Журнал "Information Security/ Информационная безопасность" #3, 2024

Цикл развития DCAP начался из модуля DLP и, обогатившись возможностя- ми и требованиями извне, неожиданно закончился снова в единой связке с DLP. Задачи, которые решает DCAP, позволяют ему быть полезным инструментом в корпоративной среде. Но если говорить о выстраи- вании комплексной системы ИБ, то никакого смысла отделять DCAP от DLP нет. Связка DLP и DCAP от одного вендора для защиты от внутренних угроз видится логичной и наиболее эффективной как с точки зрения обеспечения самой защиты, так и опыта экс- плуатации. Discovery. Сопоставление основ- ных возможностей приведено в таблице. DCAP как самостоятельный продукт предназначен для ауди- та данных внутри корпоратив- ного периметра. Он находит и классифицирует данные из разных источников, обеспечи- вает мониторинг прав доступа, ведет историю событий с дан- ными, следит за соблюдением политик безопасности. Его воз- можности гораздо шире, чем просто ИТ-инструмента, кото- рый поможет упорядочить хра- нение данных. Активное использование DCAP службами информацион- ной безопасности выявило недостатки автономной работы, прежде всего ограниченность получаемой информации. DCAP дает точную статичную картинку. Его работа на про- должительном временном отрезке не может ответить на важные для офицеров безопас- ности вопросы, часто возни- кающие при расследовании инцидентов. Например, откуда взялся этот файл в корпора- тивной сети? Каким образом он попал к другому сотруднику? Мог ли его получить кто-то извне? DCAP не контролирует каналы передачи информации и дает только ограниченное видение, а чтобы его расши- рить, необходимо подключать другие средства корпоративной безопасности. Следующий шаг в развитии класса DCAP направлен туда, откуда все начиналось, – к сим- биозу с DLP. Две эти системы идеально дополняют друг друга, обеспечивая полную видимость данных как в статике, так и в динамике. Впервые концепция была реализована в Zecurion DLP NG – DLP следующего поколения, связке, которая включает DLP-систему и пол- ноценный DCAP, а не только лишь модуль Discovery. В DLP NG осуществлен транс- фер технологий. В частности, DCAP получил более 10 техно- логий контентного анализа, которые были в DLP, enterprise- агентов для сбора данных, воз- можность собирать события, связанные с пользователем, и события на периметре, рабо- тать с запароленными архива- ми, оценивать уровень риска. В свою очередь, DLP обрел воз- можность охватить все корпо- ративные данные, включая часто невидимые для средств корпоративной безопасности shadow data, узнавать события с файлами, происходящие внут- ри сети, собирать больше све- дений о пользователях, их пра- вах доступа, читать черновики почты, видеть активность в AD, узнавать классы и атрибуты данных и многое другое. В результате DLP NG может лучше выявлять аномалии, открывать запароленные архи- вы, производить перекрестную детализацию данных, создавать теневые копии важных файлов, использовать гибридные техно- логии контентного анализа и повысить эффективность систе- мы защиты информации, точнее оценивать риски для корпора- тивных данных и пользовате- лей. И это только небольшой перечень дополнительных воз- можностей системы. Кроме того, слияние DLP и DCAP дает: l единые политики и бесшов- ную защиту; l общую консоль и подходы к управлению данными (при использовании продуктов от одного вендора); l взаимное обогащение данных для получения полной картины и точного прогнозирования; l единое хранилище данных и событий, которое позволяет сократить расходы на его внед- рение и обслуживание. Цикл развития DCAP начался из модуля DLP и, обогатившись возможностями и требования- ми извне, неожиданно закон- чился снова в единой связке с DLP. По поводу его будущего возникает справедливый вопрос: будет ли он востребо- ван как самостоятельный про- дукт? Практически наверняка. Задачи, которые решает DCAP, позволяют ему быть полезным инструментом в корпоративной среде. Но если говорить о выстраивании комплексной системы ИБ, то никакого смыс- ла отделять DCAP от DLP нет. Информация, которую соби- рают оба продукта, взаимно дополняет друг друга и более ценна вместе. Это и есть синергетический эффект, кото- рый проявляется при совмест- ном использовании. Кроме того, использование DLP и DCAP от одного вендора поз- воляет сократить потребление системных ресурсов, упростить и удешевить эксплуатацию системы. Можно ли использовать DCAP и DLP разных вендоров, ведь информация, собираемая клас- сом продуктов, аналогична? Теоретически можно. На прак- тике это может привести к рас- согласованию политик, созда- ваемых в разных системах по разным принципам, затрудне- нию сбора и агрегации инфор- мации, проведения расследо- ваний. Возможно, понадобится разработка коннекторов или внедрение дополнительных систем, которые бы обеспечи- вали обмен информацией между компонентами, что, в свою очередь, приведет не к повышению эффективности, а к росту расходов и усложне- нию администрирования. Связка DLP и DCAP от одного вендора для защиты от внут- ренних угроз видится логичной и наиболее эффективной как с точки зрения обеспечения самой защиты, так и опыта экс- плуатации. l 26 • СПЕЦПРОЕКТ АДРЕСА И ТЕЛЕФОНЫ ZECURION см. стр. 70 NM Реклама