Журнал "Information Security/ Информационная безопасность" #4, 2025

DCAP в трех измерениях В фокусе внимания DCAP-систем – данные, а основная цель – их структури- зация и защита на протяжении всего жизненного цикла. DCAP можно представить как метод поддержания безопасности и обеспече- ния прозрачности корпоративной инфор- мационной структуры. Он помогает опре- делить, какая информация представляет наибольшую ценность в условиях кон- кретной организации. Системы этого класса помогают выявить пользовате- лей, имеющих доступ к данным, отсле- дить, когда и какие изменения были в них внесены, а также предотвратить избыточный или нерегламентированный доступ к чувствительной информации. Использование DCAP автоматически сокращает поверхность возможной атаки на информационные системы, снижая множественные риски: утечки данных, финансовые и репутационные потери, штрафы со стороны регулирующих орга- нов и т.п. Внедрение DCAP можно представить в виде трех векторов развития совре- менного решения – три "П": превентив- ный, предиктивный и персонализиро- ванный подходы – то, из чего складыва- ется эффективность и конкурентоспо- собность систем данного класса. Первое "П" – превентивность В основе превентивного подхода – предупреждение, предотвращение инци- дентов. Но прежде чем что-либо пред- упредить, важно понимать, с чем именно ведется работа. В DCAP-решениях пре- вентивный подход раскрывается через несколько этапов. Прежде всего, это сбор исчерпывающей информации из самых разных источников. Передовые системы этого класса способны отсле- живать данные на файловых серверах, локальных хостах, в папках общего доступа, корпоративных приложениях. Поддерживаются следующие источники сбора информации: Microsoft Active Direc- tory, ALD PRO, LDAP, NAS/SAN, ERP, CRM, Microsoft Exchange и почтовые папки. Эффективный сбор информации, а зна- чит следование превентивному подходу, реализуется через инсталляцию агента. Агент – это программный компонент DCAP, который устанавливается на рабо- чую станцию пользователя. И, хотя основ- ная миссия агента – сбор информации, преимущественно именно за счет него DCAP может выполнять не только функ- цию аудита, но и являться средством защиты данных. Агенты помогают реали- зовать заданную политику безопасности, реагируя на потенциально опасные дей- ствия и пресекая возможные нарушения. Например, за счет изменения политики безопасности можно ограничить или пол- ностью заблокировать доступ пользова- теля к конкретному файлу. Превентивный подход в DCAP ста- новится возможным во многом за счет анализа самих данных, который осу- ществляется посредством различных технологий. В современные системы этого класса встроены сразу несколь- ко технологий контентного анализа, среди которых словари, метод Байеса, метод опорных векторов, OCR, циф- ровые и графические отпечатки и др. Особую роль играет гибридный ана- лиз, подразумевающий одновремен- ное использование всех технологий. Такой метод из серии "всё и сразу" повышает точность и эффективность обработки данных. Возможность управлять вариантами реагирования на инциденты является преимуществом, но блокировкой и ограничением доступа к конкретному файлу все не ограничивается. Есть и другие варианты реагирования. Напри- мер, перемещение файлов в карантин или их полное удаление, блокировка учетной записи недобросовестного сотрудника, запуск теневого копирова- ния файлов. В наиболее совершенных версиях DCAP-систем, чаще всего интег- рированных с DLP, имеется возможность запустить расследование, за которое, как правило, отвечает IRP-модуль. Второе "П" – предиктивность Предиктивный подход в DCAP бази- руется на составлении прогнозов, на попытке предугадать, какие именно изменения в информационной структуре организации ожидаются в будущем. Фун- даментом для составления прогнозов в DCAP выступают отчеты – визуальная картина состояния информационных активов компании. Именно отчеты поз- воляют отследить динамику происходя- щих внутри корпоративного периметра изменений и построить дальнейшие про- гнозы. Современные DCAP-системы включают в себя десятки различных шаблонов. К наиболее интересным из них можно отнести, например, карточку пользователя – отчет, подсвечивающий все ключевые параметры по каждому из сотрудников, динамику их изменения, события, риски и аномалии. Диаграмма связей позволяет выявить взаимосвязь файла с конкретной учетной записью. Отдельного внимания заслуживает отчет под названием "жизнь файла", который, исходя из названия, показывает все операции, происходящие с определен- ным файлом, демонстрируя весь его жизненный цикл: когда появился, соз- давались ли копии, какие события с ним происходили. Отражением предиктивного подхода в DCAP-системах является функция по обнаружению угроз. В данном случае прогнозирование угрозы становится воз- можным за счет отслеживания аномаль- ного поведения. Индикаторами откло- няющегося от нормы поведения могут являться повторяющиеся операции по удалению или перемещению файлов 76 • ТЕХНОЛОГИИ Три "П" – система координат современного DCAP каких направлениях развиваются современные DCAP-реше- ния, из чего складывается их эффективность и конкуренто- способность? В статье рассмотрим новую трехмерную систему координат для оценки современного DCAP-решения – три “П”, которая состоит из трех ключевых подходов к защите информации: превентивного, предиктивного и персонализиро- ванного. В Игорь Светлов , эксперт по информационной безопасности Фото: Игорь Светлов