Обзор систем поиска конфиденциальных данных в корпоративной сети (Discovery DLP)

Прежде чем защищать данные, нужно знать, где они лежат. Отсутствие этой информации — причина большинства утечек. Discovery-системы (модули поиска данных) автоматизируют поиск и классификацию конфиденциальной информации в корпоративных хранилищах, работая как самостоятельно, так и в связке с DLP.

 

 

 

 

 

1. 1. Введение
2. 2. Что такое системы Discovery DLP и зачем они нужны
3. 3. Как развивается мировой рынок Discovery-систем
4. 4. Российский рынок Discovery-решений
5. 5. Комплексные DCAP-платформы
   
   1. 5.1. InfoWatch Data Discovery
   2. 5.2. «Гарда DCAP»
   3. 5.3. Solar DCAP
   4. 5.4. «СёрчИнформ FileAuditor»
6. 6. Discovery-модули в составе DLP-систем
   
   1. 6.1. Кибер Протего Discovery
   2. 6.2. Zecurion DLP Discovery
   3. 6.3. Falcongaze Discovery Module
   4. 6.4. Dozor File Crawler
7. 7. Специализированные и нишевые решения
   
   1. 7.1. Staffcop Enterprise
   2. 7.2. Data Discovery
8. 8. Выводы

Введение

Утечки данных происходят не только из-за сложных атак, но и из-за обычной небрежности в обращении с информацией. В любой крупной компании годами копятся старые базы, забытые сетевые каталоги, архивы проектов и документы, которые давно потеряли владельца. Всё это остаётся доступным внутри сети и становится удобной точкой входа для злоумышленников. Пока организация не понимает, какие данные у неё есть и где они находятся, защита работает наугад.

Актуальность проблемы подтверждает статистика: только за январь 2026 года в России зафиксировано 22 инцидента с утечкой более 398 млн записей. Среди них — персональные данные, контактная информация и учётные записи пользователей. Основные утечки пришлись на онлайн-платформы (276 млн записей) и госсектор (106 млн). Именно для того, чтобы избежать таких последствий, нужны системы, которые помогают наводить порядок в данных до того, как случится беда.

Системы класса Discovery (data discovery — автоматизированный поиск и классификация данных) обнаруживают конфиденциальную информацию во всех корпоративных хранилищах. В обзоре рассмотрены ключевые Discovery-решения российского рынка и их возможности.

Что такое системы Discovery DLP и зачем они нужны

Discovery-системы анализируют файловые системы, базы данных, облачные хранилища и рабочие станции. Они выявляют персональные данные, коммерческую информацию, финансовые документы, исходные коды и другие важные сведения. Это помогает определить, какие данные действительно присутствуют в инфраструктуре, а также обнаружить устаревшие, дублирующиеся или неиспользуемые файлы.

Рост объёмов данных делает ручную инвентаризацию невозможной. Gartner прогнозирует, что к 2026 году объём неструктурированных данных в крупных компаниях увеличится втрое по сравнению с 2023 годом. С 2021 по 2024 год затраты на цифровую инфраструктуру данных росли в среднем на 21,6 % ежегодно.

В российских компаниях уже сейчас хранятся петабайты информации: например, у «Почты России» в аналитическом хранилище более 9,7 петабайта данных, объединяющих более 900 серверов и около 20 технологических платформ, у Газпромбанка — более 3 петабайтов. Поддерживать порядок в таких объёмах без автоматизации невозможно.

Однако проблема не только в объёмах данных, но и в отсутствии контроля. Согласно отчёту Veza «2026 State of Identity & Access», 38 % всех учётных записей остаются неактивными более 90 дней, создавая потенциальные бэкдоры для злоумышленников. 8 % учётных записей (824 тыс. в среднем по крупным предприятиям) являются «осиротевшими»: они активны, но не имеют владельца в HR-системах. Нечеловеческие идентичности (сервисные аккаунты, API-ключи, токены) уже превосходят людей в соотношении 17:1, при этом всего 0,01 % таких идентичностей управляют 80 % всех облачных ресурсов.

