DLP,Rozwiązania bezpieczeństwa IT

Raport Gartnera 2016 dotyczący korporacyjnego DLP

Czas czytania: 8 min

Raport Gartnera dotyczący korporacyjnych rozwiązań Data Loss Prevention (DLP) z 28 stycznia 2016 roku.

DLP według Gartnera

Według przewidywań analityków odpowiedzialnych za raport:
– do 2018 roku 90% organizacji wdroży co najmniej jedno z rozwiązań zintegrowanego DLP w stosunku do obecnego poziomu 50%.
– do 2018 roku mniej niż 10% organizacji z już wdrożonym zintegrowanym DLP będzie posiadać dobrze zabezpieczone i zarządzane oprogramowanie. Obecnie to ilość bliska zeru.

Gartner definiuje data loss prevention (DLP) jako te technologie, których głównym założeniem jest kontrola zawartości i analiza kontekstowa danych lokalnych, aplikacji chmurowych, dysków chmurowych, danych w ruchu sieciowym oraz zarządzanie urządzeniami końcowymi. Rozwiązanie DLP może wykonywać akcje, od prostych notyfikacji do aktywnego blokowania, oparte na definiowalnych politykach, mające na celu ochronę przed przypadkowym lub zamierzonym wyciekiem wrażliwych danych.

Rozwiązania Data Loss Prevention można podzielić na dwie kategorie:

  • Korporacyjne DLP – rozwiązanie używające zaawansowane techniki detekcji mogące sprostać najbardziej wymagającym restrykcjom w zakresie ochrony danych kluczowych. Przeważnie oparte na agentach rozsyłanych na komputery, serwery fizyczne i wirtualne, rozpoznające i lokalizujące kluczowe dane. Główną cechą jest centralne zarządzanie, wsparcie dla zaawansowanych polityk oraz analiza zdarzeń w czasie rzeczywistym. Jest to kompleksowe rozwiązanie pozwalające na wykrywanie wrażliwych danych oraz minimalizujące ryzyko ich kompromitacji poprzez stacje końcowe, magazyny danych oraz przez sieć.
  • Zintegrowane DLP –  jest to ograniczone funkcjonalnie tradycyjne DLP, zaimplementowane w sprzęt lub oprogramowanie. Posiada inne funkcje z zakresu bezpieczeństwa informacji. Przykładami mogą być: zabezpieczenia bram pocztowych, oprogramowanie szyfrujące, oprogramowanie klasyfikujące dane. Takie oprogramowanie najczęściej posiada jedynie ułamek możliwości jakie daję korporacyjne DLP. Daje jedynie podstawową ochronę własności intelektualnej.

Poniżej przedstawiam Magic Quadrant:

gartner magic quadrant for dlp
gartner magic quadrant for dlp

W grupie liderów znajduje się czterech producentów, których zalety i wady opiszę.

Digital Guardian – założony w 2002 roku jako Verdasys i przebrandowany w 2014 roku z siedzibą w Waltham, Massachusetts. Digital Guardian po zakupie Code Green Networks w 2015 stał się liczącym się graczem w klasie korporacyjnego DLP.

Ich rozwiązanie opiera się na agentach, obejmujących DLP oraz EDR (endpoint detection and response), działających na PC, laptopach i serwerach z systemami Windows, Linux lub OS X, a także wspiera VDI. Technologia zaczerpnięta z Code Green Networks obejmuje sieciowe DLP, ochronę danych w chmurze oraz data detection. Jest w postaci sprzętowej, programowej lub wirtualnej. Digital Guardian mocno współpracuje technologicznie z firmą Fidelis Cybersecurity.

Mocne strony:

  • Digital Guardian oferuje jeden z najbardziej zaawansowanych i wydajnych DLP ze względu na integrację na poziomie jądra systemu. Poza Windowsem, wspiera również Apple OS X i Linux.
  • Digital Guardian może wspierać kompleksowo chronić własność intelektualną oraz tajemnice handlowe. Wszystko dzięki badaniom zawartości oraz kontekstu, jak również przy użyciu rejestrowania i korelacji wszystkich zdarzeń.
  • Klienci używający rozwiązań Digital Guardian, chwalą sobie szybkość wdrożenia.
  • Strategia Digital Guardian’a wykazuje silne zrozumienie trendów technologii, bezpieczeństwa i jurysdykcji, które będą kształtować ich ofertę w przyszłości.

Przestrogi:

  • Digital Guardian oferuje monitorowanie, wykrywanie i kontrolę aplikacji bazujących w chmurze poprzez agenta; jednakże po zakupie Code Green Networks spodziewać się można integracji z aplikacjami chmurowymi na poziomie API;
  • Głęboka integracja agenta DLP z systemem operacyjnym może spowodować problemy z wydajnością w systemach o ograniczonych zasobach. Właściwa funkcjonalność aplikacji wymaga starannego sprawdzania aktualizacji i uaktualnień oprogramowania.
  • Zorganizowany fingerprinting danych nie jest obsługiwany przez agenta Digital Guardian’a; jest to kolejna przypadłość, która ma zostać rozwiązana przez zakup Code Green Networks, którego rozwiązania wspierały fingerprinting;
  • Będzie potrzebny znaczny wysiłek, żeby połączyć funkcjonalność agenta Digital Guardian z możliwościami zarządzania oferowanymi przez Code Green Networks; Należy obserwować proces integracji tych dwóch technologii.

