最好的数据丢失预防工具
周界DLP工具需要进行微调,以有效地阻止“坏”数据逃离网络
找到正确的数据丢失预防工具意味着在检测和/或阻止敏感数据以退出网络中的速度,成功率之间的平衡,以及跨越广泛的规则集和协议的足够覆盖。
找到正确的周边数据丢失预防工具意味着在检测和阻止敏感数据退出网络的速度、准确性和对广泛的规则集和协议的充分覆盖之间取得平衡。
DLP产品有三类:基于周边的,基于客户端和采用组合方法的人。在该测试中,我们评估了菲尼斯安全系统,Palisade Systems的基于周边的电器,代码绿色网络和GTB技术。
DLPS内联设置(除了代码绿色”S Content Inspector,在模拟的WAN和LAN之间不支持在线模式,并配置了一组10规则。然后,我们通过每个设备运行了大约1,100个文件,等待每个文件之间的一分钟,以确定设备检测到的准确性并封锁了总共276个“坏”文件,并在多大的网络性能受到内联DLP的影响。
以下是我们的主要发现:
所有产品都有一个有效的作业,检测了通过产品支持的特定协议发送的有害文件。但并非所有产品都支持各种协议。
在检测有害文件时良好的一些产品在阻止时不太擅长。
都不是所有产品都能够分析或阻止加密流量。
在在线运行这些产品时,需要考虑网络性能的影响。
绿色代码的内容检查器在检测方面得分最高。Code Green在配置的便利性方面得分也很高。但是绿色代码被限制在它可以阻止的协议范围内。
我们明确的选择获胜者是忠诚XPS因为其易于使用的界面,灵活的规则设置,惊人的报告,以及优于平均水平的检测和阻止能力。
栅栏的数据包和GTB的检查员通过比较有所未定义,需要更多的工作来理解规则结构并为整个过程添加不需要的复杂性。但是当它来检测有害文件时,他们仍然非常有竞争力。
安装
一般DLP供应商将工程师部署到客户站点以设置和配置设备,但我们决定通过报告来实现对产品如何从安装工作的操作。
对于数据包和内容检查员,基本安装相当简单,并且产品设置得很少,没有麻烦。对于另外两种产品,基本安装更困难,需要多次联系 - 通过电子邮件和电话。但他们最终都在没有必要提供技术人员出售现场的。
设置了每个产品并在模拟LAN和WAN之间传递数据后,我们将设备配置为我们的过滤规范。这包括选择的10个规则集,以测试一些基本功能和阻塞潜力。
DLPS设置为寻找社会保障和信用卡号,某些源代码以及从短篇小说中的五个单词,这将用于防止特定报告的任何部分离开网络。
我们还设置了检查最大文件大小或.mp3文件的规则。我们采集了一组包含客户姓名、地址和社保号码的数据,并制定了一条规则,禁止这三者的任何组合。
配置:绿色代码为顶
Code Green的内容检查器是配置和编写规则的最简单的产品。规则语言简单,图形界面非常可用。代码绿色中断规则创建分为两类:数据和策略。一个定义要使用各种工具阻止的数据,然后配置策略以检查它。这非常简单且易于更改,无需重新启动设备或重新加载设置。在配置简单竞技场中,代码绿色远远超过所有其他产品。
Fidelis的XPS传感器有一个“指挥站”服务器来处理管理和配置,一个邮件传感器服务器(通过内置的Postfix SMTP代理提供)和一个Web传感器(通过第三方BlueCoat Web代理设备实现)。
使用Web GUI,规则创建是简单且简单的。XPS是唯一允许您提交样本文件的产品,以便在使其生活之前测试每个规则。
如果你对某个特定的规则或页面有疑问,Fidelis在每个页面上都建立了很棒的帮助链接,解释每个复选框或按钮。这是一个救命稻草,允许我们在没有任何技术支持联系的情况下创建大多数规则。
Palisade的数据包提供了一个简单的向导,可以帮助设置,并且是具有如此有用的起点的唯一产品。但是,如果一个人想要在向导之外添加或更改规则,那么帆船并不完全平滑。
部分问题可能是数据包实际上是两个产品,试图一起工作:有内容分析引擎和协议分析引擎。Palisade协议分析器仅检查数据包有效载荷(而不是将数据流重新组装,因为内容分析确实)。这种双管齐下的方法有助于隔离每个规则,但它使得管理产品困难。
此外,在我们的测试中,规则并不总是按预期工作。例如,一个“内容分析复选框”表示数据包分析和另一个内容分析复选框实际在分析它之前重新组装数据流(类似于所有其他产品)。
数据包具有“连接到主页”功能,用户可以在框中启用。在呼叫技术支持或甚至使用初始设置时,此功能可能非常有用,因为它允许Palisade协助使用安全VPN。
GTB的检查员拥有四种产品最困难的配置过程。为了编写规则,必须编辑文本配置文件,特别具体地添加一些正则表达式并格式化每行。例如,为了在文件中编写一个规则来检查文件中的“顶级机密”,必须在Web管理界面上的大文本框中写入正则表达式。
没有向导和没有图形界面。GTB检查员的其他限制因素是其规则集功能非常有限。在我们的测试中,它只能实施约一半所需的规则。甚至不支持诸如寻找特定文件名或最大文件大小的简单规则。
性能:菲多特是最快的;代码绿色赢得检测测试
