個人的な経験：DLPシステムの選択方法

すべての人に良い一日を！ この記事では、5つのシステムをテストする方法、それらが好きなものとそうでないものを説明します。 意見は主観的ですが、実際には、これはネットワーク上では十分ではありません（ アンチマルウェアは比較を行い、Habréがそれについて書いた基本的なものであることを強調していますが、それは誰が持っている/持たないかの比較表になりました）。 機能を試して、自分で測定し、ほぼ6か月を費やして、経験を共有できます。 開発者に事前に謝罪します-製品のマイナス面をそのまま歩きます（彼らはそれ自体が良い点を伝えます）。

記事全体を読みたくない人のために、すぐにDLPを選択するための結論とヒント：

• 宣言された機能を常に確認してください。 製品が公式の説明を満たさない場合、かなり愚かな状況がたくさんありました。

  
  
  
  
  
  
  

• 詳細なToRを準備し、ベンダーに記入して記入します。 ただし、この場合でも、結果を確認してください。 開発者は常に長所についてのみ積極的に話します。問題はありません。

  
  
  
  
  
  
  

• 購入する予定のソフトウェア機能だけでなく、テスト中に提案されたソフトウェア機能を最大限に使用してください。 たとえば、気に入った機能が見つかったときに、TKの要件のリストを拡張しました。

  
  
  
  
  
  
  

• 最終レポートだけでなく、自分で統計を保管してください。 基準には、一定期間のパフォーマンス、サーバー、クライアント、およびエージェント部分の安定性、他のシステムとの競合、サポートの品質など、次の点を必ず含めてください。 この重要なデータは、非常に平均化されていても、どこにも見つかりません。

  
  
  
  
  
  
  

• DLP自体のセキュリティに注意してください。 結局のところ、個人データを持つデータベースは、それに比べて衰退するようなアーカイブが存在することになります。

  
  
  
  
  
  
  
• システムのストレスを作成します。 できるだけ早くサーバー側にロードしてください！ 重要なユーザーにエージェントを配置します。 過度に複雑なポリシーを作成します。 テクニカルサポートの支援を拒否せずに、問題の解決策を提供してください。 システムの限界がある場所を早く理解すればするほど、選択する客観性が高まります。 はい、ユーザーマットはすぐに聴く方が良いです））。 それでも、DLPはシステムであるだけでなく、サービスでもあります。1つ目と2つ目の実装方法をすぐに判断する必要があります。

大きなポイント

だから、要点-レビューを始めましょう。

ゼキュリオン

子供でもシステムをインストールして構成できます。 数時間の質問-独立してマニュアルなし！ また、コンポーネントが1つのOSにインストールされているか、分散されているかは関係ありません。どちらの場合も、すべてが明らかです。

設定でも、すべてがうまくいき、最初は私の目が走ります。 たとえば、他のDLPで単に「インターネットコントロール」と呼ばれるものは、多数のグループに分割され、各グループに独自のルールを割り当てることができます。

多くの作業モデルがあります-完全な傍受、監査、ブロッキング。

一般に、Zekurionの伝送チャネルのカバレッジは非常に広範囲であると、すべての同僚が指摘しています。 しかし、情報を扱うことになったとき、妨害は上昇しました。

何が好きでしたか：

1. 個々の設定をグループまたは論理ブロックに分割する、チャネルの大規模なカバレッジ。
2. 文書の内容に応じて反応する可能性があり、一般にテキストコンテンツで機能します。
3. エージェントソリューションのプロキシエミュレーション。

気に入らなかったもの：

1. 論理的モジュール性 。
   
   複数のサーバーパーツの存在が肯定的に認識されている場合、2人のエージェントの存在が認識されているため、穏やかに奇妙に見えます。 これがどのようなロジックを提供するかを言うのは難しいですが、私は個人的にこの決定が好きではありませんでした。実際、両方のエージェントが同じ役割を果たします。

   
   
   
   
   
   
   

2. アーカイブを操作します。
   
   傍受された情報を手で扱うようになったとき、ゼクリオンの意見は劇的に変わりました。 インターフェイスはMMCテクノロジーを使用して作成されており、このようなソリューションの問題はすべて明確だと思います。 アーカイブを操作することは非常に困難です-違反が見つかったデータサンプルを参照するのは不便です。 多くの場所で、作業はデータベースサンプルではなく、ログのフィルタリングで行われ、これから生じるすべての問題は明らかです。

   
   
   
   
   
   
