Обзор популярных российских DLP-систем

DLP-рынок в последнее время активно растет. Вендоры представляют решения на любой вкус и кошелек. Однако каждое ли из них учитывает предпочтения собственников бизнеса, необходимость контроля тех или иных процессов и документов в организации, а также многие другие аспекты?

Как выбрать то, что действительно облегчит работу, будет максимально удобным и закроет все поставленные задачи? Для этого необходимо протестировать продукты и опытным путем выбрать тот, который подходит именно вашей компании. Однако не у всех есть время на детальное тестирование каждой системы. Тем не менее общее представление о решениях получить важно. Мы собрали из общедоступных открытых источников информацию о существующих системах и на ее основе рассмотрели, как работают популярные решения российских поставщиков.

Какие решения мы рассмотрели?

Самые популярные российские DLP-решения: InfoWatch Traffic Monitor, КИБ SearchInform и Falcongaze SecureTower.

По каким критериям мы сравнивали?

· Контроль каналов коммуникации

· Контроль сетевых протоколов

· Контроль устройств

· Контроль хранилищ файлов

· Контроль активности сотрудников

· Возможности блокировки

· Технологии и методы анализа данных

· Предоставляемые отчеты

· Работа с политиками безопасности

· Использование СУБД

Вышеназванные критерии позволяют составить наиболее полное представление о функционале DLP-систем для различных отраслей бизнеса. Безусловно, мы смогли собрать лишь общую информацию о продуктах. Вопросы о нюансах лучше задавать непосредственно вендору.

Контроль каналов коммуникации

Сегодня в большинстве компаний сотрудники используют для общения не только почту, но и мессенджеры и социальные сети. Производители DLP-систем это прекрасно понимают, поэтому все рассматриваемые решения поддерживают перехват e-mail и сообщений в мессенджерах. Единственным отличием стало количество сервисов, которые перехватывают решения. Так, Falcongaze SecureTower и КИБ SearchInform кроме общепринятых мессенджеров (Viber, Skype, Telegram, WhatsApp) поддерживают также перехват популярного в IТ-сфере мессенджера Slack.

Все три решения позволяют контролировать передачу файлов в почте, мессенджерах и соцсетях, а также сообщения, отправляемые на форумы и в блоги.

Контроль сетевых протоколов

Следующий важный параметр оценки — контроль сетевых протоколов со стороны DLP-решений. Современные технологии обязывают вендоров перехватывать не только всевозможные протоколы нешифрованного трафика: SMTP, POP3, IMAP, MAPI, OSCAR, MMP, XMPP, HTTP, FTP, YMSG и т.д., но и шифрованный трафик, который передается по протоколам HTTP/HTTPS. Здесь все три продукта идут вровень и перехватывают все представленные протоколы.

Контроль устройств

Несмотря на появление новых возможностей пересылки информации, некоторые сотрудники используют USB-накопители для того, чтобы унести с собой ценную информацию. Кроме того, компаниям нужна возможность контролировать принтеры и другие подключенные устройства. Перечень устройств, которые контролируют современные DLP-системы, широк. Топовые вендоры представляют одинаковый список перехватываемых устройств, который включает в себя съемные жесткие диски, карты памяти, локальные и сетевые принтеры, диски, подключаемые по RDP, переносные устройства Windows, Wi-Fi, DVD/CD-ROM, COM, LPT, USB-устройства, сетевые устройства, порты, модемы, мультимедийные устройства, флоппи-диски, CD/DVD-диски, портативные устройства.

Контроль хранилищ файлов

Облачные сервисы проникают во все аспекты повседневной и рабочей жизни. Это кажется удобным: можно захватить с собой нужные файлы и поработать над ними дома. Однако без установленной DLP-системы это может сыграть злую шутку с работодателем. Бесконтрольное перемещение документов в облаке очень опасно, сотрудники могут легко похитить ценную коммерческую информацию. Поэтому современные вендоры большое внимание уделяют контролю хранилищ файлов, например популярным облачным сервисам Google Drive, OneDrive, Dropbox, Яндекс.Диск, iCloud, облаку Mail.Ru. Вы сможете контролировать всю информацию, которую сотрудники загружают на диски и скачивают с них. Здесь все три наших рассмотренных решения снова не отстают друг от друга.

