Структура обзора «Российский рынок DLP-систем 2021. Проблемы и решения»:
ЧАСТЬ 1. ОСОБЕННОСТИ СОВРЕМЕННОГО РЫНКА DLP-СИСТЕМ
Рынок DLP-систем в цифрах и фактах: оценка аналитиков. Специфика российского рынка DLP в сравнении с зарубежными.
Тренды рынка DLP-систем.
Современная функциональность DLP-систем.
Искусственный интеллект и машинное обучение как перспективные направления развития DLP-систем.
ЧАСТЬ 2. ГРАМОТНОЕ ВНЕДРЕНИЕ DLP-СИСТЕМ
1. Потребности разных сегментов бизнеса в DLP-системах
2. Критерии оценки DLP-системы
3. Факторы, влияющие на выбор DLP-системы
3.1 Мнения представителей интеграторов
3.2 Мнения представителей вендоров
4. Обзор ведущих DLP-систем на российском рынке
4.1 «СёрчИнформ КИБ»
4.2 DeviceLock DLP
4.3 Falcongaze SecureTower
4.4 InfoWatch Traffic Monitor
4.5 Solar Dozor
4.6 Zecurion DLP
В обзоре приняли участие представители компаний и организаций:
Факторы, определяющие потребность разных сегментов бизнеса в DLP-системах, можно разделить на типовые (свойственные любому ИБ-проекту, такие, как величина, бюджет организации, необходимость масштабирования, наличие удаленных сотрудников, оценка рисков и другие) и специфические (например, типы используемых данных и основные каналы их передачи). Большинство экспертов заявляют о существенном различии потребностей в организациях разных сегментов, однако уместно и замечание о том, что общая цель всех внедряемых DLP-систем одна: обеспечить сохранность наиболее чувствительных и важных для бизнеса данных. Более того, даже в рамках одной отрасли и схожих бизнес-процессов компаний потребности в защите от утечек могут сильно отличаться.
Виолетта Красова, ведущий специалист направления защиты от утечек информации департамента информационной безопасности Softline:
Вне зависимости от категории заказчика, у всех свои цели. DLP-системы должны подбираться под конкретные задачи заказчика, с учетом всех особенностей и факторов. Именно для этого существуют эксперты, которые могут независимо от вендоров помочь с выбором, рассказав все плюсы и минусы и подобрав идеальную систему для конкретного заказчика и проблемы.
Мария Чередниченко, руководитель направления защиты от утечек данных центра информационной безопасности компании «Инфосистемы Джет»
Мария Чередниченко, руководитель направления защиты от утечек данных центра информационной безопасности компании «Инфосистемы Джет»:
Различия между потребностями крупного и малого бизнеса однозначно есть. Поэтому DLP-система всегда требует кастомизации под каждого заказчика. Конфиденциальные документы можно сравнить с секретами: они у каждого свои.
Большаков Максим, начальник отдела информационной безопасности КОМПЛИТ
Максим Большаков, начальник отдела информационной безопасности КОМПЛИТ:
Запросы малого бизнеса и государственного заказчика, связанные с применением DLP-систем, будут отличаться бюджетом, типами рисков для инфраструктуры и составом целевой аудитории. Мы рекомендуем коллегам и заказчикам погружаться детально в бизнес-процессы и потребности организаций, чтобы подобрать наилучшие варианты решения задачи.
Дмитрий Дудко, руководитель отдела проектирования и внедрения департамента информационной безопасности ЛАНИТ
Дмитрий Дудко, руководитель отдела проектирования и внедрения департамента информационной безопасности ЛАНИТ:
Различия в потребности к средствам защиты не существенны. Если есть что защищать, утрата чего может принести большой или фатальный ущерб, – то к сохранности этого будут предприняты все меры. Другой вопрос, что у всех разные финансовые возможности, и уже тут появляются индивидуальные особенности каждого конкретного предприятия.
