Контакты
Подписка 2025
Статьи по информационной безопасности

DCAP и DLP: в чем разница?

Дмитрий Горлянский, 24/08/22

Действующие лица: вендор, заказчик.
Вендор. Одной из функций DCAP является файловый аудит и выяснение, кто и когда выполнял операции с файлом.
Заказчик. Так, стоп, у нас же есть DLP с такой же функцией! Давайте на сервер поставим DLP-агент – и все, задача решена.
(Занавес)

Автор: Дмитрий Горлянский, руководитель направления технического сопровождения продаж “Гарда Технологии”

Такой диалог часто встречается при демонстрации возможностей новой DCAP-системы "Гарда Файлы" пользователям DLP-системы "Гарда Предприятие". В силу того, что технология DCAP нова для российских пользователей, считается, что файловый аудит – это контроль перемещения документов. Ошибка в том, что под файловым аудитом понимаются также и задачи контроля документов без привязки к их использованию.

Давайте рассмотрим типовые задачи, решаемые системами класса DCAP, и чем они отличаются от задач, решаемых системами класса DLP, на примере функциональности систем "Гарда Предприятие" и "Гарда Файлы".

DCAP и DLP: разбираемся в назначении

DCAP – стремительно набирающий популярность класс систем защиты информации, предназначенный в первую очередь для защиты файловых хранилищ.

В свою очередь, DLP за счет большего количества типов контроля позволяет более полно решать задачи, связанные с деятельностью конкретных сотрудников, а также с выявлением утечек информации на уровне сетевых потоков.

По данным разных исследований, до 80% информации в большинстве компаний лежит в файловых "помойках" и/или в неструктурированном виде, что порождает много проблем с выявлением и защитой чувствительных данных. DCAP-система структурирует содержимое файловых хранилищ, определяет права доступа и подсвечивает данные, которые не должны находиться в широком доступе. А вот для контроля создания и перемещения таких файлов внутри компании или за периметр нужны DLP.

Еще один немаловажный аспект: где применяется система DCAP? Например, DLP используется в основном на конечных рабочих местах, а также позволяет сканировать сетевые общедоступные ресурсы. DCAP-системы, в свою очередь, предназначены для аудита СХД – файловых хранилищ на системах Windows и Linux, MS Sharepoint, NetApp, Dell EMC, NextCloud, Synology и др. Установка агента DLP на такие хранилища либо технологически невозможна, либо может повлечь за собой серьезное падение производительности, так как агент DLP-системы будет выполнять, помимо аудита, много избыточных для защиты файлового хранилища функций.

Рис. Принцип работы системы "Гарда Файлы"

Что контролирует DCAP?

Дубликаты файлов с чувствительной информацией, множественные копии

Задача прекращения обработки ПДн – часто встречающийся кейс, в рамках которого необходимо найти все копии файла, содержащие данные конкретного субъекта ПДн. Существование таких дубликатов вне внимания компании может стать серьезной проблемой и поводом для штрафов при проверке регуляторов. Решение – модуль поиска и классификации, присутствующий в системе "Гарда Файлы". Он позволяет, во-первых, определить все файлы, содержащие ПДн разных типов, а также быстро найти все файлы с данными конкретного субъекта ПДн, включая дубликаты, места их хранения, доступ к ним. Такая функциональность не реализуется большинством DLP-систем, если применять их к файловым хранилищам.

Нерациональное использования СХД

Расширение СХД обходится недешево, особенно в новой реальности 2022 г. Поэтому встает вопрос об оптимизации использования имеющегося пространства. Для этой цели DCAP-системы умеют:

  • определять, какие типы данных занимают наибольший объем, а какие растут наиболее быстро;
  • определять принадлежность этих данных, то есть установить, какие подразделения ими пользуются;
  • выявлять неиспользуемые данные, мусорные файлы и дубликаты;
  • давать рекомендации, какие данные могут быть безопасно удалены.

Аудит прав доступа к данным

Аудит прав доступа – наиболее востребованная задача у клиентов системы "Гарда Файлы". Если DLP-система ограничивается отображением текущих прав доступа к файлу, то возможности DCAP гораздо шире. Они включают:

  1. Выявление рисков, связанных с некорректно настроенными правами доступа: выключенное наследование, сломанные ACL, прямые разрешения.
  2. Двустороннее отображение прав доступа: как полное отображение всех прав доступа к определенному файлу или директории, так и отображение всех файлов и папок, доступных определенному пользователю или группе пользователей. При этом "Гарда Файлы" дополнит эту информацию сведениями о наличии или отсутствии фактов реального обращения пользователей к этим файлам.
  3. Рекомендации по сокращению прав доступа с возможностью предварительного моделирования изменений прав: какие группы оно затронет, кто из реально пользующихся файлами сотрудников не сможет больше получить доступ.