Discovery-модули нужны не сами по себе. Их главная задача — подготовить инфраструктуру к работе систем предотвращения утечек (Data Loss Prevention, DLP). Без предварительной инвентаризации DLP захлебнётся в ложных срабатываниях, реагируя на устаревшие и бесхозные данные. Discovery наводит порядок, чтобы политики настраивались на реальные угрозы, а не на гипотетические.

Когда утечка всё же происходит, Discovery помогает понять, где ещё хранятся копии утёкших документов, кто к ним имел доступ и как они перемещались по внутренней сети до того, как попали наружу. Например, модуль InfoWatch Vision умеет автоматически строить маршрут движения документа, отслеживая его даже после переименования или небольшого редактирования.

Кроме того, компания постоянно меняется: появляются новые сотрудники, проекты, документы. То, что было упорядочено год назад, снова превращается в хаос. Регулярное сканирование позволяет вовремя находить новые скопления конфиденциальной информации и очищать их, пока они не стали источником утечки.

Как развивается мировой рынок Discovery-систем

Решения для поиска и классификации конфиденциальных данных относятся к категории DCAP (Data-Centric Audit and Protection) — систем, ориентированных на защиту самих данных, а не периметра сети. В отличие от DLP, которые контролируют данные «в движении» (передачу по каналам связи), DCAP работает с данными «в покое»: сканирует файловые серверы, базы данных, облачные хранилища и конечные устройства, выявляет чувствительную информацию, классифицирует её и контролирует доступ.

Лидеры среди комплексных DCAP-платформ — Varonis, Digital Guardian и Netwrix. Отдельную нишу занимают системы классификации данных, которые присваивают документам метки конфиденциальности. Здесь ключевые игроки — Spirion, GTB Technologies и Boldon James (входит в HelpSystems). Крупные технологические компании также активно развивают это направление: IBM, Microsoft, AWS, Palo Alto Networks, Oracle и другие предлагают собственные решения для обнаружения конфиденциальных данных, часто встроенные в их экосистемы безопасности.

По данным Verified Market Research, объём рынка систем обнаружения конфиденциальных данных в 2023 году оценивался в 7,5 млрд долларов, а к 2030 году, по прогнозам, достигнет 20 млрд долларов, увеличиваясь в среднем на 15,5 % ежегодно. Эта тенденция подтверждает растущий спрос на специализированные инструменты защиты данных.

 

Рисунок 1. Динамика мирового рынка Data Discovery (Источник: Verified Market Research)

 

Наибольшая концентрация компаний, использующих Data Discovery-инструменты (по данным 6sense, учитывающим все категории), приходится на США (40 903 компании, или 52,30 %), Францию (12 399, или 15,85 %) и Индию (6603, или 8,44 %).

 

Рисунок 2. Географическое распределение пользователей Data Discovery (Источник: 6sense)

 

При этом даже в технологически развитых странах ощущается дефицит кадров. 52 % компаний сталкиваются с нехваткой специалистов, способных работать с продвинутыми аналитическими платформами. Это дополнительно стимулирует спрос на автоматизированные решения, которые могут самостоятельно находить и классифицировать конфиденциальные данные без постоянного участия человека.

Российский рынок Discovery-решений

После введения оборотных штрафов за утечки персональных данных спрос на системы защиты вырос на 35–40 %. По оценке компании «Стахановец», объём российского рынка DLP-систем в 2026 году вырастет до 58 млрд. Discovery-модули, как встроенные в DLP-платформы, так и существующие в качестве самостоятельных решений, — неотъемлемая часть этого рынка.

В 2024 году вложения российских компаний в системы для поиска информации (DCAP/DAG) достигли 1,4 млрд рублей — на 40 % больше, чем годом ранее. Доля внедрения DCAP-систем за 3 года выросла почти в 10 раз: с 2,5 % в 2021‑м до 21 % в 2024‑м.

Главный драйвер внедрения Discovery-решений — выполнение требований закона 152-ФЗ «О персональных данных», приказов ФСТЭК №17, 21, 31 (требующих категорирования объектов и данных) и нормативов ЦБ для финансового сектора. С 1 марта 2026 года вступил в силу приказ ФСТЭК № 117, который вводит непрерывное управление рисками в государственных информационных системах, ужесточает требования к подрядчикам и обязывает автоматизировать контроль защищённости. Это напрямую повышает спрос на системы инвентаризации и классификации данных.

