СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыОбучениеВакансии
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Реклама Политика ПДн
Статьи
Makves
03.03.2023
#Dev#ИБ#Инфра

DCAP — новый подход к системе защиты корпоративных данных

DCAP — новый подход к системе защиты корпоративных данных

Изображение: John Schnobrich (unsplash)

DCAP (Data-Centric Audit and Protection) – активно набирающий популярность на российском рынке класс систем, предназначенный для защиты данных, интерес к которым стремительно растет.

Благодаря активному развитию DLP-рынка в последние годы бытует мнение, что конфиденциальные данные нужно защищать исключительно от утечек. При этом мы часто забываем, что нужно обеспечить доступность информации, которая по сути является основой непрерывности бизнес-процессов. Да и внутри периметра организации сотрудники генерируют сотни и тысячи файлов, копируют и пересылают данные, которые могут попасть «не в те руки».

Понимание того, что компании нужна DCAP-система приходит именно в том случае, когда в ИТ-отдел поступают частые обращения по причине утери или удаления важных файлов, а также случаях, когда важная информация оказывается в публичном доступе. Также причиной для принятия решения о покупке DCAP является случай выхода и строя одного из серверов, используемого для бэкапирования информации. Когда после восстановления, приходит понимание того, что затраты были выше, чем ценность тех данных, которые хранились на этом сервере.

Иногда компании пытаются обеспечить контроль над информационными ресурсами

полуавтоматическим методом — самостоятельно разработать скрипты и использовать их для наведения порядка. Но наведя порядок единожды, нельзя гарантировать его соблюдение.

Практика показывает, что DCAP-системы выявляют угрозы, связанные с хранением и доступом к данным в 100% случаев и помогают определить:

  • файлы и папки, которые содержат конфиденциальную информацию, а также их копии;
  • объем полезной информации и места ее хранения;
  • владельцев файлов и их активных пользователей;
  • нарушения, связанные с доступом к информационным ресурсам;
  • аномальную активность пользователей.

Обзор рынка DCAP

Термин DCAP был введен в широкое употребление компанией Gartner еще в 2014 году. Но все же отечественный рынок DCAP-систем начал свое активное развитие только с 2019 года. На сегодняшний день российский рынок представлен следующими вендорами:

  • MAKVES.
  • Гарда Технологии.
  • Орлан.
  • CyberPeak.
  • InfoWatch.
  • Zecurion.
  • Searchinform.

Как выбрать отечественного DCAPвендора?

Процесс выбора DCAP-системы является непростой задачей, несмотря на то, что зарубежные вендоры покинули российский рынок. Мы постарались быть объективными и составили топ рекомендаций – на что необходимо обратить внимание при выборе DCAP-системы.

  • Зрелось решения

В связи с тем, что российский рынок DCAP достаточно молодой, зрелость решения действительно является важным критерием. При этом стоит обратить внимание на зрелость именно DCAP-системы, а не вендора, который может работать на рынке информационной безопасности более 10 лет. Экспертиза и опыт производителя – это прекрасно. Но все понимают, что разработкой конкретного решения могут заниматься разные продуктовые команды, экспертиза которых может отличаться, и не всегда в лучшую сторону.

  • Архитектура

Если вы решили пилотировать DCAP, будьте готовы к тому, что вам потребуется выделить определенные ИТ-ресурсы. Опыт компаний, которые внедрили DCAP показывает, что не все решения разворачиваются так легко и быстро, как об этом утверждает вендор, рассказывая о преимуществах своей системы на демонстрации.

Отдельное внимание стоит обратить на то, как в DCAP-системе настраивается сбор данных для анализа. Агентское решение (когда для сбора данных драйвер устанавливается непосредственно на файловый сервер) сильно сказывается на отказоустойчивости системы и может привезти к замедлению работы файлового сервера и даже к его отказу. Безагентские режимы работы минимизируют риски, но могут потребовать предварительной настройки логирования.

  • Функциональность

Сравнение возможностей DCAP-систем требует отдельного внимания. Сегодня любой интегратор предоставит вам развернутые сравнения нескольких производителей. Но, учитывая новизну и стремительное развитие продукта, мы все же рекомендуем обратиться за сравнением непосредственно к вендору – так вы получите действительно актуальный документ, из которого вы сможете составить для себя объективное сравнение. Поскольку функциональность DCAP можно объективно назвать масштабной, рекомендуем посмотреть вебинары и видеообзоры, которые можно найти на ресурсах вендоров, чтобы понять, какие возможности системы нужны именно вам. И конечно же, важным этапом для финального принятия решения о выборе продукта, является его тестирование, длительность которого составляет как правило около одного месяца. Сейчас мы коротко пройдемся по функциональности систем и расскажем, что должен уметь современный DCAP.