Forcepoint – W 2015, Raytheon oraz Vista Equity Partners rozpoczęły wspólne przedsięwzięcie łączące Websens’a z produktami Raytheon Cyber, tworząc nową spółkę, nazwaną Forcepoint.

Forcepointa uznaje się za za lidera rozwiązań korporacyjnych DLP, wcześniej jako Websense. Linia produktów AP – DATA jest częścią architektury Triton obejmującej Triton AP-Data Discovery, Triton AP-Data Gateway i Triton AP-Endpoint DLP. Przez lata dostarczania rozwiązań korporacyjnego oraz zintegrowanego DLP dla ochrony sieci oraz bram pocztowych, Forcepoint zbudował atrakcyjny pakiet. Mowa tutaj o DLP dla przedsiębiorstw, dający ochronę danych w sieci. Szczególnie na końcówkach, lokalnie oraz w chmurze, ze skupieniem na ochronie własności intelektualnej oraz realizacji polityki bezpieczeństwa zgodnie z międzynarodowymi standardami.

Mocne strony:

  • Forcepoint wspiera wykrywanie wrażliwych danych przechowywanych w Box, Microsoft Exchange Online i Microsoft SharePoint Online za pomocą natywnych API. Dodatkowo Forcepoint robi fingerprinting danych w Salesforce.
  • Forcepoint zapewnia szereg pre-definiowalnych polityk mających na celu identyfikację zagrożeń wewnętrznych i skompromitowanych punktów końcowych, łącząc zaawansowaną analizę treści i kontekstu.
  • Oferuje zabezpieczenia wielowarstwowej chmurowej infrastruktury.
  • Forcepoint jest jednym z niewielu producentów oferujących pełne wsparcie agenta dla endpointów OS X oraz Linux, która obejmuje wykrywanie danych, kontrolę aplikacji, wymienne nośniki danych, nośniki optyczne, sieć Web oraz ruch mailowy.

Przestrogi:

  • Zaangażowanie firmy Raytheon w rynek obronny może pomóc rozwinąć produkt o dodatkową wiedzę i produkty. Pomimo, iż jest wciąż obarczony ryzykiem wykonania;
  • Znaczenie Forcepointa w niektórych regionach geograficznych może być mniejsze, ze względu na silne powiązania z USA i koncentrację na administracji federalnej;
  • Forcepoint miał zauważalne problemy techniczne w 2014 roku spowodowane przeniesieniem siedziby Websense z San Diego w Kalifornii do Austin w Teksasie. Jednakże klienci wyrażali się pozytywnie o wsparciu w 2015. Zaleca się jednak monitorowanie sytuacji w roku 2016 ze względu na zmiany w Forcepoint;
  • Przejęcie firewalli Intel Security, jak również inne potencjalne przejęcia mogą wpłynąć na budżet Forcepointa przeznaczany na ochronę danych.

Intel Security 

McAfee został założony w 1987 roku, nabyty przez firmę Intel w 2010 roku i przemianowany na Intel Security. Technologia DLP Intel Security pochodzi z ostatnich dwóch przejęć McAfee: Endpoint DLP z Onigma przejętego w 2006 roku i Network and Discovery DLP z Reconnex z 2008 roku.

Podejście Intel Security do DLP powstało z połączenia przejęć. Z McAfee ePolicy Orchestrator, systemu zarządzania politykami, monitorowania alarmów i korelowania zdarzeń związanych z bezpieczeństwem danych na punktach końcowych, transmisji w sieci, wykrywania danych w spoczynku i repozytoriów w organizacji. Niedawna aktualizacja 9.4 przyniosła długo wyczekiwane ulepszenia agenta dla endpointów, ulepszenia projektowania polityk i wykrywania danych. Uwagi wymagają wciąż DLP Monitor i sieciowe DLP.

Intel Security jest pod wpływem wielu innych spółek z branży IT security. Ostatnio opuścili rynek SEG i sprzedali swoje aktywa firewalla do Forcepoint. Intel twierdzi, że data loss prevention pozostaje jednym z jego podstawowych działalności.

