Сравнение решений по контролю доступа к USB и беспроводным устройствам

Общее описание проблемы
Прогресс человеческой мысли не стоит на месте, а производственных мощностей по переплавке кремния в юго-восточной Азии уже сильно с избытком и все мы пользуемся результатами этого взрывного роста цифровых гаджетов. Помнится было время когда радовались флешке на 32МБ, мол, теперь не надо носить файлы на дискетке или перезаписывать болванку. Сейчас и буква «М» сменилась на «Г» и радость от наличия в кармане такого носителя пропала. Ну есть и есть. Миниатюризация свела на нет все усилия отделов безопасности исключить шпионаж конкурентов и вредительство своих сотрудников. На входе в банк сдаёшь ноутбук, носимый диск на 120ГБ, флешку, и ... счастливый проходишь с телефоном в котором полный набор средств коммуникации плюс 4ГБ памяти на борту, а в подкладке пиджака на всякий случай ещё одна флешка размером с мизинец.
С этой проблемой к нам в отдел исследований и обратился уважаемый заказчик, озадаченный проблемой выбора решения по контролю нахождения на рабочих станциях посторонних устройств и средств коммуникации. На входе мы имели требования заказчика и список из 6 возможных решений по устранению проблемы. На выходе требовалось получить сокращённый список продуктов из которых можно выбирать уже скорее субъективными методами.
Исходные требования
В целом, практически все 6 решений обладали весьма сходим набором функционала, ну, разве что за исключением одного. Список возможностей для каждого продукта весьма внушителен и отличается от конкурентов не более чем на 10%. Поэтому, мы не стали сравнивать их по этому параметру, приняв условность что они идентичны. Для обеспечения нужного уровня обслуживания пользователей и гибкости управления техническим персоналом, заказчик предъявил 4 основных требования:

1. Интеграция с сетевым каталог LDAP.
2. Поддержка управления политиками, в том числе групповыми политиками Windows.
3. Непрерывный мониторинг состояния рабочих станций и построение гибких отчётов.
4. Невозможность отключения защиты или изменение настроек локальным администратором.

Дополнительными, не техническими критериями оценки, были приняты:

1. Полнота документации
2. Размер и известность компании на рынке
3. Возможность интеграции решения с существующей сетевой инфраструктурой организации
4. Цена решения

Эти параметры можно отнести к категории оценки рисков для бизнеса и затрат на внедрение. В современных условиях (ну все мы знаем каких) компания не может себе позволить рискнуть внедрением несоответствующего решения и уж тем более не может допустить превышения затрат.
Сравнение было проведено на основе публичной информации, размещённой на сайтах компаний-производителей, документации по продуктам и публикациях в изданиях.

1.Решение от компании Novell - ZENworks USB/Wireless Security
Первым решением для проверки соответствия критериям мы выбрали продукт компании Novell - ZENworks USB/Wireless Secuirty. Наши инженера давно и хорошо знакомы с продукцией этой уважаемой компании, и в начале исследования данный продукт был для нас явным фаворитом.
Итак, насколько продукт соответствует основным требованиям:

1. Согласно официальной документации, ZENworks UWS поддерживает работу с основными коммерческими сетевыми каталогами: Novell eDirectory и Microsoft Active Directory. Здесь всё ясно, оба каталога широко представлены на рынке и вполне понятно, что компания Novell реализовала поддержку как своего каталога, так и главного конкурента.
2. Безопасность рабочих станций обеспечивается на базе собственных политик, хранящихся в базе данных SQL и распространяемых сервисом Policy Distibution. Политики можно создать на трёх разных уровнях: глобальном, групповом и пользовательском. Этим достигается и упрощение применение каких-то общесетевых правил, и лёгкость добавления исключений для определённых пользователей или групп.
3. Для отслеживания событий на рабочих станциях в продукт встроены средства немедленного уведомления. Уведомления срабатывают на основе предопределённых триггеров при достижении уровня срабатывания. При срабатывании на консоли администратора сразу появляется уведомление, ну или отправляется оповещение одним из доступных способов (например по эл. почте). Также существует мощный и гибкий инструмент создания отчётности по всем аспектам работы клиента.
4. Клиентская часть решения - ZENworks Security Client защищена от случайного или целенаправленного удаления, выключения или вмешательства в работу. Для этого применён целый ряд мер: деинсталяция защищена паролем, завершение процесса STEngine.exe через менеджер задач запрещено, остановка сервиса защищена паролем, критичные файлы и записи в реестре защищены и отслеживаются, фильтрующий драйвер NDIS привязан ко всем интерфейсам.

