在端点阻塞数据泄漏
Trendmicro,Websense提供了有效的防止内幕安全漏洞
终端数据丢失预防工具旨在阻止敏感数据离开pc、笔记本电脑和服务器。我们测试了来自TrendMicro、Websense和Identity Finder的产品,发现端点DLP工具提供了复杂、易于使用的方法来保护敏感的企业数据。
几乎不言而喻,对企业网络安全的最大威胁通常来自内部。安全专业人员可以覆盖他们的边界,锁定他们的设备,并在出路上搜索袋子,但可能永远不会成为100%肯定员工不滥用敏感数据的方式。
我们如何测试DLP产品
端点预防数据丢失(DLP)产品可以安装在台式机、笔记本电脑或服务器上,其设计是为了限制用户的操作(如果不是他们的访问)。例如,会计部门的拉里可能需要获得员工的社会安全号码,但他真的应该把这些号码发电子邮件到中国吗?DLP的圣杯就是允许用户做他们需要做的事情,而不允许他们做任何可能带来风险的事情。这是一个苛刻的要求,但是在这次评测中测试的产品的复杂性、功能集和易用性给我们留下了深刻的印象。
这是DLP产品的一系列评论中的第二种评论。第一次专注于基于周边的DLP工具.接下来是端到端DLP产品的测试。
在这个测试中,三个端点DLP产品是:来自Websense的数据端点,来自TrendMicro的LeakProof,以及来自Identity Finder的身份查找企业版。邀请还发送给了:思科、McAfee、CA、RSA、赛门铁克、Verdasys、Safend、Code Green、Indorse、Proofpoint、nexTier、Vericept、GTB和Workshare,但这些供应商决定不参加。
此测试的基本思想是识别各种类型的敏感数据,并查看端点DLP是否可以停止通过各种方法泄露的数据,包括保存到USB驱动器,刻录到磁盘,打印,发送通过Webmail或通过即时消息发送。总而言之,我们进行了588次测试。
Trendmicro的防漏是我们明确的选择测试获奖者,作为三个的最佳通用端点DLP工具。配置是无痛的,性能是最好的,它是最不突兀的,它在整个系统中强制执行政策。它也是跨操作系统和抗污水方法中最符合的。此外,物理设备,裸机安装或VMware设备的安装选项提供部署灵活性。
Websense的数据端点是一个强大的功能丰富的产品,使管理员能够绘制大量策略模板,以在检测到定制自定义操作时脚本自定义操作,并在网络共享中调度文件的指纹识别.数据端点,Websense的数据安全套件的一部分,具有比Trendmicro的防漏更精细的功能套装,并且相当便宜。但它也有一些粗糙的边缘。
无论是故意还是偶然,这两种产品都旨在保持数据离开终点。实际上,偶然的删除可能是赚钱的地方,因为所确定的用户可能会在许多阻塞方案中找到方法。
身份查找器不会尝试让用户使用敏感数据进行顽皮的事物,而是尝试帮助用户保护他们拥有的敏感数据。这是一个非常不同的哲学 - 信任用户会做正确的事情而不是假设他们试图做错事。
Identity Finder仍然具有集中控制和记录,但在找到敏感项目时提供了用户修复选项。它主要关注与身份相关信息,例如姓名,地址,社会安全号码,信用卡号和其他个人数据。但是,它支持使用正则表达式匹配,如果需要,允许更多通用匹配。
数据发现差异
传统的数据发现方法是抓取每个可以达到有问题数据的文件共享。数据端点和防漏可以以这种方式发现数据,如果一个系统需要发现,或者如果安装端点代理是不可行或可取的。但是,识别出在网络中的每个设备上启用文件共享可能具有一些意外的副作用,这些产品可以通过未启用文件共享的软件代理在端点上执行发现。
Identity Finder的扫描全部在本地系统上执行,并且它标识的任何敏感文件都会向管理控制台报告。扫描完成后,如果端点用户具有对扫描文件的写访问,则数据端点和身份查找器代理程序可以选择将文件访问时间重置为扫描前的内容。
将此与Data Endpoint中的隐身模式结合起来,发现将变得几乎无法检测(至少对普通用户而言)。数据端点有一个额外的好处,可以确保网络发现不会给网络或任何设备带来过度的负担:能够抑制发现过程中可用的网络吞吐量。
群众的指纹识别
指纹功能在这些产品中脱颖而出。通常在DLP产品中,指纹过程仅限于允许登录管理控制台的一些用户,提交Fixing识别的文件,然后启用该指纹进行检测。数据端点和防漏条带走所有这些层,并允许普通用户通过在网络共享中运行所有项目的预定指纹来确定哪些信息应受到保护。当然,管理员仍然可以手动指纹文件,并且还可以配置网络共享的计划指纹扫描。
如果您的会计师有一个不应允许离开网络的电子表格,他所要做的就是将其放入此网络共享。在下一个指纹扫描(由管理员确定的计划中),这个新文件将自动指纹并编织成DLP策略。
TrendMicro公司表示,他们受到人类指纹的启发,采用了一种独特的指纹识别方法。这允许LeakProof标识文档,即使文档的大部分已经被更改。对于这个测试,执行的唯一内容更改是次要的,因此该功能没有得到充分测试。
违反者将受到惩罚