Для субъектов КИИ с сентября 2025 года обязательно использование отечественного ПО и непрерывное взаимодействие с ГосСОПКА. Компании должны не просто декларировать защиту, но и доказывать контролирующим органам, что знают, где хранится конфиденциальная информация и кто имеет к ней доступ.

Второй фактор — рост объёмов накопленных данных. По мере цифровизации объём неструктурированной информации растёт экспоненциально, и ручные методы инвентаризации перестают работать.

Третий — кадровый голод. Дефицит квалифицированных специалистов по информационной безопасности вынуждает компании автоматизировать процессы поиска и классификации данных, чтобы не тратить ресурсы на ручной аудит.

Отдельный фактор — импортозамещение. Уход западных вендоров DCAP (Varonis, Netwrix, Forcepoint) создал нишу, которую активно заполняют отечественные разработчики. Российские компании предлагают как специализированные DCAP-системы, так и DLP-платформы с развитыми Discovery-модулями, адаптированные под локальные требования.

Наибольший спрос на Discovery-решения приходится на финансовый сектор, госучреждения и предприятия критической информационной инфраструктуры (КИИ). Активно внедряют такие системы также ритейл и телеком, где накоплены большие объёмы данных о клиентах. По данным компании «Бастион», число кибератак на российский бизнес в первом полугодии 2025 года выросло на 30 %, и около 25 % утечек коммерческой информации происходят с личных устройств сотрудников. Малый и средний бизнес пока отстаёт по уровню внедрения: сказываются ограниченность бюджетов и недостаточное понимание рисков, хотя аналитики 6Wresearch называют этот сегмент перспективным для будущего роста.

В российских DLP-системах функциональность поиска и классификации данных реализованы по-разному. Одни вендоры делают ставку на глубокую интеграцию с модулем расследований, другие — на автономные сканеры файловых хранилищ. Ниже представлены ключевые решения на рынке.

Комплексные DCAP-платформы

В этом блоке собраны продукты, которые работают как отдельные системы и закрывают максимальное количество задач по аудиту и защите данных.

 

 

InfoWatch Data Discovery

Неконтролируемое хранение данных в корпоративной инфраструктуре создаёт риски утечки персональных данных и нарушения требований 152-ФЗ. 

InfoWatch Data Discovery (DD) — решение для обнаружения, классификации и контроля конфиденциальных данных в покое, реализующее ключевые сценарии систем класса DCAP. DD позволяет устранить причины утечек — конфиденциальные данные в открытом доступе.

Система сканирует файловые хранилища, рабочие станции и серверы, классифицирует файлы, анализирует права доступа, давая службе ИБ полный контроль над тем, какие данные существуют и кто имеет к ним доступ.

Сканирование выполняется по протоколам SMB, SSH, DFS, FTP, FTPS, WebDAV, HTTPS. Поддерживаются ресурсы на Windows и Linux, SharePoint Server, Nextcloud, Alfresco, «Яндекс Диск».

Особенности:

• контентный анализ, включая OCR-распознавание текста на изображениях, и классификация данных с использованием встроенных и настраиваемых правил;
• аудит файловых хранилищ и рабочих станций для поиска копий файлов и группировки похожих документов по содержимому с помощью технологий машинного обучения;
• горизонтальное масштабирование за счёт параллельной работы нескольких модулей сканирования — для корпоративных инфраструктур с большими объёмами данных;
• поддержка отечественных ОС, в том числе Astra Linux, РЕД ОС и ALT Linux;
• единый интерфейс с DLP и другими продуктами InfoWatch через Центр расследований — централизованное управление инцидентами, аналитика и отчётность в одной консоли.

 

Рисунок 3. InfoWatch Data Discovery для поиска конфиденциальной информации (Источник: InfoWatch)

 

Продукт включён в реестр российского ПО (реестровая запись № 16132 от 29.12.2022), а в составе комплекса InfoWatch Traffic Monitor сертифицирован ФСТЭК России (сертификат № 5034 от 03.03.2026) по 4 уровню доверия.

Подробнее — на сайте разработчика.

