Автор: Владимир Ульянов, руководитель аналитического центра Zecurion
Спрос на отечественные решения со стороны заказчиков подстегнул уход иностранных вендоров. И если Varonis был неким ориентиром, по крайней мере для крупных организаций, то с его уходом образовалась лакуна, заполнить которую попытались молодые российские игроки. Вместе с ними на рынок DCAP вышли и опытные разработчики из других сегментов, такие как Zecurion, чья DLP-система признана аналитиками Gartner, IDC, Forrester в числе лучших в мире.
Интерес разработчиков DLP к рынку DCAP не является случайным. В данном случае корректно говорить о технологическом развитии продукта для защиты от внутренних угроз, одной из задач которого всегда была защита на этапе хранения, предназначенные для этого discovery-модули часто входили в поставку DLP уровня enterprise (для крупных предприятий). При этом возможности DCAP гораздо шире классических discovery-модулей. Рассмотрим подробнее возможности DCAP-систем на примере Zecurion.
Работу DCAP логично разделить на несколько взаимосвязанных этапов, в процессе выполнения которых система выявляет нарушения корпоративных политик и помогает их устранить.
Zecurion может контролировать данные на файловых серверах, локальных хостах и в папках общего доступа. Система работает с информацией из Active Directory, а также получает данные из других источников. Zecurion DCAP умеет собирать информацию по сети и парсить логи других систем, однако основной метод получения данных – агенты, установленные на рабочих станциях, серверах и сетевых хранилищах. Полнота и качество первоначальных данных имеют важнейшее значение для аудита и безопасного хранения информации.
После завершения сканирования источников Zecurion DCAP проводит классификацию информации. Цель – выбрать из всего массива данных те, которые могут представлять ценность для компании. Zecurion применяет свыше 10 технологий контентного анализа, включая словари, морфологию, цифровые отпечатки, метод Байеса и другие, которые позволяют точно классифицировать информацию.
Классификация – лишь основа для сбора событий информационной безопасности и выявления угроз. Еще на этапе сбора информации DCAP добавляет в свою базу сведения о правах доступа к каждому объекту, после чего имеет возможность определить ряд типовых угроз, например документы с общим доступом или особые, отличные от других участников группы наборы прав. Здесь же определяются реальные владельцы файлов, подсвечиваются частые пользователи тех или иных данных, выявляются зоны избыточного доступа.
Еще больше возможностей дает динамический анализ: изменение, перемещение, открытие объекта, содержащего критически важные данные, предоставления прав доступа к документу или папке, создание новых и изменение имеющихся наборов прав. Эти, а также десятки других событий не только фиксируются системой, но и оцениваются с точки зрения рисков информационной безопасности.
Возможности Zecurion DCAP по реагированию на выявленные нарушения включают несколько вариантов. В базовом случае это уведомления по различным каналам. Кроме того, Zecurion может запускать скрипты и передавать данные во внешние системы.
Помимо стандартного для DCAP набора функций реагирования, система Zecurion обладает расширенным набором возможностей, которые выделяют ее среди аналогичных решений, к которым относится теневое копирование данных – при этом сотрудник безопасности получает в свое распоряжение не просто запись об инциденте, а полную копию данных, связанных с событием. Это дает возможность оперативно принять решение об уровне опасности произошедшего и, при необходимости, немедленно принять меры.
Zecurion DCAP может заблокировать учетную запись пользователя, если есть основания полагать, что аккаунт сотрудника скомпрометирован, – лучше лишить его доступа к корпоративным ресурсам и потом спокойно разбираться. Аналогичный механизм действует и в отношении выявленных угроз. При этом для проведения дальнейшего расследования не требуется внешний инструментарий, ведь Zecurion DCAP обладает собственным IRP-модулем, куда может быть отправлена информация об инциденте.
Одним из мнгочисленных преимуществ Zecurion перед конкурентами является развитая система отчетов. Помимо традиционного для продуктов вендора удобного дашборда с таблицами и графическими виджетами, пользователю доступны несколько десятков предустановленных отчетов, раскрывающих все необходимые срезы собранной базы. Каждый шаблон возможно настроить под себя, а если такой кастомизации будет недостаточно, то отчет можно сделать с нуля, самому, через конструктор отчетов.
Еще одним преимуществом Zecurion DCAP является тесная интеграция с другими продуктами разработчика по корпоративной безопасности, для защиты от внутренних угроз (DLP, Staff Control) и внешних угроз (SWG, NGFW).
Совместная работа с использованием единых политик не только позволяет повысить уровень безопасности, обеспечивая бесшовную защиту, но и имеет ряд преимуществ с точки зрения внедрения, настройки и обслуживания. В частности, совместная работа продуктов позволяет уменьшить количество ложных срабатываний за счет взаимного обогащения собранных данных, а единое хранилище снижает издержки на хранение данных и увеличивает скорость их обработки.