Falcongaze SecureTower – флагманская отечественная DLP-система, позиционируемая как «3 в 1» (защита от утечек + мониторинг активности + выявление опасных инсайдеров).
Система сочетает мощное DLP-ядро с встроенным поведенческим анализом (UEBA) и инструментами расследования инцидентов. Благодаря комбинированному подходу SecureTower отслеживает и анализирует практически все каналы обмена информацией в компании. Среди ключевых особенностей – морфологический анализ текста и поддержка транслитерации (учитываются особенности русского языка), распознавание изображений и цифровых отпечатков (штампы, печати, конфиденциальные шаблоны), гибкие правила по ключевым словам и регулярным выражениям. Система может захватывать скриншоты, аудиозаписи (телефонные переговоры и голосовые мессенджеры) и распознавать голосовые сообщения, что увеличивает глубину контроля. Подробнее https://falcongaze.com/ru/.
Related posts
Развитое DLP-ядро
SecureTower комбинирует несколько методов анализа контента: детектирует документы и сообщения по словарям, шаблонам, цифровым отпечаткам, поддерживает OCR для сканов и фотографий. Наличие мультиуровневых правил («сочетание политик») позволяет тонко настраивать, какую информацию считать утечкой.
Многоканальный контроль
Система контролирует электронную почту, корпоративные мессенджеры и соцсети, веб-активность и загрузки в облачные хранилища, сетевые ресурсы и съёмные носители (USB, Bluetooth), а также печать и сканирование документов. Поддерживаются Windows, Linux, macOS (в том числе тонкие клиенты и VDI-среды), что обеспечивает всесторонний охват инфраструктуры.
Поведенческий анализ и аналитика (UEBA/SIEM)
Встроенный модуль User Behavior Analytics анализирует данные о действиях сотрудников (открытие приложений, частота рабочих операций, нетипичное поведение) и автоматически выявляет аномалии и потенциально опасные инсайдеры. SecureTower строит «портрет поведения» каждого пользователя, сопоставляя его с базовой моделью, и выстраивает риск-оценку.
Удобство расследования и отчётности
Система формирует «дела» по инцидентам: фиксирует хронологию событий, устанавливает причастных лиц, собирает доказательства и генерирует наглядные отчёты для руководства. Графические аналитические панели позволяют визуализировать активность сотрудников по дням и неделям. Есть возможность гибкой группировки и фильтрации данных в отчётах. Собранные данные пригодны для судебного разбирательства, а надёжность платформы подтверждена сертификатом ФСТЭК.
Гибкость внедрения
SecureTower адаптируется к инфраструктуре заказчика любой сложности: поддерживает геораспределённые сети (каждый филиал работает с централизованным управлением), тонкие клиенты, виртуальные рабочие места. Низкие требования к вычислительным мощностям сервера, понятный веб-интерфейс и настраиваемые политики упрощают развёртывание даже в крупных холдингах.
Зрелость продукта и поддержка
Разрабатывается более 15 лет, используется свыше 1000 организаций в России (включая госсектор и крупный бизнес). Falcongaze обеспечивает техническую поддержку и обновления на русском языке. Система входит в реестр российского ПО, соответствует требованиям российского регулятора. Разработчики активно помогают адаптировать SecureTower под конкретные бизнес-процессы и задачи безопасности заказчика.
Вывод
Falcongaze SecureTower – сбалансированная комплексная платформа DLP+UEBA/SIEM с современным ядром анализа и большим опытом внедрения. Её сильные стороны – гибкость настройки, широкий охват каналов, встроенный поведенческий анализ и развитая отчётность. Недостатки: сложность для мелких компаний и высокая стоимость полного функционала (настройка и расширенные модули продаются отдельно).
InfoWatch Traffic Monitor
InfoWatch Traffic Monitor – один из признанных лидеров среди российских DLP-систем, предназначенный прежде всего для крупных организаций и критических отраслей. Отличается искусственным интеллектом в анализе контента: система автоматически классифицирует информационные потоки по категориям и терминологиям (например, «финансовые данные», «персональные данные» и др.), что упрощает настройку политик безопасности. Широко используются запатентованные технологии контентного анализа и машинного обучения. Система контролирует электронную почту, мессенджеры, социальные сети, обмен файлами, а также печать и сканирование.
