最好的数据损失预防工具
周边DLP工具需要微调来有效地“坏”数据块逃离网络
找到合适的数据损失预防工具意味着一个平衡速度、成功率在检测和/或阻止敏感数据退出网络,和足够的覆盖范围广泛的规则集和协议。
找到合适的基于边界预防数据丢失工具意味着一个平衡速度、精度检测和阻止敏感数据退出网络,和足够的覆盖范围广泛的规则集和协议。
DLP产品分为三大类:基于边界、基于客户机和那些需要一个综合的方法。在该测试中,我们从忠诚安全系统评估基于电器,围护系统,代码绿色网络和GTB技术。
dlp设置内联(除了代码绿色”s督察内容,不支持内联模式)之间的一个模拟广域网和局域网,配置了一套10个规则。然后我们跑大约1100通过每个设备文件,每个文件之间等待大约一分钟,准确地确定设备检测并阻止了276“坏”文件和在多大程度上由内联DLP网络性能的影响。
这是我们的主要结论:
All 产品 做 了 一 个 有效 的 工作 检测 有害 文件 supports. 通过 特定 的 协议 , 发送 产品但是并不是所有的产品都支持多种协议。
Some 的 产品 在 检测 文件 不 太 擅长 blocking. 有害
None 产品 能够 分析 或 块 的 加密 traffic.
There's 网络 性能 下降 时 , 需要 考虑 这些 产品 in-line. 运行
代码格林内容检查员得分最高时检测。绿色的得分也高易于配置代码。但是代码绿色有限范围的协议可以阻止。
我们明确的选择赢家忠诚XPS,因为它易于使用的界面,灵活的规则集,惊人的报告,和高于平均水平的检测和屏蔽能力。
栅栏的Packetsure GTB的检查员都有些未经提炼的相比之下,需要更多的工作去理解规则结构和增加不必要的整个过程的复杂性。但是他们仍然很有竞争力在检测有害的文件。
安装
一般DLP供应商工程师部署到客户站点设置和配置设备,但我们决定自己亲自了解产品如何从安装到报告工作。
检查员Packetsure和内容,基本安装是相当简单的,产品设置没有问题。对于其他两个产品,基本安装有点难度,需要大量的联系,通过电子邮件和电话。但是他们最终都设置不需要技术人员来现场。
每个产品成立后,可以模拟局域网和广域网之间传递数据,我们配置了设备过滤规范。这包括一个示例组10个规则选择测试和阻止潜在的一些基本特性。
dlp被设置为寻找社会保障和信用卡号码,某些部分的源代码,并连续五个词从一个简短的故事,这将被用来防止任何特定的报告离开网络的一部分。
我们还设置规则来检查最大文件大小或mp3文件。我们指纹数据集包含一个列表,客户名称,地址,社会安全号码和建立一个规则阻止三的任意组合。
配置:代码绿色上衣
代码格林内容检查器是最简单的产品配置和编写规则。规则语言是简单和图形界面是非常有用的。代码绿色打破规则创建分成两类:数据和政策。定义数据阻塞使用各种工具,然后配置策略来检查它。这是非常简单和容易变化,不需要重启设备或重新加载设置。在代码配置简单领域,绿色是超越所有其他的产品。
忠诚的XPS传感器有一个“指挥部”服务器来处理管理和配置,传感器一个邮件服务器(通过内置的后缀SMTP代理),和一个网络传感器(通过第三方警察Web代理设备实现)。
规则创建非常简单,简单的使用一个Web GUI。XPS是唯一的产品,允许您提交示例文件为了测试每个规则之前,让它活下去。
如果你曾经有一个问题关于你在特定的规则或页面,忠诚建立在美好的帮助在每个页面的链接,解释每个复选框或按钮。这是一个生机,允许我们创建的大多数规则没有任何技术支持联系。
栅栏的Packetsure提供一个简单的向导来帮助与设置和是唯一的产品有这样的一个有用的起点。然而,如果一个人想要添加或更改规则之外的向导,航行并不是那么顺利。
问题的一部分可能是Packetsure真的是两个产品试图一起工作作为一个:有一个内容分析引擎和协议分析引擎。栅栏协议分析器只检查数据包的有效载荷(而不是重组数据流的内容分析)。这种双管齐下的方法有助于隔离每个规则,但它让产品的管理困难。
同样,在我们的测试规则并不总是像预期的那样工作。例如,一个复选框“内容分析”是指数据包分析和另一个内容分析实际上复选框将之前的数据流分析(类似于其他产品)。
Packetsure有一个“连接到家庭”功能,用户可以启用的盒子。这个特性非常有用当调用技术支持,甚至与初始设置栅栏可以帮助使用一个安全的VPN。
GTB的检查员最困难的配置过程的四个产品。为了编写一个规则,一个必须编辑一个文本配置文件,添加一些正则表达式和格式每一行非常特别。例如,为了编写一个规则来检查的话“绝密”在一个文件中,正则表达式必须写在一个大文本框的Web管理界面。