Однако стоит отметить гибкую настройку контроля облачных хранилищ в SecureTower. Решение обеспечивает контроль доступа к отдельным облачным хранилищам с возможностью настройки уровня доступа «только чтение» или запрета доступа для определенных пользователей, а также позволяет исключать из аудита и контроля определенные форматы файлов.

Контроль активности сотрудников

· Запись и прослушивание аудио с микрофона в реальном времени

Это может быть важно, если вы уже вычислили нарушителя и хотите убедиться в своей правоте. Здесь выгодно отличаются решения от Falcongaze и SearchInform, они позволяют прослушивать микрофон сотрудника в режиме реального времени.

SecureTower располагает возможностью записи аудио, поступающего на динамики. Данный функционал полезен в расследованиях инцидентов безопасности, так как позволяет воспроизвести разговор сотрудника в любой коммуникационной программе.

· Просмотр в реальном времени и запись видео рабочего стола

Важная функция, которую также предоставляют SecureTower и SearchInform, позволяет при необходимости в режиме реального времени наблюдать за сотрудниками.

· Снятие снимков экрана (скриншоты)

Скриншоты мы делаем время от времени, чтобы сохранить визуализацию важной информации. В обеспечении информационной безопасности это критически важный аспект, так как позволяет максимально точно задокументировать нарушения. У Falcongaze SecureTower и КИБ SearchInform снятие скриншотов представлено максимально полно. Они позволяют сделать снимок экрана по множеству заданных параметров.

· Кейлоггер

Два из представленных нами решений позволяют сохранять нажатие клавиш пользователем — SecureTower и SearchInform.

Обзор популярных российских DLP-систем Контроль активности в веб-браузерах

Один из самых любимых вопросов работодателей — «Что смотрят сотрудники в Интернете?». Ответ на это могут предоставить Falcongaze SecureTower и КИБ SearchInform. Они контролируют навигацию по веб-страницам и время, проведенное на различных ресурсах, а также фиксируют переходы между вкладками и страницами.

InfoWatch Traffic Monitor контролирует активность пользователя в Интернете только с помощью контроля HTTP-трафика. Такой подход не показывает время пребывания на сайте с учетом перемещения по вкладкам, а также перехватывает множество нецелевых запросов, разбираться в которых довольно сложно.

· Активность пользователя за компьютером

Один из главных параметров в мониторинге активности пользователя. Он позволяет оценить эффективность работы коллектива и более точно рассчитывать необходимое время на выполнение задач. Ведь знание, что и как делают сотрудники в рабочее время, позволяет понять, насколько эффективно работает коллектив.

Среди рассматриваемых нами систем лишь две позволяют контролировать время активности и простоя компьютера.

Стоит отметить, что в работе большую роль играет не только продолжительность работы компьютера, но и что именно сотрудники за ним делают. Falcongaze SecureTower и КИБ SearchInform позволяют отследить время работы пользователя в приложениях, учитывая работу в активном окне.

Подобный функционал есть и в продукте семейства InfoWatch — это InfoWatch Person Monitor. Однако данное решение полностью отдельное (своя консоль, свой агент, сервер и БД) и не интегрируется с DLP, что, на наш взгляд, неудобно. Получается, что для использования функционала, предоставляемого конкурентами InfoWatch в рамках одного продукта, пользователю нужно приобретать несколько продуктов, заводить новые серверы, покупать базы данных и управлять абсолютно новой системой.

Блокировки каналов передачи данных

Контроль — это очень удобно, но все же иногда случаются ситуации, в которых проще заблокировать, чем контролировать. Посмотрим, что предложат нам три топовых российских вендора.

Блокировку доступа к внешним устройствам с учетом их параметров предоставляют все три вендора.

Блокировку доступа пользователей к облачным сервисам хранения информации предоставляют Falcongaze SecureTower и InfoWatch Traffic Monitor.

Блокировка доступа пользователей к локальным сетевым ресурсам доступна у Falcongaze SecureTower и КИБ SearchInform.

Блокировка сетевого трафика отдельных процессов с учетом их атрибутов есть у всех трех решений, а по хеш-функции исполнительного файла — только у Falcongaze SecureTower и InfoWatch Traffic Monitor.

Блокирование передачи данных по содержимому

SearchInform и SecureTower блокируют передачу данных по протоколам HTTP(S). Данный функционал позволяет блокировать широкий спектр активности пользователя: от посещения отдельных ресурсов до блокирования определенного контента и файлов, содержащих конфиденциальные данные.

