Контакты
Подписка 2024

Из DLP в DLP. Обзор развития российского рынка DCAP

Владимир Ульянов, 02/09/24

DCAP долгое время находился в поисках своего места в сложной иерархии средств информационной безопасности. Он родился под названием DAG, конкурировал с такими альтернативами, как DSG и UDM, а как только обрел общепринятое название в рамках концепции DCAP, начал испытывать притязания со стороны старого союзника – DLP, вместе с которым защищал корпоративные данные еще до выделения в отдельный класс. Разберемся в истории развития DCAP и его перспективах.

Автор: Владимир Ульянов, руководитель аналитического центра Zecurion

DCAP часто называют потомком модулей DLPсистем, предназначенных для поиска и классификации данных в корпоративной среде Data Discovery. Справедлива ли такая оценка? Является ли DCAP развитием или заменой Discovery – или это разные инструменты, которые похожи лишь внешне, как серрейтор и ножовка?

В портфеле Zecurion есть оба продукта и многолетний опыт использования их крупнейшими корпоративными заказчиками, поэтому при рассмотрении функциональности и перспектив продуктов мы можем опираться не только на видение вендора или оценки независимых аналитиков, но и интересы потребителей, которые часто (но не всегда, о чем мы расскажем ниже) формируют требования и определяют направление развития.

Zecurion DCAP берет свое развитие от Zecurion Discovery, выпущенного в 2012 г. Одна из причин появления Discovery заключалась в необходимости повышения конкурентоспособности на международном рынке с самыми сильными мировыми игроками.

Discovery является неотъемлемой частью Enterprise DLP – в определениях аналитиков Gartner. Претендуя на попадание в "магический квадрант" в качестве равноправного участника, продукт был технологически развит до уровня наиболее продвинутых и перспективных образцов. Усилия не пропали даром: Zecurion не только попал в Gartner Magic Quadrant, но и в рейтинги других мировых аналитиков. В результате Zecurion стал единственным российским вендором, чья DLP-система признана независимыми экспертами "большой тройки" аналитических агентств (Gartner, IDC, Forrester) в числе ведущих.

Zecurion DLP имеет максимальный рейтинг 5.0 на Gartner Peer Insights. Рейтинг был составлен на основе отзывов потребителей, опрошенных непосредственно аналитиками

Gartner. Отраслевые эксперты журнала SC Magazine оценили Zecurion DLP, дав ему пять звезд из пяти в каждой из оцениваемых категорий.

К тому времени на мировом рынке средств корпоративной безопасности уже сформировалась концепция DCAP и появился отдельный класс продуктов – DAG. DAG сложно назвать прямым потомком Discovery, он появился под влиянием все возрастающих требований нормативных актов в области защиты информации в ответ на активную цифровизацию экономики. Найти конкретные данные и обеспечить их должное хранение – задача, которая ставится многими отраслевыми, государственными и международными актами и стандартами.

В это время в России на корпоративных серверах активно нарастал объем данных, но в условиях недостаточно жестких требований по работе с ними большого интереса со стороны заказчиков не было. Действия по выяснению того, что именно там хранится, как лучше организовать это хранение и защитить его, являлись бы дополнительным обременением, но отнюдь не достижением для специалистов по информационной безопасности. Новые продукты и новые инструменты требуют изменения подходов и новых компетенций.

Позже потребительский интерес к подобного рода продуктам начал расти и вызван был не только законодательными изменениями, но и назревшей необходимостью разобраться с корпоративными хранилищами, для которых самые тривиальные вопросы стали исключительно острыми. Само хранение, резервирование данных, масштабирование системы для обеспечения растущих потребностей, наложенные на рост цен на оборудование, стали для организаций тяжелым бременем. И оказалось, что класс решений DAG/DCAP полезен не только с точки зрения информационной безопасности, но и с точки зрения ИТ. Внедрение и освоение новых продуктов открыло дополнительные возможности перед службами ИТ, которые с интересом изучали продукты в разрезе уже кибербезопасности.