Посмотрим на дополнительные требования:

1. На сайте компании Novell предоставлена полная документация на английском языке. Три основных категории документации: установочная, административная, пользовательская. Общий объем: 335 страниц.
2. Компания Novell является одним из крупных лидеров компьютерной индустрии. Её решения по управлению системами (ZENworks) давно известны и применяются во всём мире. Компания обладает обширной партнёрской сеть. С Москве присутствует офис компании со службой технической поддержки.
3.  Согласно п.1 соответствия основным требованиям, продукт может работать в любой корпоративной сети без изменения базовой инфраструктуры безопасности.
4. Цена решения на одну рабочую станцию: 45$. Годовое обслуживание рабочей станции: 10$. Серверные лицензии не учитываются.

Продукт производит впечатление целостного качественного решения. К косвенным недостаткам можно отнести отсутствие информации о возможности теневого копирования файлов с флеш-накопителей.

2.Решение от компании SmartLine Inc - DeviceLock
Вторым в копилку решений попал продукт DeviceLock. Соответствие основным требованиям получилось не столь полным:

1. Продукт поддерживает исключительно Microsoft Active Directory, в случае её отсутствия используется собственная база. Поддержка LDAP-каталогов заявлена только для получения списка рабочих станций. В случае других каталогов заказчику придётся либо разворачивать MAD, либо довольствоваться локальной базой.
2. Для распространения настроек используется механизм групповых политик Windows, что в принципе укладывается в заданные критерии.
3. Существует функционал периодического опроса рабочих станций с записью данных мониторинга в журнал. Возможность моментального уведомления администратора не заявлена. Существует инструментарий для создания отчётов по использованию файлов и прочим аспектам.
4. Существует выключаемая функция защиты от неавторизованных администраторов, а также контроль локальных политик на соответствие эталонам. Возможность блокирования выгрузки сервиса из памяти не заявлена.

Соответствие дополнительным требованиям:

1. На сайте продукта представлено два документа на русском языке: краткое по установке и полное пользовательское. Общий объём документов - 230 страниц
2. Компания молодая (1996) и с единственным решением. Партнёрская сеть небольшая, главный партнёр - Microsoft. Существует офис в России.
3. Решение интегрируется только с MS Active Directory.
4. Цена решения составляет 1300 рублей за одну рабочую станцию. Дополнительных услуг обслуживания нет. Серверные лицензии отсутствуют.

То что компания занимается только одним продуктом даёт надежду что продукт должен получаться хорошим. Сравнительно с первым продуктом остаётся ощущение некоторой сырости продукта. К плюсам, по отношению к решению Novell, можно отнести наличие теневого копирования. Возможным недостатком можно назвать некоторую недосказанность по защите от обхода системы.

3.Решение от компании SecureIT - Zlock
Следующим номером программы выступил Zlock. Проверка соответствия основным требованиям выявила следующее:

1. В продукте реализована тесная интеграция с Active Directory, позволяющая загружать списки компьютеров.
2. Поддерживаются групповые политики Windows для установки агентов и распространения политики безопасности.
3. В продукте реализована система мгновенного оповещения администраторов системы о событиях на клиентской машине. Также есть функционал создания отчётов по журналу событий.
4. Информации по ограничению локального администратора не найдено. Имеется возможность контроля целостности файлов и настроек Zlock. Если какие-либо компоненты Zlock были несанкционировано модифицированы, возможность входа в систему будет лишь у администратора.

