Журнал "Information Security/ Информационная безопасность" #3, 2024

38 • СПЕЦПРОЕКТ Сергей Кузьмин, InfoWatch: В области DLP и DCAP развитие про- исходит в двух направлениях: снижение времени и ресурсов на расследование инцидентов через автоматизацию про- цессов и создание детализированных пользовательских отчетов для различных целей и нужд. Роман Подкопаев, Makves (входит в ГК "Гарда"): Развитие автоматических сценариев в соответствии с особенностями биз- нес-процессов заказчика – это то самое направление, куда сейчас движутся DCAP-системы. Илья Лушин, Солар: Современная отечественная DLP- система аккумулирует в себе огромный объем информации и обладает значи- тельным набором инструментов контро- ля. Для обработки этого массива уже недостаточно типовой отчетности. Построение собственного конструктора отчетов довольно дорого, поэтому интег- рация с BI видится хорошим решением. Если эксплуатант DLP-системы действи- тельно занимается расследованиями, то, конечно же, он ожидает соответ- ствующей удобной функциональности, которая одномоментно обеспечит его максимальным контекстом по событию ИБ, сократит количество кликов и поз- волит принять правильное решение. Сергей Добрушский, Спектр: Главные направления развития – повышение информативности и удобства интерфейса для сокращения времени расследования, новые детализирован- ные отчеты для решения точечных ИБ- и ИТ-задач, увеличение числа предна- строенных правил классификации, кор- реляции событий и рисковых метрик для снижения усилий на кастомизацию системы. Александр Ковалев, Zecurion: Есть несколько векторов развития: повышение удобства работы для офи- церов безопасности, сокращение числа рутинных операций и затрачиваемого на работу времени, что важно как для небольших организаций (из-за ограни- ченности ресурсов), так и для крупных компаний (в связи с большими объе- мами). В приоритете находятся задачи уменьшения времени реагирования и подготовка наглядной отчетности, кото- рая будет информативной и для самих служб ИБ, и для топ-менеджеров орга- низации. Все это поможет сотрудникам служб ИБ красиво представить свою работу руководству. Алексей Парфентьев, СёрчИнформ: Аналитика идет к унификации: инфор- мация в любом виде (текст, аудио, изоб- ражения) должна обрабатываться еди- нообразно и как можно более полно. Отчетность обогатилась поведенческим анализом, к привычным метрикам добав- ляются статистические (слишком много файлов загружено на устройство, слиш- ком большой объем залит в облако и т.д.). Расследования всегда были силь- ной стороной и DLP-, и DCAP-систем, они уже дают исчерпывающую картину инцидента. Поэтому развивается не функционал расследований, а их менеджмент, чтобы специалисты рабо- тали с ними как с задачами в какой- нибудь CRM, переназначали на коллегу, указывали статус и т.д. Максим Деев, ARinteg: Постепенно разработчики отходят от политики закрытых систем, появляется все больше возможностей для интегра- ции с продуктами сторонних производи- телей. Много внимания уделяется гиб- кости настройки различных аспектов управления и возможностей мониторин- га, исчезают жестко заданные рамки в отображении информации, повышается удобство и отзывчивость систем. Дмитрий Поливанов, ДиалогНаука: Решения DLP и DCAP могут дополнить комплекс средств, обеспечивающих реа- лизацию концепции Zero Trust. Но в силу архитектурных особенностей и целевого назначения этих классов, реализовать данный подход с использованием только лишь данных СЗИ будет затруднительно или вовсе невозможно. Александр Ковалев, Zecurion: Целесообразнее говорить об исполь- зовании Zero Trust в рамках DCAP-части DLP NG. Ведь начинать необходимо с минимизации прав доступа и ограниче- ния любых подозрительных активностей с начала жизненного цикла информации, а уже потом подключается DLP для минимизации потенциальных вариантов утечек. Тем не менее, в классическом понимании нулевое доверие все же ближе к другим классам продуктов вроде EDR или NGFW, с которыми DLP NG еще предстоит образовать единую плат- форму. Сергей Добрушский, Спектр: На самом деле, концепции Zero Trust и DCAP пересекаются во многих аспек- тах: недоверие к устройству и пользова- телю означает необходимость корреля- ции событий посредством пользователь- ской аналитики вне зависимости от источника этих событий. Применение принципа минимальной достаточности прав реализуется с помощью регуляр- ного аудита рисков на файловых ресур- сах компании и наведением порядка, а выдача новых разрешений – только через автоматизированные средства согласования и выдачи привилегий. Роман Подкопаев, Makves (входит в ГК "Гарда"): Zero Trust – модель информационной безопасности, которая по умолчанию запрещает доступ к приложениям и дан- ным. DLP и DCAP могут сильно помочь в реализации Zero Trust в организации. Однако нужно учитывать уникальность бизнес-процессов и особенности инфра- структуры конкретной организации в постоянно меняющемся ИТ-ландшаф- те. Для этого требуется комплексный подход и больший набор решений. Сергей Кузьмин, InfoWatch: Все зависит от уровня процессов и проработки модели рисков в организа- ции. Например, в ближайшем будущем в зависимости от изменений в поведении пользователя, DLP-система сможет вре- менно понизить уровень доступа или потребовать повторной аутентификации. По результатам поведенческого анализа можно также запрашивать дополнитель- ное подтверждение действия или даже временно заблокировать учетную запись до завершения проверки. Алексей Парфентьев, СёрчИнформ: Нулевое доверие не может быть выбо- рочным, поэтому концепция мало под- ходит для "человеческих" рисков. Можно тотально заблокировать файл, похожий на вирус, но нельзя заблокировать доку- мент, похожий на конфиденциальный – бизнес-процессы встанут. Именно поэто- му в DCAP и DLP реализованы такие развитые технологии контентного ана- лиза, их сумма дает хороший результат. Нулевое доверие возможно для совсем простых случаев: группа пользователей А не может открывать файлы с содер- жанием Б. Но на практике таких кейсов не много. Илья Лушин, Солар: Концепция Zero Trust предполагает реализацию набора мер и подходов, а не адресует требования конкретным СЗИ. При этом, и DLP, и DCAP органично встраиваются в такую модель (ведь мы опасаемся не только внешних угроз, но и не доверяем внутренним пользовате- лям): соответствующим образом Целесообразно ли от решений класса DLP и DCAP требовать реали- зацию концепции Zero Trust? В каком направлении идет развитие отчетно- сти, аналитики и воз- можностей расследова- ния в DLP и DCAP?