Честно признаюсь, что не читала и не читаю обзоры и статьи-сравнения DLP-систем в интернете от слова «совсем». А зачем? Когда систему внедрили и мне пришлось с ней работать, сразу стало не до обзоров. А сейчас, уже имея сформированное представление о DLP-системах и посмотрев на многие из них собственными глазами, смысл в чтении таких материалов отпал окончательно. Я хочу поделиться с вами впечатлениями от использования каждого DLP-продукта, который попадал мне в руки, потому что заявления вендоров о наличии в их решениях того или иного функционала — это одно, а то, как он фактически реализован — совсем другое.
Итак, примерно в начале 2013 года я стала пользователем КИБ SearchInform и до сих пор им являюсь. В последнее время много и часто меня просят рассказать о своем опыте использования этого решения. Должен бы уже сформироваться какой-то шаблон рассказа, но нет, не формируется. Все исключительно на эмоциональном уровне. Наверно потому, что взгляд на DLP не может быть сухим и однобоким, а мнение не может быть у всех одинаковым. И не должно быть таким.
DLP от компании SearchInform отличается от других решений тем, что его принято либо сильно хвалить, либо сильно ругать. Но равнодушным оно мало кого оставляет.
Что касается «сильно хвалить», то здесь можно только крикнуть «браво» маркетинговому отделу компании и сейлам. Умеют люди работать, ничего не скажешь.
Про «сильно ругать»: тут скажем спасибо людям, формирующим в компании роад-мапы и глобальную стратегию развития продукта.
Поскольку я не маркетолог и не сейл, хвалить я буду только за то, что дорого и ценно именно для меня как пользователя продукта.
Простой и понятный интерфейс. Да, он простой. Мне, например, не понадобились полгода и команда коучей, чтобы обучиться работе с продуктом. Это плюс. Но здесь все индивидуально и на любителя. В конце концов, можно привыкнуть работать с любой системой.
Консоль под названием «Общий клиент». Не знаю или уже не помню, какие задачи она должна решать по замыслу разработчиков. Для меня эта консоль — почти идеальный инструмент для просмотра активности пользователя: выбрал — загрузил — просмотрел. Поиск по ключевым словам и прочее через нее делать не рекомендую. Ну, разве что вам надо найти событие, все параметры которого известны, и при этом достаточно поиска на очень небольшую глубину.
Консоль Alert Center. Работа с политиками: словари, регулярные выражения. Очень неплохо работает, и даже есть интеграция с общим клиентом для перехода в события (особенно если их много нашлось).
Видео рабочего дня пользователя. На сайте компании написано так: «Записывает видео происходящего на экране», и сконцентрирована эта опция в модуле MonitorController. Это, что называется, вещь! Вы спросите, а чем скриншоты хуже? Слайд-шоу, слепленное из таких скриншотов, и запись всех действий пользователя, отображаемых на экране его компьютера, — две большие разницы. Во множестве кейсов имеют значение секунды, которые отделяют один активный процесс от другого, а скриншоты – это отрывки, какими частыми их ни сделай. А если вы неточно выставите интервал записи скриншотов, можете вообще пропустить самое интересное. Хорошо тому, кто работает с активностью 100 пользователей, и грустно тому, кто работает с 10 000 пользователей… Попробуйте-ка персонифицировать настройки снятия скриншотов на всех так, чтобы ничего не потерять. Да и потребности могут постоянно меняться.
А вы знали, что видео меньше места в хранилище занимали, чем скриншоты? Вот, знайте.
Минус только в том, что записью видео разработчики, видимо, пытаются компенсировать отсутствие онлайн-анализа поступающих в систему событий и очень бедную аналитику. В компании с большим количеством пользователей важно, чтобы система сама подсветила, где интересно и где может быть аномалия. Вместо этого вы должны самостоятельно просмотреть тонну видео. В материи нового модуля (или даже отдельного продукта компании SearchInform) Profile Center я здесь не буду вникать — «книгу не читал, ничего плохого сказать не могу». Если он дает онлайн-анализ данных — отлично. Если нет — минус остается минусом.