   
3. エージェント
   
   エージェントには多くの問題があり、管理者は状況を認識しています。エージェントを削除するのは、最後の手段としてのみ合意に基づいています。 したがって、すべての問題を確認し、統計を保持します。 Compは、明白な理由なしに、エージェントの存在からひどく馬鹿になり始めることができます。 考えられる競合、ソフトウェアとの非互換性、および理由を理解するのに役立つその他のものは見つかりませんでした。

合計：

アーカイブの動揺を処理するための動揺していないツール、およびアーカイブが非常に多く蓄積されている-データベースは素晴らしい速度で成長しています！ はい、サンプリングツール、データ圧縮、さまざまなフィルタリングオプションがありますが、これは古いインターフェイスの問題を解決しません。 他のシステムの2つのアクションで行われることは、10と20の操作を必要とする場合があります。

インフォウォッチ

テスト用に5番目のバージョンが与えられました。 システムは、チャネルの基本リスト（メール、インターネット、インスタントメッセンジャー、ストレージデバイス、印刷）を制御し、多数の事前定義された分析機能を備えています。 システムのロジック全体はそれらに基づいています。

最初に使用する前でも、システムがそれほど単純ではないことが明らかになりました。 実際、このソリューションでは、互いに独立した複数の製品とプラットフォームを一度に使用します。 機能の一部は1つの製品で、一部は別の製品で使用されます。 システムが非常に複雑な理由は完全に理解できません。 一般に、この災害に対処することはできますが、アーキテクチャ計画には問題があります。3つのソリューションのうち、分析が機能するのは1つだけです。 たとえば、分析はメールに対しては正常に機能し、Skypeに対しては質問（インストールされているエージェントによって異なります）、バイバーに対してはまったく機能しません。

何が好きでしたか：

1. 適切に設計された非常に優れたユーザーインターフェイス。
2. トラフィックモニターには多くの制御チャネルはありません。 しかし、その後すぐに、マニュアルなしで、それらの使用方法とその責任を明確にします。
3. 傍受した情報の適切に構成された配信。 すべてがグループに分割され、すべてが段階的に行われ、すべてが論理的でシンプルです。

気に入らなかったもの：

1. エージェント
   
   それらのいくつかがあると言うだけで十分です。 Skypeは1つのエージェントによって制御され、Viberは別のエージェントによって制御されます。 そして、それは1つのソリューションの異なる「モジュール」に関するものではありません-これらはまったく無関係なソリューションです。

   
   
   
   
   
   
   
2. システムアーキテクチャ。
   
   通常、システムはWINまたはUNIXで実行されます。 そして、2つのプラットフォームが同時に必要になります。 なぜ-それは明確ではありません。

製品は断片化されています-トラフィックモニター、デバイスモニターがあります。 私が言ったように、それらは異なるプラットフォーム上にありますが、実際にはまったく同じシステムです。 また、Endpoint SecurityとPersonal Monitorがあります-これは関連タスクのようですが、これは完全に異なるソリューションであり、最初の2つと互換性がありません。 なぜそうなのか-繰り返しますが、DLPでも同じ「作業時間」が役立つため、明確ではありません。 この分離は、さらにいくつかの製品をDLPとペアリングし、全体のチェックを増やすために行われるという考えに忍び寄っています。

1. 機能性
   
   Traffic Monitorを使用している間は、すべてが問題なく、コンソールは高速で快適で、すべてが非常にシンプルで、システムはすぐに動作します。 しかし、他のタスク（および他のコンソール）に進むとすぐに、暗闇が始まります。 ここではブロックできますが、シャドウコピーは作成できません。 ここでシャドウコピーを作成できますが、その中には何も検索できません。 ストレージデバイスは通常、3つのプラットフォームすべてで、独自の方法でどこでも制御されます。

作業の過程で問題が発生します。他のすべてのソリューションで行われているように、イベントをダブルクリックしてすべての詳細を表示することはできません。異なるシステムに登る必要があります。

合計：

私の同僚と経営陣は、提案されたソリューションの価格が、互いに接続されていない一種の混合ソフトウェアの「寄せ集め」であるという事実を考慮して、不当に高いことに同意しました。

検索する

システムは、クライアントとサーバーの両方の多くのアプリケーションで構成されています。 インストール後、デスクトップに非常に多くのアイコンが表示されるため、最初はショックに近い状態になります。 その後、状況は滑らかになります。実際、必要なコンポーネントは3〜4で、残りは1回実行され、設定後に使用されません。 すべてのコンポーネントはWindowsアプリケーションのみであり、マルチプラットフォームは提供されていません。 何らかの種類のWebアクセスがありますが、グラフィカルレポートに対してのみ機能します。