4c

Растущий спрос привел к появлению на рынке новых российских игроков. Хотя их продукты во многом уступали опытным мировым конкурентам (особенно в части охвата источников, полноты и наглядности отчетов, масштабирования на большие объемы), они лучше понимали и учитывали отечественную специфику.

Сформировавшийся рынок с устойчивым спросом привлек внимание серьезных разработчиков, в том числе Zecurion, у которого был наработан богатый опыт эксплуатации продуктов в крупнейших организациях. Discovery оставался компонентом DLP, а не самостоятельным продуктом, что давало абсолютно разные сценарии продаж, внедрения и использования. И даже с точки зрения разработки, от модуля до продукта – огромная пропасть.

Отработанная технологическая основа позволила вывести на рынок не экспериментальный, как у новых российских игроков, а уже зрелый продукт Zecurion DCAP, готовый к эксплуатации на больших объемах и отвечающий уровню мировых лидеров. Большой шаг вперед был сделан и по сравнению с Discovery. Сопоставление основных возможностей приведено в таблице.

riis2

DCAP как самостоятельный продукт предназначен для аудита данных внутри корпоративного периметра. Он находит и классифицирует данные из разных источников, обеспечивает мониторинг прав доступа, ведет историю событий с данными, следит за соблюдением политик безопасности. Его возможности гораздо шире, чем просто ИТ-инструмента, который поможет упорядочить хранение данных.

Активное использование DCAP службами информационной безопасности выявило недостатки автономной работы, прежде всего ограниченность получаемой информации. DCAP дает точную статичную картинку. Его работа на продолжительном временном отрезке не может ответить на важные для офицеров безопасности вопросы, часто возникающие при расследовании инцидентов. Например, откуда взялся этот файл в корпоративной сети? Каким образом он попал к другому сотруднику? Мог ли его получить кто-то извне? DCAP не контролирует каналы передачи информации и дает только ограниченное видение, а чтобы его расширить, необходимо подключать другие средства корпоративной безопасности.

Следующий шаг в развитии класса DCAP направлен туда, откуда все начиналось, – к симбиозу с DLP. Две эти системы идеально дополняют друг друга, обеспечивая полную видимость данных как в статике, так и в динамике. Впервые концепция была реализована в Zecurion DLP NG – DLP следующего поколения, связке, которая включает DLP-систему и полноценный DCAP, а не только лишь модуль Discovery.

В DLP NG осуществлен трансфер технологий. В частности, DCAP получил более 10 технологий контентного анализа, которые были в DLP, enterprise-агентов для сбора данных, возможность собирать события, связанные с пользователем, и события на периметре, работать с запароленными архивами, оценивать уровень риска. В свою очередь, DLP обрел возможность охватить все корпоративные данные, включая часто невидимые для средств корпоративной безопасности shadow data, узнавать события с файлами, происходящие внутри сети, собирать больше сведений о пользователях, их правах доступа, читать черновики почты, видеть активность в AD, узнавать классы и атрибуты данных и многое другое.

В результате DLP NG может лучше выявлять аномалии, открывать запароленные архивы, производить перекрестную детализацию данных, создавать теневые копии важных файлов, использовать гибридные технологии контентного анализа и повысить эффективность системы защиты информации, точнее оценивать риски для корпоративных данных и пользователей. И это только небольшой перечень дополнительных возможностей системы. Кроме того, слияние DLP и DCAP дает:

  • единые политики и бесшовную защиту;
  • общую консоль и подходы к управлению данными (при использовании продуктов от одного вендора);
  • взаимное обогащение данных для получения полной картины и точного прогнозирования;
  • единое хранилище данных и событий, которое позволяет сократить расходы на его внедрение и обслуживание.

ris3-Sep-02-2024-11-12-08-9900-AM

Цикл развития DCAP начался из модуля DLP и, обогатившись возможностями и требованиями извне, неожиданно закончился снова в единой связке с DLP. По поводу его будущего возникает справедливый вопрос: будет ли он востребован как самостоятельный продукт? Практически наверняка. Задачи, которые решает DCAP, позволяют ему быть полезным инструментом в корпоративной среде. Но если говорить о выстраивании комплексной системы ИБ, то никакого смысла отделять DCAP от DLP нет. Информация, которую собирают оба продукта, взаимно дополняет друг друга и более ценна вместе. Это и есть синергетический эффект, который проявляется при совместном использовании. Кроме того, использование DLP и DCAP от одного вендора позволяет сократить потребление системных ресурсов, упростить и удешевить эксплуатацию системы.

