DCAP-системы: всё внимание на данные

Что такое DCAP и какие задачи этот класс систем выполняет в инфраструктуре информационной безопасности компании, в чём его отличие от DLP и способны ли эти системы заменить друг друга, а так же почему важна защита неструктурированных данных — на эти и другие вопросы отвечаем в материале.

DCAP И НЕСТРУКТУРИРОВАННЫЕ ДАННЫЕ

DCAP (DATA CENTRIC AUDIT AND PROTECTION) – термин введенный в 2017 году аналитической компанией Gartner и обозначающий подход в сфере информационной безопасности, в центре которого стоят данные.

DCAP — это класс решений, которые выполняют следующие задачи:

  •       обнаруживать, классифицировать неструктурированные данные, которые хранятся на локальных компьютерах, файловых и почтовых серверах, корпоративных порталах, сетевых и облачных хранилищах;
  •       осуществлять мониторинг прав доступа;
  •       отслеживать действия с данными;
  •       защищать данные, запрещая нежелательные операции.

 

Защита неструктурированных данных обусловлена тем, что подобная информация без должного контроля несет риски для бизнеса – финансовые и репутационные. Часто важная коммерческая информация или персональные данные находится в организации в открытом доступе, что может повлечь за собой утечку, неправомерную модификацию и как следствие штрафы со стороны регуляторов, либо же потери от действий вредоносного ПО и т.д.

Как DCAP защищает неструктурированные данные

Построение системы информационной безопасности организации, ориентированной на защиту данных, подразумевает, что у ИБ и ИТ отделов компании есть ответы следующие  вопросы о хранящихся в организации данных:

  • Какие данные находятся в периметре организации?
  • Где расположены наиболее критичные из них?
  • У кого есть доступ к данным?
  • Кто, когда и к каким данным имел доступ?
  • Какие критичные данные находятся в широком доступе?
  • Есть ли избыточные права доступа к данным?
  • Какие данные не используются?
  • Есть ли дубликаты больших или критичных файлов?

 

Функциональные возможности DCAP-систем позволяют получить ответы на все эти вопросы и защитить чувствительную информацию. DCAP поможет понять, какие данные хранятся в вашей организации, какие из них относятся к важной коммерческой информации, а какие наоборот не несут пользы бизнесу и могут быть оптимизированы путем удаления или переноса. Также системы DCAP позволяют получить полное представление о правах сотрудников, а также всех действиях с файлами, позволяет управлять правами минимизируя риски нежелательного доступа, строит модели типичного поведения (UEBA) выявляя аномальные отклонения от них, позволяет задавать внутренние правила и политики безопасности в организации для последующих уведомлений о нарушениях.

ЗАКОНОДАТЕЛЬНАЯ ОСНОВА ИСПОЛЬЗОВАНИЯ DCAP

DCAP и законодательство

Использование DCAP при работе с персональными данными имеет законодательную основу. Так в 152 ФЗ «О персональных данных» в Статье 19 «Меры по обеспечению безопасности персональных данных при их обработке» говорится о необходимости использования технических средств защиты при работе с данными:

«оператор при обработке персональных данных обязан принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также: «от иных неправомерных действий в отношении персональных данных, а также установлением правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечением регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных».

В данной статье представлены основные, но далеко не все возможности, которые дают DCAP-системы для защиты и управлением неструктурированными данными.

 

ВОЗМОЖНОСТИ DCAP

За последние несколько лет российский рынок DCAP-систем ушёл в своих функциональных возможностях далеко вперед от представления о DCAP-системах, сформированном Gartner. Расскажем о базовых и новых функциональных возможностях на примере DCAP «Спектра».

 

Классификация данных

DCAP сканирует файловые хранилища организации и классифицирует их содержимое в соответствии с предустановленными в системе категориями данных. В систему включены технологии лингвистического анализа, а также технологии обработки различных видов данных (например, модуль OCR для распознавания изображений и пред обученные нейронные сети для детектирования скан-копий документов).