Владимир Ченцов, специалист по информационной безопасности ТАЛМЕР
Владимир Ченцов, специалист по информационной безопасности компании ТАЛМЕР:
Крупный бизнес зачастую нуждается в геораспределенных системах с централизованным процессом мониторинга. Наличие выделенных подразделений ИБ позволяет полностью передать администрирование систем под их управление и использовать решение в формате on premise внутри организации.
Для среднего и малого бизнеса выделенное подразделение внутри компании скорее исключение, чем распространенная практика, так как стоимость владения высокая. Поэтому существует спрос на облачные решения, не требующие глубокой настройки и предоставляемые как сервис по модели подписки.
У государственных компаний более высокие требования к функциональным возможностям DLP-систем, прежде всего, по причине более жестких регламентов и правил, предъявляемых регуляторами к мерам обеспечения информационной безопасности.
Олеся Ярмоленко, генеральный директор DeviceLock DLP:
Крупный бизнес, имеющий большие коллективы глубоко специализированных работников, требует решений, направленных на борьбу с утечками данных с высоким уровнем автоматизации. При этом он готов инвестировать время своей ИТ-команды в их внедрение и настройку.
Малый бизнес формирует спрос на простые решения, причем направленные на борьбу не только с утечками данных, но и с прокрастинацией персонала, которая является проблемой для небольших организаций, управлявшихся до пандемии «вручную». Эта часть покупателей не желает тратить время на внедрение системы, однако готова разбираться в каждом инциденте.
Александр Клевцов, руководитель направления InfoWatch Traffic Monitor
Александр Клевцов, руководитель направления InfoWatch Traffic Monitor:
Востребованность тех или иных функций зависит от культуры и зрелости ИБ в компании. В одних организациях службы безопасности контролируют только информацию, покидающую компанию, в других контролируются в том числе и внутренние коммуникации, а кто-то уже перешел от мониторинга к прогнозированию утечек. Поэтому востребована различная функциональность. Если зрелость компании достаточно высокая, то данные, накопленные DLP, используются повторно: например, для задач HR. Если в инфраструктуре компании используются облачные решения, то требуется интеграция с облачными сервисами. Для производственных компаний актуальна функциональность DLP, обеспечивающая защиту графической информации: схем и чертежей. Финансовый сектор использует интеграцию с бизнес-системами для защиты финансовых данных.
Средний бизнес менее формализован, сотрудники свободнее в выборе технических средств коммуникаций и не зажаты жесткими рамками формальных процессов. Поэтому востребованы инструменты для исследования информационного поля, например, визуальный анализ данных.
Государственные учреждения подпадают под более жесткое регулирование и должны соответствовать политике импортозамещения, как и другие субъекты КИИ.
Александр Ковалёв, заместитель генерального директора Zecurion
Александр Ковалёв, заместитель генерального директора Zecurion:
Для госсектора необходимо иметь отличную поддержку Linux на агентских машинах, где у многих вендоров есть если не белые пятна, то крайне ограниченный функционал.
Для крупного бизнеса важен функционал, связанный с отказоустойчивостью, экономией трафика и аппаратных ресурсов (низким «сайзингом»), сложными матрицами доступа к функционалу и контролем особых типов файлов и каналов связи.
Алексей Дрозд, начальник отдела информационной безопасности «СёрчИнформ»
Алексей Дрозд, начальник отдела информационной безопасности «СёрчИнформ»:
В отличие от крупных организаций, компании малого бизнеса часто не могут оценить целесообразность использования DLP-систем во всю мощь. В коллективе до 50 человек руководителям сложно оценить, оправдает ли себя найм ИБ-специалиста, покупка оборудования, ПО. Поэтому на первом этапе малые компании чаще внедряют инструменты контроля дисциплины – таск-менеджеры и тайм-трекеры. Но организации растут, получают опыт использования контролирующего ПО и быстро приходят к пониманию, что требуется заниматься и вопросами безопасности. Поэтому хорошо, если для контроля дисциплины компании внедряют соответствующий модуль в составе DLP, это позволит безболезненно наращивать функционал, когда потребности изменятся.