 

 

«Гарда DCAP»

«Гарда DCAP» — решение для аудита файловых хранилищ, контроля и управления доступом к информационным ресурсам. В отличие от DLP-систем, отслеживающих передачу данных, «Гарда DCAP» собирает информацию из служб каталогов (Active Directory, ALD Pro и других), рабочих станций, файловых хранилищ и почтовых серверов, формирует прозрачную матрицу доступа и помогает создавать ролевые политики.

Система не требует обязательной установки файловых агентов и не замедляет работу сети. Она сканирует хранилища под управлением Windows и Linux независимо от производителя системы хранения данных (СХД). На основе собранных сведений формируется матрица доступа к информационным ресурсам, выявляются места хранения конфиденциальной информации и её копии. Для найденных рисков система предлагает список рекомендаций — их можно устранить прямо в интерфейсе, не прибегая к ручным правкам.

Что обнаруживает:

• персональные данные в открытом доступе;
• избыточные права доступа к конфиденциальной информации;
• учётные записи с паролями без срока действия или вовсе без паролей;
• неактивных пользователей и аккаунты с аномальной активностью;
• дубликаты документов, фото- и видеоархивы, неделовые файлы, которые занимают лишнее место.

DCAP не просто собирает информацию, но и анализирует поведение пользователей, выявляя аномалии. Если сотрудник начинает обращаться к папкам, которыми ранее не пользовался, или вместо 20 файлов в день начинает работать с 200, система фиксирует такие изменения. Это не всегда означает утечку, но может быть признаком подготовки к ней.

 

Рисунок 4. Принцип работы «Гарда DCAP» (Источник: «Гарда»)

 

При обнаружении нарушений предусмотрено активное реагирование: рассылка уведомлений (в SIEM, по электронной почте, в мессенджеры), принудительное завершение сессии пользователя, смена пароля, блокировка АРМ или учётной записи. Также возможны настройки кастомных сценариев автоматического реагирования.

«Гарда DCAP» интегрируется с DLP-системами, SIEM и другими корпоративными системами и сервисами.

Продукт включён в реестр российского ПО (реестровая запись № 6299 от 07.04.2020) и имеет сертификат ФСТЭК России № 4744 от 08.12.2023.

Подробнее — на сайте разработчика.

 

 

Solar DCAP

Модуль DCAP — это решение класса Data-Centric Audit and Protection, предназначенное для контроля и защиты неструктурированных и полуструктурированных данных, хранящихся в службах каталогов и файловых серверах. Продукт разработан ГК «Солар» и появился на рынке в ноябре 2023 года. С тех пор вышло несколько обновлений — версии 1.1, 1.2, 2.0 и 2.1. Система включена в единый реестр российского ПО Минцифры.

DCAP выявляет чувствительные данные, классифицирует их, определяет права доступа к ним. Для этого используются агентские модули на источниках данных. Скорость анализа — до 4 ТБ в сутки, обработка событий — миллионы записей ежедневно.

Система находит в корпоративных данных персональные сведения, шаблоны договоров, изображения паспортов и другие формы данных. Она отслеживает права доступа в реальном времени, хранит историю изменений и позволяет посмотреть, как выглядел набор прав в любой момент. Все операции с файлами регистрируются с целью оперативного обнаружения несанкционированного доступа. Предусмотрена возможность настройки уведомлений о событиях, связанных с конфиденциальными данными.

В отчётах содержатся сведения о распределении полномочий между пользователями, а также фиксируются все внесённые изменения. В филиальной сети каждый офис видит только свои данные, а центральный офис — всю картину целиком.

 

Рисунок 5. Архитектура системы DCAP (Источник: Solar)

 

Модуль DCAP интегрируется с DLP-системой Solar Dozor, импортируя политики классификации информации для анализа контента в корпоративных хранилищах. При обнаружении несанкционированного действия над объектом система может автоматически отправлять заявку на блокировку учётной записи сотрудника в IDM-системе Solar inRights.

Таким образом, решение DCAP обеспечивает строгое соответствие прав доступа к неструктурированным данным компании: доступ получают исключительно уполномоченные сотрудники согласно настроенным политикам. Дополнительно система отслеживает пользовательскую активность, отправляет мгновенные оповещения офицерам ИБ и анализирует использование всех данных в файловых хранилищах. Это сокращает затраты на администрирование и обеспечивает необходимый уровень информационной безопасности.

