Контакты
Подписка 2024

DCAP: обуздать корпоративный хаос

Владимир Ульянов, 05/02/24

Задача упорядочения хранения данных в корпоративной среде связана не только и не столько с выстраиванием бизнес-процессов, сколько с вопросами обеспечения их безопасности. Сложно говорить о защите, когда не знаешь, где и какие данные хранятся, какую ценность представляют, кому принадлежат, кто имеет к ним доступ и какие угрозы наиболее актуальны. Подобную задачу решают системы класса DCAP, в том числе и российские.

Автор: Владимир Ульянов, руководитель аналитического центра Zecurion

Спрос на отечественные решения со стороны заказчиков подстегнул уход иностранных вендоров. И если Varonis был неким ориентиром, по крайней мере для крупных организаций, то с его уходом образовалась лакуна, заполнить которую попытались молодые российские игроки. Вместе с ними на рынок DCAP вышли и опытные разработчики из других сегментов, такие как Zecurion, чья DLP-система признана аналитиками Gartner, IDC, Forrester в числе лучших в мире.

Интерес разработчиков DLP к рынку DCAP не является случайным. В данном случае корректно говорить о технологическом развитии продукта для защиты от внутренних угроз, одной из задач которого всегда была защита на этапе хранения, предназначенные для этого discovery-модули часто входили в поставку DLP уровня enterprise (для крупных предприятий). При этом возможности DCAP гораздо шире классических discovery-модулей. Рассмотрим подробнее возможности DCAP-систем на примере Zecurion.

Принцип работы DCAP

Работу DCAP логично разделить на несколько взаимосвязанных этапов, в процессе выполнения которых система выявляет нарушения корпоративных политик и помогает их устранить.

dcap_2023

Этап 1. Поиск и сбор

Zecurion может контролировать данные на файловых серверах, локальных хостах и в папках общего доступа. Система работает с информацией из Active Directory, а также получает данные из других источников. Zecurion DCAP умеет собирать информацию по сети и парсить логи других систем, однако основной метод получения данных – агенты, установленные на рабочих станциях, серверах и сетевых хранилищах. Полнота и качество первоначальных данных имеют важнейшее значение для аудита и безопасного хранения информации.

Этап 2. Нормализация и обработка

После завершения сканирования источников Zecurion DCAP проводит классификацию информации. Цель – выбрать из всего массива данных те, которые могут представлять ценность для компании. Zecurion применяет свыше 10 технологий контентного анализа, включая словари, морфологию, цифровые отпечатки, метод Байеса и другие, которые позволяют точно классифицировать информацию.

Этап 3. Анализ

Классификация – лишь основа для сбора событий информационной безопасности и выявления угроз. Еще на этапе сбора информации DCAP добавляет в свою базу сведения о правах доступа к каждому объекту, после чего имеет возможность определить ряд типовых угроз, например документы с общим доступом или особые, отличные от других участников группы наборы прав. Здесь же определяются реальные владельцы файлов, подсвечиваются частые пользователи тех или иных данных, выявляются зоны избыточного доступа.

Еще больше возможностей дает динамический анализ: изменение, перемещение, открытие объекта, содержащего критически важные данные, предоставления прав доступа к документу или папке, создание новых и изменение имеющихся наборов прав. Эти, а также десятки других событий не только фиксируются системой, но и оцениваются с точки зрения рисков информационной безопасности.

Этап 4. Реагирование

Возможности Zecurion DCAP по реагированию на выявленные нарушения включают несколько вариантов. В базовом случае это уведомления по различным каналам. Кроме того, Zecurion может запускать скрипты и передавать данные во внешние системы.

Помимо стандартного для DCAP набора функций реагирования, система Zecurion обладает расширенным набором возможностей, которые выделяют ее среди аналогичных решений, к которым относится теневое копирование данных – при этом сотрудник безопасности получает в свое распоряжение не просто запись об инциденте, а полную копию данных, связанных с событием. Это дает возможность оперативно принять решение об уровне опасности произошедшего и, при необходимости, немедленно принять меры.

Zecurion DCAP может заблокировать учетную запись пользователя, если есть основания полагать, что аккаунт сотрудника скомпрометирован, – лучше лишить его доступа к корпоративным ресурсам и потом спокойно разбираться. Аналогичный механизм действует и в отношении выявленных угроз. При этом для проведения дальнейшего расследования не требуется внешний инструментарий, ведь Zecurion DCAP обладает собственным IRP-модулем, куда может быть отправлена информация об инциденте.

