Llegamos a ustedes gracias a:



Reportajes y análisis

Prevención de pérdida de datos

Evaluación de las mejores herramientas

[10/08/2009] Una buena herramienta de prevención de pérdida de datos (DLP por sus siglas en inglés) basada en perímetro, debe ofrecer una combinación de velocidad, precisión, detección y bloqueo sensitivo, para impedir que la información salga de la red. Además, por supuesto, de una apropiada cobertura a través de un amplio rango de protocolos y reglas.

Los productos DLP vienen en tres categorías: basados en perímetro, basados en cliente y lo que combinan ambas propuestas. Para este test se evaluaron dispositivos basados en perímetro de Fidelis Security Systems, Palisade Systems, Code Green Networks y GTB Technologies.
 
Todos los DLP fueron instalados en modo in-line (salvo por el Content Inspector de Code Green, que no acepta esta posibilidad) entre una WAN simulada y una LAN, y fueron configurados con un set de diez reglas. Luego corrimos unos 1,100 archivos a través de cada dispositivo, esperando alrededor de un minuto entre cada archivo, para determinar el grado de precisión con que el producto detectaba y bloqueaba un total de 276 archivos malos, y en qué medida el desempeño de la red se veía afectado por el DLP.
Estas son nuestras principales conclusiones:
* Todos detectaron eficientemente los archivos dañinos que fueron enviados a través de protocolos específicos soportados por el producto; pero no todos reconocen un amplio rango de protocolos.
* Algunos de los productos que detectaron correctamente los archivos peligrosos fueron menos eficientes a la hora de bloquearlos.
* Ninguno pudo analizar ni bloquear tráfico encriptado.
* Hay un nivel de rendimiento de red que debe tomarse en cuenta al correr estos productos in-line.
El Content Inspector de Code Green alcanzó el puntaje más alto en lo referido a detección, y también obtuvo un buen resultado en la facilidad de configuración, pero tiene un rango muy limitado de protocolos que puede bloquear.
Nuestro ganador Clear Choice es XPS de Fidelis, debido a la facilidad de uso de la interfase, la flexibilidad del set de reglas, la impresionante capacidad de reporte y la superioridad de sus prestaciones de detección y bloqueo.
En comparación con éste, Packetsure de Palisade e Inspector de GTB quedaron un poco deslucidos pues exigen más esfuerzos para comprender la estructura de reglas y complican innecesariamente el proceso. Sin embargo, ambos productos resultaron muy competitivos en lo que respecta a la detección de archivos peligrosos.
Instalación
Por lo general, los proveedores de DLP envían un representante al local del cliente para preparar y configurar el dispositivo, pero en este caso decidimos hacerlo nosotros mismos para poder comprender de primera mano el funcionamiento del producto desde su instalación hasta los reportes.
Para Packetsure y Content Inspector, la instalación básica fue bastante directa y el setup se realizó casi sin inconvenientes. En cuanto a los otros dos productos, la instalación básica fue un poco más difícil pues requirió numerosos contactos - por e-mail y teléfono- pero el setup se ejecutó sin necesidad de que un técnico viniera personalmente.
Una vez culminado el setup de ambos productos y cuando confirmamos que los datos podían pasar de entre la LAN y la WAN, configuramos el dispositivo para nuestras especificaciones de filtrado, que incluían un set de muestra de diez reglas escogidas para probar algunos de los atributos básicos y potenciales bloqueos.
Los DLP fueron configurados para buscar números de tarjetas de crédito y de la seguridad social, así como algunas piezas de código fuente y cinco palabras de una historia corta, lo cual se puede usar para evitar que cualquier fragmento de un reporte específico salga de la red.
También fijamos reglas para verificar tallas máximas de archivos o dearchivos .mp3. Asimismo, codificamos un conjunto de datos que contenía una lista de nombres de clientes, direcciones y números de la seguridad social y definimos una regla para bloquear cualquier conbinación de esas tres.
Configuración: Code Green es el ganador
Content Inspector de Code Green fue el más sencillo en cuanto a configuración y escritura de reglas. El lenguaje de reglas es simple y la interfase gráfica es fácil de usar. Code Green divide la creación de reglas en dos categorías: datos y políticas. Uno define los datos a ser bloquedos mediante una variedad de herramientas, y luego configura una política para que lo verifique. Este proceso fue muy directo y fácil de modificar, sin necesidad de reiniciar el dispositivo, ni reingresar las especificaciones. En lo que respecta a simplicidad de la configuración, Code Green es superior a todos los demás productos.