Аналитический подход и интеллектуальное управление доступом к данным помогают структурировать существующие права доступа и выполнять аудит данных внутри информационной системы, делая упор на безопасность.

В версии 2.0 и последующих заявлена совместимость с DLP- и IDM-решениями сторонних вендоров, а также с другими продуктами в области информационной безопасности и информационных технологий, работающими с данными о файловых хранилищах и активности пользователей.

Программный комплекс включён в единый реестр российского ПО (реестровая запись № 23432 от 30.07.2024).

Подробнее — на сайте разработчика.

 

 

«СёрчИнформ FileAuditor»

«СёрчИнформ FileAuditor» — DCAP-система компании «СёрчИнформ» для автоматического аудита файловых хранилищ, обнаружения конфиденциальной информации и контроля доступа к документам. Решение может работать как автономно, так и в связке с DLP-системой «СёрчИнформ КИБ», защищая данные в покое и в движении.

«СёрчИнформ FileAuditor» классифицирует файлы и управляет доступом к ним на рабочих станциях и файловых серверах под управлением ОС Windows и импортонезависимых ОС Linux: Alt Linux, Astra Linux, RedOS, CentOS, Ubuntu, SberOS и Debian.

Система работает с хранилищами на macOS в режиме eDiscovery. Контролирует файлы в облачных сервисах (по протоколам S3, NextCloud, WebDAV и другие), FTP-хранилищах, на почтовых серверах (Exchange), в корпоративных платформах с подсистемами хранения и обмена файлами: Microsoft 365, Jira, Confluence, VK Workspace и другими. Сканирование файлов происходит в агентском режиме для ПК и локальных хранилищ, в сетевом — для внешних источников.

Отслеживает операции с файлами в реальном времени — открытие, редактирование, копирование, перемещение, удаление — и фиксирует историю изменений. Вычитывает права доступа, контролирует распределение прав в Active Directory.

FileAuditor может блокировать доступ к файлам и опасные сценарии их обработки на уровне драйвера, используя собственную технологию управления альтернативными файловыми потоками. Это позволяет предотвращать инциденты ещё на этапе работы с файлами, а не только при попытке их передачи наружу.

Основные возможности:

• более 450+ предустановленных правил классификации и шаблонов для поиска персональных данных и документов;
• запатентованная технология блокировки доступа по выставленным меткам, поиск дубликатов и неучтённых копий документов;
• резервное копирование критичных классов данных с сохранением заданного числа редакций;
• аудит прав доступа и выявление открытых ресурсов, контроль перемещения критичных файлов в хранилища с общим доступом;
• интеграция с Microsoft 365 (SharePoint, Teams, OneDrive) и поддержка S3-совместимых хранилищ;
• работа на Windows, Linux (включая отечественные операционные системы) и macOS.

Система визуализирует структуру хранилищ, показывает дерево папок с правами пользователей, расположение важных документов и действия сотрудников.

 

Рисунок 6. Как работает FileAuditor (Источник: «СёрчИнформ»)

 

При интеграции с DLP-системой метки классификации позволяют распознавать конфиденциальные документы при их передаче по почте, через мессенджеры, на USB-носители, в облачные сервисы и блокировать утечки без дополнительного контентного анализа. В веб-консоли КИБ доступен поиск по архиву FileAuditor, что предоставляет сотруднику службы безопасности единое пространство для анализа данных: где документ хранился, кто его открывал и куда он пытался его отправить.

«СёрчИнформ FileAuditor» поддерживает работу в импортозамещённых инфраструктурах. Решение используется в организациях, работающих с персональными данными, коммерческой тайной и критичными документами. В 2025 году продукт стал лауреатом премии «Цифровые вершины» в номинации «Лучшее решение для повышения информационной безопасности».

Продукт включён в единый реестр российского ПО (реестровая запись № 22647 от 24.05.2024). Программный комплекс «КИБ Серчинформ 6.0» имеет сертификат ФСТЭК России № 4933 от 30.04.2025.

Подробнее — на сайте разработчика.

Discovery-модули в составе DLP-систем

Здесь перечислены модули, которые входят в состав более крупных DLP-платформ и расширяют их функциональные возможности.