Еще одно отличие в том, что в MSB как правило нет своего ИБ-специалиста, поэтому в этой сфере аутсорсинг окажется актуален уже в среднесрочной перспективе.
Государственные заказчики в отличие от коммерческих вынуждены больше ориентироваться на требования регуляторов, на них накладывает ограничение закон об импортозамещении, они обращают внимание на допуски и сертификацию, какие законодательные требования позволяет закрывать тот или иной софт. Поэтому, к сожалению, часто в госсекторе складывается ситуация, когда ПО закупается для решения «бумажных», а не реальных проблем. У коммерческой организации в этом плане развязаны руки, их главное требование в том, чтобы система работала на результат.
В ходе подготовки обзора оказалось, что невозможно напрямую сравнить DLP-системы и оценить, какие из наиболее популярных решений можно назвать самыми перспективными. Эксперты сходятся во мнении в том, что при достаточно высоком уровне существующих российских DLP-систем, каждая из них обладает разнообразной, а зачастую и уникальной функциональностью. Частично об этом мы упоминали в первой части данного обзора. Об этом свидетельствует также глава 4 второй части обзора, где представлены основные российские DLP-системы.
Тем не менее как о важном преимуществе можно говорить о присутствии российских DLP-систем на зарубежных рынках и включении в глобальные аналитические отчеты.
Виталий Орлов, руководитель Комитета по информационной безопасности АРПП «Отечественный софт»
Виталий Орлов, руководитель Комитета по информационной безопасности АРПП «Отечественный софт», исполнительный директор ООО «Смарт-Софт»:
Четкие критерии отнесения той или иной DLP-системы к перспективной отсутствуют. Как и в случае с прочими информационными системами, перспектива применения той или иной DLP-системы определяется перечнем стоящих задач, квалификацией обслуживающего персонала, наличием аппаратных ресурсов и многими иными факторами, прямо или косвенно влияющими на окончательный выбор. А вот перспективными технологиями в DLP-системах, на мой взгляд, являются технологии UBA (User Behavior Analytics) и поведенческого профилирования, т.е. технологии выявления аномального поведения пользователей.
Валентин Макаров, президент НП «РУССОФТ»
Позиция ассоциации НП «РУССОФТ» (основана на мнении президента НП «РУССОФТ» Валентина Макарова, генерального директора Zecurion Алексея Раевского и председателя совета директоров SearchInform Льва Матвеева):
Говоря о перспективных DLP-системах в России, нельзя ограничиваться только объемом продаж на российском ИТ-рынке. Не менее важным (а может быть и более значимым) критерием являются динамика и объем продаж компании на мировом рынке. Дело в том, что сочетание функции обеспечения защиты данных как от внешних угроз, так и от угроз, создаваемых инсайдерами, является конкурентным преимуществом российских производителей. Де-факто они являются альтернативными поставщиками более эффективных DLP-систем на глобальном рынке, а значит имеют потенциал масштабирования продаж на мировом рынке. И наоборот, рост продаж вне России позволяет наращивать компетенции и маркетинговый бюджет, а значит – усиливать позиции и в России.
С учетом вышесказанного можно отметить компании, закрепившиеся в рейтинге Gartner Magic Quadrants в сегменте DLP: Zecurion, SearchInform, InfoWatch. Их возможности роста которого заключены, в том числе, в зарубежных проектах. Так, за последние годы Zecurion и SearchInform нарастили свое присутствие на рынках Северной и Центральной Америки, Африки, Азии и Ближнего Востока. Количество их партнеров в этих регионах выросло от 3 до 6 раз. При этом уже не только Gartner, но и другие ведущие мировые ИТ-аналитики (Forrester Research, IDC, Radicati, Markets and Markets и т.д.) включают Zecurion и SearchInform в топ мировых DLP-систем в своих отчетах и исследованиях рынка.
