Дмитрий Костров, 10/02/25
Защита данных как “в движении", так и “в покое" – одна из задач подразделения информационной безопасности современного предприятия. Основное внимание уделяется охране персональных данных и коммерческой тайны, объединяемых под понятием “чувствительная информация". Информация “в движении" защищается системами DLP, а защиту данных “в покое" обеспечивают системы DCAP.
Автор: Дмитрий Костров, заместитель ГД по информационной безопасности ДКБ, IEK GROUP
Активное развитие рынка DLP-систем породило распространенное заблуждение, что защита чувствительных данных сводится исключительно к предотвращению утечек. При этом часто упускается из виду необходимость обеспечения доступности информации – ключевого элемента непрерывности бизнес-процессов. Сотрудники ежедневно создают, копируют и пересылают множество файлов, которые также нуждаются в защите.
DLP-решения эффективно обнаруживают подозрительную активность, например, частую отправку документов по электронной почте, в мессенджеры или на принтер. Такие действия могут свидетельствовать о подготовке сотрудника к увольнению, позволяя вовремя предотвратить утечку данных. Но DLP, например, неспособны ответить на такие вопросы: "Какие данные хранятся в ИТ-инфраструктуре?", "В каком объеме?", "Кто имеет к ним доступ?". Для этого необходимы решения класса DCAP, которые позволяют определять расположение данных и их классифицировать.
Потребность в DCAP-системе часто осознается, когда ИТ-отдел сталкивается с регулярными запросами на восстановление утраченных или удаленных файлов, а также с проблемами, связанными с утечкой конфиденциальной информации в публичный доступ. Некоторые ИТ-специалисты пытаются решать эти задачи вручную, создавая скрипты и проводя разовые проверки. Однако такие подходы не обеспечивают регулярного и автоматизированного контроля.
Термин DCAP был введен компанией Gartner в 2014 г., а активное развитие этого направления на отечественном рынке началось в 2019 г. Некоторые производители интегрируют DCAP как модуль в свои DLP-решения, создавая таким образом более функциональные и универсальные системы.
DCAP-системы незаслуженно остаются в тени, когда речь заходит о защите данных, уступая место более популярным DLP-решениям. Существует распространенное заблуждение, что развернув DLP, можно спать спокойно. Однако это далеко не так.
Не только периметр и не только данные
DCAP-системы уходят от традиционной периметральной защиты, смещая акцент с охраны сетевых границ на защиту данных непосредственно в местах их хранения, а автоматизированный аудит и мониторинг учетных записей позволяют минимизировать потенциальные точки уязвимости, значительно сокращая поверхность атаки.
Системы DCAP эффективно решают также задачу защиты учетных записей в Active Directory. С их помощью можно обнаруживать, например, пользователей без установленных паролей или сроков действия, а также выявлять аномальное поведение. Особое внимание уделяется контролю сервисных учетных записей, которые часто обладают привилегированным доступом к приложениям, данным и компьютерам. Такие аккаунты представляют особую ценность для злоумышленников, и их защита становится приоритетной задачей для ИБ.
DCAP-системы ускоряют реагирование на инциденты и их расследование, предоставляя детализированные журналы аудита и инструменты мониторинга, чтобы выявлять первопричины нарушений, минимизировать ущерб и предотвращать их повторение.
Решения DCAP демонстрируют гибкость и масштабируемость, адаптируясь к изменяющимся условиям работы с данными – увеличению их объемов, разнообразию форматов и изменению мест хранения, что делает систему надежным инструментом, способным поддерживать развитие организации и учитывать технологические изменения.
Российские решения
На российском рынке представлено несколько решений DCAP, среди которых выделяются два лидера и несколько начинающих игроков, что дает неплохой выбор. При оценке важно учитывать зрелость решения и реальные особенности его внедрения. Например, несмотря на заявления вендоров о простоте установки, не все системы внедряются легко и быстро. К примеру, агентские решения, где драйвер устанавливается на сервер для сбора данных, могут негативно влиять на производительность файловых серверов и их отказоустойчивость. Безагентские системы минимизируют эти риски, но часто требуют предварительной настройки логирования.
Некоторые DCAP-решения обладают функцией устранения инцидентов, позволяя прямо из интерфейса заблокировать пользователя или изменить доступ к файлам и папкам. Редко, но встречается и функция песочницы, где можно протестировать, как изменения прав повлияют на доступность данных.
Заключение
Множество векторов атак начинаются внутри компании, поэтому защита исключительно на периметре становится недостаточной. DCAP и DLP усиливают друг друга, работая на разных уровнях. DCAP фокусируется на неструктурированных данных и управлении правами доступа, в то время как DLP отслеживает активность сотрудников и предотвращает утечки на уровне сетевых потоков. А совместное применение этих систем повышает общую степень защищенности организации.
