Порівняння систем захисту від витоків (DLP) – частина 1, Безпека ПЗ, Security & Hack, статті

Представляємо вашій увазі перше в своєму роді публічне порівняння систем захисту від витоків конфіденційних даних (DLP). У ньому ми проаналізували і порівняли між собою шість провідних російських і зарубіжних рішень. Результати порівняння допоможуть зрозуміти, чим принципово відрізняються між собою різні рішення і на що варто орієнтуватися при їх виборі.



Введення


Якщо раніше поширення інформації можна було досить ефективно контролювати адміністративними заходами, надаючи фізичний доступ до неї тільки для обмеженого числа осіб, то в епоху загальної інформатизації контролювати доступ до інформації і тим більше її переміщення стає складним завданням. Тому все гостріше постає проблема інсайдерів і витоку конфіденційної інформації.


На допомогу бізнесу в такій ситуації приходять виробники програмних і апаратних засобів захисту, які досить давно пропонують на ринку цілий ряд рішень для захисту від витоків конфіденційних даних (Систем Data Leak Prevention, далі DLP). Застосування таких продуктів на практиці може бути трохи ширше, так як технологічно з їх допомогою можна контролювати переміщення будь-якої інформації, а не тільки строго конфіденційною.


Однак початкова складність DLP-систем, сильна технологічна і функціональна закритість значно ускладнюють процес їх усвідомленого вибору для замовника. Справа в тому, що виробники часто не можуть правильним чином представити ринку об'ємну і складну систему з безліччю функцій і нетривіальних технологій. Частина з виробників зовсім не зацікавлені в тому, щоб доступно і зрозуміло розповідати про технічні тонкощі роботи своїх продуктів, очевидно, побоюючись зайвий обізнаності клієнтів і прямих порівнянь з конкурентами.


До того ж через незрілість ринку і значних технологічних і функціональних відмінностей між конкуруючими рішеннями у потенційного клієнта виникає повна дезорієнтація, яке рішення краще використовувати в тому чи іншому випадку. З'являється безліч питань. Чим принципово відрізняються між собою різні рішення? На що орієнтуватися при виборі DLP-системи? Як вибрати найбільш відповідне рішення?


У всіх тонкощах роботи DLP-систем часто важко розібратися навіть професіоналам з цієї галузі, не кажучи вже про потенційних клієнтів. Ще складніше порівняти їх можливості між собою. Мета даного порівняння полягає в тому, щоб показати ключові відмінності найбільш популярних російських і зарубіжних DLP-систем, тим самим зробивши вибір менш складним для клієнта.


Таким чином, ознайомившись з результатами цього порівняння, потенційний замовник зможе вже на початковому етапі зорієнтуватися, які системи захисту від витоків конфіденційних даних підходять для його завдань найкращим чином, звузити поле вибору і в підсумку значно заощадити час і гроші.


Дане порівняння потрібно розглядати як базисне. Ми ні в якому разі не будемо зупинятися на досягнутому в своєму прагненні зробити DLP-ринок більш відкритим. Надалі ми плануємо проводити більш глибокі порівняння DLP-систем, як по окремих групах критеріїв, так і по реальній технологічної ефективності.



Методологія порівняння DLP-систем


На сьогоднішній день існує досить багато рішень, які навіть досить умовно складно віднести до класу повноцінних DLP-cистем. Багато компаній використовують абревіатуру DLP, називаючи їй фактично все, що завгодно, де є хоч якийсь функціонал, який контролює вихідний трафік або зовнішні носії.


Природно, що ми не можемо змішувати в купу і порівнювати несравніваемие між собою в принципі продукти. Тому при відборі учасників порівняння ми жорстко керувалися формулюванням, що таке DLP-система. Під цим ми розуміємо такі системи, які дозволяють виявити і / або блокувати несанкціоновану передачу (простіше кажучи – витік) конфіденційної інформації за будь-яких каналу, використовуючи інформаційну інфраструктуру підприємства.