El sensor XPS de Fidelis tiene un puesto de comando para la administración y la configuración, un sensor de servidor de correo (a través de un proxy Postfix SMTP incorporado),  y un sensor web (implementado mediante un dispositivo proxy BlueCoat Web de terceros).
La creación de reglas es clara y sencilla, gracias a un Web GUI. XPS es el único producto que permite enviar muestras de archivo para probar cada regla antes de ejecutarla.
Si el usuario tiene alguna pregunta sobre una regla específica o alguna página, Fidelis incorpora en cada página maravillosos enlaces de ayuda que explican cada ventana o botón. Este resultó ser un verdadero salvavidas, y nos permitió crear la mayoría de las reglas sin necesidad de ningún contacto con el soporte técnico.
Packetsure de Palisade viene con un sencillo wizard para orientar al usuario durante el setup y es el único producto que ofrece un punto de partida tan útil. Sin embargo, si uno desea cambiar o agregar una regla obviando el wizard, el trámite se vuelve más espinoso.
El problema puede ser que en realidad Packetsure es dos productos que tratan de trabajar como uno: hay un mecanismo de análisis de contenido y otro de análisis de protocolo. El analizador de protocolo solo controla el paquete de carga útil, en lugar de reunir el flujo de data como hace el análisis de contenido. Esta combinación de dos enfoques ayuda a aislar cada regla pero complica la administración del producto.
Asimismo, en nuestro test, las reglas no siempre funcionaron como estaba previsto. Por ejemplo, una ventana de análisis de contenido " significa análisis de paquete, y en realidad es otra ventana de análisis de contenido es la que reúne el flujo de data antes de que aquella lo analice (similar a los demás productos).
Packetsure parece tener una funcionalidad "phone home" que se activa apenas se enciende el sistema: inmediatamente comenzó a intentar conectarse con un servidor Citrix remoto (para obtener ayuda con el setup). Tratándose de un producto que pretende controlar las fugas de información, este setting por defecto es, por decir lo menos, un poco extraño pero puede resultar una herramienta útil para resolver eventuales problemas.
La configuración de Inspector, de GTB, fue la más complicada de las cuatro. Para escribir una regla, hay que editar un archivo de configuración de texto, agregar algunas expresiones comunes y formatear cada línea de manera muy específica. Por ejemplo, para escribir la regla que vigile las palabras "Top Secret" en un archivo, es necesario escribir una expresión en una ventana de texto de la interfase de administración web.
No tiene wizard ni interfase gráfica. El otro inconveniente de Inspector de GTB son las limitaciones del conjunto de reglas. En nuestro test solo pudo implementar alrededor de la mitad de las reglas indicadas. Ni siquiera reconocía reglas tan sencillas como buscar nombres de archivo específicos o fijar un tamaño máximo para los archivos.
Rendimiento: Fidelis es el más rápido; Code Green gana la prueba de detección.
Evaluamos el nivel de precisión con que cada producto bloqueaba un total de 276 archivos dañinos que habíamos enviado, es decir apenas 30 archivos para cada uno de los nueve protocolos (incluyendo HTTP, SMTP, POP, IMAP, FTP y Telnet) de nuestro test. También evaluamos la velociodad de transmisión de datos en cada dispositivo, comenzando con 581Mbps, que es la capacidad de nuestra red sin ningún dispositivo incorporado.
Content Inspector, de Code Green, tuvo el mejor desempeño desde una perspectiva de detección: con 90% de precisión sobre la data que le enviamos. El 10% restante no lo pudo manejar por falta de soporte para flujo de tráfico encriptado (sesiones SSH), una falencia que comparte con el resto de productos.
Sin embargo, solo pudo bloquear archivos en cuatro de los protocolos evaluados: HTTP, Secure-HTTP, FTP y SMTP. Para los tres primeros usa un dispositivo BlueCoat Proxy de tercerosy para el SMTP utiliza un relay de mail incorporado.
La imposibilidad de bloquear diversos protocolos fue el principal punto débil de Content Inspector de Code Green. Pero para una compañía que solo se preocupa por los cuatro protocolos mencionados, este producto es muy recomendable.