 

 

Кибер Протего Discovery

Кибер Протего Discovery — модуль поиска конфиденциальной информации в корпоративных хранилищах, входящий в состав DLP-системы «Кибер Протего» (Cyber Protego). Продукт изначально выпускался под именем DeviceLock Discovery компанией «Смарт Лайн Инк», а после поглощения в 2020 году компанией Acronis получил новое позиционирование: на российском рынке активно развивается под брендом «Кибер Протего», а на международном известен как Acronis DeviceLock DLP (развитие фактически заморожено).

Модуль сканирует рабочие станции под управлением Windows, файловые серверы, NAS-устройства и сетевые хранилища, включая локальные папки синхронизации облачных сервисов.

Сканирование выполняется в двух основных режимах: безагентном — удалённо по протоколу SMB и агентском — с использованием лёгкого Discovery-агента (для компьютеров без основного агента DLP) или основного DLP-агента.

Методы анализа:

• контекстный и лингвистический поиск по ключевым словам и регулярным выражениям;
• цифровые отпечатки документов для выявления копий и фрагментов;
• сигнатурная идентификация файлов;
• OCR-распознавание текста в изображениях и встроенных картинках;
• рекурсивная проверка архивов разных типов и уровней вложенности;
• возможность поиска документов в Elasticsearch с применением правил обнаружения (для Elasticsearch возможны только протоколирование и отправка оповещений).

При обнаружении конфиденциальных данных модуль может автоматически удалять файлы, изменять права доступа (NTFS), шифровать (EFS), отправлять оповещения в SIEM и уведомлять пользователей.

 

Рисунок 7. Интерфейс Кибер Протего (Источник: Кибер Протего)

 

Кибер Протего Discovery может работать автономно, но наиболее эффективно используется в связке с другими компонентами DLP Suite. Результаты сканирования помогают уточнять политики безопасности, блокировать передачу помеченных документов и объединять события по данным в покое и в движении, что ускоряет расследования и повышает уровень защиты корпоративной информации.

Программный комплекс «Кибер Протего» включён в единый реестр российского ПО (реестровая запись № 13712 от 01.06.2022).

Подробнее — на сайте разработчика.

 

 

Zecurion DLP Discovery

Zecurion DLP Discovery — модуль в составе Zecurion DLP для поиска, классификации и контроля хранения конфиденциальных данных в корпоративной среде. Он сканирует рабочие станции (Windows, Linux), ноутбуки, файловые серверы, сетевые папки, облачные хранилища и внешние устройства.

Система поддерживает гибкий сбор данных: через сетевой мониторинг и агентов на устройствах. Можно контролировать как стационарные компьютеры, так и ноутбуки, которые не всегда находятся в сети.

Zecurion использует более десяти технологий детектирования:

• регулярные выражения для идентификации структурированных данных (номера карт, паспортные данные);
• словари, тематические базы и морфологический анализ MorphoLogic;
• цифровые и графические отпечатки документов для поиска конфиденциальной информации в тексте и изображениях;
• распознавание текста (OCR) в изображениях, скриншотах и отсканированных документах;
• самообучающаяся технология SmartID собственной разработки, которая повышает точность классификации за счёт анализа контекста и методов машинного обучения.

Сканирование запускается по расписанию или в момент сохранения и копирования файлов. Модуль работает с более чем 450 форматами документов.

Отдельная функция — анализ черновиков в Microsoft Exchange. Если сотрудник создал письмо с конфиденциальными данными, сохранил его в черновиках, а потом скачал через веб-клиент и удалил, Discovery всё равно зафиксирует факт работы с документом.

При выявлении нарушений модуль может сделать запись в журнал, базу данных или Syslog, отправить уведомления пользователю и администратору (в т. ч. через мессенджеры), создать инцидент, переместить файлы в защищённое хранилище или удалить их. Все события собираются в единой базе данных и доступны через веб-консоль Zecurion Reports. Там же отображаются отчёты, дашборды и данные других модулей Zecurion DLP.

 

Рисунок 8. Как работает Zecurion Discovery (Источник: Zecurion)

 

Discovery работает на российских операционных системах Astra Linux, РЕД ОС и ALT Linux. Функциональность модуля помогает выполнять требования по защите персональных данных, объектов КИИ и стандартов Банка России.