Файловый аудит

Позволяет выявлять конфиденциальную информацию, места её хранения и права доступа, классифицировать данные по категориям (коммерческая тайна, персональные данные и так далее), а также получить информацию о действиях с файлами и папками: изменение, копирование, перемещение, удаление. Файловый аудит призван автоматизировать процесс управления данными на файловых хранилищах.

Аудит доменных служб

(Контроль событий в Active Directory, Group Policy, Open LDAP и так далее)

Помогает контролировать и управлять доступом к информационным ресурсам, получить подробные данные об изменениях в формате «кто, где, когда и какие действия выполнил», а также фиксирует изменения сетевого доступа.

Аудит корпоративной почты

Отображает, какие пользователи и группы имеют доступ к данным почтового сервера и как эти права доступа были получены. Помогает определить наличие доступа к чужой почте, пустые почтовые ящики, ящики с высоким уровнем риска.

Поведенческий анализ

Помогает оперативно обнаружить несанкционированные действия сотрудников и взломанные аккаунты. Позволяет вовремя обнаружить вирусы-шифровальщики и даже признаки DDoS-атаки.

Активная реакция на выявленные инциденты

Современная DCAP-система должна не только выявлять инциденты, но и уметь устранять их – например, заблокировать пользователя, а также запретить или изменить доступ к файлу или папке прямо из интерфейса системы. Наличие функциональности «песочницы» позволяет проверить, как повлияют те или иные изменения прав на работу с файлом или папкой, и избежать негативных последствий для бизнес-процессов.

Интеграция с другими решениями

Современные DCAP-системы легко интегрируются в ИТ-инфраструктуру через открытый API.

Удобство работы с системой

При выборе DCAP стоит обратить внимание на удобство работы с системой. Сегодня отечественные разработчики готовы предложить удобный современный инструмент с множеством тонких настроек и возможностью кастомизации. И даже если DCAP призван автоматизировать многие процессы, а вам не придется смотреть в интерфейс системы круглые сутки, некоторые производители предлагают смену цвета темы интерфейса, чтобы вам было приятно делать красивые и информативные отчеты.

Техническая поддержка

Помимо технических характеристик продуктов, которые, как показывает практика, у всех ведущих разработчиков рано или поздно приходят к общему знаменателю, важно обратить внимание на уровень сервиса. Важными критериями выбора могут стать: варианты технической поддержки, которая может быть организована как напрямую от вендора, так и через интегратора, скорость реакции на запросы, возможность выезда специалиста или онлайн-консультаций. Все это как правило можно выяснить в процессе пилотного проекта.

Отзывы и рекомендации пользователей

Логотипы крупных заказчиков на сайте вендора не всегда являются показателем релевантности системы именно для вашего бизнеса. В результате чего может возникнуть ошибочное впечатление о продукте и его возможностях. Как узнать, насколько определенная DCAP-система подходит именно вам? – Здесь помогут материалы, рассказывающие об опыте заказчиков (whitepaper, success story или истории успеха). Их можно найти в открытых источниках или запросить у вендора. Такие материалы подробно рассказывают о процессе выбора решений и помогут избежать подводных камней. Также рекомендуем почитать отзывы тех, кто уже пользуется решением. Здесь желательно обратиться к авторитетным площадкам и каталогам программного обеспечения.

Выводы

Очевидно, что для обеспечения комплексной защиты информации необходимо использовать совокупность мер, которые подбираются под задачи, масштаб и специфику бизнеса. Решения класса DCAP помогают сократить поверхность потенциальной кибератаки и обеспечить снижение рисков информационной и экономической безопасности.

Пользователи DCAP-систем отмечают, что в результате внедрения удается:

  • Выявить, какая информация хранится на файловых серверах, определить места хранения конфиденциальных данных, построить матрицу доступа к информационным ресурсам компании;
  • Избежать штрафов за несоблюдение требований регуляторов (ФЗ-152, требования ФСТЭК и так далее);
  • Значительно сократить количество инцидентов, связанных с исчезновением файлов, незаблокированными учетными записями уволенных сотрудников и чрезмерным доступом к информационным ресурсам;
  • Автоматизировать работу служб информационной безопасности и избежать значительного расширения штата сотрудников;
  • Оптимизировать файловые хранилища за счет выявления множественных дубликатов и неделовых файлов и избежать внеплановых затрат, связанных с восстановлением информации.

Автор – Дмитрий Петушков, директор по развитию MAKVES.

Makves
Автор: Makves
Makves — российский разработчик программного обеспечения для аудита и мониторинга информационных ресурсов предприятия.
Комментарии: