DLP от Jet Infosystems

Давно уже планировал написать про обзор этого продукта на сайте Anti-Malware и решил рассказать о впечатлениях от пилота данной DLP-системы. Но для начала, как и обычно в таких случаях - дисклеймер:

Информация об используемых средствах защиты и их конфигурации была занесена (по логичным причинам) в перечень информации ограниченного доступа . Поэтому, из моего повествования "злодеи" не должны догадаться, какой из пилотируемых продуктов мы выбрали/выберем. И, следовательно, статья будет носить довольно общий характер и всего-всего на страницы блога не попадет... и даже сравнительного анализа не будет. Главным образом внимание будет акцентировано на интересных фичах и общей архитектуре решений.

Сразу оговорюсь, что в руки мне попала версия 5.0. еще толком не оттестированная.На ней мы сами настаивали - уж очень идея с "досье" (о котором чуть позднее) показалась вкусной. В результате поработали бета-тестерами, что, конечно, негативно сказалось на отношение к продукту. Мне еще конечно не понравился веб-интерфейс, но это субъективно. Еще одна крайне непривычная для меня особенность (уж не знаю почему), что приоритет у оператора "ИЛИ" выше чем у "И" в запросах в БД. Но перейдем к хорошему.

Во-первых, это гибкая настройка так называемого модуля DIFI (вероятно, сокращение от digital fingerprint) заключается в том, что мы самостоятельно для каждого документа, с которого снимаем цифровой отпечаток, определяем степень схожести, при которой система выдаст алерт.

Во-вторых, возможность группировать данные документы (чтобы на различные группы "отфингерпринтенных" документов выдавались различные алерты).

О правильной расшифровке представления не имею, но штука классная. Суть в том, что мы указываем количество уникальных совпадений в пересылаемом объекте с некоторой вшитой базой. В частности, есть база номеров кредитных карт, база IP-адресов (правда она на один из типовых договоров в котором были подпункты до 4-го уровня постоянно срабатывала - пришлось отключить), а две главные базы - база русских фамилий (защита от утечек больших баз персональных данных сотрудников или клиентов физиков) и база организаций ("уход" большой базы клиентов - юр.лиц тоже не останется не замеченным). Есть еще ряд баз, но для нашей организации менее актуальный.

Из АД вытягивается информация о пользователях и с ней ассоциируется информация об инцидентах, связанная с данным пользователем. Соответственно, в досье можно оставлять комментарии... и в случае, когда по сотруднику возникают какие-то вопросы, в теории, их очень быстро можно решить. Проблема в том, что

Рядом с кнопочкой выкачивания вложения сразу же находится кнопочка, создающая запросы со всеми сообщениями, которые содержат это же вложение. Бывает очень полезной (особенно, когда точно знаешь какой файл "ушел" наружу, но оный оказывается еще и картинкой (т.е. в отсутствии OCR - по тексту вложения - не найти) и еще и с типовым названием...

И быстро пробежимся по плохому...

Ясно, что при таком раскладе "злодею" утащить любую интересующую информацию - раз плюнуть (особенно, если он умеет печать в файл в виде картинки документы).

Звучит как плюс... но на самом деле Дозор исторически формировался из кучи запросов заказчиков. Как результат - количество различных настроек измеряется сотнями (точную цифру не назову - но ощущение именно такое). И речь не только о настройках, которые практически не нужно менять после внедрения продукта, но и о настройках условий запросов, настройках политики и т.п. Таким образом, в продукте вшит функционал, в котором в 90% случаев нет необходимости. "Лишний" функционал, считаю, крайне рассеивает внимание при знакомстве с продуктом. А еще, с учетом того, что мы были бета-тестерами, то периодически встречались с неработоспособностью части этого обширного функционала.

В таблицу, отображающие результаты запроса мы можем вывести довольно много полей... но и их необходимо было вывести в силу следующей особенности. Отдельное поле для учетки AD, отдельное поле для e-mail'a, отдельное поле для логина под которым работает юзер на веб-ресурсе, отдельное поле для идентификатора IM, отдельное поле для идентификатора skype... ну в общем вы поняли тенденцию. В результате при отображение результатов запроса мы находим объект, который был переслан через скайп, но т.к. мы не знали, как он был отправлен, то нам нужно выводить вышеуказанные поля. И мы выводим кучу пустых полей ради одного заполненного. (Сильно надеюсь, что доступно объясняю, т.к. скриншоты вставлять не буду).

У нас все устанавливали 4 дня... что по сравнению с другими пилотируемыми DLP ну очень много. Нам привезли чистые железки, даже без ОС... Как-то не клиенториентированно... Но это опять же мелочи.

Остальные ошибки и странности системы спишем на то, что нам привезли толком неоттестированный продукт. Но, надо сказать, что ошибки разработчик исправлял по мере нахождения и с большим энтузиазмом воспринимал наши пожелания по продукту.

P.S. Начал свой рассказ с экспертизы от Anti-Malware. Мне что в описание больше всего запомнилось, так это один скрин, который по сути говорит нам, что независимые испытания, вероятно, проводились в домене разработчика (т.к. на скрине четко видно досье на сотрудника Jet InfoSystems). Ну или ребята из Anti-Malware поленились проверять все-все и скрины им просто предоставили.