Также решения контролируют передачу данных по почтовым протоколам SMTP и MAPI с учетом содержимого отправляемых писем.

Однако лидером в данной области является InfoWatch, который помимо вышеназванных протоколов контролирует передачу данных по FTP и копирование файлов на внешние носители.

Технологии и методы анализа данных

Конкуренция заставляет вендоров совершенствоваться и внедрять новые технологии, поэтому мы кратко рассмотрим, как именно вендоры анализируют важную информацию. Итак, все решения осуществляют:

· Поиск с учетом морфологии и нечеткого поиска

· Поиск по тематическим словарям c настройкой поиска по массиву из N слов

· Поиск регулярных выражений

· Цифровые отпечатки документов

· Цифровые отпечатки баз данных

· Распознавание текстовой информации на изображениях, передаваемых в любом графическом формате и в виде PDF- и DjVu-файлов

· Распознавание печатей

· Поиск документов с умышленно измененным расширением

· Обнаружение зашифрованного вложения (защищенный паролем документ MS Office или архив)

· Распознавание настоящих форматов файлов в случаях изменения расширения

Дальше начинаются различия, которые позволяют выбрать вендора и продукт согласно необходимым вам функциям.

У InfoWatch в области анализа данных имеется инструмент создания базы контентной фильтрации при помощи Автолингвиста. Это дает возможность создать пользовательскую базу, которая позволяет организовать контроль документов компании по контентным категориям.

Falcongaze SecureTower в дополнение к вышеперечисленному позволяет осуществлять распознавание речи и преобразование ее в текстовый формат. Falcongaze SecureTower предлагает большое количество платных и бесплатных голосовых движков: Wit.ai, Yandex SpeechKit, Sphinx, построенных на базе AI. Также пользователь может сам выбрать облачное решение (не нужны дополнительные ресурсы) либо встроенное (нужны ресурсы, но данные не покидают периметр организации).

Отчеты и удобство использования

Пожалуй, один из самых важных функционалов DLP-решения — работа с перехваченной информацией. DLP-система перехватывает и хранит существенные объемы данных, поэтому грамотное их представление необходимо не только для оперативного реагирования, но и для облегчения работы офицера ИБ.

Отчеты в SearchInform представляют большое количество шаблонов, которые пользователь может в некоторой степени кастомизировать. Отчетов много, но их хаотичность и недостаточная классификация пугают. Это вызывает проблемы с поиском нужного отчета. Все отчеты строятся на базе консоли «Аналитика», которая могла бы стать центром работы офицера ИБ. Однако настройка политик безопасности осуществляется в отдельной консоли Alert Center, а работа c инцидентами — в Incident Center. Это затрудняет проведение расследования и снижает уровень автоматизации работы офицера безопасности.

Тем не менее у программы есть интересный отчет по движению файлов внутри системы, который позволяет проследить, как распространялся документ внутри организации. Также SearchInform располагает веб-консолью, в которой можно просматривать отчеты и инциденты безопасности.

В Falcongaze SecureTower отчеты расположены в консоли Client Сonsole. Они разделены на четыре класса: Отчет по пользователям, Сводный отчет, ТОП-отчет и Отчет по политикам безопасности. Это классифицированные шаблоны с большей возможностью кастомизации условий отчета.

Однако это не весь отчетный потенциал решения. Модуль «Анализ рисков» также располагает настраиваемой панелью, отображающей число инцидентов определенного класса, а также уровень риска данных инцидентов. На графике наглядно представлена информация об аномалиях в поведении сотрудника. Возможность проводить расследования доступна в той же консоли, что и отчеты. В целом продукт Falcongaze SecureTower состоит всего из двух консолей. Client Console — консоль для работы офицера ИБ с отчетами, правилами безопасности, уровнями риска, файловой системой, поиском по архиву, просмотру рабочего стола в режиме реального времени и т.д. Administrator Сonsole — отдельная консоль, в которой происходит настройка и аудит системы администратором.

Из интересного стоит отметить модуль «Активность пользователя», который позволяет видеть, что делали контролируемые сотрудники в течение дня. Отчет по дневной активности пользователя в хронологическом порядке отображает действия сотрудника с возможностью перехода к конкретному событию. Тут же расположена статистика по активности пользователя, а также граф взаимосвязей.

