НаПървоначално се създава впечатлението, че продуктът е много прост и лесен за администриране - всички основни действия се извършват логично и естествено.

    Броят на контролираните канали е доста обширен - в допълнение към основните, има такива функции като запис на звук от микрофон, онлайн връзки и други специфични канали, списъкът може да бъде намерен във всеки преглед, така че няма да се спирам на него.

    Какво ми хареса:

    1. Има много различни канали за управление, в допълнение към основните, има такива неща като Viber, екранни снимки, keylogger, търсене и т.н.
    2. Добре разработен механизъм за вземане на проби от данни. Удобно е да търсите някои конкретни неща.
    3. Комплектът за разпространение (шаблони, правила, дори Abbyy OCR) може да се използва пет минути след инсталирането на агентите за прихващане.
    4. Ефективността на потребителя, като отделен и добре развит контролен канал: кой какво е направил и за колко време, е много ясно видима.

    Какво не ми хареса:

    Обработка на данни. Голямо забавяне на обработката (индексиране) при получаване на данни - може да се измери в часове.

    Доклади. Глупави доклади: Има няколко добре разработени доклада, с които можете да се справите и да дадете на началниците си, но по-голямата част от докладите са напълно безполезни.

    Проблеми. Докато тествахме някои други системи, потребителите страдаха от проблеми с агенти, тогава ние самите бяхме на тяхно място, защото. неизправностите на сървъра бяха добавени към неизправностите на агенцията - политика, проверките може да висят, влачейки конзолата заедно с тях. И не винаги ситуацията се решава с рестартиране.

  • Заключвания. Имам впечатлението, че системата е отчасти незавършена, отчасти внедрена,наречен, за шоу. Нека обясня с пример. Софтуерът декларира функционалността на блокиране чрез прокси. Наистина има такава функция, но трябва да видите как се прави!

    • Потребителят има достъп до съветника за конфигуриране на правилата за блокиране, в който всички параметри се избират ръчно. Например, ако искате да блокирате прикачени файлове в Gmail - моля, системата позволява това, седнете в Shark и гледайте трафика, когато разберете коя част от URI да блокирате - съветникът е на ваше разположение. Искате ли да заключите изпращането до dropbox? - няма нищо по-лесно: попълнете тестовия док, погледнете трафика по пътя, потърсете правилното парче, добавете го към правилото, проверете и това е! Не забравяйте да възпроизведете всички методи за изтегляне. И това трябва да се направи за всички задачи. Няма блокиране въз основа на съдържание.

    Общо:

    заключване на устройството

    Тестът мина трудно - явно знаехме, че няма функционалност, от която се нуждаем, т.к. системата работи само на агенти, което не винаги е възможно в нашия случай. Както и да е, решихме да го тестваме, тъй като разработчикът увери, че не виждаме много функционалност.

    Системата е настроена много просто, архитектурата клиент-сървър, присъща на DLP решенията, тук е много условна. Агентите обикновено могат да работят без комуникация със сървъра, така че инсталацията се извършва всъщност като обикновена програма. Всичко се разгръща изключително бързо, има специални инструменти за администриране на настройките - това е доста удобно. Работата със самата система не създава особени затруднения, всичко е много ясно.

    Какво ми хареса:

    Какво не ми хареса:

    В архива има инструмент за търсене на текст, но той се доставя отделно и самите възможности за търсене не могат да се сравняват със същото търсене и Falcon.

    Анализ. Всичкианализът работи в реално време и, изглежда, това е положителен момент. Но всъщност това не винаги е така. Налични са регулярни изрази и търсене с морфология, както и различни правила за атрибути. Това е достатъчно само за много прости ключалки, което не винаги позволява решаване на приложни проблеми.

  • Някои инструменти липсват. Няма технология за проверка на файлове чрез цифрови отпечатъци и търсене на променен текст в документи. Това би позволило да се зададе списък с поверителни файлове и поверително съдържание в системата, да се активира блокиране за всички канали и никога повече да не се посещава там.

    • Общо:

    Няма да правя глобални изводи - за всяка организация те ще бъдат различни, защото всеки има различни изисквания към технологиите и функционалността. Само се надявам, че прегледът ми ще бъде полезен на някой в ​​трудната задача да избере DLP система.

    И тук можете да получите грант за тестов период на Yandex.Cloud. Необходимо е само да въведете "Habr" в полето "секретна парола".