Gartner Magic Quadrant for Content-Aware Data Loss Prevention. August 12, 2011

10 августа 2011 года вышел новый отчёт Гартнера  - "Magic Quadrant for Content-Aware Data Loss Prevention", т.е. "Магический квадрат по системам борьбы с утечками информации". Сам документ продаётся за $1995. Но в сети есть перепечатки, которые можно скачать. Например, с сайта McAfee.

Ниже выборочный перевод этого документа.

Корпоративный рынок систем предотвращение утечек информации на основе анализа содержимого ( DLP-системы ) значительно изменился. Консолидация вендоров замедлилась, и рынок разделился ( разветвился ) на возможности высокого уровня для больших компаний и возможности низкого уровня для каналов, предлагая больше выбора для организаций всех размеров и потребностей.

Что нужно знать.

Рынок DLP-систем продолжает расти на более чем 20% ежегодно. У покупателя сегодня больше выбор, чем когда-либо. Вендоры предлагают свои продукты в трёх категориях:
- Системы DLP для больших компаний, с продвинутыми возможностями и сложными консолями управления ( именно эти системы рассматриваются в этом документе )
- Канальные DLP-системы, которые предназначены для интеграции с существующими прикладными системами - обычно "e-mail"
- Лёгкие DLP ( новая категория ). Лёгкие DLP-системы предлагают либо ограниченный набор функций для какого-либо нишевого применения, либо предназначены для малых и средних предприятий

Обзор Рынка

Системы предотвращения утечки информации на основе анализа содержимого ( Content-aware DLP tools ), в дальнейшем - DLP-системы, позволяют в реальном режиме времени реализовывать политики, основанные на классификации содержимого в момент совершения какой-либо операции с этим содержимым. DLP-системы обладают рядом технологий и способов анализа, используемых для классификации информации, содержащейся в в неком объекте - таком как файл, сообщение электронной почты, пакет, приложение или хранилище данных - как в момент использования, так и "at rest", т.е. в то время, когда этот объект не используется, а также во время передачи объекта. DLP-системы позволяют в реальном режиме времени применять политики - такие как сохранить сообщение о событии в журнале, отправить отчёт, классифицировать, переместить объект, пометить его или зашифровать и/или применить корпоративные правила управления правами. Технологии DLP помогают организациям разработать, изучить и применить лучшие мировые практики, касающиеся обработки и передачи защищаемых ( конфиденциальных ) данных.

DLP-системы вынуждают менять поведение

Исходя из их возможностей, системы DLP - это непрозрачный контроль, т.е. пользователям DLP-система видна, они с ней взаимодеюствуют, причём они должны менять своё поведение. Это очень сильно отличается от прозрачного контроля ( такого, как брэндмауэры или антивирусы ), при котором действие программы не видно пользователям. Непрозрачный контроль приводит к "культурному сдвигу" во многих организациях, поэтому очень важно привлекать людей из бизнеса при планировании и внедрении DLP-систем.

Многие производители DLP-систем экспериментируют с альтернативными подходами - облака, SaaS b т.п.

Угрозы Мобильных Устройств

... пока ни один из вендоров, входящих в квадрат, не представил решения, включающего и мобильные устройства...

Отставание в виртуализации, поддержке ОС, отчётах по рискам

Хотя некоторые вендоры поддерживают инсталляцию агентов на виртуальные машины, только единицы могут сканировать файлы на виртуальных дисках напрямую.

Хотя многие вендоры говорят о планах поддержки других ( кроме Windows ) операционных ситем - типа OS/X, Linux, Unix, только единицы действительно дают сейчас такую возможность.

Наблюдается интерес к независимой сертификции DLP-продуктов. Сейчас Fidelis, RSA и Safend уже сертифицировались на Common Criteria и ожидается сертификация McAfee и Websense. Соответствие FIPS 140-2 уже достигнуто McAfee, RSA, Safend, Symantec, Verdasys и Websense.

При внедрении DLP-систем заказчикам частенько требуется такая важная штука, как Управление Рисками. Но вендоры мало что делают, чтобы показать риски в своих отчётах. 

Результаты опроса

Результаты опроса 2011 года приводят к некоторым интересным наблюдениям, которые должны помочь организациям разработать требования и выбрать подходящую их нуждам технологию

• Около 30% предприятий начинают с сетей, 30% со сканирования и 40% с эндпоинтов. Большинство больших предприятий покупает DLP-системы в комплектации, закрывающей 2 из 3-х каналов. Но редко кто берёт сразу все 3.
• Многие большие компании испытывают трудности в том, чтобы чётко и ясно определить свою стратегию в области DLP. Мы по-прежнему рекомендуем этим компаниям отложить принятие решения о покупке до тех пор, пока они не смогут проводить тестовые испытания различных DLP-систем на предмет соответствия своим, независимо разработанным, учитывающим специфику предприятия, требованиям.
• Прямое назначение технологий работы с компьютерами пользователей ( эндпоинтами ) продолжает оставаться защита интеллектуальной собственности и другой ценной информации предприятия от краж инсайдеров и от случайных утечек. Ценность работы в сети и путём сканирования - напротив, лежит в области помочь руководству понять и скорректировать ошибки в бизнес-процессах, в определении и предотвращении случайных раскрытий конфиденциальной информации и предоставить механизм поддержки соответствия требованиям и аудированию.
• Поставщики решений DLP-систем продолжают фокусироваться на защите текстовой информации при анализе даных. Хотя кое-кто уже начинает делать первые шаги в стороны попыток идентификации нетекстовых данных, таких как изображения, чертежи, музыка, видео. В этом направлении вендорам ещё предстоят серьёзные инвестиции в R&D ( разработку и исследования ).

а последний год увеличилось число жалоб и "разборок" клиентов с поставщиками. Многие из которых характеризуют неприятную тенденцию, когда некоторые вендоры заявляют о характеристиках своего продукта, которые на самом деле не поддерживаются или поддерживаются не польностью или только с помощью дополнительного ПО и т.п.

Подробнее - см. DLP-Club.kz