Место под солнцем DCAP

Дата: 09.08.2022. Автор: Екатерина Старостина. Категории: Статьи по информационной безопасности
Место под солнцем DCAP

На сегодняшний день все еще считается, что DCAP неспецифичен для рынка ИБ в России и применение данного класса решений только набирает обороты, происходит созревание заказчика. 

Однако, знаете ли Вы, что за последние 5 лет в РФ рынок систем контроля и управления доступом к неструктурированным данным (DCAP / DAG) вырос в 18 раз?

DLP/DCAP и экономия 

Если начать повествование издалека, то современная инфраструктура компаний зачастую является гетерогенной и весьма распределенной. Это говорит о том, что основные компоненты типа службы каталогов, DNS серверов могут функционировать как в облаке, так и режиме co-location. А если вернуться назад к пандемийному времени, то, по предварительной оценке, количество работающих сотрудников в дистанционном формате выросло с 30 000 до почти 3-х миллионов. 100-кратный рост количества удаленных узлов, имеющих доступ к корневым инфраструктурам компаний, дополняет текущую «боль» и набор задач ИТ\ИБ специалистов еще одними важными вызовами — точек доступа становится больше, количество копий данных увеличивается. Что в таком случае делать? Как правильно подходить к решению задач по уходу от распространенных сценариев утечки данных, которые являются чувствительными для компании. 

А вот как!

Сегодня поговорим о знакомых решениях противодействия утечкам данных, системе контроля данных и прочих решениях, направленных на их защиту. Возможно для вас это все вполне и так понятно; а кому-то, может, я помогу с пониманием важных точек?

Начну-с.. 

А начну я с того, что решения классов DLP (Data Leak Prevention, система противодействия утечек) и DCAP (data-centric audit and protection, система контроля неструктурированных данных) стоят вполне себе рядом, но в тоже время направлены на разное. 

Если DLP нацелены на контроль каналов утечки (почта, мессенджеры, web в принципе), то с помощью DCAP формируется системный подход к хранению и предоставлению прав доступа к этим данным. Обусловлено такое разделение коренным отличием: в скорости индексации, классификации и оперирования большими объемами данных. Причем эта опция становится все актуальней, с учетом запроса со стороны всех компаний по переводу большинства сервисов в электронный вид, скапливанию и обработке больших данных.

В свою очередь, DCAP зачастую выступает как инструмент формирования практики централизованного доступа к данным, попутно высвобождая дисковые массивы от дублей, копий и прочих закономерных артефактов рабочих процессов. В свете текущего дня — эта особенность, как никогда актуальна. Цепочки поставок оборудования вносят корректировки в планы компаний и приводят к снижению покупательской способности. Проще говоря, купить быстро и дешево, как раньше, уже  не получается и проблема размещения данных становится с каждым месяцем все актуальнее. 

Ну а решение задачки кроется на поверхности – пора начать экономить! Вычистить старые, избыточные и задублированные файлы и установить контроль над их распространением. Чем Вам не выход?

Каждый должен знать свое место или где место DCAP?

Как всем известно, после 24 февраля многое в стандартных процессах компаний поменялось. Зарубежные решения не работают, не поддерживаются или в любой момент могут принять решение приостановки деятельности в России. А так как проблема общая, нам было интересно узнать, что же стоит в приоритете у коллег внутри Заказчика для продолжения поддержки защищенности инфраструктуры. Вот что у нас получилось. 

Выборка тех коллег, кто был готов поделиться своими соображениями, состояла из представителей компаний уровня Enterprise. По результатам опроса, очередность замещения иностранных решений, выглядит примерно так:

  1. SIEM (Security information event Management)
  2. FW (Firewall)
  3. DCAP\DLP (data-centric audit and protection\Data Leak Prevention)
  4. VM (Vulnerability Management)

Очевидно, что предпочтения отдаются именно решениям направленным на активное противодействие угрозам и тем решениям, которые плотно завязаны на обновляемый контент (сигнатуры, правила корреляции). В изменившейся враждебной среде — это логичный и правильный вывод. Но не все так однозначно! Если подходить к решению не стандартным, пакетно-коробочным способом, то вполне можно извлечь выгоду от сопутствующих функций DCAP-системы и где-то перекрыть потребности в других решениях, и вот почему. 

