Контакты
Подписка 2024

Инновации в DLP и DCAP и новые классы решений

Редакция журнала "Информационная безопасность", 11/09/24

Эксперты в области систем для защиты от утечек поделились своим мнением о том, как развиваются решения классов DLP и DCAP и какие инновации появились в этом сегменте за последний год.

ris1-Sep-12-2024-04-21-00-5866-PM

Какие инновации в классах решений DLP и DCAP появились за последний год и как они улучшают защиту данных?

Илья Лушин, Солар:

Если оставить за скобками наращивание взаимной интеграции и обогащение друг друга данными, то текущий совместный трек развития систем DLP и DCAP заключается в автоматизации, направленной на сокращение трудозатрат офицера безопасности. ML шагает по планете: активно идет внедрение новых моделей, позволяющих повысить точность распознавания разного рода графических объектов, с которыми не справляется OCR. В Solar Dozor для этого реализовано использование не классических CPU, а GPU, что позволило на порядок ускорить работу системы.

Алексей Парфентьев, СёрчИнформ:

Выделю два ключевых тренда. Первый: вендоры DLP дополняют линейку решений DCAP-системами. Почти все отечественные разработчики DLP уже вывели продукт на рынок, либо ведут его разработку. Второй тренд – вовлечение пользователя в процессы ИБ. Системы уведомляют сотрудника об угрозах и делегируют ответственность, чтобы он мог защищать данные самостоятельно. Для этого появляются разные инструменты. Например, в "СёрчИнформ FileAuditor" пользователи могут сами присваивать информации категории конфиденциальности (общедоступно, ДСП и т.д.).

Сергей Кузьмин, InfoWatch:

Объединение DLP и DCAP в едином интерфейсе вместе с контролем действий сотрудников, привилегированных пользователей, а также поведенческой и визуальной аналитикой позволяет комплексно подходить к вопросу защиты данных. ИИ и машинное обучение улучшили выявление угроз и аномалий, а также понимание контекста инцидентов. Поведенческая аналитика помогает обнаруживать отклонения и проверять соответствие внутренним угрозам, повышая общую безопасность данных.

Александр Ковалев, Zecurion:

Самое главное – это симбиоз использования DLP и DCAP и появление термина DLP NG. Два полноценных продукта от одного вендора, работающие в рамках одной платформы, существенно снижают стоимость эксплуатации по сравнению с их раздельным использованием. В первую очередь это происходит за счет единых политик, словарей, настроек, отчетов, агентов и веб-интерфейса – в DLP NG можно легко перенести большую часть из DLP. Отдельно стоит отметить агрегированные отчеты: например о пути движения конкретного файла с момента создания до выхода за периметр или наоборот с момента попадания в периметр – это можно увидеть в один клик.

Сергей Добрушский, Спектр:

Основные направления инноваций – активный рост числа поддерживаемых платформ, включая контроль импортозамещенных и облачных ресурсов, появление средств маркировки данных метками конфиденциальности, автоматизации процесса согласования и выдачи прав доступа сотрудникам, оперативного поиска данных в инфраструктуре. Новые возможности позволяют защищать ранее неконтролируемые ресурсы и потоки данных, а также автоматизировать рутинные процессы.

Дмитрий Поливанов, ДиалогНаука:

Решения класса DLP в полной мере можно отнести к классическим СЗИ. Революционные изменения в них появляются не часто, скорее можно наблюдать планомерное развитие имеющихся функций и точечное добавление новых:

  • расширение перечня контролируемых данных/каналов;
  • автоматизация категорирования хранящейся и обрабатываемой заказчиком информации;
  • автоматическая проверка допустимого получателя;
  • автоматическое шифрование копируемых данных на внешние носители и т. д.

Описанное выше относится и к DCAP.

Роман Подкопаев, Makves (входит в ГК "Гарда"):

В DCAP-решениях основные драйверы развития заключаются в учете уникальности каждой инфраструктуры, – при каждом новом внедрении мы получаем набор оригинальных параметров. Развитие автоматических сценариев в соответствии с особенностями бизнес-процессов заказчика – в этом направлении развиваются сейчас DCAP-системы. Поэтому мы активно вкладываемся в нейросети и поведенческую аналитику. Помимо того, что с точки зрения производительности приходится постоянно перерабатывать большие объемы данных, нужно еще и автоматизировать принятие решений – это очень большой пласт работы.