Глубокий контент-анализ
Traffic Monitor умеет обнаруживать персональные данные (ПДн), финансовую информацию (банковские реквизиты), документы по шаблонам (договоры, бланки) и цифровые отпечатки. Поддерживаются OCR для изображений и управление печатью/сканированием. Платформа позволяет использовать готовые отраслевые базы фильтрации или создавать собственные словари конфиденциальных терминов.
Многочисленные каналы
Помимо стандартных каналов (электронная почта, HTTP/FTP-трафик, USB), InfoWatch контролирует корпоративные мессенджеры и веб-сервисы, локальные и облачные хранилища, мобильные устройства (через модуль Device Monitor для Android/iOS), а также терминальные сессии Citrix/XenApp и RDP. Для особо защищённых клиентов доступны сертифицированные версии по требованиям ФСТЭК и Минобороны.
Масштабируемость и инфраструктура
Решение построено по модульному принципу и масштабируется на большие сети: может обрабатывать огромные объёмы данных. Данные о событиях централизованно хранятся и доступны для последующего расследования. Есть возможность интеграции с инфраструктурой безопасности заказчика (журналы событий, SIEM).
Преимущества и недостатки
Преимущества: высокоточный поиск утечек благодаря комбинированному анализу текста, образов и шаблонов; гибкое создание политик безопасности; обширные возможности аудита и расследования инцидентов.
Недостатки: система достаточно сложна и ресурсоёмка – для работы всех компонентов требуются мощные серверы и дополнительный софт (например, отдельные модули для центра расследований), что увеличивает общую стоимость владения. Настройка может требовать участия опытных ИБ-специалистов. Типовой клиент – крупное предприятие или госкорпорация, где есть потребность в тонкой контент-аналитике и где оправдан высокий бюджет на безопасность.
Solar Dozor
Solar Dozor – масштабируемая DLP-платформа от ГК «Солар», ориентированная на крупный бизнес и госсектор. Отличается фокусом на предотвращение утечек в реальном времени и многоканальным сбором доказательств. Система перехватывает весь исходящий трафик и действия пользователей: электронную почту, мессенджеры, веб-трафик, работу с сетевыми и облачными хранилищами, USB-устройства, принтеры и факсы, а также IP-телефонию и VPN-соединения.
Анализ поведения и комплексный контроль
В Solar Dozor встроен модуль User Behavior Analysis – система изучает поведение сотрудника и вычисляет анамальную активность. Разработчик подчеркивает «философию человека в центре», поэтому значительная часть функций посвящена контекстному анализу действий. Применяются цифровые отпечатки данных, нейросетевые алгоритмы для распознавания содержимого документов и изображений (в том числе без чётких графических шаблонов).
Превентивная защита и реальное время
Система позволяет блокировать попытки утечек на лету: если фиксируется нарушение политики, Solar Dozor может автоматически прервать передачу данных. Защита действует по множеству каналов одновременно. Разработчик отмечает «ошеломительную производительность» – решение способно работать в реальном времени даже при большом трафике.
Сбор доказательной базы
Помимо базового контроля, Solar Dozor обеспечивает архивирование исходящей и входящей переписки, запись рабочего стола и аудио с микрофона сотрудников, построение «досье» (портрета) на сотрудников и карт корпоративной сети. Это упрощает последующее расследование инцидентов: можно видеть, как и кем было совершено нарушение. Продукт поддерживает рефильтрацию старых почтовых архивов для ретроспективного поиска пропущенных утечек.
Гибкое развертывание
Solar Dozor работает в распределённых сетях – множество филиалов объединяются в единую систему (с помощью модуля MultiDozor) с централизованным управлением. Поддерживаются Windows, Linux, macOS, VDI-инфраструктуры. Продукт сертифицирован ФСТЭК (нет недекларированных возможностей).
Преимущества и недостатки
Преимущества: всесторонний перехват коммуникаций, мощные аналитические модули, высокая производительность и строгая сертификация.
Недостатки: внедрение Solar Dozor – сложный и дорогостоящий проект. Настройка масштабной системы требует серьёзных ресурсов и времени. Пользователи отмечают высокую стоимость владения и скромную доступность пробной версии. Типичный заказчик – крупная компания или государственное предприятие, готовое инвестировать в безопасность на уровне SOC (Security Operations Center).
