Отчёт Gartner по системам борьбы с утечками информации ( DLP ) 2011. Перевод.

В августе 2011 года вышел новый отчёт 

В августе 2011 года вышел новый отчёт Гартнера  – "Magic Quadrant for Content-Aware Data Loss Prevention", т.е. "Магический квадрат по системам борьбы с утечками информации на основе анализа содержимого". Мы сделали краткий перевод.

Корпоративный рынок систем предотвращение утечек информации на основе анализа содержимого ( DLP-системы ) значительно изменился. Консолидация вендоров замедлилась, и рынок разделился ( разветвился ) на возможности высокого уровня для больших компаний и возможности низкого уровня для каналов, предлагая больше выбора для организаций всех размеров и потребностей.

Что нужно знать.

Рынок DLP-систем продолжает расти на более чем 20% ежегодно. У покупателя сегодня больше выбор, чем когда-либо. Вендоры предлагают свои продукты в трёх категориях:
– Системы DLP для больших компаний, с продвинутыми возможностями и сложными консолями управления ( именно эти системы рассматриваются в этом документе )
– Канальные DLP-системы, которые предназначены для интеграции с существующими прикладными системами – обычно "e-mail"
– Лёгкие DLP ( новая категория ). Лёгкие DLP-системы предлагают либо ограниченный набор функций для какого-либо нишевого применения, либо предназначены для малых и средних предприятий

 

Magic Quadrant for Content-Aware Data Loss Prevention - 12 August 2011

 

 

Обзор Рынка

Системы предотвращения утечки информации на основе анализа содержимого ( Content-aware DLP tools ), в дальнейшем – DLP-системы, позволяют в реальном режиме времени реализовывать политики, основанные на классификации содержимого в момент совершения какой-либо операции с этим содержимым. DLP-системы обладают рядом технологий и способов анализа, используемых для классификации информации, содержащейся в в неком объекте – таком как файл, сообщение электронной почты, пакет, приложение или хранилище данных – как в момент использования, так и "at rest", т.е. в то время, когда этот объект не используется, а также во время передачи объекта. DLP-системы позволяют в реальном режиме времени применять политики – такие как сохранить сообщение о событии в журнале, отправить отчёт, классифицировать, переместить объект, пометить его или зашифровать и/или применить корпоративные правила управления правами. Технологии DLP помогают организациям разработать, изучить и применить лучшие мировые практики, касающиеся обработки и передачи защищаемых ( конфиденциальных ) данных.

DLP-системы вынуждают менять поведение

Исходя из их возможностей, системы DLP – это непрозрачный контроль, т.е. пользователям DLP-система видна, они с ней взаимодеюствуют, причём они должны менять своё поведение. Это очень сильно отличается от прозрачного контроля ( такого, как брэндмауэры или антивирусы ), при котором действие программы не видно пользователям. Непрозрачный контроль приводит к "культурному сдвигу" во многих организациях, поэтому очень важно привлекать людей из бизнеса при планировании и внедрении DLP-систем.

Многие производители DLP-систем экспериментируют с альтернативными подходами – облака, SaaS b т.п.

Угрозы Мобильных Устройств

… пока ни один из вендоров, входящих в квадрат, не представил решения, включающего и мобильные устройства…

Отставание в виртуализации, поддержке ОС, отчётах по рискам

Хотя некоторые вендоры поддерживают инсталляцию агентов на виртуальные машины, только единицы могут сканировать файлы на виртуальных дисках напрямую.

Хотя многие вендоры говорят о планах поддержки других ( кроме Windows ) операционных ситем – типа OS/X, Linux, Unix, только единицы действительно дают сейчас такую возможность.

Наблюдается интерес к независимой сертификции DLP-продуктов. Сейчас Fidelis, RSA и Safend уже сертифицировались на Common Criteria и ожидается сертификация McAfee и Websense. Соответствие FIPS 140-2 уже достигнуто McAfee, RSA, Safend, Symantec, Verdasys и Websense.

При внедрении DLP-систем заказчикам частенько требуется такая важная штука, как Управление Рисками. Но вендоры мало что делают, чтобы показать риски в своих отчётах. 

Результаты опроса

Результаты опроса 2011 года приводят к некоторым интересным наблюдениям, которые должны помочь организациям разработать требования и выбрать подходящую их нуждам технологию

  • Около 30% предприятий начинают с сетей, 30% со сканирования и 40% с эндпоинтов. Большинство больших предприятий покупает DLP-системы в комплектации, закрывающей 2 из 3-х каналов. Но редко кто берёт сразу все 3.
  • Многие большие компании испытывают трудности в том, чтобы чётко и ясно определить свою стратегию в области DLP. Мы по-прежнему рекомендуем этим компаниям отложить принятие решения о покупке до тех пор, пока они не смогут проводить тестовые испытания различных DLP-систем на предмет соответствия своим, независимо разработанным, учитывающим специфику предприятия, требованиям.
  • Прямое назначение технологий работы с компьютерами пользователей ( эндпоинтами ) продолжает оставаться защита интеллектуальной собственности и другой ценной информации предприятия от краж инсайдеров и от случайных утечек. Ценность работы в сети и путём сканирования – напротив, лежит в области помочь руководству понять и скорректировать ошибки в бизнес-процессах, в определении и предотвращении случайных раскрытий конфиденциальной информации и предоставить механизм поддержки соответствия требованиям и аудированию.
  • Поставщики решений DLP-систем продолжают фокусироваться на защите текстовой информации при анализе даных. Хотя кое-кто уже начинает делать первые шаги в стороны попыток идентификации нетекстовых данных, таких как изображения, чертежи, музыка, видео. В этом направлении вендорам ещё предстоят серьёзные инвестиции в R&D ( разработку и исследования ).

А в последний год увеличилось число жалоб и "разборок" клиентов с поставщиками. Многие из которых характеризуют неприятную тенденцию, когда некоторые вендоры заявляют о характеристиках своего продукта, которые на самом деле не поддерживаются или поддерживаются не польностью или только с помощью дополнительного ПО и т.п.

Сильные и слабые стороны поставщиков решений DLP

CA Technologies

Прошедший год CA занималась исправлением многих недостатков предыдущих релизов, включая функции детектирования контента. А также усилила интеграцию с другими своими продуктами.

Сильные стороны:
– CA Technologies работает на перспективу, включая интеграцию своего продукта по контролю над утечками на основе анализа содержимого со своими продуктами по управлению логами ( журналами ) и по управлению доступом – identity and access management (IAM)
– CA Technologies имеет доказанную компетенцию предоставлять возможности по контролю над утечками на основе анализа содержимого для отдельных видов "чувствительного" содержимого, в некоторых из тех областей, которые подлежат законодательному регулированию. Они формализовали это и теерь предлагают в рамках технологии Быстрого Внедрения – Rapid Implementation Services Offering (RISO)
– хорошо масштабируется
– сильная система управления процессами обработки инцидентов
– в некоторых внедрениях были случаи применения DLP в социальных сетях
– CA Technologies имеет глобальное присутствие, что приятно для больших, географически распределённых предприятий. Есть локализация.

Слабые стороны:
– есть недостатки в возможностях улучшенного поиска по истинному содержимому докуента, также не поддерживается регистрация содержимого баз данных
– консоль управления очень функциональна, однако фрагментирована на различные интерфейсы; и пока только на английском
– интеграция IAM/DLP хоть и развивается, но выглядит как роль "постоянного догоняющего" по сравнению с другими; технология выглядит "сырой" в некоторых внедрениях

Code Green Networks
 

 

 

   

 

 

(в процессе…)