对于检测到违规时,终端保护产品的最严格的决定是该做什么。数据端点和防漏都支持阻止动作的功能,要求用户确认或证明操作,向管理员发送通知,并记录违规。但是,每个人都提供了另一个没有。
数据端点给出了在项目上运行自定义脚本的权力 - 或许将其移动到安全位置,并在其位置留下通知消息,或加密文件。唯一的限制是管理员的脚本能力。
另一方面,防漏具有从用户收集更多信息的能力。防漏可选择为操作申请理由,而不是仅为“是”或“允许决定”,而不是数据端点。
明确地说,这些选项只有在选择确认响应而不是块响应时才对用户可用。Data Endpoint和LeakProof都可以完全不阻塞活动。用户可能永远不知道代理在系统上。
Identity Finder为用户选项提供了关于与已发现的敏感文件有关的操作。用户可以将其移动到加密的文件库中(由Identity Finder维护);粉碎文件任意次数;将物品隔离到安全位置;或者如果该文件是文本文件,Office 2007文件或PDF,请从文件中擦除违规项目。我们只能验证文本文件的擦洗功能。中央控制台控制最终用户可用的这些功能的选择。
Data Endpoint以应用程序为中心的策略配置是一个让我们有些犹豫不决的特性。虽然这为管理员提供了非常精细的控制级别,但它也为必须检测并添加到策略中的不断的新应用程序流打开了一个窗口。在不允许用户安装软件的环境中,这可能不是什么问题。
另一个潜在的缺点是,如果管理员希望控制复制到网络共享、未经授权的内部硬盘驱动器或同一驱动器上的其他文件夹,他必须阻止Explorer.exe访问敏感文件。显然,这将产生一些问题,因为Windows将与它们隔离开来。
安装
所有的安装都不是特别困难,尽管它们都有自己的小缺点。
Websense需要在系统上安装Oracle和MS SQL,以及.NET 3.5。值得庆幸的是,这些物品都捆绑在提供的安装文件中,并且其安装被包装到安装程序中。我们必须手动提取Oracle和MS SQL的安装程序文件,然后指示安装程序在哪里找到它们。考虑到这些物品都捆绑在一起,这似乎是可以自动化的。安装后,管理控制台用于输入Websense提供的许可信息。
数据端点包括用于构建端点软件的安装包的实用程序。在此实用程序中,管理员指定管理服务器的IP地址和几个其他参数。从此信息中,数据端点构建可用于将代理部署到客户端的自定义安装程序包。对于此测试,文件被复制到客户端并手动安装。
STREDMICRO的防漏安装是通过使用物理设备的而不是软件安装而缓解。但是,安装文档有点缺乏。产品附带的快速入门指南包含与使用的PowerEdge 1950上的端口配置不匹配。接下来,纸张上的用户名和密码不起作用。支持的电子邮件返回包含工作登录的更新的快速入门指南(尽管端口图仍然不正确)。本指南提到了一个明显应该首次登录开始的配置实用程序,但没有给出命令的名称以手工开始。由于该实用程序未启动首次登录,因此必须手动执行网络配置。幸运的是,该系统建立在CentOS(免费Redhat Clone)上,我们熟悉。
从这一点开始,帆船对防漏的安装相对平滑。端点代理安装程序是命令行驱动,要求管理员指定管理服务器的IP地址。通过Active Directory或System Center Configuration Manager的部署也是宣传的,但未测试。
身份发现者的安装过程一般。没有遇到什么大问题,但是评审者必须手动安装。net 3.5, Microsoft Report Viewer 2008和IIS 6.0或更好的版本才能继续安装。因为前两个是免费的,第三个是Windows组件,这个过程肯定是自动化的。安装后,需要手动将许可证文件复制到包含管理控制台可执行文件的目录中。
身份查找器安装程序还创建了一个注册表文件,以及安装程序和许可证文件需要复制到客户端。需要手动执行的注册表文件以将管理服务器信息添加到注册表,然后可以从命令行执行安装程序。
配置
防漏和Identity Finder的管理服务器配置完全从Web控制台完成。数据端点具有用于策略和配置文件管理的Web控制台,还具有用于服务器本身的单独MMC管理单元。Websense正在致力于将其统一到一个基于Web的控制台。
大多数情况下的数据端点具有最简单的配置配置,除了分为两个接口之外。在Websense的工程师的方向之后,我们能够在接口周围舒适地导航。也就是说,几个测试项目需要额外的支持来完全配置。初始策略配置是一个带有策略向导的微风。此工具询问管理员使用哪种类型的组织正在使用产品(例如,政府,财务,医疗保健,教育),并在哪些地方使用该产品。然后它量身定制一个(长)的可用模板列表。对于此测试,仅使用HIPAA和PCI模板,但许多其他可能已启用。
策略配置文件初始化配置完成后,管理员将转到Web界面进行保护配置文件的配置。这个测试只使用了默认配置文件,但是可以为不同的计算机或用户设置目标配置文件。每个概要由通道和服务(应用程序)组成。管理员选择要保护的通道,然后为所需的应用程序组或单个应用程序配置阻塞操作。