Этап 5. Отчетность

Одним из мнгочисленных преимуществ Zecurion перед конкурентами является развитая система отчетов. Помимо традиционного для продуктов вендора удобного дашборда с таблицами и графическими виджетами, пользователю доступны несколько десятков предустановленных отчетов, раскрывающих все необходимые срезы собранной базы. Каждый шаблон возможно настроить под себя, а если такой кастомизации будет недостаточно, то отчет можно сделать с нуля, самому, через конструктор отчетов.

Reports

Преимущества Zecurion DCAP

  • Zecurion DCAP использует весь стек собственных технологий анализа, зарекомендовавших себя во флагманской DLP-системе вендора. Это позволяет точно классифицировать корпоративные данные.
  • Технологии Zecurion заточены на работу в больших и очень больших организациях. DCAP может обрабатывать данные со скоростью до 1 Тбайт в час, ее архитектура специально разработана для работы с распределенной сетевой инфраструктурой.
  • Работа через агенты позволяет Zecurion DCAP собирать максимальный объем данных с рабочих станций, серверов и сетевых хранилищ. Кроме того, настройки реагирования позволяют агентам самостоятельно реагировать на потенциально опасные действия, пресекая возможные нарушения.
  • Помимо Windows, Zecurion DCAP полноценно работает с серверами и рабочими станциями под управлением ОС на базе Linux. Решение поддерживает как отечественные варианты (Astra, AltLinux, RedOS и др.), так и наиболее распространенные иностранные сборки (Ubuntu, Debian и др.).
  • Оценка рисков. Для большинства контролируемых объектов Zecurion рассчитывает уровень риска. Это касается файлов, папок, хранилища, а также пользователей, групп, структурных подразделений.

DCAP как часть экосистемы

Еще одним преимуществом Zecurion DCAP является тесная интеграция с другими продуктами разработчика по корпоративной безопасности, для защиты от внутренних угроз (DLP, Staff Control) и внешних угроз (SWG, NGFW).

Совместная работа с использованием единых политик не только позволяет повысить уровень безопасности, обеспечивая бесшовную защиту, но и имеет ряд преимуществ с точки зрения внедрения, настройки и обслуживания. В частности, совместная работа продуктов позволяет уменьшить количество ложных срабатываний за счет взаимного обогащения собранных данных, а единое хранилище снижает издержки на хранение данных и увеличивает скорость их обработки.

Темы:ZecurionDCAPЖурнал "Информационная безопасность" №6, 2023

Инструменты и решения для защиты информации и предотвращения кибератак
Конференция | 2 апреля 2024

Жми для участия
Кибербезопасность в новой реальности
13 марта. Защита корпоративных данных: достаточно ли внедрить DCAP и DLP?
Участвуйте в онлайн-конференции!
Статьи по той же темеСтатьи по той же теме

  • Next Generation DLP. Поспорим о терминах
    Владимир Ульянов, руководитель аналитического центра Zecurion
    Совместное использования DLP и DCAP - это и есть идея DLP следующего поколения: соединить части, которые были искусственно разделены для обеспечения безопасности данных.
  • DLP: маловато будет. Защита персональных данных на протяжении всего жизненного цикла
    Рустэм Хайретдинов, заместитель генерального директора группы компаний “Гарда”
    При защите персональных данных самые мощные аналитические инструменты DLP-систем – контентный анализ и "цифровые отпечатки" недостаточно эффективны.
  • DCAP выявляет нарушения в 100% внедрений
    Роман Подкопаев, Генеральный директор компании Makves
    Роман Подкопаев, основатель и генеральный директор компании Makves, о том, почему DCAP-решения являются неотъемлемой частью надежной ИБ-системы любой компании.
  • Импортозамещение DLP уже закончилось
    Мария Разумовская, руководитель пресс-службы Zecurion
    Между западным и российским подходами к защите информации от утечек существует огромная разница.
  • DCAP и DLP: в чем разница?
    Дмитрий Горлянский, Руководитель направления технического сопровождения продаж “Гарда Технологии”
    Несмотря на некоторую схожесть функциональности, DLP и DCAP являются самостоятельными системами для решения совершенно разных задач

Хотите участвовать?

Выберите вариант!

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
Кибербезопасность в новой реальности
14 марта. Онлайн-конференция. Реагирование на инциденты по информационной безопасности
Участвуйте!

More...
13 февраля 2024. Защита АСУ ТП. Безопасность КИИ
21 марта. Российские платформы виртуализации
Жми, чтобы участвовать