В августе 2011 года вышел новый отчёт Гартнера  – "Magic Quadrant for Content-Aware Data Loss Prevention", т.е. "Магический квадрат по системам борьбы с утечками информации на основе анализа содержимого". Я сделал выборочный перевод.

В августе 2011 года вышел новый отчёт Гартнера  – "Magic Quadrant for Content-Aware Data Loss Prevention", т.е. "Магический квадрат по системам борьбы с утечками информации на основе анализа содержимого". Я сделал выборочный перевод.

Корпоративный рынок систем предотвращение утечек информации на основе анализа содержимого ( DLP-системы ) значительно изменился. Консолидация вендоров замедлилась, и рынок разделился ( разветвился ) на возможности высокого уровня для больших компаний и возможности низкого уровня для каналов, предлагая больше выбора для организаций всех размеров и потребностей.

Что нужно знать.

Рынок DLP-систем продолжает расти на более чем 20% ежегодно. У покупателя сегодня больше выбор, чем когда-либо. Вендоры предлагают свои продукты в трёх категориях:
– Системы DLP для больших компаний, с продвинутыми возможностями и сложными консолями управления ( именно эти системы рассматриваются в этом документе )
– Канальные DLP-системы, которые предназначены для интеграции с существующими прикладными системами – обычно "e-mail"
– Лёгкие DLP ( новая категория ). Лёгкие DLP-системы предлагают либо ограниченный набор функций для какого-либо нишевого применения, либо предназначены для малых и средних предприятий

 

 

Обзор Рынка

Системы предотвращения утечки информации на основе анализа содержимого ( Content-aware DLP tools ), в дальнейшем – DLP-системы, позволяют в реальном режиме времени реализовывать политики, основанные на классификации содержимого в момент совершения какой-либо операции с этим содержимым. DLP-системы обладают рядом технологий и способов анализа, используемых для классификации информации, содержащейся в в неком объекте – таком как файл, сообщение электронной почты, пакет, приложение или хранилище данных – как в момент использования, так и "at rest", т.е. в то время, когда этот объект не используется, а также во время передачи объекта. DLP-системы позволяют в реальном режиме времени применять политики – такие как сохранить сообщение о событии в журнале, отправить отчёт, классифицировать, переместить объект, пометить его или зашифровать и/или применить корпоративные правила управления правами. Технологии DLP помогают организациям разработать, изучить и применить лучшие мировые практики, касающиеся обработки и передачи защищаемых ( конфиденциальных ) данных.

DLP-системы вынуждают менять поведение

Исходя из их возможностей, системы DLP – это непрозрачный контроль, т.е. пользователям DLP-система видна, они с ней взаимодеюствуют, причём они должны менять своё поведение. Это очень сильно отличается от прозрачного контроля ( такого, как брэндмауэры или антивирусы ), при котором действие программы не видно пользователям. Непрозрачный контроль приводит к "культурному сдвигу" во многих организациях, поэтому очень важно привлекать людей из бизнеса при планировании и внедрении DLP-систем.

Многие производители DLP-систем экспериментируют с альтернативными подходами – облака, SaaS b т.п.

Угрозы Мобильных Устройств

… пока ни один из вендоров, входящих в квадрат, не представил решения, включающего и мобильные устройства…

Отставание в виртуализации, поддержке ОС, отчётах по рискам

Хотя некоторые вендоры поддерживают инсталляцию агентов на виртуальные машины, только единицы могут сканировать файлы на виртуальных дисках напрямую.

Хотя многие вендоры говорят о планах поддержки других ( кроме Windows ) операционных ситем – типа OS/X, Linux, Unix, только единицы действительно дают сейчас такую возможность.

Наблюдается интерес к независимой сертификции DLP-продуктов. Сейчас Fidelis, RSA и Safend уже сертифицировались на Common Criteria и ожидается сертификация McAfee и Websense. Соответствие FIPS 140-2 уже достигнуто McAfee, RSA, Safend, Symantec, Verdasys и Websense.