Максим Большаков, КОМПЛИТ:
Уровень разработки DLP-систем в России достаточно высокий. На рынке существует множество продуктов, каждый из которых решает идентичные задачи, но их функционал и технические характеристики всё же разнятся.
Дмитрий Дудко, ЛАНИТ:
Каждое отечественное решение DLP развивалось самостоятельным, самобытным образом. Мы пробовали сравнить несколько DLP-решений и обнаружили, что у них абсолютно разный функционал. На рынке нет однозначного функционального лидера, который был бы на недосягаемой высоте, а остальные бы его догоняли и сбивали цену.
Владимир Ченцов, ТАЛМЕР:
На сегодняшний день у всех продуктов, представленных на российском рынке, есть свои сильные стороны. Выбор DLP-системы зависит от набора бизнес-задач, которые необходимо решить. Если есть сомнения в выборе, то реализация пилотного проекта помогает оценить эффективность продукта перед масштабным внедрением и найти оптимальное решение.
Консультация интегратора по выбору DLP-системы полезна тем, что команды интеграторов ежегодно реализуют десятки ИБ-проектов с использованием различных ИТ-решений. Они могут провести независимый аудит ИТ-инфраструктуры и с наибольшей точностью порекомендовать те или иные решения.
Виолетта Красова, Softline:
При выборе DLP-системы нужно обращать внимание прежде всего на конкретизацию своей задачи. Необходимо понимать, какие каналы используются и подлежат контролю: может некоторые из них проще просто изъять из доступа, если в этом нет необходимости в бизнес процессах. Необходимо обращать внимание на аналитические возможности системы, так как точность детектирования предельно важна. Также важно понимать, какая система подходит для инфраструктуры заказчика: с активным или пассивным анализом траффика; хостовая, шлюзовая или комплексная.
Мария Чередниченко, «Инфосистемы Джет»:
Нужно отталкиваться от целей, которые стоят перед организацией, и от задач, которые планируется решать с помощью DLP-системы. Особое внимание следует уделить тому, какие каналы нужно будет контролировать, и требуется ли превентивное предотвращение утечек. Помимо этого, стоит оценить и сам защищаемый контент: насколько документы сложны по структуре для разбора системой. От этого зависит, какими технологиями анализа должно обладать DLP-решение.
Максим Большаков, КОМПЛИТ:
Обычно заказчики хотят применять в своей инфраструктуре программные решения, которые легко внедрить, не нарушая жизнеспособность бизнес-процессов и не модернизируя систему информационной безопасности. Чтобы выбрать подходящую DLP-систему, необходимо рассмотреть способы интеграции DLP-систем в рамках комплексной системы защиты, в соответствии с нормативно-правовыми документами РФ в сфере ИБ; понять, какие типы данных есть в инфраструктуре и какой уровень защиты требуется для каждого типа данных: где они находятся, кто ими пользуется и как; проанализировать, какие модули могут противодействовать утечкам (решение должно обеспечить безопасность информации, которая выходит из сети через электронную почту, USB-порты и облачные сервисы); учесть время, которое потребуется для развертывания DLP-системы и дополнительных услуг; обязательно оценить текущее состояние ИТ-инфраструктуры; определиться, легко ли будет внести изменения в систему, потребуется ли обучение специалистов организации.
Дмитрий Дудко, ЛАНИТ:
Если говорить кратко, то фактор при выборе DLP-системы только один: количество денег. Необходимо понять, сколько стоит то, что могут украсть, какой ущерб будет нанесен и какие ресурсы потребуются для исправления ситуации. В каждой компании есть что защищать, просто степень ущерба разная. Понимая цену ущерба, можно рассчитать, сколько мы готовы потратить на систему защиты. После этого выбирается решение с требуемыми функциями и по заданной цене.
Владимир Ченцов, ТАЛМЕР:
Традиционно при выборе DLP-систем выделяется ряд факторов: стоимость владения, аналитические возможности, надежность, скорость работы, перечень контролируемых каналов коммуникации и экспертиза разработчиков систем. Каждый заказчик определяет для себя наиболее приоритетные требования к DLP-системе, исходя из решаемых задач в плоскости информационной безопасности.