Максим Деев, ARinteg:

Благодаря прорывному развитию нейронных сетей значительно продвинулась автоматизация исследования документов и их фрагментов, в том числе изображений, фото. В настоящий момент ряд заказчиков крайне настороженно относятся к понятию "искусственный интеллект", считая технологию слишком сырой. Действительно, любая технология с использованием ИИ требует длительного обучения в конкретной инфраструктуре и контроля со стороны человека. Однако нельзя забывать, что именно поведенческий анализ действий пользователя стал одним из основных методов обнаружения злоумышленников.

Какие новые технологии и классы решений появились на стыке с DLP и DCAP для дополнения функциональности в задаче противодействия утечкам по вине инсайдеров?

Роман Подкопаев, Makves (входит в ГК "Гарда"):

Важный новый тренд – применение нейросетей для эффективного выявления и классификации информации на файловых хранилищах.

Сергей Кузьмин, InfoWatch:

Объединение всех данных в едином интерфейсе, а также единый фильтр по событиям DLP, действиям персон, данным DCAP о файлах и доступе, группам риска и аналитике позволяет радикально снизить время от обнаружения нарушения до его полного разрешения – в три раза.

Александр Ковалев, Zecurion:

В первую очередь стоит отметить трансфер технологий из DLP в DCAP. DLP-разработчики внедрили в свои продукты агенты для контроля данных на рабочих станциях и их онлайн-мониторинга, десятки видов контентного анализа для классификации данных, теневое копирование, единые отчеты по событиям на периметре и внутри него, обнаружение новых типов угроз. Молодым DCAP-разработчикам все это только предстоит, а в DLP NG это уже есть.

Алексей Парфентьев, СёрчИнформ:

Наиболее эффективный вариант – бесшовная интеграция DLP и DCAP. Системы решают похожие проблемы, только DLP работает на периметре, а DCAP – внутри него (даже если периметр облачный). Хорошо, когда в обеих системах можно унифицировать настройки анализа и задействовать схожие политики безопасности. Главное – решения должны обмениваться результатами своей работы. Если DCAP проверил файл, признал конфиденциальным и применил ограничения, то DLP должна знать об этом и не дублировать работу по анализу контента.

Максим Деев, ARinteg:

Параллельно с развитием аналитических возможностей DLP и DCAP большое внимание на рынке уделяют контролю путей распространения информации. Например, пересылка конфиденциальных документов в большинстве организаций ведется в зашифрованных ZIP-архивах, причем пароль передается по стороннему каналу. Наш архиватор ARZip реализовал возможность работы DLP с запароленными архивами, что долгое время представлялось невозможным. ARZip при интеграции с DLP позволяет автоматически проверять содержание запароленных архивов на предмет конфиденциальной информации, что позволяет исключить утечку данных через этот канал.

Дмитрий Поливанов, ДиалогНаука:

Разработчиков DLP-решений можно разделить на две группы:

  • тех, кто целенаправленно развивает исключительно DLP-решение в его классическом определении, не пытаясь сделать из СЗИ универсальный комбайн;
  • и тех, кто дополняет DLP смежными системами: UBA, EMS, DCAP, BI, выстраивая их под единым интерфейсом управления.

Сергей Добрушский, Спектр:

Вместо привычных DLP-систем появились альтернативные решения по контролю данных с помощью маркировки файлов конечными пользователями и применения мандатных прав доступа на уровне таких меток. Теперь вместо контроля периметра защита обеспечивается посредством использования криптоконтейнеров, в результате чего бесконтрольная передача критичных файлов не приведет к утечке данных, так как ее невозможно будет расшифровать без явно выданных на то разрешений.

Илья Лушин, Солар:

Систем, которые готовы поставить информацию для обработки в DLP, становится все больше, точно так же, как и тех, что готовы использовать данные из DLP. Такая интеграция подталкивает нас к использованию решений, способных обеспечить надежный обмен данными, то есть шин данных. Инсайдер в большинстве случаев работает на корпоративном АРМ, который и становится зоной особого внимания офицеров безопасности: на нем работают различные агенты, поставляющие данные различным СЗИ, добавляя друг друга в исключения, просаживая процессор и память. Логичным развитием является использование единого агента, обеспечивающего всех заинтересованных потребителей данными без дублирования.

Владимир Емышев, МСОФТ:

Не могу сказать, что класс решений для защищенного корпоративного файлового обмена является новым, но его применение однозначно помогает организации централизовать и взять под контроль процесс обмена корпоративными файлами как внутри организации, так и с внешними контрагентами. За счет встроенных механизмов безопасности и интеграции сервиса с DLPи DCAP-платформами жизненный цикл файла становится прозрачным, а риск утечки по вине инсайдеров значительно снижается.

