По оценке экспертно-аналитического центра ГК InfoWatch, в 2024 году объем скомпрометированных персональных данных, которые хранились в российских компаниях, вырос примерно на 30% по сравнению с показателями 2023 года и составил более 1,5 млрд записей. Конечно, во всех утечках можно обвинять злоумышленников — и это будет небезосновательно. Но, к сожалению, достаточно часто корпоративные оказываются скомпрометированными гораздо более обыденным способом: например, после того, как сотрудник по ошибке выкладывает конфиденциальный файл в общую сетевую папку или получает привилегированные права доступа к конфиденциальным данным.
С понимания этой проблемы и стоит начать разговор о решениях класса DCAP.
Руководитель направления DCAP ГК InfoWatch Олег Митичкин
Фото: InfoWatch
DCAP на российском и мировом рынках ИБ: в чем отличие?
Аббревиатура DCAP начала использоваться в публикациях Gartner, начиная с 2014 года. Подробно же подобный класс систем рассматривается в одноименном исследовании компании Gartner 2017 года «Market Guide for Data-Centric Audit and Protection. Помимо прочего, аналитики описывают в этом материале ключевые функции DCAP-систем: исследование и классификация данных, аудит прав доступа, мониторинг действий с данными и обеспечение защиты за счет ограничения нежелательных операций.
Однако очень скоро пути развития решений этого класса в мире и России разошлись. В отчетах Gartner последнее упоминание DCAP как отдельной системы встречается в 2017 году, после чего упомянутые выше функции систем безопасности рассматриваются в рамках систем класса DSP — Data Security Platform. Во многих странах сегодня наблюдается тенденция к использованию заказчиками универсальных платформенных решений, которые объединяют разные функции безопасности. Платформенный подход позволяет снизить количество используемых программных интерфейсов, упростить администрирование систем и сэкономить ресурсы компании, а также, что еще важнее, — повысить скорость и качество работы специалистов ИБ.
В России специализированные DCAP-системы существуют до сих пор и активно используются во многих компаниях. Предпосылок к этому несколько: особенности законодательства и строгие требования регуляторов, особое внимание крупных корпораций и госструктур к контролю за движением информации внутри компании приводят к тому, что заказчикам необходим максимально детальный аудит и контроль данных на уровне файлов. С этой точки зрения разрабатываемые в России DCAP-решения учитывают специфику локального бизнеса гораздо лучше, чем соответствующие иностранные продукты. Тем более, что последние уже покинули российский рынок.
Итак, на сегодняшний день зарубежные вендоры DSP-решений, такие, как, Netwrix, Varonis и Forcepoint, активно продвигают свои продукты, позиционируя их как гибкие, модульные платформы, аккумулирующие в себе несколько взаимосвязанных модулей. Почему бы российским разработчикам не следовать этой модели? Главная причина состоит в том, что пока очень немногие вендоры могут позволить себе создавать платформенные решения, такие, как, например, InfoWatch Центр расследований.
Погоня за западной моделью: два быстрых пути, и оба неверные
После ухода крупных западных игроков с российского рынка многие отечественные разработчики систем безопасности принялись «воспроизводить» архитектуру всемирно известных решений и пытаться копировать продуктовые линейки. Формально заполнить эту нишу им действительно удалось. Но на практике многие решения теряют заявленную ценность — ведь они разработаны под другую логику работы бизнеса, с учетом других процессов и связанных с ними рисков.
Российский бизнес, как и госсектор, работают в собственной, уникальной нормативной и организационной среде. Например, в России чаще, чем на Западе, встречается разобщенность между подразделениями ИТ и ИБ. С другой стороны, в нашей стране более жесткие требования к расследованию и документированию инцидентов, совершенно иная роль персональных данных и последствия за их утечки. Поэтому прямое заимствование архитектур или сценариев использования западных DCAP-решений для применения на российском рынке — это первый тупиковый путь.
Кроме того, базовые функции DCAP можно попытаться реализовать с помощью смежных ИБ-продуктов: IAM, DLP, SIEM, employee monitoring/UAM и других. Но внедрение такой связки выйдет для заказчика очень дорогим и сложным, а сами эти продукты создадут высокую нагрузку на подразделение ИБ. Офицерам безопасности придется работать в нескольких консолях, в разных интерфейсах, настраивать интеграции, ручные отчеты, привлекать системных администраторов и т. д.