У підсумку на підставі результатів проведеного роком раніше аналізу російського DLP-ринку для участі у порівнянні було відібрано шість найбільш відомих і популярних в Росії комплексних DLP-систем *:


Російські:



  1. InfoWatch Traffic Monitor Enterprise 3.5

  2. SecurIT Zgate 3.0 і SecurIT Zlock 3.0

  3. Дозор Джет 4.0.24

Зарубіжні:



  1. Symantec Data Loss Prevention (DLP) 11.1

  2. Websense Data Security Suite (DSS) 7.5

  3. Trend Micrо Data Loss Prevention (DLP) 5.5

* Всі виробники перерахованих вище DLP-систем (за винятком Websense) активно допомагали зі збором необхідної для порівняння інформації. DLP від ​​компанії McAfee з порівняння був виключений через нестачі інформації і слабкої підтримки самого вендора.


Наріжним каменем будь-якого порівняння є набір критеріїв, за яким воно проводиться. В силу розумних обмежень за обсягом порівняння неможливо охопити всі мислимі функціональні можливості DLP-систем. Тому на даному рівні деталізації ми обмежилися лише найбільш важливими з них з нашої точки зору.


В результаті ми відібрали 92 найбільш важливих критерію, порівняння за якими значно полегшує для замовника вибір DLP-системи. Для зручності всі порівняльні критерії були розділені на такі категорії:



  1. Позиціонування системи на ринку;

  2. Системні вимоги;

  3. Використовувані технології детектування;

  4. Контрольовані канали передачі даних;

  5. Можливості контролю підключаються зовнішніх пристроїв;

  6. Моніторинг агентів та їх захист;

  7. Управління системою та обробка інцидентів;

  8. Звітність;

  9. Інтеграція з рішеннями сторонніх виробників.

Порівняння за категоріями 1-5 буде опубліковано в першій частині, а по категоріях 6-9 – у другій частині.


У силу широкого спектру вирішуваних DLP-системами завдань, ми не робили їх підсумкового ранжіванія. Ми сподіваємося, що за результатами проведеного порівняння кожен читач зможе самостійно визначитися, яка з DLP-систем більше за інших підходить для його цілей. Адже в кожному конкретному випадку потенційний замовник сам знає, які технології або функціональні можливості для нього найбільш важливі, а значить, зможе зробити з порівняння правильний саме для нього висновок.



Порівняння DLP-систем



Позиціонування DLP-систем на ринку












































































 
InfoWatch Traffic Monitor Enterprise  Дозор Джет SecurIT Zgate і Zlock Symantec DLP  Websense DSS Trend Micro DLP
Позиціонування на ринку Система захисту від витоків, заснована на аналізі вихідного трафіку, моніторингу вмісту, переданого на змінні носії, і принтери. Власна технологія лінгвістичного аналізу, дозволяє здійснювати категоризацію перехопленої інформації та виявляти в ній конфіденційні дані. Шлюзова система захисту від витоків інформації, заснована на контролі витікаючого мережевого трафіку, пошуку збережених даних. Система захисту від витоків інформації, заснована на контролі вхідного, вихідного і внутрішнього мережевого трафіку, пошуку збережених даних, агентського контролю, моніторингу вмісту, переданого на змінні носії та принтери. Перша російська DLP-система з можливістю гібридного аналізу. Універсальне рішення для пошуку, відстеження та захисту конфіденційних даних, де б вони не знаходилися. Забезпечує комплексний захист конфіденційних даних у кінцевих системах, мережі і системах зберігання даних. Система захисту від витоків інформації, заснована на контролі витікаючого мережевого трафіку, пошуку збережених даних. Система працює як на рівні шлюзу, так і на рівні кінцевих точок мережі. Система захисту від витоків інформації, заснована на контролі витікаючого мережевого трафіку, пошуку збережених даних, моніторингу вмісту, переданого на змінні носії. Система працює як на рівні шлюзу, так і на рівні кінцевих точок мережі.
Цільовий сегмент ринку Середній та великий бізнес, держсектор з чисельністю від 500 до 5 тис. користувачів і більше. Підтримка філіальної розгалуженої структури. Можливість зберігання всіх подій компанії до 3-х і більше років Середній та великий бізнес, держсектор Від SMB (до 500 користувачів) до великого бізнесу і державних організацій (впровадження до 250 тис. користувачів). Підтримка будь ІТ-інфраструктури. Безстрокове зберігання подій і даних в архіві Малий бізнес (версія Symantec DLP Standard), середній і великий бізнес від 50 до понад 100 тис. робочих місць (Symantec DLP) Середній та великий бізнес Середній бізнес
Штаб-квартира Росія, Москва Росія, Москва Росія, Москва Маунтін-В'ю, Кремнієва Долина, США Сан-Дієго, Каліфорнія, США Токіо, Японія
Веб-сайт www.infowatch.ru  www.jet.msk.su  www.securit.ru  www.symantec.com  www.websense.com  www.trendmicro.com 
Ліцензії ФСТЕК, ФСБ ФСБ, ФСТЕК ФСТЕК, ФСБ Немає ФСБ Немає
Сертифікати ФСТЕК Стройтрест 4 і ІСПДн 1, Газпромсерт, Акредитація ЦБ, сертифікат сумісності eToken ФСТЕК Стройтрест 4 ФСТЕК Стройтрест 3 та ОУД4 ФСТЕК Стройтрест 4 ФСТЕК ТУ Немає
Послуги Аудит, консалтинг, пілотний проект, впровадження, технічна підтримка та навчання Аудит, консалтинг, пілотний проект, впровадження, технічна підтримка та навчання Аудит, консалтинг, пілотний проект, впровадження, технічна підтримка (24х7), навчання Пілотний проект, решта послуг силами партнерів   Пілотний проект, решта послуг силами партнерів
Середні строки впровадження Від 1 робочого тижня Залежно від масштабу впровадження Від 1 робочого дня в залежності від масштабу впровадження Залежно від масштабу впровадження Залежно від масштабу впровадження Від 3 робочих днів