Дмитрий Богомолов, Солар:

Заметна общая для вендоров решений ИБ тенденция – стремление развить свой продукт как комплексное решение, которое, например путем подключения модулей будет закрывать все потребности заказчика. Для этого каждый вендор реализует функционал, полностью или частично характерный для продуктов других классов решений. Так в DLP появляется функционал свойственный DAG/DCAP и наоборот. Развивая функционал централизованного сбора и хранения информационных событий и событий безопасности DAG/DCAP может развиться полноценное SIEM-решение.

Эксперты:

  • Дмитрий Богомолов, архитектор, отдел проектирования ГК “Солар”
  • Максим Деев, технический директор ARinteg
  • Сергей Добрушский, директор по развитию продуктов “Спектр”
  • Владимир Емышев, директор по развитию компании “МСОФТ”
  • Александр Ковалев, заместитель генерального директора Zecurion
  • Сергей Кузьмин, ведущий менеджер по развитию продуктов InfoWatch
  • Илья Лушин, директор портфеля продуктов защиты данных ГК “Солар”
  • Алексей Парфентьев, заместитель генерального директора по инновационной деятельности “СёрчИнформ”
  • Роман Подкопаев, генеральный директор Makves (входит в группу компаний “Гарда”)
  • Дмитрий Поливанов, архитектор АО “ДиалогНаука”
Темы:DLPКруглый столDCAPЖурнал "Информационная безопасность" №3, 2024

Форум ITSEC 2024:
информационная и
кибербезопасность России
Москва | 15-16 октября 2024

Посетить
Обзоры. Спец.проекты. Исследования
Персональные данные в 2025 году: новые требования и инструменты. Что нужно знать бизнесу о защите ПДн?
Получите комментарии экспертов на ITSEC 2024
Статьи по той же темеСтатьи по той же теме

  • "Открытый контроль" как профилактика утечек информации. Что предлагают DLP?
    Алексей Дрозд, Директор учебного центра "СёрчИнформ"
    Исследование “СёрчИнформ” показало, что только 18% компаний в России оценивают уровень киберграмотности своих сотрудников как хороший.
  • Из DLP в DLP. Обзор развития российского рынка DCAP
    Владимир Ульянов, руководитель аналитического центра Zecurion
    DCAP долгое время находился в поисках своего места в сложной иерархии средств информационной безопасности. Он родился под названием DAG, конкурировал с такими альтернативами, как DSG и UDM, а как только обрел общепринятое название в рамках концепции DCAP, начал испытывать притязания со стороны старого союзника – DLP, вместе с которым защищал корпоративные данные еще до выделения в отдельный класс. Разберемся в истории развития DCAP и его перспективах.
  • ГК InfoWatch: как в 3 раза ускорить расследование инцидентов ИБ без дополнительной нагрузки на офицера безопасности
    Сергей Кузьмин, руководитель направления Центр расследований ГК InfoWatch
    С учетом того, как стремительно масштабируются DLP-системы и какой огромный массив данных генерирует каждый инструмент безопасности, защита информации требует к себе принципиально нового подхода. Рассмотрим, как снизить нагрузку на офицера безопасности, улучшить качество его работы и при этом в несколько раз увеличить скорость проведения расследований.
  • Безопасность как движущий фактор трансформации файлового обмена
    Владимир Емышев, директор по развитию ООО “МСОФТ”
    Представьте себе компанию, в которой сотрудники не используют компьютер. Сложно? Пожалуй, да. Вряд ли сегодня такая найдется. А теперь попробуйте представить, что люди, работающие c компьютером, не используют файлы. “Нереально!” – скажете вы и будете абсолютно правы. Файлы – настолько же привычная сущность, как водопровод в городской квартире или лифт в многоэтажке.
  • Только правильно внедренный DCAP дополняет DLP
    Роман Подкопаев, Генеральный директор компании Makves
    Последние несколько лет показали, что на безопасности нельзя экономить и о ней нужно думать заранее. Информационная безопасность начинается с безопасности данных. DCAP поможет навести порядок в файловых хранилищах и проследить за доступом к ним. Мы вновь беседуем с Романом Подкопаевым, генеральным директором компании Makves (входит в группу компаний “Гарда”).

Хотите участвовать?

Выберите вариант!

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
Linux
15 октября | Форум ITSEC Защищенный удаленный доступ: как обеспечить контроль работы внешних сотрудников
Узнайте на ITSEC 2024!

More...
Обзоры. Исследования. Спец.проекты
Защита АСУ ТП и объектов КИИ: готовимся к 2025 году
Жми, чтобы участвовать

More...