Заметим, что и крупные поставщики решений Productivity Suite (единой корпоративной рабочей среды) заботятся о безопасности данных и закрывают часть задач DCAP. Как зарубежные, так и российские облачные сервисы (Yandex 360, VK Workspace и др.) предоставляют возможность управления доступом и мониторинга действий с файлами. Такой подход применим для малого бизнеса, который с его помощью сможет обойтись без дополнительных затрат на отдельные DCAP-продукты. Но облачные сервисы ограничены рамками экосистемы и не закрывают потребности в полноценной защите всех активов компании.
Реальный DCAP решает реальные бизнес-задачи
Итак, многие российские разработчики заявляют: «у нас тоже есть DCAP». Но на поверку иногда выясняется, что это или просто интерфейс к логам, или формальные отчеты по аудиту, или вовсе небольшой кусочек функциональности в составе DLP.
Вот, какими свойствами должно обладать полноценное решение класса DCAP:
- аудит матрицы доступа и определение прав;
- группировка 100% документов по смыслу;
- автоматическое определение сути данных в хранилищах без ручной настройки;
- контроль изменений прав доступа с акцентом на рискованные события и выявление уязвимостей в службе каталогов;
- интеграция с DLP, визуальной и поведенческой аналитикой и другими компонентами системы защиты данных;
- готовые аналитические отчеты.
Заметим, что всё это не отдельно взятые опции, а инструменты, существующие в единой логике и с единым интерфейсом. Только так ИБ-специалисты получат минимум ручной работы и меньше ложных срабатываний, а бизнес — максимальную уверенность в защищенности данных.
Ведь DCAP — это не про галочку «контроль прав доступа есть», а про реальное снижение операционных и регуляторных рисков для всех:
- ИТ-служба получает порядок в службах каталогов, автоматическую инвентаризацию в хранилищах и снижение трудозатрат на поддержку ИБ;
- ИБ-специалисты — контроль над правами доступа и хранением чувствительных данных, уведомления о подозрительных изменениях, снижение поверхности атаки;
- бизнес — защиту от репутационных потерь и финансовых рисков, связанных с утечками данных (например, через забытый общий доступ или старую папку на файловом сервере), защиту от порчи, шифрования или удаления важных данных.
DCAP помогает специалистам ИБ планомерно, на постоянной основе наводить порядок в ИТ-ландшафте без ручного сбора и анализа логов и без необходимости запрашивать выгрузки у ИТ. Например, автоматическая классификация данных позволяет определить ценность и чувствительность информации. Аудит хранилищ информации — обнаружить неактивные или неиспользуемые данные. Контроль избыточных прав доступа — находить уязвимые учетные записи. Всё это экономит время ИТ и ИБ-специалистов, дает возможность оптимизировать инфраструктуру.
Будущее информационной безопасности: комплексность и автоматизация
Рынок информационной безопасности движется к комплексным и универсальным платформенным решениям. Такие системы обеспечивают интеграцию разных функций защиты данных в одном продукте, могут более широко задействовать для выявления и предупреждения угроз передовые технологии искусственного интеллекта и машинного обучения. Платформенные решения предлагают комплексный подход: например, объединение инструментов аудита и защиты данных с глубоким анализом поведения пользователей. Благодаря этому они помогают не просто контролировать, кто и когда получает доступ к данным, но и автоматически выявлять подозрительную активность, более оперативно реагировать на нее, предупреждать угрозы на раннем этапе их возникновения. На этом компании-разработчики систем безопасности делают особый акцент.
Важной тенденцией на рынке ИБ является переход к модели Zero Trust, когда доступ к информации предоставляется строго на основе минимально необходимых прав и постоянно проверяется системой безопасности. Эти возможности обеспечиваются, в том числе, DCAP-системами.
Итак, DCAP-решения сегодня — это важный инструмент для обеспечения информационной безопасности бизнеса. Мировой рынок рассматривает их как часть функциональности единых систем защиты информации, которые обеспечивают не только защиту данных «в движении» и «в покое», но и единый интерфейс и автоматизацию во всех инструментах защиты. В России же только намечается движение к платформенному подходу, а существующие DCAP-системы значительно различаются по уровню зрелости. За громкими заявлениями часто скрываются очень разные подходы, не все из которых можно назвать удачными.
Мы в InfoWatch готовим статью, в которой сравним доступные на российском рынке DCAP-решения и поможем разобраться, какие из них действительно предствляют собой качественный инструмент, а какие — всего лишь позволят поставить галочку в чек-листе.
Оставайтесь с нами — будет интересно!