Модуль входит в состав программного комплекса Zecurion DLP, который включён в единый реестр российского ПО (реестровая запись № 2469 от 20.12.2016).

Подробнее — в нашем обзоре и на сайте разработчика.

 

 

Falcongaze Discovery Module

Falcongaze Discovery Module — встроенный компонент DLP-системы SecureTower для инвентаризации данных и контроля их хранения. Модуль анализирует все взаимодействия с файлами на рабочих станциях, файловых серверах, сетевых хранилищах и облачных сервисах, фиксируя документы, которые содержат конфиденциальную информацию или нарушают политики хранения.

В основе работы — контентный анализ. Используются поиск по ключевым словам с учётом морфологии, регулярные выражения и распознавание текста в изображениях. SecureTower поддерживает широкий набор форматов и умеет работать с вложенными файлами, архивами и документами, которые сотрудники перемещают между локальными и сетевыми ресурсами.

Discovery Module встроен в общую архитектуру SecureTower, поэтому результаты сканирования дополняются поведенческой аналитикой. В системе доступны графы взаимосвязей, диаграммы активности и другие инструменты UBA, которые помогают увидеть, как сотрудники работают с данными, и замечать отклонения от привычных моделей поведения. Такой подход полезен при расследовании инцидентов и выявлении скрытых рисков.

 

Рисунок 9. Просмотр результатов поиска (Источник: Falcongaze)

 

Все события и результаты анализа отображаются в консоли SecureTower. Там же настраиваются правила поиска, параметры сканирования и политики безопасности. Доступ к модулю регулируется правами: администратор может ограничить круг сотрудников, имеющих доступ к Discovery и архиву данных.

Модуль входит в состав платформы FalconGaze SecureTower, которая включена в единый реестр ПО для государств — членов ЕАЭС (реестровая запись № 22eac от 23.04.2020 года) и имеет сертификат ФСТЭК России № 4488 от 07.12.2021 года.

Подробнее — на сайте разработчика.

 

 

Dozor File Crawler

Dozor File Crawler — это модуль инспектирования файловых хранилищ в составе DLP-системы Solar Dozor. Модуль сканирует файловые ресурсы с общим доступом — сетевые папки на файловых серверах и рабочих станциях, облачные хранилища, почтовые серверы по протоколу IMAP4 и содержимое архивов теневого копирования некоторых средств защиты информации (СЗИ). Поддерживаются хранилища под управлением Windows, Linux, macOS, а также российских операционных систем.

File Crawler строит подробную карту корпоративной сети, выявляя не только файловые ресурсы, но и открытые порты, почтовые серверы, системы управления базами данных (СУБД), веб-серверы, серверы приложений и сетевое периферийное оборудование (МФУ, принтеры, маршрутизаторы). Это помогает обнаруживать неконтролируемые узлы и ресурсы, развёрнутые без ведома службы информационной безопасности. Результаты предыдущих сканирований сохраняются в базе модуля и могут использоваться для ускорения повторных проверок — инкрементальное сканирование фиксирует только изменения с момента последнего запуска.

Модуль позволяет сканировать исторически накопленные почтовые сообщения (включая доступ по единому паролю администратора) для выявления нарушений, которые могли происходить до внедрения DLP-системы. При поиске можно ограничиться конкретными сотрудниками или ключевыми словами в темах писем. Результаты помогают не только найти утечки, но и понять, были они случайными или намеренными — анализируется структура папок (входящие, черновики, удалённые), где обнаружены конфиденциальные данные.

 

Рисунок 10. Отображение файлов, найденных в ходе сканирования Dozor File Crawler

 

В версии Solar Dozor 8 модуль связан с подсистемой расследований Dozor Detective. В ней объединяются данные из разных источников: DLP, систем электронного документооборота, «1С», СКУД, видеонаблюдения. Универсальный плеер 4D показывает хронологию действий сотрудника на единой временной шкале. Такой подход помогает быстро восстановить контекст и оценить характер инцидента.

File Crawler включён в единый реестр российского ПО (реестровая запись № 7437 от 30.11.2020). Система Solar Dozor имеет сертификат ФСТЭК России № 4459 от 30.09.2021 и также включена в реестр отечественного ПО (запись № 25822 от 28.12.2024).

Подробнее — в нашем обзоре и на сайте разработчика.