Kaspersky DLP (модуль в Kaspersky Security Center)
Kaspersky DLP – модуль предотвращения утечек, встроенный в решение Kaspersky Endpoint Security (Kaspersky Security Center). В целом это не отдельный продукт, а часть комплекта защиты, поэтому он популярен у компаний, уже использующих антивирусы Kaspersky.
Мониторинг каналов и контента
Модуль отслеживает передачу файлов через стандартные каналы: USB-устройства, сетевой обмен (FTP, HTTP), печать, обмен файлами, копирование в буфер обмена, почтовые приложения и веб-клиенты. Анализ проводится по наборам паттернов (кредитные карты, паспорта, персональные данные и др.) и пользовательским правилам. Также есть шаблоны для контроля медицинских и финансовых данных.
Политики и гибкость
Администратор настраивает политики по конфиденциальности и каналы обмена. Можно полностью блокировать передачу или уведомлять о нарушении. Для отдельных отделов или групп вводится защита «от?ек по внутреннему периметру».
Интеграция и масштабность
Так как DLP-модуль входит в Kaspersky Security Center, он хорошо интегрируется с единой консолью управления и с системами управления ИТ в компании. Поддерживаются Windows, есть агент для Linux/Unix. Само решение локализовано на русском и имеет широкую службу поддержки.
Преимущества и недостатки
Преимущества: относительно простая настройка (особенно при уже развернутом Kaspersky ESB), комплексная поддержка от известного вендора, приемлемая производительность для средних организаций.
Недостатки: этот DLP-модуль уступает специализированным системам по глубине анализа. Нет встроенного поведенческого модуля UEBA и функций SIEM: корелляции событий или расследований. Функционал ограничен стандартными правилами и наборами образцов. Поэтому Kaspersky DLP больше подходит для задач базовой защиты (контроль USB, печати, электронной почты). Типовой клиент – средний или крупный бизнес, уже использующий Kaspersky и желающий расширить защиту без ввода дополнительной платформы.
StaffCop Enterprise
StaffCop Enterprise – система для мониторинга и предотвращения утечек со стороны сотрудников, разработанная компанией «Атом безопасность». Больше ориентирована на анализ активности рабочих мест, чем на сетевой DLP, но широко используется как DLP-решение. Ведёт активный сбор данных о действиях пользователей.
Мониторинг работы на ПК
Агент фиксирует нажатия клавиш, снимки экрана, запись с веб-камеры и микрофона, запись аудиозвонков. Распознаётся текст на снимках (OCR), распознаются лица сотрудников на фото и видео. Это позволяет анализировать, какие документы просматривал пользователь, что печатал, с кем общался по телефону.
Контроль коммуникаций
StaffCop перехватывает электронную переписку, мессенджеры, сетевую активность приложений, терминальные сессии (Linux), SIP-телефонию и другие VoIP-сервисы. Также отслеживается печать, запись на USB-носители и загрузки в облачные сервисы. Можно задавать правила блокировки: например, по ключевым словам, меткам в файлах, ограничениям по списку сайтов и по объёму передаваемых данных.
Аналитика и поиск
Есть полнотекстовый поиск действий сотрудников с учётом морфологии и регулярных выражений. Система умеет составлять «портреты» сотрудников на основе их действий и выстраивать связи между инцидентами. В StaffCop есть режим приоритета «привилегированных пользователей» – можно усиливать контроль над администраторами.
Гибкость
Предлагаются агенты для Windows, Linux, macOS. StaffCop может разворачиваться как в небольшом офисе, так и в кластере для больших сетей. Сертифицирован ФСТЭК. Поддержка локализована на русском языке.
Преимущества и недостатки
Преимущества: очень подробный сбор информации (скриншоты, видео, звук и т.д.), широкие возможности поискового анализа и отчётности по событиям. Подходит для расследования инцидентов «после факта», когда нужна доказательная база.
Недостатки: система генерирует огромный объём данных, требующий трудоёмкого анализа. Некоторые пользователи отмечают перегруженный интерфейс и большое количество ложных срабатываний (например, при учёте любой печати). StaffCop не заточен под интеграцию с SIEM или UEBA – это больше «пассивная» платформа мониторинга. Обычно её выбирают средние компании, которые нуждаются в жёстком контроле сотрудников, но при этом имеют ограниченный бюджет на сложные DLP-решения.
