Владимир Ульянов, 05/02/24
Задача упорядочения хранения данных в корпоративной среде связана не только и не столько с выстраиванием бизнес-процессов, сколько с вопросами обеспечения их безопасности. Сложно говорить о защите, когда не знаешь, где и какие данные хранятся, какую ценность представляют, кому принадлежат, кто имеет к ним доступ и какие угрозы наиболее актуальны. Подобную задачу решают системы класса DCAP, в том числе и российские.
Автор: Владимир Ульянов, руководитель аналитического центра Zecurion
Спрос на отечественные решения со стороны заказчиков подстегнул уход иностранных вендоров. И если Varonis был неким ориентиром, по крайней мере для крупных организаций, то с его уходом образовалась лакуна, заполнить которую попытались молодые российские игроки. Вместе с ними на рынок DCAP вышли и опытные разработчики из других сегментов, такие как Zecurion, чья DLP-система признана аналитиками Gartner, IDC, Forrester в числе лучших в мире.
Интерес разработчиков DLP к рынку DCAP не является случайным. В данном случае корректно говорить о технологическом развитии продукта для защиты от внутренних угроз, одной из задач которого всегда была защита на этапе хранения, предназначенные для этого discovery-модули часто входили в поставку DLP уровня enterprise (для крупных предприятий). При этом возможности DCAP гораздо шире классических discovery-модулей. Рассмотрим подробнее возможности DCAP-систем на примере Zecurion.
Принцип работы DCAP
Работу DCAP логично разделить на несколько взаимосвязанных этапов, в процессе выполнения которых система выявляет нарушения корпоративных политик и помогает их устранить.
Этап 1. Поиск и сбор
Zecurion может контролировать данные на файловых серверах, локальных хостах и в папках общего доступа. Система работает с информацией из Active Directory, а также получает данные из других источников. Zecurion DCAP умеет собирать информацию по сети и парсить логи других систем, однако основной метод получения данных – агенты, установленные на рабочих станциях, серверах и сетевых хранилищах. Полнота и качество первоначальных данных имеют важнейшее значение для аудита и безопасного хранения информации.
Этап 2. Нормализация и обработка
После завершения сканирования источников Zecurion DCAP проводит классификацию информации. Цель – выбрать из всего массива данных те, которые могут представлять ценность для компании. Zecurion применяет свыше 10 технологий контентного анализа, включая словари, морфологию, цифровые отпечатки, метод Байеса и другие, которые позволяют точно классифицировать информацию.
Этап 3. Анализ
Классификация – лишь основа для сбора событий информационной безопасности и выявления угроз. Еще на этапе сбора информации DCAP добавляет в свою базу сведения о правах доступа к каждому объекту, после чего имеет возможность определить ряд типовых угроз, например документы с общим доступом или особые, отличные от других участников группы наборы прав. Здесь же определяются реальные владельцы файлов, подсвечиваются частые пользователи тех или иных данных, выявляются зоны избыточного доступа.
Еще больше возможностей дает динамический анализ: изменение, перемещение, открытие объекта, содержащего критически важные данные, предоставления прав доступа к документу или папке, создание новых и изменение имеющихся наборов прав. Эти, а также десятки других событий не только фиксируются системой, но и оцениваются с точки зрения рисков информационной безопасности.
Этап 4. Реагирование
Возможности Zecurion DCAP по реагированию на выявленные нарушения включают несколько вариантов. В базовом случае это уведомления по различным каналам. Кроме того, Zecurion может запускать скрипты и передавать данные во внешние системы.
Помимо стандартного для DCAP набора функций реагирования, система Zecurion обладает расширенным набором возможностей, которые выделяют ее среди аналогичных решений, к которым относится теневое копирование данных – при этом сотрудник безопасности получает в свое распоряжение не просто запись об инциденте, а полную копию данных, связанных с событием. Это дает возможность оперативно принять решение об уровне опасности произошедшего и, при необходимости, немедленно принять меры.
Zecurion DCAP может заблокировать учетную запись пользователя, если есть основания полагать, что аккаунт сотрудника скомпрометирован, – лучше лишить его доступа к корпоративным ресурсам и потом спокойно разбираться. Аналогичный механизм действует и в отношении выявленных угроз. При этом для проведения дальнейшего расследования не требуется внешний инструментарий, ведь Zecurion DCAP обладает собственным IRP-модулем, куда может быть отправлена информация об инциденте.
Этап 5. Отчетность
Одним из мнгочисленных преимуществ Zecurion перед конкурентами является развитая система отчетов. Помимо традиционного для продуктов вендора удобного дашборда с таблицами и графическими виджетами, пользователю доступны несколько десятков предустановленных отчетов, раскрывающих все необходимые срезы собранной базы. Каждый шаблон возможно настроить под себя, а если такой кастомизации будет недостаточно, то отчет можно сделать с нуля, самому, через конструктор отчетов.
Преимущества Zecurion DCAP
- Zecurion DCAP использует весь стек собственных технологий анализа, зарекомендовавших себя во флагманской DLP-системе вендора. Это позволяет точно классифицировать корпоративные данные.
- Технологии Zecurion заточены на работу в больших и очень больших организациях. DCAP может обрабатывать данные со скоростью до 1 Тбайт в час, ее архитектура специально разработана для работы с распределенной сетевой инфраструктурой.
- Работа через агенты позволяет Zecurion DCAP собирать максимальный объем данных с рабочих станций, серверов и сетевых хранилищ. Кроме того, настройки реагирования позволяют агентам самостоятельно реагировать на потенциально опасные действия, пресекая возможные нарушения.
- Помимо Windows, Zecurion DCAP полноценно работает с серверами и рабочими станциями под управлением ОС на базе Linux. Решение поддерживает как отечественные варианты (Astra, AltLinux, RedOS и др.), так и наиболее распространенные иностранные сборки (Ubuntu, Debian и др.).
- Оценка рисков. Для большинства контролируемых объектов Zecurion рассчитывает уровень риска. Это касается файлов, папок, хранилища, а также пользователей, групп, структурных подразделений.
DCAP как часть экосистемы
Еще одним преимуществом Zecurion DCAP является тесная интеграция с другими продуктами разработчика по корпоративной безопасности, для защиты от внутренних угроз (DLP, Staff Control) и внешних угроз (SWG, NGFW).
Совместная работа с использованием единых политик не только позволяет повысить уровень безопасности, обеспечивая бесшовную защиту, но и имеет ряд преимуществ с точки зрения внедрения, настройки и обслуживания. В частности, совместная работа продуктов позволяет уменьшить количество ложных срабатываний за счет взаимного обогащения собранных данных, а единое хранилище снижает издержки на хранение данных и увеличивает скорость их обработки.
