Добрый день, уважаемое читатели! Не так давно перед нашей компанией встал вопрос, какую из систем защиты от утечек данных выбрать. Под катом собственные мысли по данному вопросу, а также сравнительная таблица с описанием возможностей систем.
Прошу учесть, что статья не является рекламой какого-либо определенного продукта. В ней отражены взгляды одного единственного сотрудника ИТ-отдела средней компании.
Итак, на недавней планерке была поставлена задача «Внедрить!». Но что конкретно внедрять, оговорено не было, поэтому после изучения вопроса и проведения анализа рынка и был создан этот топик.
Наша организация не особо выделяется из массы прочих средних организаций, внутри имеется порядка 250 рабочих станций и несколько серверов, которые необходимо защищать от утечки очень важных и чрезвычайно секретных данных. К сожалению, статистика неумолима, и 80% утечек информации происходят по вине самих сотрудников организации (инсайдеры). Распространение данных может быть как умышленным, так и совершенно случайным, а все случаи такого распространения должны обнаруживаться и пресекаться (это в идеале). Как этого добиться? Администраторы компании могут полностью закрыть интернет, электронную почту и сменные носители, оставив тем самым пользователей совсем без доступа к внешним ресурсам. Вариант почти идеальной защищенности, за исключением того, что он никого не устраивает, кроме самих администраторов. Можно немного подобреть, и открыть доступ в интернет или к сменным носителям только «избранным» сотрудникам. Вероятность утечек уменьшится, но кто сможет гарантировать, что «избранный» сотрудник полностью лоялен компании? Казалось бы, положение безвыходное, но здесь на помощь приходят DLP-системы.
DLP (Data Loss Prevention)- система это программный продукт, созданный для предотвращения утечек конфиденциальной информации за пределы корпоративной сети. Строится эта система на анализе потоков данных, выходящих за пределы корпоративной сети. В случае сработки определенной сигнатуры и детекта передачи конфиденциальной информации система либо блокирует такую передачу, либо посылает уведомления офицеру безопасности.
Основными требованиями к кандидатам были стоимость комплекса и количество контролируемых каналов.
В сравнении принимали участие:
- Securit ZGate;
- InfoWatch Traffic Monitor;
- Symantec Data Loss Prevention;
- Search Inform Контур безопасности;
- FalconGaze SecureTower.
Информация о продуктах бралась с официальных сайтов и от региональных представителей компаний. Вот что получилось в итоге:
| A | SecurIT | InfoWatch | Symantec | SearchInform | FalconGaze |
| Название системы | ZGate | TrafficMonitor | DataLossPrevention | Контур безопасности | SecureTower |
| Модульность системы | Да | Нет | Нет | Да | Нет |
| Места установки | На сервер+ZLock на клиентские ПК | Сервер, клиент | Сервер, клиент | Сервер, клиент | Сервер, клиент |
| Наличие сертификатов и лицензий | ФСТЭК НДВ 3 и ОУД4 | ФСТЭК НДВ 4 и ИСПДн 1, Газпромсерт, Аккредитация ЦБ, сертификат совместимости eToken | ФСТЭК НДВ 4 | ФСТЭК НДВ 4 | ФСТЭК НДВ 4 и ИСПДн 2 |
| Лицензирование | Почтовые ящики, рабочие места | Каналы перехвата, технологии анализа | n/a | Сервер, mail, IM, Skype, Print, device, HTTP, FTP | Рабочее место |
| Роли | Любое количество | Несколько | Любое количество | Любое количество | Администратор системы, офицер безопасности |
| Контроль IM | Да | Да | Да | Да | Да |
| Контроль HTTP/HTTPS, FTP | Да | Да | Да | Да | Да |
| Контроль Skype | Текст | Текст | Нет | Да | Да |
| Контроль E-mail | Да | Да | Да | Да | Да |
| Социальные сети и блоги | Да | Да | Да | Да | Да |
| Контроль подключаемых внешних устройств | При покупке Zlock | Да | Да | Да | Нет |
| Контроль портов | USB,COM,LPT, Wi-Fi, Bluetooth | USB,COM,LPT, Wi-Fi, Bluetooth | USB,COM,LPT, Wi-Fi, Bluetooth | USB, LPT | USB, LPT |
| Блокируемые протоколы | HTTP, HTTPS, SMTP, OSCAR | HTTP, HTTPS, FTP, FTP over HTTP, FTPS, SMTP, SMTP/S, ESMTP, POP3, POP3S, IMAP4, IMAP4S | SMTP, HTTP, HTTPS FTP, Yahoo Messenger, MSN Messenger, AIM, AIM Pro Messenger, MSN Messenger, AIM, AIM Pro Messenger, MSN Messenger, AIM, AIM Pro |
SMTP, POP3, MAPI, IMAP, HTTP,FTP, ICQ, Jabber | HTTP, HTTPS, FTP, FTTPS, Вся почта и IM |
| Анализ по словарю | Да | Да | Да | Да | Да |
| Лингвистический анализ | Да | Да+БКФ | Нет | да | Да |
| Анализ транслита | Да | Да | Нет | n/a | n/a |
| Анализ архивов | Да | Да | Да | Да | Да |
| Анализ рисунков | Да | Да | Да | Да | Нет |
| Предустановленные шаблоны фильтрации | Да | Да | Да | Да | Да |
| Задержка отправки подозрительных сообщений | Да, ОБ принимает решение | Да, ОБ принимает решение | Да, пользователь объясняет причину отправки, инцидент фиксируется | n/a | Нет, только информирование офицера ИБ |
| Логирование действий администраторов системы | Да | Да | Да | n/a | В случае утановки агента на РМ администратора |
| Режим установки агентов | Открытый | n/a | n/a | n/a | Тайный/Открытый |
| Защита агентов от выключения | Да | Да | Да | Да | Да |
| Запись отчетов в локальное хранилище в случае недоступности сервера | Да | Да | Да | Да | Да |
| Просмотр истории инцедентов | Да | Да | Да | Да | Да |
| Режимы оповещений | Консоль, почта, графики | Консоль, почта | Консоль, почта, графики | Консоль, почта, графики | Консоль, почта, графики |
| Возможность тестирования продукта на серверах разработчика | нет | нет | Да | нет | на сервере дистрибьютора |
| Возможность получения демо-версии для тестирования внутри организации | ± | ± | нет | ± | Да, 1 месяц |
| Цена для компании 250 ПК | 2 500 000р. | n/a | n/a | 3 300 000- 5 400 000 р. | 1 500 000р. |
Следует уточнить, что:
Модульность системы- параметр, означающий, может ли продукт все контролировать или необходимо закупать разные модули для контроля определенных каналов утечки информации.
Администратор системы производит установку и настройку системы. Офицер безопасности производит контроль за действиями сотрудников и работы системы в целом.
БКФ-база контентной фильтрации. Позволяет по определенным признакам отнести документ к определенной степени конфиденциальности.
ОБ-офицер безопасности.
РМ-Рабочее место.
Символом n/a обозначены пункты, информацию по которым мне уточнить не удалось, а символами ± те пункты, где получение информации вызвало трудность. К примеру, получение пробных версий довольно сложное мероприятие, требующее указать много данных об организации, а также привлечь специалистов компании-разработчика в свой офис.
Итак, эта таблица упростила выбор DLP-системы для моей организации, и, надеюсь, поможет вам сделать свой выбор в случае аналогичной задачи.
Автор: IrkDesigner