チャネルの制御に関しては、すべてが非常に良好です-ほとんどすべての道路が閉鎖されています。 つまり、ファイルシステムの変更とマシンの構成の変更を、ユーザーアクションのビデオを記録するまで記録できます。 システム内のすべてをブロックできるわけではありませんが、証拠に問題はありません。

何が好きでしたか：

1. 多くの汎用チャネルおよび傍受の方法。 機器の監査、暗号化、ファイルシステムオブジェクトのブロックなど、多くの非DLPの便利な機能。
2. クールなアーカイブ検索ツール。 多くのオプション、検索、フィルタリング、取得、グループ化。
3. セキュリティポリシーの複雑さに制限はありません-1つの設定では、パスポートの規則性、ドキュメントフィンガープリント、辞書、形態、分類、誤字会計、類似した意味の検索など、任意の組み合わせが可能です。
4. 安定性は、テスト中にバグがなかった唯一のシステムです。

気に入らなかったもの：

1. チャンネルロック。
   
   傍受したすべてのチャネルをブロックできるわけではありません。 また、コンテンツブロッキングルールはなく、すべて属性のみに基づいています。

   
   
   
   
   
   
   

2. 洗練されたインターフェース。
   
   誰もがシステムの操作を開始できるわけではありません。多くのコンソールがあり、それぞれに混乱するインターフェイスがあり、それを理解するために頭を砕く必要があります。 または、他のシステムでは必要のないマニュアルをお読みください。

   
   
   
   
   
   
   
3. コンソールの数
   
   9台のコンソール。 彼らは深刻ですか？！

合計：

アーカイブを扱うという点では、KIBは非常に強力です。 コンテンツブロックの脆弱な機能を混乱させ、コンソールに負担をかけました。

TPの作業については別途言及する必要があります。 発生した妨害と希望は、私たちが10セント硬貨を払っていなかったパイロットの間に解決されました。 おそらく私たちのお金が役割を果たしましたが、事実は残っています。彼らは私たちとうまくいっています。

ファルコンガゼ

システムが単に展開していると言うだけでは十分ではなく、製品がそれほど簡単にインストールされることはめったにありません。 開発者は、完全な展開には数時間かかると主張しています-実際、数分かかります！ 最初は、製品の管理は非常に簡単であるように思われます。すべての基本的なアクションは論理的に、当然のことながら実行されます。

制御されたチャンネルの数は非常に多く、基本的なものに加えて、マイクからの音声の録音、オンライン接続、その他の特定のチャンネルなどの機能があり、リストはすべてのレビューで見つけることができるので、そこで止まりません。

何が好きでしたか：

1. 主なものに加えて、多くの異なる制御チャネルには、Viber、スクリーンショット、キーロガー、検索などがあります。
2. 十分に開発されたデータサンプリングメカニズム。 特定のものを検索すると便利です。
3. 配信パッケージ（テンプレート、ポリシー、Abbyy OCRも）は、傍受エージェントのインストールから5分後に使用できます。
4. 独立した十分に開発された制御チャネルとしてのユーザー効率：誰が、何をし、どのくらいの時間が非常にはっきりと見えるか。

気に入らなかったもの：

1. データ処理。
   
   処理機能（インデックス付け）に関連するデータの取得における大きな遅延-時間単位で測定できます。

   
   
   
   
   
   
   

2. レポート。
   
   愚かなレポート：上司に対処して提供できる精巧なレポートがいくつかありますが、レポートの大部分はまったく役に立ちません。

   
   
   
   
   
   
   

3. グリッチ。
   
   他のシステムをテストするときに、ユーザーがエージェントの問題に悩まされていた場合、ここで私たち自身が代わりになりました。 サーバーの不具合もエージェントに追加されました-政治、チェックがハングする可能性があり、それらと一緒にコンソールをドラッグします。 さらに、再起動によって状況が常に解決されるわけではありません。

   
   
   
   
   
   
   
4. ロック。
   
   システムが部分的に未完成で、部分的に-ショーのために彼らが言うように実装されているという印象を受けました。 例で説明します。 ソフトウェアは、プロキシを介した機能ブロックを宣言しました。 本当にそのような機能がありますが、それがどのように作られているかを見る必要があります！