Системні вимоги



































 
InfoWatch Traffic Monitor Enterprise Дозор Джет SecurIT Zgate і Zlock Symantec DLP Websense DSS Trend Micro DLP
Системні вимоги для серверної частини Захист периметра мережі: InfoWatch Traffic Monitor Enterprise: Сервер: HP DL360 G6, ОС RHEL 5.6, x86-32 Централизованноеархивированиеиуправление InfoWatch Forensic Storage  Server: HP DL360 G6, Oracle RDBMS 11gR2 Захист робочих станцій: InfoWatch Device Monitor Server: Intel Pentium 4 2ГГц або вище, Windows 2003 Server SP 1, RDBMS: Oracle / MS SQL Server / PostgreSQL / MS SQL Express,. NET Framework 3.0 Консоль Управління (Management Console) Pentium 4, 3ГГц, Microsoft Windows XP SP 2 Сенсор: CPU 2ГГц і вище, ОЗУ 4 Гб, 900Мб / с трафіку на одному SPAN порту або 400 +400 на 2х Windows 2003, 2008 (х64) Фільтри:Два 2-х ядерних CPU 2 ГГц і вище, 8Гб ОЗУ Linux Centos, Red Hat Enterprise LinuxСховище:Два 2-х ядерних CPU 2 ГГц і вище, 8Гб ОЗУ (при використанні PostgreSQL 8,4, Oracle 10,11 – 16 Гб ОЗУ) Linux Centos або Red Hat Enterprise Linux SecurIT Zgate: Intel Pentium 4, 1 ГБ ОЗУ Microsoft Windows 2000 SP4 / 2000 Server SP4 / XP SP3 / 2003 SP2 / Vista SP1 / 2008 / Windows 7 (32 і 64 біт). Microsoft SQL Server 2000 SP2, 2005 або Oracle Database 10g R2. 2 CPU 3ГГц і вище, 6-8 Гб ОЗУ, 140Гб вільного дискового простору, RAID 1 +0 Microsoft Windows Server 2003 Enterprise Edition (32-bit) SP2 або Microsoft Windows Server 2008 R2, Enterprise Edition (x64) або Red Hat Enterprise Linux 5 (32 і 64 біт) Update 2 2-х ядерний Intel Xeon 2ГГц або еквівалент від AMD, 2ГБ ОЗУ, 75Гб вільного дискового простору, RAID 1 +0 або 1, Microsoft Windows Server 2003 R2 Trend Micro DLP Network Monitor Software Appliance: Два 4-х ядерних X5550 Xeon, 8Гб ОЗУ, 300Гб 15K RPM, Intel PRO 1000PT 1GbE Dual Port NIC, PCIe-4. Trend Micro DLP Management Server Hardware Appliance: 4-х ядерний Xeon E5506, ОЗУ 6Гб, 250Гб 7.2K RPM, Broadcom NetXtreme II 5709 Trend Micro DLP Management Server (Software or Virtual Appliance): 2-х ядерний Intel XEON або AMD Opteron, ОЗУ 2Гб, жорсткий диск 30Гб, VMWare ESX і ESXi 3.5
Системні вимоги для клієнтської частини InfoWatch Device Monitor Client: Intel Pentium 4 2ГГц або вище, Windows XP/2000/Vista SecurIT Zlock: Intel Pentium II, 128 МБ ОЗУ   Microsoft Windows 2000 SP4 / XP SP2 / 2003 SP1 / Vista, 2008 / Windows 7 (32 і 64 біт). Microsoft SQL Server 2000 SP2, 2005 або Oracle Database 10g R2. 512 Мб ОЗУ і вище Microsoft Windows Server 2003 (32-bit) SP2 або Windows Server 2003 R2 (32-bit); Microsoft Windows XP Professional SP2 або SP3 (32-bit); Microsoft Windows Vista Enterprise or Business SP1 або SP2 (32-bit); Microsoft Windows 7 Enterprise, Professional, or Ultimate (32-bit або 64-bit) Pentium 4 1.8 Ггц і вище, 512Мб ОЗУ (для Windows XP), 1Гб ОЗУ (для Windows Vista, 7, 2003, 2008) (всі ОЗ – x86) Trend Micro DLP Endpoint: 300 МГц Intel Pentium і вище, 512 Мб ОЗУ, 300Мб вільного місця на жорсткому диску Windows 2008, 2003, Vista, 7 (x86) і XP
Русифікація Є Є Є Є Немає Немає