Классификация помогает понять, какие файлы хранятся на ресурсах организации, какие из них нуждаются в защите в соответствии с требованиями регуляторов, какие представляют собой коммерческую ценность и не должны находится в открытом доступе, а какие наоборот не несут ценности для бизнеса, занимая при этом большой объем дискового пространства.

«Спектр» содержит более 230 предустановленных правил, категорий для выявления файлов, подпадающих под стандарты и требования регуляторов, пункты ФЗ, а также НПА. Отдельно стоит отметить перечень категорий, нацеленных на поиск авторизационно-аутентификационной информации, включая логины, ключи, пароли, информацию о конфигурационных файлах и многого другого. Система дает возможность создавать свои категории классификации для решения внутренних задача ИТ и ИБ департаментов используя слова, фразы, регулярные выражения, словари, частоты встречания, и другие метаданные по которым может осуществляться поиск.

Анализ прав доступа сотрудников

DCAP дает полное представление о правах доступа. Это означает, что вы можете увидеть к каким файлам и папкам имеет доступ сотрудник или группа сотрудников. Система покажет все доступные ресурсы с указанием эффективных прав доступа к каждому из них. При этом в «Спектре» реализован двунаправленный анализ прав доступа. Данный подход применен к абсолютно всем поддерживаемым типам систем: файловым хранилищам, почтовым серверам, порталам Sharepoint, доменам, и другим защищаемым ресурсам.

В «Спектре» заложена возможность автоматически выявлять риски, связанные с не оптимально настроенными правами доступа, и предлагать пути по их устранению. Это могут быть как и отчеты, так и возможность изменять права непосредственно в интерфейсе системы, закрывая например общий доступ для критичных документов, убирать факты предоставления прямого доступа, заменяя его на членство в группе безопасности, и.т.д..

Аудит действий пользователей

DCAP осуществляет фиксацию всех действий пользователей с папками и файлами, которые хранятся на ресурсах компании. Сбор событий аудита происходит в режиме приближенном к реальному времени, не зависит от включения штатного аудита, при этом не нагружая защищаемые сервера. Информация о всех пользовательских операциях может храниться длительное время внутри системы “Спектр”, обеспечивая глубину хранения в несколько лет и возможность быстрого поиска по всему массиву накопленных данных, помогая проводить ретроспективные расследования инцидентов. В «Спектре» реализовано около 80 отчетов, включая отчет с детализацией действий конкретного сотрудника, который помогает проанализировать в различных разрезах действия конкретной учетной записи. Помимо этого “Спектр” предоставляет возможность настройки инцидентных правил, которые оперативно оповещают сотрудников безопасности о критичных событиях. и дают возможность настройки различных каналов оповещений.

Также «Спектр» строит модель типичного поведения каждого сотрудника, файловых хранилищ, защищаемых систем, и автоматизировано выявляет отклонения от данной модели.

Выявление и оптимизация неоптимального использования файловых хранилищ

Система позволяет выявить файлы, которые не приносят пользы бизнесу: дубликаты файлов, файлы, к которым не было обращений длительное время, самые быстрорастущие папки. И помогает произвести оптимизацию дискового пространства, что позволяет бизнесу высвобождать дополнительные ресурсы и экономить бюджеты на расширение файловых хранилищ.

Активное реагирование на инциденты

DCAP не только классифицирует файлы, позволяя выявить важную информацию, и осуществляет мониторинг доступа корпоративной информации, но и отслеживает инциденты и позволяет активно реагировать на них.