Вендоры лучше знают собственный продукт, его функциональность и особенности применения. Наряду с общими практическими рекомендациями, которые уже дали представители интеграторов, они могут предоставить более специфическую информацию.
Олеся Ярмоленко, DeviceLock DLP:
В первую очередь, компания должна выбрать политику применения DLP-системы: ручное или автоматическое реагирование на инциденты. Кроме того, необходимо учесть специфику бизнес-процессов и строгость политик по управлению программным обеспечением. Например, если нельзя запретить персоналу пользоваться мессенджерами со встроенным шифрованием, нужно использовать DLP-систему, обладающую такой возможностью. Третий аспект – текучесть персонала. Если она высока и в корпоративной информационной среде появляются новые пользователи, от DLP-системы потребуется возможность предиктивного анализа их опасности, а также желательна возможность обучения взаимодействию с ней.
Павел Пармон, сотрудник аналитического отдела Falcongaze
Павел Пармон, сотрудник аналитического отдела Falcongaze Falcongaze:
Прежде всего, естественно, на выбор системы влияет соответствие ее функционала потребностям компании. И речь не только о функционале DLP. Многие вендоры, в том числе и мы в Falcongaze, понимают, что на защите от утечек данных потенциал программного продукта не заканчивается. Это выливается в расширение функционала сверх основной задачи. Например, в Falcongaze SecureTower мы добавили широкий функционал по отслеживанию, анализу и оценке продуктивности сотрудников и трекингу изменений их моделей поведения. Если компании необходимо быть уверенной в том, что сотрудники не злоупотребляют рабочими ресурсами (а это не только время), то удобнее и дешевле закупить одно решение, которое закрывает сразу два вопроса.
Александр Клевцов, InfoWatch Traffic Monitor:
Выбор зависит от того, какую именно проблему заказчику необходимо решить. Например, какие информационные активы и каналы ему требуется защитить. Необходимо учитывать особенности IT-инфраструктуры: наличие нескольких информационных контуров, список установленных операционных систем и развернутых инструментов виртуализации. Всё это накладывает свои требования. Иногда имеет критическое значение фактор производительности системы, что дает возможность внедрения решение на десятках тысячах рабочих станций.
Используемые технологии анализа – ключевой вопрос. Даже в небольшой компании количество событий исчисляется несколькими миллионами в день. В этом потоке нужно поймать важное и не создать дополнительной нагрузки на специалиста ИБ из-за ложных срабатываний. Точность и скорость работы технологий детектирования и фильтрации – главная «фишка» DLP-системы, причем, это не только анализ текста, но еще и защита самой разнообразной графики от сканов и фото до чертежей и карт. Технологии анализа должны «покрывать» все защищаемые информационные активы компании вне зависимости от их формы и содержания, и должны быть «обучаемы» с тем, чтобы этот процесс не требовал дополнительных усилий со стороны ИБ-отдела.
Важный нюанс, на который стоит обратить внимание, – возможность интеграции DLP-системы с другими решениями. Бизнес-системы содержат чувствительные данные, которые необходимо защищать. Без интеграции защита будет, во-первых, «дырявой», а во-вторых, некоторые типы данных, например, персональные, защищать полноценно просто невозможно. Для любого B2B-решения важен уровень сервисов, которые предоставляет вендор. В данном случае – глубокий консалтинг и лингвистическая экспертиза, позволяющие разобраться в данных конкретного заказчика.
Наконец, чтобы получить не дорогостоящего «кота в мешке», а эффективный инструмент обеспечения безопасности, команде внедрения совместно с заказчиком важно определить его задачи и затем на пилоте убедиться в том, что конкретная DLP-система их действительно решает.