Використовувані технології детектування



















































































 
InfoWatch Traffic Monitor Enterprise Дозор Джет SecurIT Zgate і Zlock Symantec DLP Websense DSS Trend Micro DLP
Аналіз за словником і регулярні вирази Є Є Є Є Є Є

Лінгвістичний
аналіз (словоформи, синоніми,
морфологія і т.п.)

Є + база тематичній фільтрації
(БКФ),
містить
слова і
вирази,
наявність,
яких у
документі
дозволяє визначити
тематику
і ступінь конфіденційна-
ності
інформації.
Є Є Немає Немає Немає
Підтримка аналізу трансліту Є Немає Є Немає Немає Є (необхідне формування власної таблиці відповідності слів їх замаскованим варіантами)
Підтримка аналізу замаскованого тексту Є Немає Є Є Немає Немає
Підтримка особливостей
російської мови
при аналізі вмісту
Є Є Є Є Немає Немає
Аналіз з використанням цифрових
відбитків
Є Є Є Є Є Є
Самонавчається для
аналізу ще неклассіфіці-
рова даних (штучний інтелект)
Немає Немає Є Є Немає Немає
Підтримувані формати аналізованих документів
(Включаючи версії
і власні
формати для
розпізнавання)
Всі основні формати (більше 400), у тому числі вкладені в архіви. Підтримка OCR (оптичне розпізнавання тексту). Більше 100 варіантів архівів, більше 150 типів документів і відомих бінарних даних, можливість спільного аналізу бінарного потоку на наявність текстових рядків в російських кодуваннях. Всі основні формати (більше 500), у тому числі вкладені в архіви. Всі основні формати (більше 400), у тому числі вкладені в архіви,. Більше 400 основних форматів, у тому числі вкладені в архіви. Розпізнавання та обробка більше 300 типів файлів, у тому числі вкладені в архіви.
Передустановлено-
ні шаблони
даних
Є (шаблони і галузеві бази тематичній фільтрації) Є (лексикони в модулі idid) Є Є Є Є