В «Спектре» Модуль поведенческой аналитики, работающий на основе нейронных сетей, позволяет увидеть угрозы, которые сложно отследить при помощи политик безопасности. Например, система может зафиксировать нетипичные всплески активности с файлами, к которым ранее не было обращений или работу сотрудника с нетиповой для него активностью. На все эти инциденты можно настроить “Ответные активные реакции”. Это могут быть и блокировки на уровне агентов, устанавливаемых на уровень файловых серверов, а могут быть и автоматизированные запуски скриптов, которырые позволят, например, заблокировать учетную запись на уровне AD, перезагрузить пользовательскую рабочую станцию, или выполнить любую другую задачу, т.к. инструмент настройки активных реакций в этом случае максимально гибкий.

Дополнительные возможности «Спектра»

Управление данными

Модуль переноса/удаления данных «Спектра» позволяет перемещать, удалять данные согласно заданным правилам, включая обработку неиспользуемых файлов, дубликатов и файлов, соответствующими критериям заданным пользователями, например, перенос персональных данных из нелегитимных мест хранения.

Корпоративный поиск

Система осуществляет полнотекстовое индексирование корпоративных данных и осуществляет быстрый поиск по ним. Поиск в «Спектре» может использоваться как представителями Департаментов ИБ и ИТ, так и другими сотрудниками компании для оперативного нахождения нужной информации на всех ресурсах компании.

Портал выдачи прав и разрешений

Главная задача Портала выдачи прав и разрешений – налаживание внутрикорпоративных процессов предоставления сотрудникам доступа к неструктурированной информации, которая храниться на файловых серверах организации.

При необходимости получения доступа к нужной информации сотрудник или его руководитель делает через Портал соответствующую заявку, которую получает ответственный сотрудник Департамента ИБ или ИТ. Система уведомляет о поступивших заявках и их статусе через почту в двустороннем порядке и в конечном итоге предоставляет либо отзывает доступ средствами изменения членства в группах безопасности.

DCAP И DLP

DCAP и DLP часто сравнивают в функциональном плане и многие считают, что данные системы могут заменить друг друга. Однако, несмотря на схожесть функционала, системы решают разные задачи.

Цель DLP – предотвращение утечек информации, что подразумевает активное реагирование со стороны системы на действия пользователей – отправку конфиденциальной информации по почте или запись на флешку. DLP реагирует на инциденты, когда важная коммерческая информация пересекает периметр организации.

Задача DCAP классифицировать информацию и контролировать доступ к ней, выявлять аномальную активность пользователей с информацией, определять избыточные права и нарушение правил мест хранения информации. DCAP работает во внутреннем периметре.

Безусловно DCAP и DLP имеют функциональные пересечения, например, обе системы производят сканирование документов и выявляют конфиденциальную информацию, но архитектура большинства DLP систем не адаптирована под массивы данных, счет которых идет на десятки — сотни терабайт, а ограничивается сканированием рабочих станций. Также  DLP не отслеживает права доступа к важной информации в отличие от DCAP.  При этом используя оба этих решения организация может получить в том числе  дополнительные возможности от интеграции этих 2х продуктов. Так, DCAP система “Спектр” обладает полностью описанным, двухсторонним Rest API, позволяя бесшовно интегрироваться с любой DLP системой, поддерживающей подобные каналы взаимодействия. Именно поэтому многие организации используют в своей инфраструктуре ИБ оба класса решений.

 

ЗАКЛЮЧЕНИЕ

DCAP дает полное представление о том, что происходит на ваших файловых серверах: какие данные там хранятся, кто имеет к ним доступ, какие операции с ними совершаются. А также позволяет управлять жизненным циклом данных в части перемещения и удаления. DCAP управляет доступом, строит модели поведения пользователей и хранилищ, отслеживает аномальное поведение и может блокировать аномальные действия. DCAP обладает функционалом не только для защиты данных, но и для оптимизации файловых серверов, что помогает экономить средства на покупку хранилищ данных.

За последние пару лет отечественный DCAP вышел на совершенно новый уровень в части функциональности. Российские компании в свете событий 2022 года активно включают DCAP в свои инфраструктуры информационной безопасности для защиты внутреннего периметра.