XPS de Fidelis tuvo una tasa de éxito de 84% en la detección y el bloqueo de todos los protocolos y flujos de data. El equipo de márketing de esta compañía asegura que pueden bloquear data hasta en 65,535 puertos y no exageran. Este producto bloqueó virtualmente todo lo que pudo detectar, fallando solo con un tipo de archivo: un sitio web archivado.
XPS manejó sin problemas información confusa, capturando cuatro de nuestros cinco archivos. IMAP y POP fueron un poco problemáticos pero unos cuantos parches de los ingenieros resolvieron el escollo.
Todos los productos evaluados han tenido que enfrentar la disyuntiva de privilegiar la performance o reforzar la efectividad de bloqueo. Cuando la data pasa a través de un dispositivo DLP, el producto puede escoger entre almacenarlo para evaluar su contenido y dejarlo pasar o tratar de analizarlo al vuelo y exponerse a una fuga de información.
Fidelis se inclina por la performance y ganó nuestra prueba de velocidad, gestionando tráfico a un 90% de la capacidad de la red. Sin embargo, algunas piezas de información importante se le escabulleron. Todos los demás productos privilegiaron el bloqueo sobre la velocidad.
Packetsure de Palisade está orientado a los protocolos básicos de HTTP, SMTP y FTP, y obtuvo una alta tasa de bloqueo en ellos. Pero, quizá porque parece contener dos productos en uno, fue el más lento de los cuatro, alcanzando apenas 55% del ancho de banda disponible.
Si bien respondió adecuadamente al momento de bloquear un protocolo específico y de hacer una impresión digital basándose en el análisis de contenido, los problemas surgieron cuando tuvo que combinar ambas funciones, arrojando resultados inesperados. Por ejemplo, para limitar el análisis de contenido a un protocolo específico, hay que escoger entre usar un sistema de análisis de contenido más débil (que no reúne el flujo) o renunciar a restringir el bloqueo en base a protocolos. La segunda opción es la mejor manera de salir de este problema, pero al hacerlo se reduce la flexibilidad y la capacidad de bloqueo del producto.
El Inspector de GTB fue el producto más consistente. Lo que detectaba y bloqueaba en un protocolo era también detectado y bloqueado en todos los demás protocolos sin necesidad de operaciones extra. El problema con este producto fue que solo podía hacer chequeos basándose en un número limitado de reglas. Casi la mitad de nuestros tests de detección fallaron en este producto porque no reconocía el tipo de regla. Sin embargo, aun pese a su insuficiente soporte de reglas, logró detener 62% de los archivos irregulares.
En cuanto a los protocolos, Inspector fue el único producto que logró un 100% de éxito en la captura de los archivos que enviamos a través de la máquina a un 80% del ancho de banda disponible.
Impresión digital: Inspector obtiene el mejor puntaje
El concepto de impresión digital, que está bastante bien implementado en estos productos DLP, consiste en dividir un archivo y buscar las partesde este que pudieran estar saliendo de la red
La impresión digital se usa para impedir que la información importante salga de una red y para reducir los falsos positivos. Por ejemplo, la mayoría de organizaciones desea evitar que alguien ajeno a su red local obtenga los números de la seguridad social. Sin embargo, muchas cosas pueden parecerse a un número de seguridad social (un número de teléfono o el número de una orden en línea).
La impresión digital toma cualquier dato importante que uno tenga en la red y busca una serie de piezas que correspondan específicamente con él, para marcarlo como información que no queremos que salga de la red por error.
Se pueden hacer impresiones digitales de listas de nombres, direcciones y números de seguridad social y, en lugar de lanzar alarmas cada vez que se detecta un número de nueve dígitos, el DLP solo se activará cuando un número de seguridad social sea enviado sin el nombre completo asociado. O, en vez de buscar una palabra específica, puede buscar algunas oraciones de un reporte.
Todos los productos evaluados tienen soporte para este atributo, pero el GTB Inspector es el más potente y flexible: los usuarios pueden hacer impresiones digitales de una serie de archivos flat, bases de datos u hojas de cálculo.