Контрольовані канали передачі даних



























































































































































































































































































 
InfoWatch Traffic Monitor Enterprise Дозор Джет SecurIT Zgate і Zlock Symantec DLP Websense DSS Trend Micro DLP
Електронна пошта (E-mail) 
Вхідна SMTP Немає Немає Є Є Немає Немає
Вихідна SMTP Є Є Є Є Є Є
SMTPS Є Є Є Є Є Немає
Внутрішня Microsoft Exchange Є Є Є Є Є Є
Внутрішня IBM Lotus Domino Є Є Є Є Є Є
ESMTP Є Є Є Є Є Є
POP3 Немає Є Є Є Є Немає
POP3S Немає Є Є Немає Немає Немає
IMAP4 Немає Немає Є Немає Є Немає
IMAP4S Немає Немає Є Немає Немає Немає
Зміна повідомлень Немає Є Є Є (зміна теми і header "ов за заданими критеріями)   Є
Інтернет-пейджери 
ICQ, Miranda (OSCAR) Є Є Є Немає Немає Ні (буде у версії 5.7, Q4 2011)
Mail.ru Агент Часткова підтримка (OSCAR, MMP буде у версії 4.0) Є Є Немає Немає Ні (буде у версії 5.7, Q4 2011)
Windows Live Messenger Ні (буде у версії 4.0) Є Є Є Є Є
AOL AIM Є (тільки OSCAR) Є Є Є Є Є
Yahoo! Messenger Немає Немає Є Є Є Є
Google Talk Ні (буде у версії 4.0) Є Є Немає Є Немає
Skype (текст) Ні (буде у версії 4.0) Є Є Немає Є Є
Microsoft Office Communicator Є Немає Є Є Є Немає
Jabber Ні (буде у версії 4.0) Є Є Немає Є Немає
MySpace IM Немає Немає Є Є Є Немає
Перехоплення файлів IM Є (тільки OSCAR) Є Є Є Є Є
HTTP, FTP і інші протоколи 
Вхідний HTTP-трафік Немає Немає Є Є Немає Є
Вихідний HTTP-трафік Є Є Є Є Є Є
HTTPS Є (інтеграція з рішеннями партнерів) Є Є (з можливістю блокування / фільтрації) Є (інтеграція з проксі-серверами або за допомогою агентської частини DLP Endpoint Prevent) Є (при наявності власного продукту Websense Content Gateway для підстановки сертифікатів) Є
FTP Ні (буде у версії 4.0) Є Є Є Є Є
FTP over HTTP Ні (буде у версії 4.0) Є Є Є Є Є
FTPS Немає Немає Є Немає Немає Немає
Р2Р Немає Немає Немає Є Є Є
Можливість сканування поштового і веб-трафіку в хмарі Немає Немає Немає Є Немає Немає
Мережеві принтери Є (з можливістю оптичного розпізнавання тексту OCR) Немає Є Є Є (з можливістю оптичного розпізнавання тексту OCR) Є
Блокування 
Протоколи, блокування передачі даних по яких можливо HTTP, HTTPS, SMTP, OSCAR (ICQ та інші агенти) HTTP, FTP, SMTP, FTP over HTTP, HTTPS, IM (ICQ, Mail.ru, MSN, Jabber, детектор Skype, веб-мессенжери vKontakte, Google, MeeGo) HTTP, HTTPS, FTP, FTP over HTTP, FTPS, SMTP, SMTP / S, ESMTP, POP3, POP3S, IMAP4, IMAP4S, ICQ, Mail.Ru Агент, Skype та ін IM SMTP, HTTP, HTTPS FTP, IM HTTP, HTTPS, FTP, SMTP, ESMTP HTTP, HTTPS, FTP, SMTP, ESMTP
Швидкість аналізу мережевого трафіку ~ 100 Мб / с Швидкість аналізу на одному хості 2 Гб / с каналу завантаженням до 70% Немає обмежень ~ 330 Мб / с Немає даних ~ 190 Мб / с

Далі буде у другій частині порівняння.


Схожі статті:


Сподобалася стаття? Ви можете залишити відгук або підписатися на RSS , щоб автоматично отримувати інформацію про нові статтях.

Коментарів поки що немає.

Ваш отзыв

Поділ на параграфи відбувається автоматично, адреса електронної пошти ніколи не буде опублікований, допустимий HTML: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

*

*