В InfoWatch отчеты представлены полностью кастомизируемыми виджетами в веб-консоли. В отчет можно добавлять несколько вариантов отображения для наиболее полного представления информации.

В целом такой подход крайне удобен, если бы не несколько «но»:

1) помимо веб-консоли есть тяжеловесный клиент Device Control, в котором происходит настройка агентов DLP-системы;

2) в InfoWatch отсутствуют такие отчеты, как Отчет «Маршрут движения документов», Граф-анализатор контактов пользователей, и другие отчеты по активности пользователя, поскольку в DLP-системе отсутствует часть функционала по контролю активности пользователя, представленного у конкурентов.

Решают проблему отсутствия вышеописанного функционала прочие продукты семейства InfoWatch. Нужен контроль активности пользователя — используйте Person Monitor, есть еще Endpoint Security, но у всех этих решений достаточно много пересекающегося функционала. Усугубляет проблему и тот факт, что Traffic Monitor, Person Monitor, Endpoint Security — это три независимых решения со своими серверами, консолями, агентами; управлять ими централизованно нельзя, а для полного размещения нужно больше серверных мощностей, да и как будут вести себя три агента на одной рабочей станции — непонятно.

Работа с инцидентами безопасности

Все три решения обеспечивают комплексную работу с политиками безопасности. Они позволяют задавать условия для правил безопасности, строить отчеты по инцидентам, высылать уведомления на почту.

Однако стоит отметить, что SecureTower и SearchInform располагают инструментами для удобного расследования инцидентов безопасности. В SecureTower данный функционал обеспечивает встроенный модуль «Расследования», а в SearchInform — отдельный программный модуль Incident Center.

У Falcongaze SecureTower есть еще одна удобная функция — возможность выполнения пользовательских скриптов при срабатывании правил безопасности. Это дает неограниченные возможности в реагировании на инциденты и позволяет решать широкий спектр задач, например отправлять информацию об инциденте в SIEM-систему, блокировать учетную запись нарушителя, отправлять уведомления о срабатывании правил безопасности в мессенджеры.

SecureTower также располагает встроенным инструментом поведенческого анализа (UBA). В Falcongaze SecureTower он представлен в виде Анализа Рисков. Данный модуль позволяет исследовать аномалии в поведении пользователя, а также оценивать, насколько опасны действия контролируемого сотрудника для безопасности организации при помощи показателя «Уровень риска». Данный модуль позволяет выявлять подозрительные аномалии в активности пользователя и своевременно реагировать на них. Также модуль может быть использован для получения ежедневной сводки об инцидентах в организации.

К функционалу работы с инцидентами безопасности SearchInform можно отнести модуль «Профайл центр», который на основе личной переписки пользователей строит их психологический портрет, выявляя сильные и слабые стороны, личностные качества каждого из сотрудников, что может выявить потенциальных нарушителей.

Сканирование хранилищ файлов

Сканирование различных хранилищ и поиск в них документов с конфиденциальной информацией — простой и действенный метод по выявлению документов с чувствительной информацией в инфраструктуре организации.

SearchInform и InfoWatch сканирует как рабочие станции пользователей, так и облачные хранилища (для SearchInform это Яндекс.Диск, Dropbox и другие, для InfoWatch — SharePoint).

SecureTower также располагает данным функционалом, однако сканирует содержимое только рабочих станций.

Базы данных

Последний момент, который мы рассмотрим, — с какими базами данных работают системы. Это может быть важно, если компания работает с определенным типом СУБД либо же не хочет платить за дорогую базу. Здесь лидирует Falcongaze SecureTower. Система позволяет хранить все перехваченные данные в широком перечне БД. Она работает с SQLite, MySQL, MS SQL Server, Oracle, PostgreSQL, к тому же располагает гибкой системой настроек хранилища данных.

Система позволяет объединять отдельные базы в группы для настройки ротации баз данных. Ротация баз данных в рамках заданной пользователем группы позволяет снизить объем отдельной базы и держать его в заданных параметрах для увеличения быстродействия.

Вывод

Итак, мы рассмотрели три самые популярные в России и странах СНГ DLP-cистемы и пришли к выводу, что функционал у них во многом схож.

Выбор системы всегда остается за заказчиком, который подбирает под себя ПО для эффективного решения своих задач. Для оценки эффективности все вендоры предоставляют возможность проведения пилотного проекта.