При внедрении DLP-систем заказчикам частенько требуется такая важная штука, как Управление Рисками. Но вендоры мало что делают, чтобы показать риски в своих отчётах. 

Результаты опроса

Результаты опроса 2011 года приводят к некоторым интересным наблюдениям, которые должны помочь организациям разработать требования и выбрать подходящую их нуждам технологию

• Около 30% предприятий начинают с сетей, 30% со сканирования и 40% с эндпоинтов. Большинство больших предприятий покупает DLP-системы в комплектации, закрывающей 2 из 3-х каналов. Но редко кто берёт сразу все 3.
• Многие большие компании испытывают трудности в том, чтобы чётко и ясно определить свою стратегию в области DLP. Мы по-прежнему рекомендуем этим компаниям отложить принятие решения о покупке до тех пор, пока они не смогут проводить тестовые испытания различных DLP-систем на предмет соответствия своим, независимо разработанным, учитывающим специфику предприятия, требованиям.
• Прямое назначение технологий работы с компьютерами пользователей ( эндпоинтами ) продолжает оставаться защита интеллектуальной собственности и другой ценной информации предприятия от краж инсайдеров и от случайных утечек. Ценность работы в сети и путём сканирования – напротив, лежит в области помочь руководству понять и скорректировать ошибки в бизнес-процессах, в определении и предотвращении случайных раскрытий конфиденциальной информации и предоставить механизм поддержки соответствия требованиям и аудированию.
• Поставщики решений DLP-систем продолжают фокусироваться на защите текстовой информации при анализе даных. Хотя кое-кто уже начинает делать первые шаги в стороны попыток идентификации нетекстовых данных, таких как изображения, чертежи, музыка, видео. В этом направлении вендорам ещё предстоят серьёзные инвестиции в R&D ( разработку и исследования ).

А в последний год увеличилось число жалоб и "разборок" клиентов с поставщиками. Многие из которых характеризуют неприятную тенденцию, когда некоторые вендоры заявляют о характеристиках своего продукта, которые на самом деле не поддерживаются или поддерживаются не польностью или только с помощью дополнительного ПО и т.п.

Сильные и слабые стороны поставщиков решений DLP

CA Technologies

Прошедший год CA занималась исправлением многих недостатков предыдущих релизов, включая функции детектирования контента. А также усилила интеграцию с другими своими продуктами.

Сильные стороны:
– CA Technologies работает на перспективу, включая интеграцию своего продукта по контролю над утечками на основе анализа содержимого со своими продуктами по управлению логами ( журналами ) и по управлению доступом – identity and access management (IAM)
– CA Technologies имеет доказанную компетенцию предоставлять возможности по контролю над утечками на основе анализа содержимого для отдельных видов "чувствительного" содержимого, в некоторых из тех областей, которые подлежат законодательному регулированию. Они формализовали это и теерь предлагают в рамках технологии Быстрого Внедрения – Rapid Implementation Services Offering (RISO)
– хорошо масштабируется
– сильная система управления процессами обработки инцидентов
– в некоторых внедрениях были случаи применения DLP в социальных сетях
– CA Technologies имеет глобальное присутствие, что приятно для больших, географически распределённых предприятий. Есть локализация.

Слабые стороны:
– есть недостатки в возможностях улучшенного поиска по истинному содержимому документа, также не поддерживается регистрация содержимого баз данных
– консоль управления очень функциональна, однако фрагментирована на различные интерфейсы; и пока только на английском
– интеграция IAM/DLP хоть и развивается, но выглядит как роль "постоянного догоняющего" по сравнению с другими; технология выглядит "сырой" в некоторых внедрениях

Code Green Networks

Формализованные отношения с Blue Coat Systems ( через значительные инвестиции ) и партнерские отношения, такие, как с Пало Альто и другими, привдят к повышению уровня понимания и уровня продаж на рынке крупных предприятий. Видно, что сила этого  DLP-решения остается за такими свойствами, как низкая цена и легкость в использовании. Хоть и были инвестии в расширение некоторых основных возможностей системы, но уровень усилий и их отражение на результате не оказались такими заметными, как у других. В итоге, это решение твёрдо заняло позицию нишевого игрока, перебравшись туда из сектора Визионеров, который занимала последние несколько лет.