Александр Ковалёв, Zecurion:
Факторов много. Рекомендуем обратить внимание на динамику разработки, то, насколько часто и насколько наполненными выходят новые версии и какие планы ближайших версий. Не стоит забывать, что DLP уже давно не только контроль периметра и инциденты, но данные при хранении и трансформация подхода от управления инцидентами к управлению рисками, связанными с данными, сотрудниками, аномалиями, нетипичным профилем поведения.
Алексей Дрозд, «СёрчИнформ»:
Главные критерии выбора – это количество контролируемых каналов, надежность и скорость работы системы, аналитические возможности, наличие техподдержки, цена и стоимость владения. Из маркетинговых материалов правильные выводы сделать нельзя, разработчики представляют свои продукты с самого лучшего ракурса, а нюансы внедрения и использования откроются только «в бою». Поэтому мы всегда рекомендуем тест. Лучше всего последовательно пилотировать две-три DLP и смотреть, как системы отрабатывают самые критичные для заказчика задачи, занося результаты в сравнительную таблицу. Разворачивайте их на максимально большом числе машин, это даст представление о том, выдерживает ли программа нагрузку. Часто заказчики не могут выделить достаточно рабочих станций для тестирования, в этом случае лучше подстраховаться и спросить мнение тех ИБ-специалистов, которые используют DLP на схожий с вашим объем ПК.
На тестировании также присматривайтесь к сопровождению, скорости реакции инженеров и менеджеров, насколько хорошо они знают свой продукт. Все-таки DLP – это сложное решение, нужно, чтобы на стороне вендора в нем идеально разбирались. Обращайте внимание и на то, сколько времени занимает внедрение. Если на стороне заказчика нет никаких препятствий, процесс не должен затягиваться на недели и уж тем более месяцы, это тревожный сигнал.
Алексей Кубарев, руководитель группы развития бизнеса центра продуктов Dozor компании «Ростелеком-Солар»
Алексей Кубарев, руководитель группы развития бизнеса центра продуктов Dozor компании «Ростелеком-Солар»:
Факторы, которые компания должна принять во внимание при выборе DLP-системы, зависят от масштаба бизнеса. Если это малый или средний бизнес, то факторы будут одни, если крупный бизнес или государственный заказчик, то другие.
В основном наши заказчики – крупный бизнес, и в этом сегменте можно выделить несколько факторов, которые влияют на выбор DLP-решения. На первом месте – производительность и масштабируемость системы, на втором – функциональность и удобство работы, на третьем, пожалуй, финансовый фактор (стоимость внедрения, которая может различаться в зависимости от схемы лицензирования, условий поставки и оплаты). При приобретении DLP-системы всегда важно учитывать стоимость владения ею на 3-5 лет вперед, чтобы адекватно рассчитать объем инвестиций. Во-первых, едва ли кто-то будет менять систему после первого года использования. Во-вторых, компании не всегда учитывают стоимость продления и обновления продукта.
Среди наших заказчиков также есть доля организаций госсектора. Здесь, помимо перечисленных факторов, особое внимание уделяют наличию у решений сертификатов регулирующих органов.
«СёрчИнформ КИБ»
DLP-система «СёрчИнформ КИБ» в 2017 году вошла в магический квадрант Gartner. Это модульная система, полностью самописная программа, работающая на собственном поисковом движке, что дает возможность выполнять даже самые сложные виды поиска. Это отражается на качестве аналитики: можно эффективно настроить политики безопасности, которые не позволят пропустить инцидент, но и не завалят ложными сработками. Кроме того, это способствует проведению полноценного ретроспективного анализа. Все остальные элементы систем «СёрчИнформ КИБ» также самописные. Для клиента это гарантия того, что, если потребуются доработки, исправление ошибок или техническая поддержка, он точно их получит. КИБ контролирует все основные каналы передачи информации: в частности, имеет широкие возможности по контролю облаков и инструментов удаленного доступа (RAdmin,Teamviewer), обеспечивая мониторинг передачи файлов.
