InfoWatch Traffic Monitor。 バグと機能の端まで

「イゴール、彼は二つの心を持っている!!!」



Infosecurity Group of CompaniesのDLP Groupの責任者であるAnna Popovaは、さまざまなDLPシステムを使用しているという印象を引き続き共有しています。 前の記事で、彼女はKIB SearchInformの長所と短所について話しました。 今日、約束どおり、InfoWatch製品ラインについてお話しましょう。 ただ、客観的な比較のふりをしていないとすぐに判断しましょう。









一般に、システムに関する客観的な意見が何であるかを理解することは困難です。 客観的な特性は、DLPシステムが顧客の技術要件、FSTEC要件などに準拠していること、および必要な容量との相関関係です。 現実は、あるクライアントが他のクライアントから「引き離した」機能が低下するためです。 さらに、アナリストによるシステムの操作について話している場合、あるシステムの別のシステムに対する客観的な優位性について話す必要はありません。 誰かが1つのインターフェイス、他の誰か、イベントのアンロードが好きではない人、誰かにとっては重要ではない人がいます。



InfoWatchはDLPについてたくさん語っています。 多くのコピーが彼の周りで壊れています。 意見は非常に多様です-最も極性から中立まで。 時間が経つにつれて、会社と製品の両方は、2つ以上の有用な機能を成長させ、ガートナーの「魔法の象限」に入り込むために、長くて厄介な開発の道を歩みました。 だから、彼らが言うほど良い（悪い）かどうか、製品が何を成し遂げたかを把握しよう。

建築（誰が誰であるか）

まず第一に、あなたは私たちが取り組んでいるものを理解する必要があります。 InfoWatch Traffic Monitorソフトウェアパッケージは、次のコンポーネントで構成されています。



InfoWatch Traffic Monitorは、ネットワークインターセプトおよびインターセプトされたデータ（ネットワークおよびエージェントから収集された）の分析を担当する主要なコンポーネントです。 RHEL / CentOS 6を搭載。Webインターフェースのレンダリングも担当します。これは、システムを操作する際のISオフィサーの主要なエントリポイントです。



InfoWatch Device Monitor-このコンポーネントは、エージェント（エージェントポリシーを含む）の管理を担当します。 Windows Serverを搭載。 任意のWindowsマシンにインストールできる別の管理コンソールがあります-主なことは、デバイスモニターサーバーへのネットワークアクセスが開いていることです。



InfoWatch Crawler-指定したユーザーディレクトリとネットワークディレクトリをスキャンできるモジュール。 Windows Serverでは機能しますが（Device Monitorサーバーを備えたマシンにインストールできます）、Traffic Monitor Webコンソールに統合され、そこから管理されます。



InfoWatch Visionは、視覚化による情報セキュリティインシデントの調査プロセスを大幅に簡素化できるオプションのコンポーネントです。 Traffic Monitorからのイベントを、自動調整可能なインタラクティブグラフの形式で表します。 Windows Server上で実行され、QlikSenseプラットフォームに基づいています。



InfoWatch Person Monitorは、勤務時間の機能的な監視を提供するオプションのモジュールでもあります。 Win Server上で動作し、伝説的な、何らかの形でStakhanovetsシステムからそのルーツを取ります。

ブロック機能

システムはDLP（リコール、データ漏洩防止-データ漏洩防止を意味します）の自慢のステータスを持っているため、まず、そのようなシステムの「クラシック」機能-防止を検討します。 このソフトウェアパッケージは何を提供しますか？



最小限のインストール（トラフィックモニター、デバイスモニター）でも、機能は非常に豊富です：メールをブロックし、コンテンツ分析またはメディアのホワイトリストの結果に従ってリムーバブルメディアへの書き込みを防ぎ、アプリケーションの起動を禁止し、FTPの使用を禁止することができます。 Person Monitorモジュールを接続すると、機能がいくらか拡張されます。クリップボードを消去する機能と、インターネットへのファイルのダウンロードの禁止が追加されます。



