Журнал "Information Security/ Информационная безопасность" #5, 2024

• 45 УПРАВЛЕНИЕ www.itsec.ru Активное развитие рынка DLP-систем породило распространенное заблужде- ние, что защита чувствительных данных сводится исключительно к предотвра- щению утечек. При этом часто упус- кается из виду необходимость обес- печения доступности информации – ключевого элемента непрерывности биз- нес-процессов. Сотрудники ежедневно создают, копируют и пересылают мно- жество файлов, которые также нуж- даются в защите. DLP-решения эффективно обнаружи- вают подозрительную активность, напри- мер, частую отправку документов по электронной почте, в мессенджеры или на принтер. Такие действия могут сви- детельствовать о подготовке сотрудника к увольнению, позволяя вовремя пред- отвратить утечку данных. Но DLP, напри- мер, неспособны ответить на такие вопросы: "Какие данные хранятся в ИТ- инфраструктуре?", "В каком объеме?", "Кто имеет к ним доступ?". Для этого необходимы решения класса DCAP, которые позволяют определять распо- ложение данных и их классифицировать. Потребность в DCAP-системе часто осознается, когда ИТ-отдел сталкива- ется с регулярными запросами на вос- становление утраченных или удаленных файлов, а также с проблемами, свя- занными с утечкой конфиденциальной информации в публичный доступ. Неко- торые ИТ-специалисты пытаются решать эти задачи вручную, создавая скрипты и проводя разовые проверки. Однако такие подходы не обеспечивают регулярного и автоматизированного контроля. Термин DCAP был введен компанией Gartner в 2014 г., а активное развитие этого направления на отечественном рынке началось в 2019 г. Некоторые производители интегрируют DCAP как модуль в свои DLP-решения, создавая таким образом более функциональные и универсальные системы. DCAP-системы незаслуженно остают- ся в тени, когда речь заходит о защите данных, уступая место более популяр- ным DLP-решениям. Существует рас- пространенное заблуждение, что раз- вернув DLP, можно спать спокойно. Однако это далеко не так. Не только периметр и не только данные DCAP-системы уходят от традицион- ной периметральной защиты, смещая акцент с охраны сетевых границ на защиту данных непосредственно в местах их хранения, а автоматизиро- ванный аудит и мониторинг учетных записей позволяют минимизировать потенциальные точки уязвимости, значи- тельно сокращая поверхность атаки. Системы DCAP эффективно решают также задачу защиты учетных записей в Active Directory. С их помощью можно обнаруживать, например, пользователей без установленных паролей или сроков действия, а также выявлять аномальное поведение. Особое внимание уделяется контролю сервисных учетных записей, которые часто обладают привилегиро- ванным доступом к приложениям, дан- ным и компьютерам. Такие аккаунты представляют особую ценность для зло- умышленников, и их защита становится приоритетной задачей для ИБ. DCAP-системы ускоряют реагирование на инциденты и их расследование, пре- доставляя детализированные журналы аудита и инструменты мониторинга, чтобы выявлять первопричины наруше- ний, минимизировать ущерб и пред- отвращать их повторение. Решения DCAP демонстрируют гиб- кость и масштабируемость, адаптируясь к изменяющимся условиям работы с дан- ными – увеличению их объемов, разно- образию форматов и изменению мест хранения, что делает систему надежным инструментом, способным поддерживать развитие организации и учитывать тех- нологические изменения. Российские решения На российском рынке представлено несколько решений DCAP, среди кото- рых выделяются два лидера и несколько начинающих игроков, что дает неплохой выбор. При оценке важно учитывать зрелость решения и реальные особен- ности его внедрения. Например, несмот- ря на заявления вендоров о простоте установки, не все системы внедряются легко и быстро. К примеру, агентские решения, где драйвер устанавливается на сервер для сбора данных, могут негативно влиять на производитель- ность файловых серверов и их отказо- устойчивость. Безагентские системы минимизируют эти риски, но часто тре- буют предварительной настройки логи- рования. Некоторые DCAP-решения обладают функцией устранения инцидентов, поз- воляя прямо из интерфейса заблокиро- вать пользователя или изменить доступ к файлам и папкам. Редко, но встреча- ется и функция песочницы, где можно протестировать, как изменения прав повлияют на доступность данных. Заключение Множество векторов атак начинаются внутри компании, поэтому защита исклю- чительно на периметре становится недо- статочной. DCAP и DLP усиливают друг друга, работая на разных уровнях. DCAP фокусируется на неструктурированных данных и управлении правами доступа, в то время как DLP отслеживает актив- ность сотрудников и предотвращает утечки на уровне сетевых потоков. А совместное применение этих систем повышает общую степень защищенности организации. l DCAP и DLP: гармония взаимодействия ащита данных как “в движении", так и “в покое" – одна из задач подразделения информационной безопасности современного предприятия. Основное внимание уделяется охране персональных данных и коммерческой тайны, объединяемых под понятием “чувствительная информация". Информация “в движении" защищается системами DLP, а защиту данных “в покое" обеспечивают системы DCAP. З Дмитрий Костров, заместитель ГД по информационной безопасности ДКБ, IEK GROUP Ваше мнение и вопросы присылайте по адресу is@groteck.ru