Журнал "Information Security/ Информационная безопасность" #3, 2025

Утечка начинается внутри Привычное представление об утечке данных прочно связано с понятием пери- метра, через который уходит нечто важ- ное: письмо с вложением, загружаемый в публичное облако файл, копируемый на внешний носитель документ. Подоб- ные действия – это кульминация инци- дента. Но на деле все начинается гораз- до раньше и куда менее заметно – с того момента, когда доступ к файлу получает сотрудник, не имеющий на это формального основания, но обла- дающий для этого технической возмож- ностью. Документ еще не покинул орга- низацию, еще не стал объектом сработ- ки DLP, но уже перешел в зону потен- циальной угрозы. Такие перемещения от защищенной области к внутреннему публичному про- странству почти никогда не восприни- маются как нарушение. Ведь данные все еще внутри периметра, передача произошла между коллегами, а доступ, возможно, сохранился с прежней роли или был выдан на время и забыт. Но именно такие незаметные смещения и составляют первую, настоящую фазу компрометации. Это утечка в латентной форме – без триггеров, без логов пере- сылки, без ощущения опасности. Зрелость процессов информационной безопасности невозможна без способ- ности видеть, фиксировать и анализи- ровать внутренние перемещения и досту- пы – не только то, что вышло наружу, но и то, что вышло из поля контроля. DCAP в этой логике – не вспомогательный инструмент, а архитектурный слой наблюдения. Он нужен не для того, чтобы дублировать DLP, а чтобы рабо- тать там, где DLP еще не включилась. DCAP не противопоставляется DLP и не конкурирует с системами реаги- рования, а дополняет их в той области, которую они по определению не охва- тывают. Это взгляд внутрь – в ту самую зону, где утечка еще не про- изошла, но уже возможна, где доку- мент еще не покинул инфраструктуру, но уже оказался в чужих руках. DCAP работает в области допущений, кон- текста и фонового анализа. И именно это делает его фундаментальным эле- ментом зрелой архитектуры безопас- ности: без способности понимать, что происходит с данными внутри, невоз- можно всерьез защищать то, что ухо- дит наружу. DCAP – не "еще один сканер" Попытки внедрения DCAP в органи- зациях нередко оборачиваются тем, что система либо остается декоратив- ной, либо оказывается перегруженной. Она либо фиксирует слишком мало, ограничиваясь механическим поиском файлов с шаблонами номеров паспор- тов и бухгалтерских форм, либо предъ- являет к ИБ-службе непосильные тре- бования: вручную настраивать класси- фикаторы, определять, что считать чув- ствительным, заполнять правила, согла- совывать исключения и обрабатывать каждый отчет как инцидент. В обоих случаях решение формально присут- ствует, но практически не используется – не потому, что оно бесполезно, а пото- му что не встроено в инфраструктуру. InfoWatch решает эту проблему прин- ципиально иначе – не через расшире- ние перечня возможностей, а через правильную точку входа. DCAP в этой модели – не просто инструмент в порт- феле ИБ, а слой, встроенный в единую архитектуру безопасности. Это само- стоятельный продукт, который логиче- ски и функционально дополняет DLP- систему InfoWatch Traffic Monitor 1 . Используются те же классификаторы, те же политики, тот же понятийный функционал. Файл, однажды признан- ный чувствительным в трафике, оста- ется таковым и в хранилище. Доступ, выданный без основания, не просто зафиксирован – он становится частью досье, в котором объединяются собы- тия, люди и документы. Решение InfoWatch отличается не тем, что может глубже сканировать, а тем, что не образует разрывов. DCAP и DLP формируют единое поле наблюдения: все, что найдено в покое, может быть проконтролировано в движении, а все, что зафиксировано в трафике, получает отражение в анализе хранения. Вспомним, что утечка начинается не в момент отправки письма вовне, а в тот момент, когда файл оказался в общем доступе, стал доступен для копирования, сохранился в локальной папке пользователя, который не имел ни служебной необходимости, ни права на его просмотр. Такие случаи не попадают в поле зрения классических DLP-систем, потому что там еще не произошло действие, только возмож- ность, которая имеет тенденцию пре- вратиться в инцидент. Другими словами, DCAP смотрит не на нарушение по факту его свершения, а на его предпосылку. Он фиксирует внутреннее движение данных, которое еще не стало утечкой, но уже вышло за пределы обоснованного доступа. И именно в этом его архитектурная ценность. Пять опор зрелости DCAP Программные модули установлены, политики заданы, отчеты приходят по расписанию – и этого вроде бы доста- 30 • СПЕЦПРОЕКТ Внутренняя утечка, о которой может знать только DCAP течка все чаще начинается не с внешнего инцидента, а с внутренних изменений: доступов, которые никто не пере- сматривал, и файлов, оказавшихся не там, где нужно. В этом контексте DCAP – уже не просто инструмент для проверки хранилищ, а механизм, который помогает держать данные под контролем до того, как случится проблема. Это переход от точечной реакции к постоянному пониманию, где находятся риски и как с ними работать на уровне всей инфраструктуры. У Олег Митичкин, руководитель направления DCAP ГК InfoWatch Фото: InfoWatch 1 https://www.infowatch.ru/products/dlp-sistema-traffic-monitor