Sin embargo, en este caso, potencia y flexibilidad van en desmedro de la simplicidad. GTB tiene un programa propio para hacer impresiones digitales de la data, mientras que otros productos permiten que el administrador cargue un determinado archivo, y le haga una impresión digital desde la interfase de administración principal.
Packetsure de Palisade solo pudo configurar impresión digital para archivos flat. XPS de Fidelis incluye la capacidad de testear las impresiones digitales luego de crearlas.
Content Inspector de Code Green pudo hacer impresiones digitales de todo tipo de datos y nos permitió configurar escenarios específicos para que esos datos activen una alerta. Por ejemplo, si uno ha hecho impresiones digitales de nombres, direcciones y números de seguridad social, se puede configurar una alerta para el caso de que se detecten dos números de seguro social y uno de ellos corresponda a un nombre específico. Ningún otro producto ofrece tanta minuciosidad sin afectar la facilidad de uso.
Reportes: Code Green y Fidelis son los mejores
Una de las partes más útiles de un producto DLP es su atributo de reportes. Para un administrador resulta sumamente valioso saber qué es lo que determinado producto busca y bloquea.
Content Inspector de Code Green y XPS de Fidelis tienen los mejores sistemas de reporte. Ambos cumplen con ofrecer flexibilidad, facilidad de uso, capacidades de exportación y gráficos bonitos (y comprensibles), para simplificar la comprensión de los datos. Además, el producto de Code Green se puede integrar de manera muy sencilla con diversas aplicaciones de software de alerta (como Crystal Reports), o incluso con aplicaciones customizadas pues usa una simple base de datos Postgres.
Packetsure de Palisade trató infructuosamente de implementar la funcionalidad necesaria para la generación de reportes. La interfase parece muy rudimentaria y hay que esperar entre 3 y 5 segundos cada vez que se quiere generar un reporte. Sin embargo, Packetsure tiene una herramienta de gráficos de protocolos que permite ver, en tiempo real, qué tipo de tráfico se general alrededor de nuestro perímetro (el administrador inclusive puede recorrer aplicaciones específicas). Sería interesante si esta capacidad estuviera ligada de alguna manera al atributo de bloqueo, pero no es el caso.
Inspector de GTB se quedó a la saga en términos de reportes. Provee reportes aceptables y claros que inclusive permiten generar gráficos para ayudar a comprender la información. Es decir, no es que carezca de capacidades de reporte, sino que sencillamente los otros tres productos son realmente impresionantes.
Sumario de productos
Fidelis XPS: el ganador general
Fidelis XPS fue el producto más desarrollado en los atributos generales así como en términos de flexibilidad y de capacidad de bloqueo.
Tiene un servidor "Command Post" para manejar la administración y la configuración, un servidor de sensor mail (via un proxy Postfix SMTP incorporado) y un sensor web ((implementado mediante un dispositivo proxy BlueCoat Web de terceros).
Aunque su instalación no es sencilla, solo toma algunas horas ponerlo a funcionar. Los enlaces de ayuda incorporados son muy útiles para escribir reglas e incluye la capacidad de evaluar las reglas que uno escribe. Cabe destacar especialmente el hecho de que conserva la flexibilidad a través de todos los protocoles sin afectar sus funciones de bloqueo. La interfase de administración permite crear reglas y ver reportes de manera sencilla.
Este fue el producto más rápido de los que probamos, bloqueó 80% de los archivos peligrosos, con solo 10% de impacto en el rendimiento. Si usted busca un producto que pueda bloquear una amplia variedad de protocolos y aplicaciones, además del estándar HTTP y SMTP, esta es su opción.
Packetsure de Palisade: dos productos en uno
Packetsure de Palisade parece contener dos productos en uno: un analizador de protocolo y un analizador de contenido. Packetsure tuvo una alta tasa de detección pero fue el más lento de todos, ejecutando a 50% del ancho de banda máximo. Tiene algunos atributos interesantes como la capacidad de ayudar a configurar el producto a través de una VPN, y gráficos muy útiles que representan la data que entra y sale de la red.
La instalación fue simple y directa, tomó menos de una hora. Para el setup inicial contamos con la valiosa ayuda de un wizard. Sin embargo, luego de usar el wizard se hace complicado alterar las reglas y los reportes se vuelven más difíciles y trabajosos de lo que podrían ser.