Соответствие дополнительным требованиям:

1. Полноценной (да и вообще какой-то) документации на сайте компании найти не удалось, хотя мы хорошо искали.
2. Компания существует на рынке России с 2001 года. Офис находится в Москве. Технологических партнёров нет.
3. Информации по интеграции решения с сетями отличными от Microsoft нет. Скорее всего при использовании данного решения придётся разворачивать MAD, в случае если его нет, это выльется в дополнительные лицензионные отчисления.
4. Цена решения составляет 990 рублей за одну рабочую станцию. Дополнительных услуг обслуживания нет. Серверные лицензии отсутствуют.
5. Общее впечатление от продукта - ровня DeviceLock, но отсутствие информации по защите и невозможность найти открытую документацию срезает немало очков решению.

4.Решение от компании InfoWatch - InfoWatch Traffic Monitor
Данный продукт попал в список почти случайно. Основная направленность решения идёт в сторону контроля сетевого трафика, а контроль носителей и беспроводных сетей, такое впечатление, делается между делом.
Соответствие основным требованиям весьма печальное для продукта:

1. Нет данных по интеграции с сетевым каталог LDAP.
2. Нет данных по поддержке групповых политик Windows.
3. Нет данных по возможности создания отчётов и мониторинга событий в реальном времени.
4. Нет данных по ограничению локального администратора от действий по удалению продукта или изменению настроек.

Соответствие дополнительным требованиям:

1. Какая-либо открытая документация о продукте отсутствует.
2. InfoWatch входит в группу компаний Kaspersky Lab, которая с 2007 года является лидером европейского антивирусного рынка и входит в пятерку ведущих мировых разработчиков программного обеспечения для защиты информации от интернет-угроз. Унаследованная от группы компаний партнёрская сеть весьма обширна.
3. Нет данных по возможности интеграции решения с существующей сетевой инфраструктурой организации
4. Цена решения не опубликована, по косвенным признакам купить отдельно от модуля контроля носимых устройств невозможно.

Весьма странный продукт, этакая тёмная лошадка. Сказать что-либо объективное невозможно, поэтому мы решили этот продукт дисквалифицировать за уклонение от сравнения.

5.Решение от ИП Ефименко Сергей Николаевич - FileControl
Ещё один крайне специфичный продукт. Мы бы даже назвали весьма эстроординарным - FileControl. Данное решение делается одним человеком и и в принципе не соответствует ни одному из предъявляемых требований. Область применения - домашние пользователи. Стоимость решения - 400-500 рублей. Мы желаем автору продукта успехов и развития и вместе с Traffic Monitor снимаем со сравнения.

6. Решение Sanctuary Device Control от Lumension Security
На десерт мы оставили решение Device Control. Впечатления от сайта и сотрудников компании остались самые приятные, а соответствие требованием позволило этому продукту честно завоевать место в тройке лидеров.

1. Заявлена поддержка базовых каталогов Microsoft AD и Novell eDirector. Более того, продукт сертифицирован на совместимость с Novell eDirectory 8.7.
2. Управление рабочими станциями производится на базе собственных политик и ACL привязанных к устройству, пользователю или группе.
3. Ведётся подробный журнал событий с оповещениями, встроена защита от подделки журнала, события могут быть отфильтрованы, отсортированы или сгруппированы.
4. Работает на уровне драйверов ядра ОС, вмешательство пользователя или локального администратора невозможно.

По дополнительными критериями также всё выглядит хорошо:

1. Документация доступна в открытом виде на сайте http://www.headtechnology.ru.
2. Компания достаточно крупная, на рынке известна с 1991 года. Имеет тесные технологические партнёрства с крупными игроками. Продукт сертифицирован по нескольким направлениям, как у производителей, так и по отраслевым стандартам. Многие известные компании используют её решения для включения в свои продукты. Один из официальных партнёров в России - Head Technology СНГ.
3. Полностью совместим с Novell eDirectory и Microsoft AD, что подтверждается сертификатами.
4. Цена зависит от количества приобретаемых лицензий и для масштабных установок может падать в несколько раз. В лицензию включён первый год поддержки. Каждый последующий год поддержки будет стоить 15% от стоимости приобретённых лицензий. Серверные лицензии отсутствуют.