Кейлоггер. «Перехватывает нажатия клавиш (логины, пароли и т.д.), а также информацию, скопированную в буфер обмена». Идеален для расследования кейсов, не типичных для DLP. Например, если действия пользователей в автоматизированных системах не логируются самими этими системами, а вам надо проверить, какие данные вводились в автоматизированную систему с клавиатуры или копировались как в систему, так и из нее.
Уже не говорю про перехват паролей. Только не надо на этом моменте делать круглые глаза и бежать искать в правовой базе Конституцию РФ. Все, что происходит на информационных ресурсах, принадлежащих компании-работодателю, принадлежит работодателю, как бы странно это ни звучало. Не хотите, чтобы детали вашей личной жизни попали в руки работодателя или скомпрометировать пароль от личного почтового ящика — не делайте этого на ресурсах работодателя. Все очень просто.
Минус технологии в том, что для компаний, чьи сотрудники работают с большими базами данных и регулярно копируют их между разными программами, поиск через кейлоггер будет очень проблематичным. Дело в том, что буфер обмена фактически не отделен от клавиатурного ввода, хотя производитель презентует обратное. Как говорится, кнопка есть, но не нажимается.
На этом похвалы я заканчиваю. К моему большому сожалению, потому что на протяжении многих лет искреннее хотела, чтобы продукт развивался не только по одному пути, а производитель смотрел по сторонам.
Поиски информации на большом объеме. Практически нереально. Ситуации, когда поиск длится часами и даже днями (!), были регулярными. Давайте, если хотите, будем долго дискутировать, почему так. Но с этой проблемой мы постоянно приходили к вендору, а раз не нашлось за годы решения, значит, его пока нет. Не хочу здесь рассуждать о технологиях поиска, но о Elastic Search не знает только слепой и глухой. И SearchInform.
Мониторинг действий пользователей. Здесь я имею в виду то, что в терминологии служб безопасности называется «люди на особом контроле». Формирование групп риска, анализ контактов и связей сотрудников, подсвечивание аномалий в режиме онлайн опять же. Все такие штуки мы делали вручную, просто выгружая информацию и описывая ее в отчете, а не пользуясь аналитическими выкладками, которые система уже сама сгенерировала. Давайте опять же подискутируем и вспомним, что есть консоль Report Center, и там, судя по названию, можно найти много отчетов. Отчеты есть. Но не про нашу честь, как говорится. Вопрос в технологии обработки информации: события могут не проиндексироваться к моменту формирования отчета, а значит, о полноте и корректности данных речи быть не может. И снова замечу – это не онлайн-обработка. А базы у Report Center свои, и синхронизировать данные он может ооочень долго, и все это время вы просто ничего не будете видеть в консоли.
Работа с системой большого количества аналитиков. Или даже не большого, а любого количества аналитиков. Нашел ты событие-инцидент, а как его передать и кому? Выгрузить и направить почтой, видимо. Или словами сказать коллеге: посмотри, мол, вот у того-то. Есть оповещения на почту о сработках Алерт центра. Конечно! Но гиперссылки в таких уведомлениях вам будут доступны только в том случае, если вы подключаетесь напрямую к серверу обработки данных. А чем больше аналитиков таким образом напрямую подключаются, тем медленнее система работает. Это мы проходили и пришли к тому, что подрубались в систему по rdp. Но в таком случае гиперссылок у вас не будет.
А если бы и были — может быть, это false positive? И только проанализировав событие в системе, можно сделать вывод, является ли оно инцидентом или нет, назначить его на кого-либо или просто классифицировать как инцидент. Проще говоря, кейс-менеджмент. Слышала, что есть что-то типа Инцидент центра. Отлично, давайте сравним. Или SIEM их же производства. Отлично, давайте сравним. Все ли события там можно обрабатывать и на каком этапе? Интегрированы ли данные сущности с треми основными или они отдельно и со своими базами – тогда снова грусть. И даже этот Инцидент центр вендор почему перестал развивать и хоть как-то технически сопровождать.
Стабильность агентов. Не стабильны. Хорошо ставятся, но плохо держатся. Исчезают с компьютеров по каким-то космическим причинам и приходится тратить до 40% рабочего времени, чтобы вернуть их на место. Или определенные протоколы «отваливаются». Почему? Кто же знает! Вендор не знает. И такие проблемы были не то что не редкими, а регулярными.