В ходе нашего сравнения были выявлены ключевые сильные и слабые стороны решений, на которые стоит обратить внимание.

КИБ SearchInform

Недостатки

· Не самый продуманный/удобный UI/UX

SearchInform — достаточно сложное решение для офицера ИБ. Консоль «Аналитика», которая должна стать центром работы офицера ИБ, таковой не является, так как настройка политик безопасности осуществляется в отдельной консоли Alert Center, а работа c инцидентами — в Incident Center. В результате приходится делать лишние движения для работы со всем функционалом по контролю инцидентов.

· Базы данных

SearchInform может хранить данные только в MS SQL Server, что ограничивает инфраструктурные возможности.

Достоинства

· Отчеты

Отчетов в SeatchInform достаточное количество, и они разных типов — удовлетворят самого искушенного офицера ИБ. А возможность их просмотра из веб-консоли только упрощает работу с системой.

InfoWatch Traffic Monitor

Недостатки

· Функционал контроля пользователей

Отсутствие части функционала по контролю активности пользователя.

Отсутствуют такие полезные функции, как кейлоггер, контроль активности в веб-браузерах, активность пользователя за компьютером.

· Инфраструктура

InfoWatch Traffic Monitor состоит из двух модулей — Traffic Monitor и Device Control, каждый из которых располагает своим сервером. Для Traffic Monitor сервер устанавливается под Linux, а Device Control устанавливается на Windows. Для каждого модуля предусмотрена своя консоль: требовательный клиент для Device Control и веб-консоль, с которой можно управлять большинством функций системы Traffic Monitor. Получается, что DLP-система — это два склеенных решения. Более того, если необходим дополнительный функционал (например, контроль активности пользователя), то можно установить одно из решений семейства защиты от внутренних угроз (Person Monitor, Endpoint Security). Но это три независимых решения со своими серверами, консолями, агентами. Управлять ими централизованно нельзя, а для полного размещения нужно больше серверных мощностей, да и как будут вести себя три агента на одной рабочей станции — непонятно.

Достоинства

· Контентные блокировки

Из рассмотренных решений InfoWatch обладает наиболее широкими возможностями по блокированию отправки данных по содержимому. Помимо HTTP-, SMTP-, MAPI-протоколов, блокируемых конкурентами, InfoWatch блокирует FTP-протокол, а также файлы, отправляемые на внешние накопители.

Falcongaze SecureTower

Недостатки

· Сканирование репозиториев

SecureTower контролирует только файлы, хранящиеся на рабочих станциях.

Достоинства

· Простота использования

SecureTower занимает первое место в удобстве работы с системой. Настраивается решение просто, несмотря на обширный функционал.

Работа с инцидентами безопасности выполняется всего в три шага:

1. Настройка правил в Политиках безопасности.

2. Ежедневный анализ срабатываний в модуле «Анализ рисков».

3. В случае обнаружения инцидента его расследование происходит в модуле «Расследования».

· Активность пользователя

Модуль «Активность пользователя» позволяет видеть, что делали сотрудники, как на ладони. Для этого есть отчет по дневной активности пользователя, который в хронологическом порядке отображает, что делал пользователь в тот или иной день, с возможностью перехода к конкретному событию.

· Работа с бесплатными базами данных

Решение предоставляет выбор, в какой базе данных хранить перехваченную информацию: SQLite, MySQL, MS SQL Server, Oracle, PostgreSQL. В этот перечень входят и три бесплатные СУБД — SQLite, MySQL, PostgreSQL. Также система располагает внушительными возможностями настройки хранилища информации, что позволяет гибко распределять данные по хранилищам. Такая балансировка снижает нагрузку и оптимизирует используемые хранилища информации, снижает объем баз данных и сокращает время обработки поисковых запросов.

Таким образом, только заказчик может выбрать ту систему, которая максимально эффективно будет справляться с задачами бизнеса. Однако лидером нашего обзора стала Falcongaze SecureTower, которая, кроме стандартных функций, обладает интересными дополнительными фишками в области мониторинга сотрудников и проведения расследований. Второе место нашего субъективного рейтинга мы отдаем КИБ SearchInform, а третье место достается InfoWatch Traffic Monitor. В ней нам не хватило целостности компонентов для удобной и обстоятельной работы.