Content Inspector de Code Green: El mejor en detección
Content Inspector fue el producto que mejor detectó fugas de información. Sin embargo, como solo pudo bloquear algunos protocolos, no pudimos aprovechar mejor esta prestación.  
La instalación fue muy simple y la configuración resultó fácil de comprender sin necesidad de acudir a ningún manual. Es el único producto que permitió implementar todas las reglas. Detectó 90% de la data que enviamos, casi el doble que sus competidores. El 10% restante no lo pudo manejar por falta de soporte para flujo de tráfico encriptado (sesiones SSH), que tampoco tiene soporte en los otros productos
Sin embargo, solo puede bloquear archivos en cuatro de los protocolos evaluados: HTTP, Secure-HTTP, FTP y SMTP, tres de los cuales se llevan a cabo usando un dispositivo BlueCoat Proxy y el cuarto con un relevo de mail incorporado.
El bloqueo mediante estos métodos fue impecable: detectó todos los archivos. La falta de soporte para una serie de protocolos fue el principal inconveniente de Content Inspector.
GTB Inspector: consistentemente sólido
Inspector de GTB es un producto muy consistente pero presenta una serie de limitaciones en la generación de reglas. La instalación fue un dolor de cabeza, nos tomó casi ocho horas tener todo listo. Sin embargo, una vez terminados el el set y la configuración, lo demás fue sumamente consistente. Lo que detectaba y bloqueaba en un protocolo era también detectado y bloqueado en los demás protocolos reconocidos por el sistema. El problema fue que solo podía hacer chequeos basándose en un número limitado de reglas. Casi la mitad de nuestros tests de detección fallaron en este producto porque no reconocía el tipo de regla. Sin embargo, aun con esta carencia de soporte de reglas, logró detener 62% de los archivos irregulares.
En cuanto al reconocimiento de protocolos, fue el único producto que logró un 100% de éxito en la captura de los archivos que enviamos a través de la máquina a un 80% del ancho de banda disponible.
Otra virtud rescatable en Inspector es una robusta y potente capacidad de impresión digital que permite todo tipo de customizaciones.
Cómo evaluamos las herramientas de prevención de pérdidas
Instalamos una pequeña red equipada con un router y un servidor que contenían algunos de los servicios que se corren comúnmente en una red corporativa, entre ellos: FTP, HTTP, Secure-HTTP, Mail (POP, IMAP, & Exchange) y SSH.
Le pedimos a cada proveedor que enviara al laboratorio su producto y todos sus componentes. No se premitió que ningún proveedor hiciera instalación local. El soporte para los DLP fue requerido según surgiendo las necesidades, y los proveedores nos facilitaron documentación estándar. Al final, se ejecutó otra prueba en presencia del proveedor.
Los DLP se instalaron en modo in-line entre una WAN y una LAN simuladas y fueron configurados con un conjunto de diez reglas. Para conectar estos productos in-line, usamos un Tap Network Critical V-Line (Bypass). Este dispositivo permite que el DLP sea colocado virtualmente in-line: si el DLP falla, el flujo de tráfico continúa. Le recomendamos este método si planea instalar su producto en modo inline.
Algunos de los DLP también requirieron un producto proxy separado para asistir en las tareas de bloqueo. Al testear los productos no tomamos en cuenta la configuración del proxy, pero esta se reflejará en el costo.
También evaluamos la velocidad a la que podía pasar la información a través del dispositivo. Comenzamos con una línea de base de 581MBps, que es lo que podíamos obtener de la red sin ningún dispositivo presente. Luego activamos una regla -que sabíamos que funcionaba- y enviamos una avalancha de e-mails de diferentes volúmenes -desde 1KB hasta 1GB- a través del dispositivo. Calculamos la velocidad a la que pasaron estos e-mails.
Usando una máquina colocada al exterior de la WAN simulada, intentamos acceder a una serie de archivos a través de cada protocolo y de diferentes puertos de servicios LAN para extraer información de la red protegida.
Evaluamos cada producto haciéndolos correr alrededor de mil archivos, esperamos cerca de un minuto entre cada archivo. Algunos de estos archivos (casi una cuarta parte) contenían información riesgosa y otros eran inofensivos. Registramos qué archivos pasaron, cuáles fueron bloqueados y cuáles fueron marcados (pero no bloqueados).
Nate Evans y Benjamin Blakely, Network World (US)