訓練を受けていないユーザーにとって、さまざまな管理コンソールの全体を最初に理解することは困難です。たとえば、システムを操作するときの機能の1つは、デバイスモニターでインターセプトチャネルを「有効にする」必要があることです。



一般に、防止機能は問題を提起しません;ローミングする場所があります; 最も要求の厳しい顧客は、おそらくより柔軟な競合製品に頼らなければならないでしょう。 労働時間の機能的会計については、IWTMでは独自の方法で実装されていますが、非常に便利な方法です。

機能的な時間管理

特にCIS諸国のDLP市場は、今日、予防機能だけに限定されていません。 DLPシステムには、従業員作業監視システムという別のクラスの製品の機能が少しずつ組み込まれています。



問題の製品も例外ではなく、何かを吸収しました。 どのくらい高品質ですか？

Person Monitorモジュールを使用して従業員を制御できます。キーロガーから開始し、デスクトップからのビデオで終了し、Webカメラとマイクからの音声を制御します。 しかし、すべてがそれほどバラ色ではありません。 このモジュールは、高く評価されている「スタカノベッツ」の解釈であると上記で述べました。 したがって、デメリット-たとえば、複合施設の残りのモジュールとの統合が完全に欠如していること、および50台のマシンのみが保証されている「フルコントロール」カバレッジなどです。 データベースの保護は特に重要でした-暗号化は必要ありません。データベース内のデータは変更されたエンコーディングでのみ保存されます。 「だれも推測しないように！..」



ところで、感情に関して：Webインターフェイスを最初に開くと、Person Monitorは接続が暗号化されていないことを警告し（通常のhttp、つまり）、誰でも自分でhttpsを構成できるマニュアルへのリンクを提供します。 これが「箱から出して」すぐに実行されなかった理由は不明です。



テキスト機能に対する非常に興味深い音声認識もあります。 これは、多くのお客様にとって問題となるGoogle APIを介して実装されます。第一に、サーバーをインターネットに接続する必要があり、第二に、全員が機密情報を第三者に転送することに同意するわけではありません。



Person Monitorによって収集された情報の調査を行ったとき、利用可能なすべてのチャネルおよびすべての従業員から利用可能なすべての情報を操作することに慣れていたため、不快でした。 さらに、暗号化されたキーロガーデータを使用したローカル検索には、最も基本的な機能しかありません。たとえば、形態はありますが、興味深く複雑なテキスト検索ルールを構築できません。 それにもかかわらず、少量のトラフィックや小さな会社では、誰もがこれに耐えることができます。



技術的な観点から見ると、Person Monitorは、ユーザーのワークステーションからデータを収集するエージェント、このデータが保存されるデータベース（MSSQL）を備えたサーバー、およびシステムのWebインターフェースをレンダリングするApache for Windowsで構成されます。 ユーザーの要求に応じて、SQLクエリがコンパイルされ、その結果がHTMLレポートページの形式でユーザーに表示されます。



中小企業といえば、ビジョンという別のモジュールにスムーズに移行します。 注文によって作成されたかのようでした。これにより、Traffic Monitorでキャプチャされたデータを視覚化のために整理でき、さらにリクエストをその場で再構築できます。 これはすべて可能です。特に、QlikSenseプラットフォームのおかげで、VisionサーバーのメモリでTraffic Monitorから取得したイベントを操作できます。

大量のデータのダウンロードには長い時間がかかるため、イベントは一定の期間に1回（たとえば、毎晩）ロードする必要があります。

一般的な印象

他のシステムと同様に、検討中のシステムには欠点がないわけではありません。 残念ながら、以前のバージョンから引き延ばされてきた「子供の痛み」がいくつか残っています（たとえば、Person Monitorにリストされている問題）。 一部のソリューションは議論の余地があります。これがバグなのか機能なのかは必ずしも明確ではありません（コンソールを切断し、異なるデータベースを使用してイベントを保存する）。 統合ソリューションではなく、特定の機能に重点を置く必要がある場合は、DLP市場の調査を続けることをお勧めします。