Файловый аудит и расследование инцидентов

Эту функцию часто используют в интеграции с "Гарда Предприятие", чтобы получить наиболее полную картину. Главное отличие в том, что DLP-система больше предназначена для точечного выявления инцидентов и утечек информации, в то время, как DCAP-система использует данные файлового аудита не только для выявления отдельного инцидента – например, кто удалил или изменил тот или иной файл, – но и анализирует все операции в контексте хранилища или даже нескольких хранилищ, что позволяет:

  • анализировать все обращения и выявлять реальных бизнес-владельцев ресурса;
  • отобразить активность всех сотрудников с этими данными в различных видах (таблица, графический отчет);
  • выявлять аномальное поведение на основе статистики обращений к файлам, например аномально большое количество операций записи от одной учетной записи – это может свидетельствовать об активности вредоносного ПО, шифрующего содержимое файлов;
  • определять причины повышенной нагрузки на файловый сервер на основе анализа обращений: какие учетные записи генерируют наибольшую нагрузку, при работе с какими файлами, какими действиями. Это позволит проанализировать и снизить нагрузку на СХД.

Помимо детектирования инцидентов и выявления аномалий, в "Гарда Файлы" предусмотрено и активное реагирование, включающее в себя как рассылку уведомлений по разным каналам (SIEM, почта, мессенджер), так и работу с правами: запрет доступа для учетной записи, запрет доступа к конкретной папке/файлу, установка режима "только чтение", запуск пользовательского скрипта и др.

Когда применять DLP?

Среди клиентов "Гарда Предприятие" наиболее востребованными функциями DLP можно назвать следующие.

Контроль рабочего времени сотрудников

Этот тренд сформировался в 2020 г. в связи с массовым переходом на удаленную систему работы и так и остался популярным ввиду наглядности его результатов и простоты использования. Современная DLP-система позволяет вести статистику занятости сотрудников на основе контроля запущенных приложений, времени, проведенного на разных вкладках браузера. Эти функции не реализуются DCAP-системой, которая в данном случае просто покажет факт запуска браузера.

Контентный анализ и выявление утечек

Если DCAP проводит контентный анализ только хранимой информации, то для DLP наиболее важным является контентный анализ передаваемой информации. К DCAP просто неприменимо понятие канала передачи, отправителя, получателя, периметра. В стандартный набор контролируемых DLP-системой каналов входят веб-трафик (веб-почта, социальные сети), мессенджеры, внешние носители, корпоративная почта. Формально DCAP сможет обнаружить данные, хранимые на внешнем носителе, но только при ближайшем его сканировании и только если на момент сканирования носитель будет доступен. DLP же работает в реальном времени и выявит утечку сразу на этапе копирования информации на носитель, а также сможет предотвратить утечку, заблокировав передачу файла с критичной информацией. Важным является и то, что категорирование передаваемого файла на предмет критичности произойдет сразу в момент попытки передачи, а не по расписанию во время сканирования, как в случае с DCAP.

Поведенческая аналитика

Поведенческая аналитика присутствует также и в DLP-системах, но, в отличие от DCAP, DLP анализирует бóльшее количество разных типов событий: это не только файловые операции, но и коммуникации пользователя, запущенные приложения, вплоть до особых событий, например посещений сайта с определенными ключевыми словами в заголовке окна.

В свою очередь, DCAP работает только с данными аудита файловых операций, что хорошо помогает при выявлении аномальной активности внутри хранилища, но не всегда применимо к выявлению аномального поведения живого сотрудника.

Что же выбрать?

Несмотря на некоторую схожесть функциональности, DLP и DCAP являются самостоятельными системами для решения совершенно разных задач, выявления принципиально разных типов инцидентов, совершаемых в разном контексте. DLP лучше подходит для выявления конкретного нарушителя и применяется на АРМ пользователей. DCAP лучше подходит для выявления инцидентов внутри хранилищ неструктурированных данных, связанных больше не с передачей, а с хранением и доступом пользователей к хранимым данным. Оптимальным вариантом будет интеграция DLP и DCAP для более полного контроля всего жизненного цикла корпоративных данных.
Темы:Персональные данныеDLPDCAPЖурнал "Информационная безопасность" №3, 2022Гарда