没有向导,没有图形界面。GTB的检查员的其他限制因素是其规则集功能非常有限的事实。在我们的测试它只能实现一半所需的规则。甚至一个简单的规则,如寻找特定的文件名或最大文件的大小是不受支持的。
性能:忠诚是最快的;代码绿色胜检测测试
我们测试如何准确产品屏蔽276有害我们发送文件,或大约30文件为每个九协议(包括HTTP、SMTP、流行、IMAP、FTP、Telnet)在我们的测试床。我们还测量了产品以多快的速度可以通过设备传递数据,从581 mbps的基线,这是我们的网络没有任何设备的能力。
从检测角度最佳性能代码格林内容督察,发现90%的数据我们扔了。和10%的内容检查错过是因为缺乏支持的加密流量(SSH会话),没有产品支持。
但是它只能测试协议的四块文件:HTTP、安全HTTP、FTP、SMTP。前三个都是使用第三方警察代理设备和SMTP使用一个内置的邮件传递。
缺乏阻断能力在各种协议的主要缺点是绿色的内容检查代码。但如果你的公司只是担心这四个协议,本产品会推荐。
忠诚的XPS成功率高达84%检测和阻断所有协议和数据流。在这家公司的市场部门指出,他们可以阻止所有65535端口和数据我们将不得不同意。这个产品几乎挡住了一切它可以检测,只有失败一个文件类型——存档的网站。
产品处理混淆数据很好——抓住四个五个文件。POP和IMAP提供一点麻烦,但是几个自定义补丁的工程师,它像预期的那样工作。
所有这些产品所面临的选择是一个性能和屏蔽效率之间的权衡。当数据穿过一个DLP设备,该产品可以选择缓存,确定好,然后让它出去,或尝试做分析,并遭受一些数据泄漏。
忠诚选择性能和赢得我们的速度测试,通过交通网络容量的90%。然而,偶尔从网络敏感数据泄露。所有其他产品选择优先考虑阻塞的速度。
栅栏Packetsure针对基本协议的HTTP、SMTP和FTP,并显示这些特定协议的阻断率高。但Packetsure,可能是因为它似乎在一个包含两个产品,是最慢的产品,执行仅允许带宽的55%。
此外,阻止一个特定的协议和基于内容分析的扫描工作如预期,但当你把这两个问题的出现,创造意想不到的结果。例如当你试图限制内容分析一个特定的协议,你必须选择使用较弱的内容分析系统(不会重组流)或不限制你阻止基于协议。后者是最好的方法来处理这个问题,但是这样做可以减少产品的灵活性和屏蔽能力。
GTB的检查员是最一致的产品。它发现和封锁在一个协议检测并阻止在每个协议,没有额外的工作。这个产品的问题是它只能检查基于一定的规则,这些规则是有限的。大约一半的检测测试失败在这个产品,因为规则类型不支持。然而,即使缺乏规则的支持,它仍然被非法文件的62%。
在支持的协议,检查员是唯一产品得分100%,捕捉每一个文件我们可以发送通过机器允许带宽的80%。
指纹识别:GTB检查员得到高分
指纹识别是一个概念,实现在这些DLP产品相当好。指纹识别将散列文件的文件,寻找部分离开网络。
指纹识别是用来阻止敏感信息离开网络,同时减少假阳性。例如,大多数组织希望防止社会安全号码离开本地网络。然而,很多事情可以看起来像一个社会安全号码(比如,一个打错的电话号码或一个在线订单号)。
指纹识别需要任何敏感信息在你的网络,寻找一个专门的碎片数量相对应,使它成为一个信息,你不希望错误的留下你的网络。
可以指纹的姓名,地址,社会安全号码,而不是触发任何9位数号码,DLP只会引发社会安全号码时发出相关的全名。或者,而不是寻找一个特定的单词短语,可以找几句话从一个报告。
所有的测试产品支持这个特性,但是GTB督察是最强大且灵活的,客户可以从各种各样的指纹数据平面文件数据库或电子表格。
这种力量和灵活性,然而,在简单的成本。GTB有自己的程序必须使用哪一个指纹数据,相对于其他产品,允许管理员上传和指纹文件从主管理界面。
而栅栏的Packetsure可以扫描和散列文件的一般范围,大多数其他的支持,当涉及到数据库在关系数据库中指纹识别,连接两个字段——它需要导出到一个平面文件的文件进行分析。忠诚的XPS包括能力一旦创建了这些测试你的指纹。
代码格林内容检查员可以各种指纹数据和允许你设置场景时这些数据会触发警报。例如,如果指纹的名字,地址,社会安全号码,你可以提醒我说当你看到两个社会安全号码和一个匹配的名称。没有其他产品粒度和仍然使用简单。
报告:代码绿色,忠诚是首选
DLP产品的一个最有用的部分是它的报告功能。对于管理员,了解产品是看到,阻塞是非常有用的。
代码格林内容检查员和忠诚的XPS有最好的报告系统。都做一个伟大的工作允许灵活性,方便使用,出口能力和美丽的和有意义的图表来帮助这些数据容易消化。+,绿色的产品代码允许简单的融入许多警报的软件应用程序(如水晶报表)或者自定义应用程序,它使用一个简单的Postgres数据库。