我们测试了该产品拦截我们发送的总共276个有害文件的准确性,或者9个协议(包括HTTP、SMTP、POP、IMAP、FTP和Telnet)中每个协议大约30个文件的准确性。我们还测量了产品通过设备传输数据的速度,以581Mbps为基准,这是在没有任何设备的情况下我们的网络容量。
从检测透视图中的最佳性能是Code Green的内容检查员,检测到我们扔的90%的数据。并且未错过的10%内容检查员是因为缺乏对加密的交通流量(SSH会话)的支持,没有产品支持。
但是它只能阻止四个测试协议上的文件:http,secure-http,ftp和smtp。前三个是使用第三方BlueCoat代理设备完成的,使用内置邮件继电器完成SMTP。
这种缺乏各种协议的阻塞能力是Code Green的内容检查员中的主要缺点。但如果您的公司只担心这四项协议,则会建议使用此产品。
Fidelis的XPS在检测和阻断所有协议和数据流方面有84%的成功率。该公司的营销线表示,他们可以屏蔽所有65,535个端口的数据,我们必须同意。这款产品几乎屏蔽了它能检测到的所有文件,只有一种文件类型失败了——一个存档网站。
该产品很好地处理了混淆的数据——捕获了5个文件中的4个。POP和IMAP带来了一些麻烦,但是在工程师们进行了一些定制补丁之后,它就像预期的那样工作了。
所有这些产品所面临的选择都是在性能和阻塞有效性之间进行权衡。当数据通过DLP设备移动时,产品可以选择缓存它,确定它是好的,然后释放它,或者尝试进行动态分析,遭受一些数据泄漏。
Fidelis选择了性能并赢得了我们的速度测试,通过了90%的网络容量的流量。但是,偶尔会从网络泄露的敏感数据。所有其他产品选择优先渗透速度。
PALISADE的数据包是在HTTP,SMTP和FTP的基本协议上的目标,并在这些特定协议上显示了高封锁率。但是,包,可能是因为它似乎包含两个产品,是最慢的产品,仅以允许的带宽的55%表现。
此外,阻塞特定的协议和基于内容分析的扫描工作如预期的那样进行,但是当您将这两者结合起来时,就会出现问题,产生意想不到的结果。例如,当您试图限制对特定协议的内容分析时,您必须在使用较弱的内容分析系统(不会重新组装流)和不限制基于协议的阻塞之间进行选择。后者是处理这个问题的最佳方法,但是这样做会降低产品的灵活性和阻塞能力。
GTB的检查员是最符合的产品。它在一个协议上检测到并阻止它在每个协议上检测到的,并且在每个协议上都没有额外的工作。本产品的问题只能根据某些规则检查,这些规则有限。大约一半的检测测试在此产品上失败,因为不支持规则类型。但是,即使缺乏规则支持,它仍然占据了62%的非法文件。
在受支持的协议上,检查员是唯一一份获得100%的产品,捕获每一个文件,我们可以在允许的带宽的80%上发送机器。
指纹识别:GTB检查员获得高标记
指纹识别是在这些DLP产品中相当良好地实施的概念。指纹识别将散列文件并查找将该文件的部分离开网络。
指纹识别用于防止敏感信息离开网络,同时减少误报。例如,大多数组织希望阻止社会安全号码离开本地网络。然而,很多东西看起来像社会安全号码(例如,输入错误的电话号码或在线订单号码)。
指纹识别需要您在网络上的任何敏感信息,并查找特异性对应的一些碎片,以使其成为您不想要错误地离开网络的信息。
可以对姓名、地址和社会安全号码列表进行指纹识别,DLP只会在社会安全号码与相关全名一起发送时触发,而不是触发任何9位数字。或者,它可以从一份报告中寻找一些句子,而不是寻找一个特定的单词短语。
所有测试产品都支持此功能,但GTB检测器是最强大而灵活的 - 客户可以来自各种平面文件,数据库或电子表格的指纹数据。
然而,这种能力和灵活性是以简单性为代价的。GTB有自己的程序,必须使用该程序对数据进行指纹识别,而其他产品则允许管理员从主管理界面上传文件并对其进行指纹识别。
虽然Palisade的数据包可以扫描和哈哈,但涉及大多数其他人的常规文件,当涉及到数据库指纹识别 - 在关系数据库中链接两个字段 - 它要求将文件导出到平面文件中进行分析。Fidelis'XPS包括一旦您创建了一个测试指纹的能力。
Code Green的内容检查器可以指纹数据的各种数据,并允许您在此数据触发警报时设置方案。例如,如果指纹名称,地址和社会安全号码,您可以说在看到两个社会安全号码时提醒我,并且一个人有一个匹配的名称。没有其他产品具有多样性的粒度,但仍然保持易于使用。
报告:代码绿色,Fidelis是顶部
DLP产品最有用的部分之一是它的报告特性。对于管理员来说,知道产品正在看到和阻止什么是非常有用的。
Code Green的内容检查员和Fidelis'XPS具有最佳的报告系统。两者都做出了允许灵活性,易用性,导出功能和美丽(和有意义)图表的巨大工作,以帮助使这数据易于消化。此外,Code Green的产品允许简单地集成到许多警报软件应用程序(如Crystal Reports)甚至自定义应用程序中,因为它使用了一个简单的Postgres数据库。