«У нас есть как техподдержка, так и отдел внедрения. Специалисты подключаются к работе вместе с инженерами с первых дней тестов, учат работе с DLP, рассказывают о нюансах, помогают «подогнать» систему под конкретные задачи, сопровождают клиента во время эксплуатации. Нашему КИБ нужно меньше серверных ресурсов, чем ближайшим конкурентам. Этот фактор становится критичным, учитывая потребность компаний оптимизировать бюджеты на безопасность. По той же причине мы с прошлого года можем развернуть DLP в облаке», – комментирует Алексей Дрозд.
DLP-система «СёрчИнформ КИБ» – флагманский продукт вендора, центр экосистемы, в которую входят также DCAP, SIEM, DAM-решение, инструмент для профилирования сотрудников ProfileCenter. Они бесшовно интегрируются и усиливают друг друга. Например, в этом году в DCAP-решении появились метки конфиденциальности, где собирается информация о том, какие действия разрешены с файлами. КИБ мгновенно считывает эти метки и блокирует действия в соответствии с политиками безопасности. Такая реализация не перегружает систему, в отличие от традиционной практики блокировки «в разрыв».
DeviceLock DLP
Комплекс DeviceLock DLP 9 обладает возможностями автоматического пресечения передачи критичных данных («работы в разрыв»), в том числе и для программного обеспечения, использующего сквозное шифрование. DeviceLock DLP 9 имеет систему информирования пользователя, «обжалования» автоматических действий системы. Он адаптирован к работе в терминальных сессиях, что особенно востребовано у наших клиентов в условиях массовой удаленки.
В состав DeviceLock DLP 9 также включен новый модуль «Пользовательские досье» (User dossiers), который позволяет оценить поведение пользователя с точки зрения информационной безопасности и спрогнозировать степень его опасности для информационных систем. На основании этих данных к пользователю в автоматическом режиме могут быть применены отдельные, более строгие политики безопасности, что облегчает работу IT-специалистов.
Также DeviceLock DLP 9 содержит опциональный компонент DeviceLock User Activity Monitor (UAM), обеспечивающий сбор доказательной базы при расследовании инцидентов информационной безопасности. Модуль ведет запись действий пользователя, включая экран, нажатия клавиш, сохранение информации о процессах и приложениях, а запускаться может при наступлении любого из запрограммированных событий.
Falcongaze SecureTower
Компания Falcongaze производит систему по защите от утечек данных и контролю продуктивности персонала SecureTower. Система позволяет не только обеспечить превентивную защиту от утечек данных, но и наблюдать за эффективностью работы как отделов компании, так и конкретных сотрудников, в режиме реального времени. Ее преимущества – простота интеграции в существующую инфраструктуру организации, высокая скорость работы и удобство в использовании. SecureTower не требует большого количества вычислительных ресурсов как для серверной, так и для клиентской части, что позволяет исключить из списка затрат обновление рабочих станций.
Так же важна многофункциональность продукта. Хорошо проработанный интуитивный пользовательский интерфейс позволяет пользоваться системой не только офицерам безопасности, но и менеджерам отделов. Это позволяет наиболее широко использовать дополнительный функционал SecureTower — контроль эффективности сотрудников. С точки зрения быстрого реагирования на инциденты – систему можно очень гибко настроить и выставить свои политики безопасности. Это позволит SecureTower автоматически реагировать на события в режиме реального времени, анализировать их и выставлять уровень приоритетности. Система будет оповещать руководство и отдел безопасности в первую очередь о действительно важных инцидентах, которые требуют принятия незамедлительных мер.
«Наши клиенты в той или иной мере используют весь функционал SecureTower. Те, кто делает больший упор именно на ИБ, более широко разворачивают DLP-функционал (перехват информации, отсылаемой по популярным каналам коммуникаций, блокировки передачи файлов с помощью контентного анализа и др.). Те, для кого важнее поддерживать продуктивность работы сотрудников на должном уровне, больше пользуются именно этим функционалом. Оба направления SecureTower прекрасно дополняют друг друга. А если какой-то специфический функционал у нас ещё не реализован, то к нам обращаются с предложением его разработки», – добавляет Павел Пармон.