Специализированные и нишевые решения

Продукты, которые либо закрывают специфические задачи (например, аудит в облачных хранилищах), либо являются частью других классов систем, но содержат важную Discovery-функциональность.

 

 

Staffcop Enterprise

В феврале 2026 года компания «Атом Безопасность» выпустила обновление системы расследования инцидентов Staffcop Enterprise. Система получила файловый сканер для инвентаризации и категоризации данных на рабочих станциях и в хранилищах.

Сканер собирает сведения о файлах, передаёт информацию на сервер и классифицирует документы по заданным правилам — по расширениям, ключевым словам, регулярным выражениям, с учётом морфологии. Найденным файлам можно присваивать метки, а затем на основе этих меток настраивать дополнительные меры защиты, например, блокировать копирование помеченных документов на USB-носители. Сканирование работает под управлением операционных систем Windows и Linux.

 

Рисунок 11. Интерфейс файлового сканера (Источник: Staffcop Enterprise)

 

Также предусмотрена интеграция с системой «Спектр.Маркер», что позволяет использовать её метки в метаданных файлов для более точной настройки политик. Метки, проставленные во внешней системе, автоматически учитываются при сканировании и могут служить основанием для применения правил DLP.

Администратор настраивает категории файлов для поиска, запускает сканирование на рабочих станциях, просматривает результаты и проставляет метки на найденные документы. Затем в модуле DLP создаются правила блокировки на основе этих меток — так система не только находит нарушения, но и предотвращает дальнейшую работу с конфиденциальными файлами.

В версиях до 5.7 сканер предоставлялся как прототип, в более новых требует отдельной лицензии. При активации нового сканера старый становится недоступен, а все операции по сканированию и установке меток выполняются через новый интерфейс.

Продукт включён в единый реестр российского ПО (реестровая запись № 8828 от 21.01.2021).

Подробнее — в документации разработчика.

 

 

Data Discovery

Data Discovery — отдельный модуль в составе Kaspersky Endpoint Security Cloud (версии Plus и Pro) от «Лаборатории Касперского». Он не сканирует локальные файловые серверы или рабочие станции, а предназначен для поиска и классификации конфиденциальных данных в облачных хранилищах Microsoft 365: SharePoint, OneDrive и Teams.

Основные возможности:

• аудит изображений, текстовых и офисных документов;
• анализ прав доступа к файлам с указанием типа совместного использования: частный (доступ только у владельца), внутри компании, за пределами организации;
• информация о том, кто вносил последние изменения в файл;
• виджет консоли управления показывает до 10 последних обнаруженных файлов, таблица — до 1000 записей;
• данные из таблицы можно выгрузить в CSV-формате для анализа или отчётности.

Функция доступна при подключении организации Microsoft 365 к рабочей области Kaspersky Endpoint Security Cloud. Это можно сделать как при первичной настройке, так и позже, включив функцию в консоли управления.

 

Рисунок 12. Консоль управления Kaspersky Endpoint Security Cloud (Источник: Kaspersky)

 

Платформа Kaspersky Endpoint Security Cloud включена в единый реестр российского ПО (реестровая запись № 2804 от 10.02.2017).

Подробнее — в документации разработчика.

Выводы

Рынок Discovery-систем и DCAP-решений в России перешёл от стадии зарождения к активному росту. Драйверами этого роста стали требования регуляторов (Федеральный закон № 152-ФЗ, приказы ФСТЭК России) и кратное увеличение объёмов неструктурированных данных.

Представленные на рынке продукты можно разделить на два класса: комплексные DCAP-платформы (InfoWatch, «Гарда», Solar), которые берут на себя аудит прав доступа и управление жизненным циклом данных, и Discovery-модули в составе DLP (Кибер Протего, Zecurion, Falcongaze), которые фокусируются на поиске конфиденциальной информации для последующего контроля её перемещения.

Выбор конкретного решения зависит от зрелости процессов информационной безопасности в компании. Для организаций, только приступающих к инвентаризации, эффективнее подойдут специализированные DCAP-системы. Для тех, кто уже использует DLP-платформу, логичным шагом станет активация встроенного Discovery-модуля, что позволит замкнуть контур контроля данных в покое и в движении в единой консоли.