DCAP и другие классы решений

К примеру, основываясь на возможностях ряда решений DCAP, можно сформировать набор функций, которые на первом этапе могут удовлетворить потребности Заказчиков:

SIEM

Для небольших компаний, или тех компаний, у которых нет сложной инфраструктуры вполне себе подойдет. DCAP обеспечит наблюдаемость основных операций. В том числе становятся более наблюдаемы операции доступа к почтовым ящикам, как к персональным, так и общим. Наличие механизмов контроля GPO, сброса паролей, блокировки пользователей и других операций службы каталогов, вполне себе дополняет общую картину.

Наличие встроенного Workflow позволяет оперировать данными о нарушении политик ИБ на подключенных источниках. Для многих компаний такой набор источников будет вполне исчерпывающим, т.к. охватывает базовые и самые распространенные типы от службы каталогов до файловых серверов. Кроме того в решение изначально встроены алгоритмы фиксации криптолокеров (шифровальщиков), возможность оповещения по произвольным для конкретной компании событиям. Наличие “сырых” логов и сопутствующих изменений дает возможность для предоставления данных системы, в качестве доказательств.

DLP

Если в Вашей компании действует запрет использования каких-либо каналов, кроме почты, то c помощью DCAP можно осуществлять базовый контроль действий пользователей и администраторов на почтовых серверах с помощью установленного агента. Если Вы в процессе выстраивания правил для пользователей по обращению с чувствительной информацией, контроль основного канала — будет достаточен.

И можно отложить приобретение DLP на более поздний срок — когда все уже будет систематизировано, классифицировано и места обмена и хранения данными однозначно будут определены. В таком случае и затраты на новое решение окажется значительно меньше.

Функция выявления нетипичного поведения пользователей по отношению к контролируемой информации будет приятным дополнением к общей картине.

Практически же можно рассмотреть основные повторяющиеся внутренние угрозы, которые можно купировать с помощью решений DCAP:

  • Аномальные события (шифровальщики, копирование данных)
  • Изменение ключевой групповой политики домена.
  • Состояние учетных записей (пароли, административные учетные записи)

Немного о будущем…. 

Мы находимся на той переходной точке, которая в дальнейшем определит развитие и комплектность множества существующих и создаваемых решений. Тут, мне кажется, что DCAP может стать аналогом SIEM для процессов контроля данных. А ведь данных, как и событий, становится все больше. Что ведет к расслоению компонентов автоматизации процесса на несколько решений максимально эффективно решающих свою задачу.

При этом наиболее востребованные решения используют агентский метод взаимодействия с инфраструктурой. Если их перечислить, становится не по себе: EDR, AV, DLP, VM, CASB, proxy\ngfw-client. Кроме того и потребителями одинаковых данных является множество систем класса SOAR, SIEM, Sandbox и DLP. Все это дублирование, за которое нужно будет заплатить. Как временем, так и живыми средствами. Ну как бы дофига, не находите?

А теперь давайте представим, что все производители договорились решать проблему своих заказчиков в той области, где у них наибольшее количество компетенций и нарисуем идиальную модель. И вот здесь:

  • с помощью одного клиента собираются данные о событиях информационной безопасности, производится классификация данных, контролируются основные настройки и параметры конечной точки;
  • стандартизированные и систематизированные данные доступны для решений по контролю утечек, SIEM, SOAR и SandBox;
  • контроль данных не подразделяется на структурированный и неструктурированный формат. Есть единая консоль позволяющая разобраться в присутствии определенного типа чувствительной информации в каждом компоненте инфраструктуры компании;
  • если в одном из решений фиксируется аномальное поведение, по разработанным сценариям возможна автоматическая реакция, как в активном воздействии, так и после оповещения.

Конечно, мой взгляд может не совпадать с Вашим, поэтому готова к дискуссии! 

Автор:
Старостина Екатерина
Директор по развитию компании «Орлан»

Об авторе Екатерина Старостина

Директор по развитию бизнеса «Орлан». «Орлан» - информационная безопасность с русской душой!
Читать все записи автора Екатерина Старостина

Добавить комментарий

Ваш адрес email не будет опубликован.