Программа мероприятий
для руководителей и специалистов
по защите информации
Посетить
Кибербезопасность
Форум ITSEC 2025 | Москва | Radisson Blu Belorusskaya. Мероприятия для директоров и специалистов по ИБ, инженеров, ИТ-руководителей и разработчиков
Регистрируйтесь и участвуйте 14-15 октября →
Статьи по той же темеСтатьи по той же теме

  • Внутренняя утечка, о которой может знать только DCAP
    Олег Митичкин, руководитель направления DCAP ГК InfoWatch
    Утечка все чаще начинается не с внешнего инцидента, а с внутренних изменений: доступов, которые никто не пересматривал, и файлов, оказавшихся не там, где нужно. В этом контексте DCAP – уже не просто инструмент для проверки хранилищ, а механизм, который помогает держать данные под контролем до того, как случится проблема. Это переход от точечной реакции к постоянному пониманию, где находятся риски и как с ними работать на уровне всей инфраструктуры.
  • UEBA усиливает DLP там, где правила молчат
    Лидия Виткова, к. т. н., начальник аналитического центра кибербезопасности компании “Газинформсервис"
    Что, если сотрудник уносит данные не нарушая ни одного правила? Он действует в рамках своих полномочий, не вызывает тревог в DLP и остается незамеченным – до тех пор, пока ущерб не станет необратимым. Инсайдерские угрозы эволюционируют, и классическим средствам защиты все труднее отличить норму от отклонения. Рассмотрим, как поведенческая аналитика возвращает смысл в защиту информации, усиливая DLP за счет наблюдения, контекста и раннего распознавания аномалий.
  • Персональные данные: малый и средний бизнес под прицелом
    Людмила Астахова, д.п.н., профессор, заместитель директора по методической и научной работе ООО “Институт мониторинга и оценки информационной безопасности” (Москва)
    Злоумышленники больше не идут напролом в крупные компании, они заходят с фланга через малый и средний бизнес. Утечки, штрафы, незнание закона, иллюзия “мы никому не нужны” – все это делает МСБ не просто уязвимыми, а удобной точкой входа в чужую инфраструктуру
  • Настоящее время
    Светлана Конявская, заместитель генерального директора ОКБ САПР
    Мы очень многое объясняем тем, что так сложилось исторически. Удивительным образом, это объяснение не теряет своей актуальности даже в такой сфере “бурного развития”, как вычислительная техника. Конечно, стечением исторических обстоятельств обычно объясняют то, что хотелось бы изменить (то, что всех устраивает, лучше считать достижением и результатом упорного труда). И эти желаемые изменения тяжелого наследия прошлого формируют планы дальнейшего развития – для будущего времени. Что же делать, если в нашем распоряжении только миг между прошлым и будущим?
  • Геометрия DLP требует пересмотра
    Арен Торосян, руководитель продукта “Гарда DLP”
    Если ваш ландшафт СЗИ вообще, а DLP в частности, похож на лоскутное одеяло – вы не одиноки. Во многих крупных компаниях безопасность развивается не по плану, а по обстоятельствам: одно подразделение внедрило решение “для галочки”, другое – под влиянием подрядчика, третье унаследовало систему вместе с купленной дочкой. Так появляется распределенная сеть из разрозненных инсталляций, каждая из которых требует внимания, ресурсов и отдельной стратегии. В какой-то момент вся эта конструкция перестает поддаваться управлению – и становится риском сама по себе.
  • Чужое в допустимом контуре
    Сергей Вахонин, Директор по решениям DeviceLock, Inc. (“Смарт Лайн Инк”)
    Инсайдерские угрозы редко становятся поводом для громких пресс-релизов, но именно они остаются наиболее устойчивыми и в то же время сложно выявляемыми источниками утечек. А с приходом удаленки, облаков и мнимой цифровой зрелости проблема и вовсе переместилась в категорию ежедневных рисков. Давайте подумаем, как подходить к инсайдерской угрозе не с позиций охоты на ведьм, а через архитектуру, анализ поведения, доверие и автоматизированный контроль. Без паранойи, но и без вредных иллюзий.

Хотите участвовать?

Выберите вариант!

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2025
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
Linux
Персональные данные в 2026 году: новые требования
Обсудим 15 октября на Форуме ITSEC 2025. Регистрация →

More...
ТБ Форум 2025
Защита АСУ ТП и КИИ: готовимся к 2026 году
Регистрация участников на конференцию 16 октября →

More...
 
КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2023
 
 

ПОСЕТИТЬ МЕРОПРИЯТИЯ

Подписка

Мы в соцсетях

Copyright © 2025, ООО "ГРОТЕК"
Политики конфиденциальности