Ну и про множество консолей. Здесь в защиту SearchInform следует сказать, что страдает этим далеко не только он. И вопрос, скорее всего, даже не в количестве консолей, а в дублировании их функций и отсутствии полноценной интеграции между ними.
Но, тем не менее, это важный недостаток, конечно. Тем более, что вендор давно обещал, в том числе мне лично, выпуск единой консоли КИБа.
Слышала, что она все-таки вышла, но объединила только Общий клиент и Репорт центр, почему-то.
Подводя итог, могу сказать, что для устранения всех минусов системы, о которых здесь шла речь, производителю надо глобально и кардинально переработать архитектуру своего решения. Процесс, конечно, проблематичный, и вендору не сильно хочется этим заниматься, понимаю. А зачем, если решение и так хорошо продается. Верно! Снова браво маркетологам и сейлам.
Вендор всегда акцентировал внимание на том, что был впереди всей планеты и первым выпускал в релиз тот функционал, о котором другие и не мечтали еще. «В Вилларибе уже празднуют, а в Виллабаджо еще моют посуду….», как в известной рекламе. Это отлично! Новые фишки, технологии, профайлинг, machine learning — это все круто, правда. Я, как истинный фанат систем DLP и зависимый во всех смыслах от них человек, только ЗА! Но архитектура, ребята… поиск длиною в жизнь… контентный анализ уже постфактум, когда система забила наши базы событиями…
Система-то, по-хорошему, и должна выполнять ровно 2 основных функции (а их уже можно поделить как угодно и на сколько угодно):
- проанализировать активность нужного вам пользователя;
- быстро и хорошо найти то, что вы ищете или помочь найти вам то, о чем вы еще не знаете.
От того, как будет реализован функционал, помогающих нам, простым смертным пользователям, очень часто зависит и эффективность, и качество нашей с вами работы. И чем меньше надо будет делать руками и посредством другого софта, тем лучше.
Данная статья отражает только мое мнение, при написании никаких животных не пострадало, для лиц старше 18 лет и т.п.
В следующей серии расскажу о линейке продуктов компании Infowatch.
До скорых встреч, мои дорогие DLP-зависимые! :-)
Комментарии (8)
SearchInform
11.09.2018 13:29Кто еще скажет правду в лицо, если не старый друг. Анна, рад приветствовать!
Спасибо за конструктивную критику. Отдельное спасибо за то, что отразили не только недочеты, но и наши сильные стороны.
Насколько я понял, вы работаете/работали с довольно старой версией нашего ПО – некоторым скринам в статье не один год. И анализ в стиле «я слышала, что вышло что-то новое…» нас очень огорчает, т.к. он не отражает реального положения вещей в продукте. Потому не могу не отметить: многие старые, наболевшие проблемы, о которых вы говорите – решены. Мы всегда готовы продемонстрировать вам это на практике, здесь же я ограничусь описанием.
Мы действительно долго работали над двумя насущными задачами – технология полнотекстовой обработки (она же индексатор) и интерфейс. Сейчас мы имеем новый движок индексации, он адаптирован к многопоточности и эффективному использованию памяти, отчего и заработал на 7-10 быстрее.
ElasticSearch и прочее не используем принципиально – развиваем свою технологию, а не допиливаем opensource, который во многом ограничен по возможностям. Кроме прочего, он не российский; а с тенденцией к импортозамещению, использование ElasticSearch стало бы проблемой для наших клиентов из госорганизаций.
По интерфейсу также есть серьезные положительные сдвиги: как вы отметили, мы объединили консоли общего клиента и репорт центра (более года назад), на очереди – остальные консоли. Объединение происходит последовательно, т.к. «схлопнуть» сразу все консоли в одну – задача из области фантастики. Мы также активно работаем над веб-консолью: реализовали работу и с отчетами, и с политиками безопасности.
Ну и последнее – стабильность агентов. Тут я в корне не согласен: мы отлично помним историю работы с вами, но я специально освежил память, заглянув в CRM и таск-трекер. Не нашел ни одного случая, когда вы нам заявили бы, что агенты пропадают по непонятным причинам, а мы не смогли бы разобраться в проблеме. За что, за что, а за нашего агента я могу поручиться!