Сильные стороны:
– Code Green Networks ведёт агрессивную ценовую политику
– имеет хорошие базовые сетевые возможности, с упором на лёгкость при внедрении и использовании
– хорошая интеграция с Active Directory упрощает установку 

Слабые стороны:
– endpoint agent, хоть и был улучшен, но продолжает оставаться слабым ( отсутствуют некоторые ключевые возможности ) по сравнению с другими
– возможности обнаружения ( Discovery ) существенно ограничены в режиме off-line или off-site
– слабая интеграция с SIEM ( только через syslog или e-mail ) 
– политики не всегда целостны для endpoint, discovery and network
– поддержка защиты информации в социальных сетях и на мобильных устройствах только планируется
– внедрения за пределами США – заслуга партнёров

Fidelis Security Systems

линейка продуктов Fidelis XPS предлагает инновационные и лидирующие на рынке возможности сетевой системы предотвращение утечек информации на основе анализа содержимого. Поддержка не-DLP возможностей позволяет раскрыть потенциальные угрозы и риски в больших разнородных средах. Хорошая интеграция с системами управления инцидентами SIEM. Fidelis не предлагает ничего для контроля конечных точек и совсем мало в плане обнаружения ( Discovery ). Но эти возможности предлагаются через партнёрское решение – Verdasys. Fidelis предлагает сильное и хорошо масштабируемое решение, нацеленное на нужды больших предприятий, которым нужно ориентированное на сетевые возможности решение. 

Сильные стороны:
– Fidelis отличается высокой производительностью и способностью сетевых блокировок
– имеет возможности использовать механизм DLP для обнаружения вредоносного кода
– очень хорошая панель управления с продвинутым поиском, управлением бизнес-процессами, с разделением прав и обязанностей по ролям
– сильные возможности по поддержке различных языков 

Слабые стороны:
– намерение так и оставаться поставщиком только сетевого DLP 
– клиенты за пределами США получают поддержку только от партнёров

GTB Technologies

GTB Technologies предлагает технически-ориентированный продукт с возможностями network, endpoint и некоторыми возможностями discovery.
Продукт предлагается по очень привлекательной цене, обладая при этом некоторыми инновациоными функциями. GTB расширяет свою клиентскую базу от рынка МСБ в сторону финансовых институтов, заодно фокусируясь на новых технологиях, таких как защита интеллектуальной собственности и работа с нетрадиционными для DLP-систем данными – типа голосовых или видео-файлов.
GTB – один из немногих вендоров, которые предоставляют доступ к своим технологиям через SDK.

Сильные стороны:

– определение политик и функционал сетевого DLP вполне конкурентоспособен с гораздо более крупными вендорами
– хорошие новинки, такие как алгоритмы детектирования по частичному совпадению документов дают конкурентоспособные средства создания сложных политик
– GTB представляет инновационные свойства DLP, выходящие за рамки традиционных представлений о возможностях контентного анализа
– решение DLP от GTB может быть развёрнуто как в виде устройства, так и в виде виртуальной машины, что упрощает внедрение в небольших организациях

Слабые стороны:
– хотя функционал сетевого и агентского обнаружения ( network and agent discovery ) присутствует как часть решения, производительность ещё нуждается в увеличении чтобы работать в больших неструктурированных средах
– GTB отставал в выпуске 64-битных версий своего клиента по сравнению с конкурентами
– не поддерживат функцию обратной связи с пользователями ( если пользователь считает, что действует правильно, а его действия блокируются )

 

 

(перевод ещё не закончен…)