Журнал "Information Security/ Информационная безопасность" #3, 2024

36 • СПЕЦПРОЕКТ l расширение перечня контролируемых данных/каналов; l автоматизация категорирования хра- нящейся и обрабатываемой заказчиком информации; l автоматическая проверка допустимо- го получателя; l автоматическое шифрование копи- руемых данных на внешние носители и т. д. Описанное выше относится и к DCAP. Роман Подкопаев, Makves (входит в ГК "Гарда"): В DCAP-решениях основные драйверы развития заключаются в учете уникаль- ности каждой инфраструктуры, – при каждом новом внедрении мы получаем набор оригинальных параметров. Раз- витие автоматических сценариев в соот- ветствии с особенностями бизнес-про- цессов заказчика – в этом направлении развиваются сейчас DCAP-системы. Поэтому мы активно вкладываемся в нейросети и поведенческую аналитику. Помимо того, что с точки зрения про- изводительности приходится постоянно перерабатывать большие объемы дан- ных, нужно еще и автоматизировать принятие решений – это очень большой пласт работы. Максим Деев, ARinteg: Благодаря прорывному развитию нейронных сетей значительно про- двинулась автоматизация исследо- вания документов и их фрагментов, в том числе изображений, фото. В настоящий момент ряд заказчиков крайне настороженно относятся к понятию "искусственный интел- лект", считая технологию слишком сырой. Действительно, любая техно- логия с использованием ИИ требует длительного обучения в конкретной инфраструктуре и контроля со сто- роны человека. Однако нельзя забы- вать, что именно поведенческий ана- лиз действий пользователя стал одним из основных методов обнару- жения злоумышленников. Роман Подкопаев, Makves (входит в ГК "Гарда"): Важный новый тренд – применение нейросетей для эффективного выявле- ния и классификации информации на файловых хранилищах.  Сергей Кузьмин, InfoWatch: Объединение всех данных в едином интерфейсе, а также единый фильтр по событиям DLP, действиям персон, дан- ным DCAP о файлах и доступе, группам риска и аналитике позволяет радикально снизить время от обнаружения наруше- ния до его полного разрешения – в три раза.  Александр Ковалев, Zecurion: В первую очередь стоит отметить трансфер технологий из DLP в DCAP. DLP-разработчики внедрили в свои про- дукты агенты для контроля данных на рабочих станциях и их онлайн-монито- ринга, десятки видов контентного ана- лиза для классификации данных, тене- вое копирование, единые отчеты по событиям на периметре и внутри него, обнаружение новых типов угроз. Моло- дым DCAP-разработчикам все это только предстоит, а в DLP NG это уже есть.  Алексей Парфентьев, СёрчИнформ: Наиболее эффективный вариант – бесшовная интеграция DLP и DCAP. Системы решают похожие проблемы, только DLP работает на периметре, а DCAP – внутри него (даже если пери- метр облачный). Хорошо, когда в обеих системах  можно  унифицировать настройки анализа и задействовать схо- жие политики безопасности. Главное – решения должны обмениваться резуль- татами своей работы. Если DCAP про- верил файл, признал конфиденциаль- ным и применил ограничения, то DLP должна знать об этом и не дублировать работу по анализу контента. Максим Деев, ARinteg: Параллельно с развитием аналитиче- ских возможностей DLP и DCAP большое внимание на рынке уделяют контролю путей распространения информации. Например, пересылка конфиденциаль- ных документов в большинстве органи- заций ведется в зашифрованных ZIP- архивах, причем пароль передается по стороннему каналу. Наш архиватор ARZip реализовал возможность работы DLP с запароленными архивами, что долгое время представлялось невозможным. ARZip при интеграции с DLP позволяет автоматически проверять содержание запароленных архивов на предмет кон- фиденциальной информации, что поз- воляет исключить утечку данных через этот канал.  Дмитрий Поливанов, ДиалогНаука: Разработчиков DLP-решений можно разделить на две группы: l тех, кто целенаправленно развивает исключительно DLP-решение в его клас- сическом определении, не пытаясь сде- лать из СЗИ универсальный комбайн; l и тех, кто дополняет DLP смежными системами: UBA, EMS, DCAP, BI, выстраивая их под единым интерфейсом управления. Сергей Добрушский, Спектр: Вместо привычных DLP-систем появи- лись альтернативные решения по конт- ролю данных с помощью маркировки файлов конечными пользователями и применения мандатных прав доступа на уровне таких меток. Теперь вместо конт- роля периметра защита обеспечивается посредством использования криптокон- тейнеров, в результате чего бесконт- рольная передача критичных файлов не приведет к утечке данных, так как ее невозможно будет расшифровать без явно выданных на то разрешений. Илья Лушин, Солар: Систем, которые готовы поставить информацию для обработки в DLP, ста- новится все больше, точно так же, как и тех, что готовы использовать данные из DLP. Такая интеграция подталкивает нас к использованию решений, способ- ных обеспечить надежный обмен дан- ными, то есть шин данных. Инсайдер в большинстве случаев работает на кор- поративном АРМ, который и становится зоной особого внимания офицеров без- опасности: на нем работают различные агенты, поставляющие данные различ- ным СЗИ, добавляя друг друга в исклю- чения, просаживая процессор и память. Логичным развитием является исполь- зование единого агента, обеспечиваю- щего всех заинтересованных потреби- телей данными без дублирования. Владимир Емышев, МСОФТ: Не могу сказать, что класс решений для защищенного корпоративного фай- лового обмена является новым, но его применение однозначно помогает орга- низации централизовать и взять под конт- роль процесс обмена корпоративными файлами как внутри организации, так и с внешними контрагентами. За счет встроенных механизмов безопасности и интеграции сервиса с DLP- и DCAP-плат- формами жизненный цикл файла стано- вится прозрачным, а риск утечки по вине инсайдеров значительно снижается. Дмитрий Богомолов, Солар: Заметна общая для вендоров решений ИБ тенденция – стремление развить свой продукт как комплексное решение, кото- рое, например путем подключения моду- лей будет закрывать все потребности заказчика. Для этого каждый вендор реа- лизует функционал, полностью или частично характерный для продуктов дру- гих классов решений. Так в DLP появляет- ся функционал свойственный DAG/DCAP и наоборот.  Развивая функционал цент- рализованного сбора и хранения инфор- мационных событий и событий безопас- ности DAG/DCAP может развиться пол- ноценное SIEM-решение.  Какие новые техноло- гии и классы решений появились на стыке с DLP и DCAP для дополнения функцио- нальности в задаче противодействия утеч- кам по вине инсайде- ров?