Можно ли использовать DCAP и DLP разных вендоров, ведь информация, собираемая классом продуктов, аналогична? Теоретически можно. На практике это может привести к рассогласованию политик, создаваемых в разных системах по разным принципам, затруднению сбора и агрегации информации, проведения расследований. Возможно, понадобится разработка коннекторов или внедрение дополнительных систем, которые бы обеспечивали обмен информацией между компонентами, что, в свою очередь, приведет не к повышению эффективности, а к росту расходов и усложнению администрирования.

Связка DLP и DCAP от одного вендора для защиты от внутренних угроз видится логичной и наиболее эффективной как с точки зрения обеспечения самой защиты, так и опыта эксплуатации.

Темы:DLPZecurionDCAPЖурнал "Информационная безопасность" №3, 2024

Форум ITSEC 2024:
информационная и
кибербезопасность России
Москва | 15-16 октября 2024

Жми для участия
Обзоры. Спец.проекты. Исследования
Участвуйте в обзорах / исследованиях проекта "Информационная безопасность"!
Станьте автором журнала!
Статьи по той же темеСтатьи по той же теме

  • Инновации в DLP и DCAP и новые классы решений
    Эксперты в области систем для защиты от утечек поделились своим мнением о том, как развиваются решения классов DLP и DCAP и какие инновации появились в этом сегменте за последний год.
  • "Открытый контроль" как профилактика утечек информации. Что предлагают DLP?
    Алексей Дрозд, Директор учебного центра "СёрчИнформ"
    Исследование “СёрчИнформ” показало, что только 18% компаний в России оценивают уровень киберграмотности своих сотрудников как хороший.
  • ГК InfoWatch: как в 3 раза ускорить расследование инцидентов ИБ без дополнительной нагрузки на офицера безопасности
    Сергей Кузьмин, руководитель направления Центр расследований ГК InfoWatch
    С учетом того, как стремительно масштабируются DLP-системы и какой огромный массив данных генерирует каждый инструмент безопасности, защита информации требует к себе принципиально нового подхода. Рассмотрим, как снизить нагрузку на офицера безопасности, улучшить качество его работы и при этом в несколько раз увеличить скорость проведения расследований.
  • Безопасность как движущий фактор трансформации файлового обмена
    Владимир Емышев, директор по развитию ООО “МСОФТ”
    Представьте себе компанию, в которой сотрудники не используют компьютер. Сложно? Пожалуй, да. Вряд ли сегодня такая найдется. А теперь попробуйте представить, что люди, работающие c компьютером, не используют файлы. “Нереально!” – скажете вы и будете абсолютно правы. Файлы – настолько же привычная сущность, как водопровод в городской квартире или лифт в многоэтажке.
  • Только правильно внедренный DCAP дополняет DLP
    Роман Подкопаев, Генеральный директор компании Makves
    Последние несколько лет показали, что на безопасности нельзя экономить и о ней нужно думать заранее. Информационная безопасность начинается с безопасности данных. DCAP поможет навести порядок в файловых хранилищах и проследить за доступом к ним. Мы вновь беседуем с Романом Подкопаевым, генеральным директором компании Makves (входит в группу компаний “Гарда”).

Хотите участвовать?

Выберите вариант!

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
Linux
15 октября | Форум ITSEC Доверенные решения для защиты российских Linux и миграции
Участвуйте!

More...
Обзоры. Исследования. Спец.проекты
Обзоры и исследования проекта "Информационная безопасность"
Жми, чтобы участвовать

More...