Ни для кого не секрет, что информационную безопасность невозможно построить лишь на каком-то одном решении – для оптимальной защиты требуется организовать комплексный подход к ИБ, в котором каждый из элементов будет обеспечиваться соответствующим специализированным инструментом. Защита файловых ресурсов – один из важных составных «кирпичиков», который лучше всего обеспечивается системами класса DAG/DCAP, так как именно для этих задач и создавались данные решения.

Решаемые задачи

Основная задача DAG/DCAP-системы – это разобраться в хаосе данных файловых хранилищ организации и навести на них порядок. Для этого собирается и далее обрабатывается информация из 3 основных источников: аудит событий (действия пользователей), права доступа (фактические разрешения) и результаты классификации (анализ контента файлов). На выходе пользователи системы (администраторы или офицеры безопасности) получают аналитику поведения пользователей, рекомендации и инструменты по сокращению излишних привилегий, возможность наложения политик хранения конфиденциальных данных, уведомления об инцидентах и многое другое. Как показывает практика, данные вопросы невозможно решить только лишь при помощи стандартных встроенных средств, предоставляемых производителями самих файловых ресурсов.

В результате DAG/DCAP-системы позволяют:

• проанализировать все хранилища неструктурированной информации, понять, где что находится, кто к этому имеет доступ и работает с этими данными;
• покрыть хранилища кастомизированными политиками для контроля расположения конфиденциальной информации с автоматическим перемещением файлов с нарушениями в зону карантина;
• наладить процесс оптимизации прав с целью постепенной реализации концепции минимально необходимых привилегий:
• установить контроль за нарушениями матриц доступа пользователей;
• выявлять аномалии в поведении пользователей на базе машинного обучения или кастомизированных правил корреляции событий, включая возможность активной реакции на инциденты;
• произвести оптимизацию файловых хранилищ путем выявления дубликатов файлов, неиспользуемых данных и информации, не имеющих отношения к бизнес-процессам.

Отличия DCAP от DLP-систем

Основная задача DLP-систем заключается в контроле периметра сети и информации, её пересекающей. Данный класс решений ещё называют контролем данных «в движении», использующийся для предотвращения утечек важной информации по различным каналам связи.

Преимущества DLP заключаются в том, что это, по сути, универсальный сканер всех исходящих потоков информации из организации с наложенными автоматическими или полуавтоматическими политиками контроля – по аналогии с тем, как на выходе алмазодобывающего завода проверяют людей на наличие спрятанных алмазов.

Из недостатков стоит отметить необходимость установки агентов на рабочие станции пользователей – они не только могут влиять на производительность системы, но и требуют контроля факта установки, актуальности версии и наличия связи с управляющим сервером. Также система в идеале должна поддерживать все возможные протоколы и приложения (включая оперативную поддержку новых версий), которыми пользуются пользователи, в противном случае в организации будут оставаться неконтролируемые каналы связи. И, конечно же, DLP-системы не уделяют должного внимания к вопросам хранения важной информации на файловых ресурсах и связанных с этим рисков. По аналогии можно сказать, что эффективность проверок на выходе с завода резко снижается, если алмазы не хранятся в сейфе, а разбросаны по всей территории добывающего комплекса.

Поэтому крайне важно осознавать, что для утечки или нелигитимного использования информации необязательно передавать её за пределы периметра, контролируемого DLP – достаточно лишь самого факта наличия доступа у сотрудника к документу, после чего он просто может её запомнить, передать на словах или сфотографировать на телефон. В связи с этим главная задача DCAP систем – это структурировать хранилища данных и обеспечить соблюдения модели минимально необходимых привилегий для сокращения площади потенциальной атаки. Другими словами – обеспечить контроль данных «в покое».

Интеграции с другими системами

Системы DAG/DCAP обладают полным пониманием текущих привилегий, мест расположения критичных данных и активности пользователей на файловых ресурсах, поэтому они могут предоставлять эту информации другим системам. Самыми распространёнными классами ИБ продуктов для интеграции с DCAP являются SIEM, DLP, IDM и Data Classification.

В системы SIEM можно передавать информацию как в виде полного аудита действий всех пользователей, так и в виде инцидентов, уже прошедших внутреннюю корреляцию. В частности, можно выявлять и направлять уведомления об инцидентах массового копирования, удаления, изменения прав; нестандартного поведения пользовательских, сервисных или административных учётных записей; или о действиях вирусов-шифровальщиков.

C DLP-системами можно взаимодействовать посредством двустороннего обмена информацией о результатах классификации (категоризации) документов. В этом случае сотрудники ИБ получают полную информацию по жизненному циклу любого документа, местах его хранения, связанных с этим рисков, и его дальнейшему движению внутри организации.

IDM-системы, работающие на уровне ролевых моделей, обеспечивают удобное высокоуровневое управление привилегиями пользователей, но не имеют контекста о реальных права доступа у тех или иных групп безопасности, через которые данные роли выдаются. DCAP может предоставить данный контекст и обеспечить отсутствие излишних привилегий на уровне файловых ресурсов (папок). Другими словами – гарантировать реальную работу ролевой модели на низком уровне, без которой нельзя переходить на более высокий уровень абстракции.

И последним популярным типом решений для интеграции являются продукты класса Data Classification, позволяющие конечным пользователям самостоятельно присваивать метки документом, с которыми они работают, а сотрудникам ИБ накладывать политики работы с такими данными. Так как решения класса Data Classification подразумевает ручную маркировку документов, то вопрос автоматической классификации ещё не промаркированных файлов остаётся достаточно острым. И здесь на помощь приходят решения DAG/DCAP, обладающие встроенной классификацией данных, включая изображения и архивы, и позволяющие организовать обмен метками между данными системами.

Заключение

Как следует из аббревиатуры DCAP (Data Centric Audit and Protection), класс таких решений может выступать как центральное средство защиты информации, потому что в основе его подхода – это защита, выстроенная от самих данных. Чем больше уделяется внимания вопросам безопасности данных «в покое», тем эффективнее будут работать другие, уже более привычные решения. При этом благодаря гибким возможностям интеграции DAG/DCAP-системы предоставляют важный недостающий контекст другим системам, тем самым повышая общий уровень зрелости информационной безопасности в организации.

Иван Дудоров,  руководитель группы поддержки продаж  компании «Сайберпик»