InfoWatch Traffic Monitor
DLP-система InfoWatch Traffic Monitor развивается с 2008 года. Визитная карточка системы – технологии анализа на основе искусственного интеллекта. У InfoWatch более 20 патентов на технологии анализа контента. Некоторые решения являются уникальными не только для российского рынка, но и для мирового. Например, «Автолингвист» – анализ текста для определения его тематики на основе ML-методов, качество которого соответствует или превосходит результат работы профессионального лингвиста-человека (по результатам испытаний и пилотных внедрений). Технология защиты именованных данных – предназначена для работы с персональными данными, номенклатурой, прайс-листами, складскими остатками, другими подобными данными, которые обычно хранятся в корпоративных базах данных или БД бизнес-систем.
InfoWatch Traffic Monitor – единственная DLP-система, которая с помощью технологий машинного зрения может определять, что изображено на растровом изображении, и тем самым ловить утечки документов в графическом формате; единственная система, умеющая идентифицировать векторные чертежи и даже их фрагменты в CAD-формате. Отдельная запатентованная технология позволяет защищать фотографии, причем даже в случае, если над ними производили манипуляции: поворачивали, обрезали, меняли формат, качество и разрешение.
Что касается контроля каналов возможных утечек, у InfoWatch Traffic Monitor помимо стандартного для всех DLP-систем контроля почты, мессенджеров, облачных сервисов, съемных носителей и вывода на печать, предусмотрен контроль за перемещениями файлов. В состав продукта входят также инструмент визуальной аналитики InfoWatch Vision, система предиктивной аналитики InfoWatch Prediction (UBA), модуль Person Monitor — решение класса User Activity Monitoring (UAM).
Партнеры вендора и сторонние разработчики могут интегрировать InfoWatch Traffic Monitor с другими системами с помощью API. На текущий момент разработано более 20 решений на базе этого API: интеграции с бизнес-системами (CRM, ERP, СЭД), с SOC-центрами и экспорт данных по инцидентам во внешние системы, например, в SIEM, данных аудита действий офицеров безопасности для централизованного контроля, исполнения директив, противодействия злоупотреблениям и внутренним расследованиям, а также контроля эффективности работы ИБ-отдела и выполнения KPI.
Solar Dozor
«Ростелеком-Солар» предлагает высокопроизводительную DLP-систему Solar Dozor, в том числе интегрированный и дополняющий возможности DLP-системы SWG (Security Web Gateway) Solar webProxy. Конкурентные преимущества решения: работа в режиме блокировки под высокой нагрузкой (подтвержденная обработка трафика более 15 Тб в сутки); возможности горизонтального и вертикального масштабирования, например функциональность, позволяющая построить единую логическую DLP-систему в территориально-распределенной организации; подтвердивший свою эффективность механизм UBA и методика его использования; контроль Microsoft OWA и Cisco Webex.
«Среди наиболее востребованных функциональных возможностей, которые используют наши заказчики, - контроль корпоративной почты и модуль UBA», – комментирует
Zecurion DLP
Zecurion специализируется на DLP-рынке с 2005 года и является единственным российским вендором, который входит в отчеты трех ведущих мировых ИБ-аналитиков: Gartner, Forrester и IDC. «Хотя наше решение «коробочное», то есть не требует от пользователей навыков программирования или долгого внедрения, при этом оно отлично зарекомендовало себя в крупных проектах с десятками и сотнями тысяч рабочих станций», – утверждает Александр Ковалёв.
Из преимуществ Zecurion DLP можно выделить уникальный функционал как полноценный и работающий Linux-агент, встроенные IRP и менеджер задач, обнаружение фотографирования экрана, собственный модуль учета рабочего времени для больших организаций. Также важным преимуществом является набор возможностей для крупного бизнеса и госсектора: 13 различных схем внедрения, сниженные расходы на аппаратные ресурсы и каналы связи, различные уровни технической поддержки.