Mocne strony:

  • DLP zaczerpnięte z McAfee Web Gateway proxy wspiera rozszyfrowywanie i ponowne szyfrowanie ruchu sieciowego w locie. Tym samym zapewnia inspekcję zawartości, wliczając w to hostowaną pocztę email oraz chmurowy storage.
  • Baza przechwytywań może indeksować i przechowywać wszystkie dane widoczne w sieciowych i końcowych komponentach. Klienci zgłaszali, że to przydatne przy testowaniu nowych reguł, analiz kryminalistycznych zdarzeń, które nastąpiły przed utworzeniem reguł i dochodzeń po incydentach. Integruje się z produktami AccessData i Guidance Software.
  • Intel Security ściśle integruje się z klasyfikacją danych Titus i Boldon James.
  • The Security Innovation Alliance (SIA) wciąż jest solidnym i dobrym sposobem dla klientów. By zmaksymalizować swoje inwestycje w DLP ze względu na sprawdzoną i przetestowaną integrację z produktami klasyfikującymi dane, zarządzającymi prawami cyfrowymi (DRM) oraz użytkownikami i jednostkami analizy behawioralnej (UEBA).

Przestrogi:

  • Strategia Intel Security w zakresie korporacyjnego DLP jest niejasna i mało innowacyjna w porównaniu do konkurencji. Innowacyjność produktów została w dużej mierze ograniczona do integracji z ePO i rozwoju sieciowego DLP.
  • O ile zdarzenia na endpointach i w sieci mogą być przeglądane w ePO, Network DLP Prevent i Network DLP Monitor, to wciąż są zarządzane oddzielnie od ePO. Jest to kluczowy obszar integracji, który powinien być teraz spójny, biorąc pod uwagę, że przejęcie produktu nastąpiło pięć lat temu.
  • Natywna integracja API z dostawcami chmury nadal jest nieobecna. Intel Security nie oferuje wykrywania danych poufnych w chmurze w tym hostów poczty elektronicznej lub dostawców przestrzeni w chmurze.
  • Intel Security dodał wsparcie dla endpointów z Apple OS X. Obecnie zapewnia jedynie kontrolę urządzenia, a nie pełną funkcjonalność DLP oferowaną przez agenta Windows. Linux nie jest obsługiwany.

Symantec 

Mający siedzibę w Mountain VIew w Kalifornii Symantec istnieje na rynku data loss prevention od nabycia w 2007 roku firmy Vontu.

W czerwcu 2015 roku Symantec wypuścił Symantec Dala Loss Prevention 14.0. Mający elementy produktowe dla DLP Enforce Platform, IT Analytics for DLP, Cloud Storage (wspiera Box i Microsoft SharePoint Online), Cloud Prevent for Microsoft Office 356, DLP for Endpoint, DLP for Moblie, DLP for Network i DLP for Storage. DLP Symantec wspiera zabezpieczenia dostawców zewnętrznych takich jak wyciąganiu kontentu, raportowanie, FlexResponse dla treści szyfrowanej lub stosowania DRM. Pomimo zawirowań na poziomie korporacyjnym i zmian w zarządzie w ciągu ostatnich kilku lat, wciąż pozostają skupieni na rozwoju zabezpieczeń. Mowa tu w szczególności o DLP.

Mocne strony:

  • Symantec oferuje najbardziej wszechstronne techniki wykrywania wrażliwych danych na rynku, z zaawansowaną funkcjonalnością, która może obejmować wiele scenariuszy utraty danych.
  • Symantec obsługuje hybrydowy model wdrażania dla kilku swoich produktów DLP. W szczególności dla serwerów detekcji rozmieszczonych są na Amamon Web Services, Microsoft Azure czy Rackspace. Są one połączone z lokalnym serwerem egzekwowania.
  • Strategia firmy Symantec wykazuje silne zrozumienie technologii, socjoekonomii, bezpieczeństwa i trendów jurysdykcyjnych, które będą kształtowały ich ofertę w przyszłości.
  • Chociaż nie jest funkcjonalnym odpowiednikiem Windows, Symantec dodaje w Apple OS X obsługę podstawowych opcji wykrywania danych. Ponadto umożliwia dokładne dopasowanie dokumentu jako zaawansowaną opcję detekcji. Agent dla endpointa Linux nie jest dostępny.

Przestrogi:

  • Monitorowanie i wykrywanie poufnych danych w chmurze opiera się na Symantec Endpoint. Wyjątek stanowi Box oraz Microsoft ShrePoint Online, który wykorzystuje natywną integrację opartą na API.
  • Częściowe dopasowanie dokumentu i uporządkowanie fingerprintingu nie są oceniane lokalnie przez agenta i wymagają odpytania w serwerze do analiz.
  • Klienci wyrażają zaniepokojenie ogólną złożonością i kosztami wdrożeń rozwiązań firmy Symantec w porównaniu z konkurencyjnymi rozwiązaniami.
  • Symantec jest bliski ukończenia zbycia Veritas. Będzie w stanie dokonywać aktywizacji bezpieczeństwa zarówno wewnątrz jak i poza jej jednostkami ochrony informacji. Kolejne nabycia mogą opóźnić rozwój produktów i wdrażanie nowości.

Najnowszy raport Gartnera na temat rozwiązań DLP:

2017-Gartner-Magic-Quadrant-for-Enterprise-Data-Loss-Prevention





Dodaj komentarz