В завершение: Анна, у меня сложилось впечатление, что вы не видели актуальную версию продукта. Наверное, потому, что какое-то время не работаете с ним так тесно, как раньше. Повторюсь, что мы всегда готовы продемонстрировать вам последние версии продукта или развернуть пробную версию. Будем рады снова поработать с вами.
С уважением,
руководитель отдела разработки «СёрчИнформ»
Дмитрий Гацураpopovaan Автор
11.09.2018 16:11+1Здравствуйте, Дмитрий! Спасибо за фидбэк! Очень рада, что продукт развивается, совершенно искренне! Про агентов: обсуждений было множество, тикетов тоже (хотя у нас не было же личного кабинета с вами). Как вы помните, на саппорт мы не писали, т.к. за нами был закреплен ответственный сотрудник от вас, принимающий наш поток сознания. Я честно не в курсе, заводил он тикеты или нет, потому что нам был важен результат. И мы много раз проходили эту историю с вашими сотрудниками (наверно здесь не стоит упоминать фамилии ваших сотрудников, возможно, кто-то из них уже не работает у нас). Проблемы были на потоке, и мы просто возвращали сбежавших агентов обратно.
Что касается тестирования актуальных версий. Мы только за, изучение продуктов ИБ — наша работа в конце концов:)
popovaan Автор
11.09.2018 21:01Каким Вы видите мой ответ Вам или для Вас не имеет значения, что именно я скажу или попытаюсь объяснить, что подразумевала под своим нежеланием изучать обзоры продуктов? Хотя из статьи собственно и так понятно, как мне кажется, почему я их не читала.
former_cartman
11.09.2018 21:01Честно признаюсь, что не читала и не читаю обзоры и статьи-сравнения DLP-систем в интернете от слова «совсем». А зачем? Когда систему внедрили и мне пришлось с ней работать, сразу стало не до обзоров. А сейчас, уже имея сформированное представление о DLP-системах и посмотрев на многие из них собственными глазами, смысл в чтении таких материалов отпал окончательно. Я хочу поделиться с вами впечатлениями от использования каждого DLP-продукта, который попадал мне в руки, потому что заявления вендоров о наличии в их решениях того или иного функционала — это одно, а то, как он фактически реализован — совсем другое.
т.е. самой читать не надо(умища палата?), но вам(сирым) расскажу. Чукча не читатель.
imbasoft
КИБ — инструмент, который с вашим слов удобен и понятен. Ок, не спорю.
Но как любой инструмент он является лишь помощником для достижения какой-либо цели.
Так вот, вопросы:
1. Какие задачи вы с его помощью решаете?
2. На сколько измениться доходная часть бюджета вашей организации (по вашим оценкам) если вы эти задачи решать:
а) другими инструментами (например, OpenDLP / My DLP);
б) перестанете решать полностью;
в) с удвоенной силой и использовать дополнительные решения?
3. Как происходит смена паролей от корпоративных систем, которые перехватил «Кейлоггер» в случае увольнения аналитика, который их видел?
4. Как организована безопасность самого DLP? Как вы проверяйте, что установка DLP агента не создает дополнительных каналов для атаки? Как защищаются данные, хранящиеся в DLP, ведь, по сути, если вы собираете инфу со многих работников, архив DLP становится лакомым кусочком для вражеских «киберразведчиков».
popovaan Автор
Попытаюсь ответить:
1. Мониторинг каналов, профилирование сотрудников, сбор доказательной базы для внутренних расследований.
2. DLP для нашей компании только одна из систем ИБ, но ей уделяется большое внимание в части обеспечения внутренней безопасности компании.
3. Парольная политика работает в жестком режиме, за этим следят администраторы, поэтому соблюдение регламента парольной защиты — процесс параллельный и не завязан на офицеров ИБ, сопровождающих DLP.
4. Само собой это мы понимаем. Наша инфраструктура хорошо защищена, в том числе по этой причине я не смогу ответить на вопрос, как именно организована безопасность самого DLP.