InfoWatch Traffic Monitorを使用してDLP市場の調査を開始すると、短所にすぐに気が付きました。

• 最小限のインストールでも、異なるファミリーのシステム上に2つのサーバー（トラフィックモニター、デバイスモニター）が必要です。
• 最大のインストールでは、従業員のワークステーションに2つのエージェントをインストールする必要があります。
• システムユーザーは、1つのコンソールではなく、2〜5のコンソールを使用する必要があります（トラフィックモニター、デバイスモニター、個人モニター、個人モニター、ビジョン設定コンソール）。
• 上記のすべての場合、Person Monitorと他の複合システムとの統合はまったくありません。これは、別のシステムで作業しているという感覚です。

しかし、市場をさらに研究し続けて、多くの利点を発見しました（比較すると、すべてがわかっています）。

• 仕事の安定性;
• ローリングのシンプルさとスピード。 Traffic Monitorのキックスタートイメージがあり、Windowsコンポーネントはパターン「Next-Next-Done」に従ってインストールされます。
• システムの柔軟性。 すべてのコンソールのインターフェースをマスターしたら、トラフィックが到着するとすぐに適用される非常に複雑な操作規則を作成できます。
• 調査の速度。 Visionはまだ若く、私たちにとって十分な機能を備えて成長していませんが、その速度と可視性はこれを補います。 過去の主要な顧客と仕事をするとき、彼は戦闘システムの一部として私たちに非常に役立つでしょう。

記事を準備する際に、InfoWatchのDLPシステムにどれほど感銘を受けたかについて、練習中のアナリストにインタビューしました。 言われたことをすべてまとめると、いくつかの長所と短所を強調します。



短所：

• コンソールの不整合;
• 非機能的なアクセス制御（そうですが、ダッシュボードなど、いつでも設定できるとは限りません）;
• 通常、モジュールの1つは、カーネルが分析できない情報を収集します。
• 2つのエージェントが使用され、一部の機能は両方に含まれています。
• データベース間でデータを抽出する必要があります。
• 最も最小限の実装であっても、1つのサーバーにすべての機能を配置することは不可能です。
• PMのロジック（イベントではなく、レポートで動作する）では、カバレッジエリア全体で快適に使用することはできませんが、「ポイント単位」でのみ使用できます。

長所：

• 必要に応じて機能を実装する意思。
• インストールの容易さ（キックスタート）;
• 拡張性
• 多くのことを理解し、多くのことを理解しています-チャンネルの大規模な選択、モバイルトラフィックでの作業、機密データを検出するための大規模な選択;
• さまざまなオブジェクトを異なる色で強調表示する、比較的迅速な検索と便利なプレビューア。
• 技術と保護対象の詳細な説明。
• 自動重大度検出、役員の降車など。
• 収集された情報を視覚化することに多くの注意が払われます。 市場で最高のソリューションの1つ。

マイナス-はい、残念ながら、これは複数の子音であり、それらの間の機能の論理的な分離とは限りません。 これは不便であるだけでなく、調査のための証拠や異なるデータベースのデータを収集する必要がある場合、システム自体を使用して同じ形式にすることはできません。 アナリストまたは警備員の多くの不必要な手作業。



潜在的な顧客向けに改善を実装したいというベンダーの要望に満足しました。 拘束力のある契約関係なし。 これは非常に現実的な例です。あるクライアントのパイロットで発表した多くの改善点について話し合ってから6か月後に、実装された機能でそれらを確認しました。



さらに、IWはそのような問題の議論に注意を払っている数少ないベンダーの1つであり、タグをキックしません。なぜそれが必要なのか、あなたはそれについて最初に尋ねるなどです。 （Sasha Klevtsov、私たちはあなたに別のこんにちはと最高の願いを与えます:)）。



一番下の行では、最も退屈な顧客の要件のほとんどをカバーし、過度のシステム要件を持たない、かなりバランスの取れたシステムがあります。 InfoWatchは常にその複雑さを「ポンプ」して、新しいクールな機能を追加します。 それらを注意深く縫い合わせるだけです:)。



アンナポポヴァ、DLPブロックヘッド、Infosecurity Group of Companies

ニキータ・シェフチェンコ、Infosecurity Group of Companies、DLP Blockのエンジニアリングサポートグループ長