Журнал "Information Security/ Информационная безопасность" #4, 2025

или резкое и ничем не обоснованное повышение активности учетной записи конкретного сотрудника. В наиболее продвинутые системы данного класса встроена функция просчета риска для каждого файла, учетной записи или дру- гого объекта (Risk Score), которая в свою очередь помогает расставить приорите- ты и акцентировать внимание на наибо- лее уязвимых моментах. Это дает воз- можность предвидеть и предотвратить инциденты. Третье "П" – персонализированность Персонализированный подход в задан- ном контексте определяется как гиб- кость, адаптивность DCAP-системы под запросы конкретного заказчика. То, насколько одна и та же система способна подстроиться под особенности разных организаций, фактически является одним из критериев выживаемости про- дукта на рынке. В случае с DCAP-систе- мой персонализированный подход может раскрываться через несколько ключевых моментов. Например, несмотря на упомянутые выше преимущества агентской архитек- туры, оптимальной считается гибридная схема, при которой поддерживается как сбор данных через агентов, так и по сети. Использование агентов гаранти- рует стабильную работу, не перегружает сеть, а также позволяет оперативно бло- кировать угрозы. Такая архитектура актуальна преимущественно для крупных организаций из. Enterprise-сегмента с большим количеством рабочих стан- ций. Для компаний с небольшим коли- чеством сотрудников рациональнее при- менять сбор данных по сети, который обеспечит простоту запуска и эксплуа- тации. Таким образом, если DCAP под- держивает обе схемы, то его конкурен- тоспособность значительно возраста- ет, – такой продукт способен подстроить- ся под любую организационную струк- туру. Отдельно стоит упомянуть про крупные корпорации с разветвленной сетью филиалов. Организационная структура филиалов может сильно отличаться от организа- ционной структуры главного офиса, и, как правило, она представляет собой более упрощенную ее версию. Но орга- низация одна, поэтому целесообразно использовать DCAP-решение от одного вендора. В таком случае именно гиб- ридная схема по сбору данных является еще одним конкурентным преимуще- ством современной системы, отражени- ем ее гибкости. Снова вернемся к отчетам. Ключевую роль в обеспечении адаптивности играет конструктор отчетов, позволяющий с нуля или на основании уже имеющихся создать свой собственный, новый, в некотором смысле уникальный, отчет – со своими настройками и фильтрами выдачи. Гибкость DCAP-системы также выражается через ее адаптивность к разным операционным системам. Наиболее распространен- ной при этом является ОС от Microsoft. В текущих условиях, когда акцент поставлен на импортоза- мещение, важна поддерж- ка отечественных опера- ционных систем семей- ства Linux. Персонализированный подход может обеспечи- ваться возможностью использовать собствен- ные словари или посред- ством применения единой консоли управления с возможностью гибкой настройки отображения. DLP + DCAP Адаптивность DCAP-решения отража- ется через его способность эффективно взаимодействовать с другими инстру- ментами информационной безопасности. Самая очевидная связка: DCAP с DLP. DCAP позволяет защитить данные в покое в рамках организационного пери- метра, а DLP может качественно его дополнить, особенно в отношении пере- сечения периметра – выхода информации за пределы организации. В связке друг с другом эти два решения создают более устойчивый и всеобъемлющий щит от внутренних угроз. При объединении этих двух решений нужно убедиться в том, что между ними точно не возникнет кон- фликтов, и каждое из них поддерживает настройки и требования друг друга. Отсю- да следует еще один важный момент: с точки зрения внутреннего устройства у DLP и DCAP имеется множество пере- сечений, совместная эксплуатация этих двух систем в рамках конкретной орга- низации может проявляться через исполь- зование общей консоли для управления, поддержку единых политик, словарей, меток, архивов, общих модулей. Все перечисленное становится возможным при объединении этих двух продуктов в виде единого решения, его нередко назы- вают DLP нового поколения (DLP NG). К сожалению, на практике, полноценная интеграция двух продуктов разных вен- доров маловероятна, о таких успешных кейсах мне пока не известно. Зато хоро- шо себя показывает объединение про- дуктов, выпускаемых одним вендором. Помимо того, что связка DLP NG исключает конфликт двух классов ПО, эта концепция предоставляет и другие преимущества и сценарии использова- ния: l взаимное обогащение данных для получения полной картины и точного прогнозирования; l единство в технологиях анализа дан- ных позволяет использовать общие поли- тики и словари; l общая веб-консоль и подходы к управ- лению данными; l единое хранилище данных и событий, которое позволяет сократить расходы на его внедрение и обслуживание – эко- номия ресурсов; l проведение расследований на новом уровне, более точная оценка рисков, улучшенное выявление аномалий, в сравнении с автономным использова- нием DLP- и DCAP-систем; l создание теневых копий важных фай- лов, а также открытие запароленных архивов. Вывод Три "П" – формула, за которой скры- ваются три ключевых подхода к кон- курентоспособности современных DCAP-решений. Превентивный подход раскрывается через сбор максимально исчерпывающей информации, который становится возможен при поддержке разнообразных источников, а также благодаря использованию агентов на рабочих станциях. Более того, за пред- отвращение в DCAP отвечают различ- ные технологии контентного анализа, функции по обнаружению угроз и про- счету риска для каждого файла. Пре- диктивный подход реализуется посред- ством использования множества отче- тов и поведенческого анализа. И, нако- нец, персонализированный подход – он же основополагающий в этой фор- муле – включает в себя: гибридную схему сбора данных (одновременную поддержку агентского сбора и сбора данных по сети), конструктор отчетов, поддержку разных ОС (в особенно- сти ∑ – систем семейства Linux), собст- венные словари, единую консоль управления с возможностью гибкой настройки отображения. И, конечно же, способность эффективно взаимо- действовать с другими средствами информационной безопасности, в осо- бенности – с DLP. l • 77 ТЕХНОЛОГИИ www.itsec.ru Ваше мнение и вопросы присылайте по адресу is@groteck.ru