Сравнение DLP-систем
| Параметр | Falcongaze SecureTower | InfoWatch Traffic Monitor | Solar Dozor | Kaspersky DLP | StaffCop Enterprise |
|---|---|---|---|---|---|
| DLP-ядро | Мультиалгоритмическое: анализ текста и образов, цифровые отпечатки, «комбинированные» политики | AI-классификация, контент-аналитика, шаблоны, OCR | Комплексный анализ: цифровые отпечатки, шаблоны, нейросети | Классический: правила, паттерны, шаблоны | Базовое: поиск по ключевым словам, меткам, OCR сканов |
| UEBA/поведенческий анализ | Встроенный модуль UBA (машинное обучение, выявление аномалий) | Дополнительный продукт InfoWatch Activity Monitor | Встроенный UEBA (анализ поведения, предотвращение утечек) | Нет специализированного; только правила безопасности | Частичный (мониторинг администраторов); нет адаптивного анализа |
| Элементы SIEM | Собственные кейсы инцидентов и отчёты; ограниченные элементы корреляции | Нет полноценного SIEM (есть аналитика инцидентов) | Нет полноценного SIEM (есть сбор доказательств) | Нет SIEM (отчёты стандартные) | Нет (просто логи и файлы инцидентов) |
| Поддерживаемые каналы | Почта, мессенджеры, веб, соцсети, облака, USB, принтеры, VoIP, буфер обмена и др. | Почта, мессенджеры, веб, USB, принтер, мобильные устройства, терминалы | Почта, мессенджеры, веб, USB, принтер, VoIP, облака, терминалы, аудио | Почта, USB, веб (HTTP/FTP), печать, буфер обмена, мобильные | Почта, мессенджеры, веб, USB, принтер, VoIP, терминалы |
| Интеграции | API и отчёты можно подключить к корпоративным СУБД/SIEM; гибкие настройки обмена данными | Возможна интеграция с SIEM; экспорт логов; совместимость с InfoWatch NTA/Cloud | Модуль MultiDozor для объединения филиалов; поддержка популярных систем аутентификации | Интеграция через Kaspersky Security Center; API для отчётов | Возможность экспорта логов; есть REST API (ограниченно) |
| Отчётность | Развитая: дашборды, графики, «портреты дня» сотрудников, настраиваемые отчёты | Много шаблонных отчётов, категории данных, анализ по терминологиям | Центр аналитики: отчёты по инцидентам, досье на пользователей, рефильтрация | Базовые отчёты по нарушениям и событиям; интеграция с KSC | Основные отчёты по действиям пользователей, событиям; поиск по логам |
| Стоимость владения | Высокая (лицензии на серверы и агенты, UBA); качественная поддержка в тарифе | Очень высокая (сложное решение, модули по отдельной цене) | Высокая (комплексная платформа для крупных сетей) | Средняя (входит в состав KasperskyESB, умеренная цена за DLP-модуль) | Низкая – средняя (лицензия на агента, сравнительно недорогой) |
| Гибкость внедрения | Очень высокая (широкие настройки, от малого офиса до холдинга) | Высокая (масштабируется на крупные сети, но сложна) | Высокая (распределённый режим, VDI, кластеры) | Средняя (ограничено экосистемой Kaspersky, но быстрый запуск) | Средняя (есть кластерная архитектура, простой стек) |
| Поддержка | Российская поддержка, обновления, обучение; большая база знаний | Российская служба поддержки, обучение от производителя | Корпоративная поддержка «Солар», обучение; статус большого вендора | Широкая поддержка Kaspersky, большое сообщество | Небольшая служба поддержки, СНГ; форумы пользователей |
| Локализация | Полностью на русском, интерфейс адаптирован под локальные реалии | Полностью на русском; поставляется с сертификацией ФСТЭК (русский) | Полностью на русском; есть англоязычный интерфейс для мультинациональных | Полностью на русском; интерфейсы Kaspersky на многих языках | Полностью на русском; интерфейс не перегружен сложными терминами |
| Целевая аудитория | Средний и крупный бизнес (включая госсектор и ИТ-компании) | Крупный бизнес, госсектор, банки, холдинги | Крупные компании, холдинги, государственные структуры | Средний и крупный бизнес, фирмы с Kaspersky- |
