Если оставить за скобками наращивание взаимной интеграции и обогащение друг друга данными, то текущий совместный трек развития систем DLP и DCAP заключается в автоматизации, направленной на сокращение трудозатрат офицера безопасности. ML шагает по планете: активно идет внедрение новых моделей, позволяющих повысить точность распознавания разного рода графических объектов, с которыми не справляется OCR. В Solar Dozor для этого реализовано использование не классических CPU, а GPU, что позволило на порядок ускорить работу системы.
Выделю два ключевых тренда. Первый: вендоры DLP дополняют линейку решений DCAP-системами. Почти все отечественные разработчики DLP уже вывели продукт на рынок, либо ведут его разработку. Второй тренд – вовлечение пользователя в процессы ИБ. Системы уведомляют сотрудника об угрозах и делегируют ответственность, чтобы он мог защищать данные самостоятельно. Для этого появляются разные инструменты. Например, в "СёрчИнформ FileAuditor" пользователи могут сами присваивать информации категории конфиденциальности (общедоступно, ДСП и т.д.).
Объединение DLP и DCAP в едином интерфейсе вместе с контролем действий сотрудников, привилегированных пользователей, а также поведенческой и визуальной аналитикой позволяет комплексно подходить к вопросу защиты данных. ИИ и машинное обучение улучшили выявление угроз и аномалий, а также понимание контекста инцидентов. Поведенческая аналитика помогает обнаруживать отклонения и проверять соответствие внутренним угрозам, повышая общую безопасность данных.
Самое главное – это симбиоз использования DLP и DCAP и появление термина DLP NG. Два полноценных продукта от одного вендора, работающие в рамках одной платформы, существенно снижают стоимость эксплуатации по сравнению с их раздельным использованием. В первую очередь это происходит за счет единых политик, словарей, настроек, отчетов, агентов и веб-интерфейса – в DLP NG можно легко перенести большую часть из DLP. Отдельно стоит отметить агрегированные отчеты: например о пути движения конкретного файла с момента создания до выхода за периметр или наоборот с момента попадания в периметр – это можно увидеть в один клик.
Основные направления инноваций – активный рост числа поддерживаемых платформ, включая контроль импортозамещенных и облачных ресурсов, появление средств маркировки данных метками конфиденциальности, автоматизации процесса согласования и выдачи прав доступа сотрудникам, оперативного поиска данных в инфраструктуре. Новые возможности позволяют защищать ранее неконтролируемые ресурсы и потоки данных, а также автоматизировать рутинные процессы.
Решения класса DLP в полной мере можно отнести к классическим СЗИ. Революционные изменения в них появляются не часто, скорее можно наблюдать планомерное развитие имеющихся функций и точечное добавление новых:
Описанное выше относится и к DCAP.
В DCAP-решениях основные драйверы развития заключаются в учете уникальности каждой инфраструктуры, – при каждом новом внедрении мы получаем набор оригинальных параметров. Развитие автоматических сценариев в соответствии с особенностями бизнес-процессов заказчика – в этом направлении развиваются сейчас DCAP-системы. Поэтому мы активно вкладываемся в нейросети и поведенческую аналитику. Помимо того, что с точки зрения производительности приходится постоянно перерабатывать большие объемы данных, нужно еще и автоматизировать принятие решений – это очень большой пласт работы.
Благодаря прорывному развитию нейронных сетей значительно продвинулась автоматизация исследования документов и их фрагментов, в том числе изображений, фото. В настоящий момент ряд заказчиков крайне настороженно относятся к понятию "искусственный интеллект", считая технологию слишком сырой. Действительно, любая технология с использованием ИИ требует длительного обучения в конкретной инфраструктуре и контроля со стороны человека. Однако нельзя забывать, что именно поведенческий анализ действий пользователя стал одним из основных методов обнаружения злоумышленников.
Важный новый тренд – применение нейросетей для эффективного выявления и классификации информации на файловых хранилищах.
Объединение всех данных в едином интерфейсе, а также единый фильтр по событиям DLP, действиям персон, данным DCAP о файлах и доступе, группам риска и аналитике позволяет радикально снизить время от обнаружения нарушения до его полного разрешения – в три раза.
В первую очередь стоит отметить трансфер технологий из DLP в DCAP. DLP-разработчики внедрили в свои продукты агенты для контроля данных на рабочих станциях и их онлайн-мониторинга, десятки видов контентного анализа для классификации данных, теневое копирование, единые отчеты по событиям на периметре и внутри него, обнаружение новых типов угроз. Молодым DCAP-разработчикам все это только предстоит, а в DLP NG это уже есть.
Наиболее эффективный вариант – бесшовная интеграция DLP и DCAP. Системы решают похожие проблемы, только DLP работает на периметре, а DCAP – внутри него (даже если периметр облачный). Хорошо, когда в обеих системах можно унифицировать настройки анализа и задействовать схожие политики безопасности. Главное – решения должны обмениваться результатами своей работы. Если DCAP проверил файл, признал конфиденциальным и применил ограничения, то DLP должна знать об этом и не дублировать работу по анализу контента.
Параллельно с развитием аналитических возможностей DLP и DCAP большое внимание на рынке уделяют контролю путей распространения информации. Например, пересылка конфиденциальных документов в большинстве организаций ведется в зашифрованных ZIP-архивах, причем пароль передается по стороннему каналу. Наш архиватор ARZip реализовал возможность работы DLP с запароленными архивами, что долгое время представлялось невозможным. ARZip при интеграции с DLP позволяет автоматически проверять содержание запароленных архивов на предмет конфиденциальной информации, что позволяет исключить утечку данных через этот канал.
Разработчиков DLP-решений можно разделить на две группы:
Вместо привычных DLP-систем появились альтернативные решения по контролю данных с помощью маркировки файлов конечными пользователями и применения мандатных прав доступа на уровне таких меток. Теперь вместо контроля периметра защита обеспечивается посредством использования криптоконтейнеров, в результате чего бесконтрольная передача критичных файлов не приведет к утечке данных, так как ее невозможно будет расшифровать без явно выданных на то разрешений.
Систем, которые готовы поставить информацию для обработки в DLP, становится все больше, точно так же, как и тех, что готовы использовать данные из DLP. Такая интеграция подталкивает нас к использованию решений, способных обеспечить надежный обмен данными, то есть шин данных. Инсайдер в большинстве случаев работает на корпоративном АРМ, который и становится зоной особого внимания офицеров безопасности: на нем работают различные агенты, поставляющие данные различным СЗИ, добавляя друг друга в исключения, просаживая процессор и память. Логичным развитием является использование единого агента, обеспечивающего всех заинтересованных потребителей данными без дублирования.
Не могу сказать, что класс решений для защищенного корпоративного файлового обмена является новым, но его применение однозначно помогает организации централизовать и взять под контроль процесс обмена корпоративными файлами как внутри организации, так и с внешними контрагентами. За счет встроенных механизмов безопасности и интеграции сервиса с DLPи DCAP-платформами жизненный цикл файла становится прозрачным, а риск утечки по вине инсайдеров значительно снижается.
Заметна общая для вендоров решений ИБ тенденция – стремление развить свой продукт как комплексное решение, которое, например путем подключения модулей будет закрывать все потребности заказчика. Для этого каждый вендор реализует функционал, полностью или частично характерный для продуктов других классов решений. Так в DLP появляется функционал свойственный DAG/DCAP и наоборот. Развивая функционал централизованного сбора и хранения информационных событий и событий безопасности DAG/DCAP может развиться полноценное SIEM-решение.