ユーザーは、すべてのパラメーターが手動で選択されるブロックルールを設定するためのウィザードにアクセスできます。 たとえば、Gmailの添付ファイルをブロックする場合-システムがこれを許可し、ブロックするURIの部分を理解したら、Sharkにアクセスしてトラフィックを監視します-ウィザードはサービスにあります。 Dropboxへの送信をブロックしますか？ -より簡単なものはありません。テストドックをアップロードし、途中でトラフィックを調べ、目的のピースを探し、ルールに追加し、すべてのビジネスをチェックします。 すべてのダウンロード方法を再現することを忘れないでください。 そして、これはすべてのタスクに対して実行する必要があります。 また、コンテンツに基づくロックはありません。

合計：

システムにはさまざまなデータを収集するための強力な機能がありますが、アーカイブを表示する以外に、それらを使用することはできません。 つまり、インシデントに対する考えられる反応は1つだけです-管理者に通知することです。 ロックが要求されますが、特に機能します。 そして、一般的に、すべてが具体的に機能します-もちろん私たちは不運だったかもしれませんが、言語はそれをバギーと呼ぶことはありません。

デバイスロック

テストは困難になりました-必要な機能がないことは明らかでした。なぜなら、 システムはエージェントでのみ機能しますが、この場合は常に可能とは限りません。 開発者は、多くの機能が見当たらないことを確認したので、場合によってはテストすることにしました。

システムのセットアップは非常に簡単で、DLPソリューションに固有のクライアント/サーバーアーキテクチャは非常に条件付きです。 通常、エージェントはサーバーと通信せずに機能するため、インストールは実際には通常のプログラムのようになります。 すべてが非常に迅速に展開され、設定を管理するための特別なツールがあります-これは非常に便利です。 システム自体の操作はそれほど難しくなく、すべてが明確です。

何が好きでしたか：

1. システムはシンプルです。 もちろん、MMCに固有のすべての問題が解消されたわけではありませんが、すべてが非常に明確で期待されています。
2. デバイスで非常に良い仕事。 デバイスをタイプに適切に分割します-たとえば、携帯電話（IOS、PALM、WinPhoneなど）はさまざまなカテゴリに分割され、それぞれ独自のルールを作成できます。
3. コンテキストロックは、監視対象チャネルで使用できます。 ドキュメントに名前やクレジットカード情報などが含まれている場合、転送方法、メール、リモートセッション、Skypeなどに関係なく、ブロックできます。
4. システムはサーバーに弱く依存しており、サーバーと通信せずに動作できます。 構成が完了すると、エージェントが実行されていればルールが機能します。 さらに、オフラインモードとオンラインモードは、すべてのチャネルおよび各ポリシーで使用できます。 これらはすべて個別に構成できます。

気に入らなかったもの：

1. エージェントでのみ動作します。
   
   ネットワークを制御する方法はありません。プロキシをブロックする方法はありません。実際には、企業システム（郵便局など）との統合はありません。

   
   
   
   
   
   
   
2. アーカイブを操作します。
   
   アーカイブは維持されますが、実際には、ユーザーはサンプリングにアクセスできませんが、受信したデータをフィルタリングします。 この問題のために、まず、速度で、次に機能で、フィルタリングに使用できる要素はほとんどありません。 結果にはプレビューがありません。調査のために、それぞれを開いて確認する必要があります。最初の多かれ少なかれ深刻なタスクの後、イライラし始めます。

アーカイブ内のテキストを検索する手段はありますが、個別に提供されており、検索機能自体を同じSurchおよびFalconと比較することはできません。

1. 分析。
   
   すべての分析はリアルタイムで機能し、これは前向きな瞬間です。 しかし、実際にはこれが常に当てはまるわけではありません。 正規表現とモルフォロジーを使用した検索、およびさまざまな属性ルールを使用できます。 これは非常に単純なロックにのみ十分であり、適用された問題を常に解決できるわけではありません。

   
   
   
   
   
   
   
2. いくつかのツールはありません。
   
   デジタル指紋によってファイルを調整し、ドキュメント内の変更されたテキストを検索するための技術はありません。 これにより、システムに機密ファイルと機密コンテンツのリストを設定し、すべてのチャネルのブロックを有効にして、再度入力することはできなくなります。

合計：

このシステムは、アナログとは根本的に異なります-「その場で作業する」ために作られています。 アーカイブとの相互作用、調査、データ取得-これらはすべてうまく機能していません。 まあ、仕事はエージェントのみです。電話やタブレットは、たとえ企業であっても、それを置くことはできません。他のすべての人にとっては、プロキシを介して解決されます。

グローバルな結論を出すつもりはありません。組織ごとに独自の技術が必要になります。なぜなら、誰もがテクノロジーと機能について異なる要件を持っているからです。 私のレビューが、DLPシステムを選択するという困難なタスクの誰かに役立つことを願っています。