За последние 5 лет в РФ рынок систем контроля и управления доступом к неструктурированным данным (DCAP / DAG) вырос в 18 раз. Как DCAP-решения помогают организовать доступ к конфиденциальным данным? Каковы требования регулятора? Как DCAP интегрируется с другими ИБ-решениями и что ждёт этот рынок в ближайшие годы? Вендоры и эксперты отвечают на эти и другие вопросы в прямом эфире в студии AM Live.
- Введение
- Состояние рынка DCAP-систем
- Технические особенности и внедрение DCAP-решений
- 3.1. Какие метаданные собирают DCAP?
- 3.2. С какими системами в первую очередь интегрируется DCAP?
- 3.3. Как привлечь пользователя?
- 3.4. Можно ли масштабировать занимаемое базой DCAP место на диске?
- 3.5. Насколько интеллектуальны DCAP решения?
- 3.6. Нестандартные применения DCAP из практики
- 3.7. Как обойти DCAP?
- Тренды и прогнозы развития рынка DCAP
- Ответы на вопросы слушателей
- Выводы
Введение
Очередной прямой эфир из студии Anti-Malware.ru прошёл 16 июня 2021 года. Спикеры обсудили, какие решения позволяют контролировать доступ к неструктурированным данным и управлять им.
Практически в любой компании тем или иным образом организовано файловое хранилище, с которым постоянно взаимодействуют сотрудники. Некоторые данные конфиденциальны и требуют соответствующего порядка хранения и контроля доступа. Как увидеть именно важные данные в файловом хаосе? DCAP-решения позволяют сделать это, а также удостовериться, что информация хранится безопасно и правильно.
На данный момент можно сказать, что DCAP неспецифичны для рынка ИБ в России и применение данного класса решений только набирает обороты, происходит созревание заказчика. Сегодня мы разберёмся, насколько важен DCAP, кому и для каких задач он подходит, затронем примеры из практики, сделаем прогноз развития на ближайшие несколько лет.
На встречу были приглашены следующие эксперты:
- Иван Дудоров, ведущий системный инженер Varonis.
- Алексей Парфентьев, руководитель отдела аналитики компании «СёрчИнформ».
- Роман Подкопаев, генеральный директор MAKVES.
Модератором выступил Иван Шубин, руководитель службы информационной безопасности компании «Элекснет».
К прямому эфиру подключались слушатели: задавали вопросы в чате, участвовали в опросах, результаты которых формировали текущую картину понимания обсуждаемой темы.
Предлагаем ознакомиться с ключевыми моментами прошедшей встречи.
Состояние рынка DCAP-систем
В чём суть подхода DCAP?
Традиционно дискуссия началась с терминологии и определений. DCAP (Data-Centric Audit and Protection) и DAG (Data Access Governance) — это подход к созданию системы безопасности, в рамках которого пользовательские данные являются первоочередной целью защиты.
Задача DCAP — это защита данных, которые лежат и никак не обрабатываются. Это контентное разграничение доступа: не по объектам файловой системы, а по содержимому. DCAP-системы, как правило, не пересекаются с IDM или DLP. DCAP — решения «из коробки», но могут поставляться и как дополнительный модуль.
Иван Дудоров:
— С точки зрения триады «конфиденциальность, целостность, доступность» пользователь не должен иметь доступ к данным выше, чем ему требуется для выполнения обязанностей, необходимо контролировать разрушительные процессы (шифровальщик, удаление данных) и обеспечить инструментарий для доступа к данным (привилегии и быстрое согласование).
Почему DLP не хватает для управления данными?
Специалисты согласились, что DLP и DCAP уравнивать нельзя, так как эти системы решают разные задачи. E-discovery определяет, правильно ли хранится информация, DLP не может защитить статичные данные, а DCAP — более базовая вещь и решает актуальные задачи для многих отраслей.
Многие DCAP выросли в отдельный продукт из DLP.
DCAP и требования регуляторов
Спикеры постоянно сталкиваются с нарушениями закона о хранении персональных данных, и это — естественный процесс. Данные постоянно перемещаются, организуются, это обычная жизненная ситуация. Например, в компании добавили диски, что-то скопировали, забыли удалить или экспортировали и т. д. DCAP позволяет выявить подобные нарушения, контролировать хранение персональных данных и работу с ними внутри организации.
Алексей Парфентьев:
— 152-ФЗ — требование работы с персональными данными, любой оператор должен вести полноценный аудит работы с персональными данными, что невозможно без DCAP-системы.
Роман Подкопаев добавил, что требование есть, но пока что нет существенного наказания за нарушения. Штраф будет увеличен в ближайшее время.
Рисунок 1. Насколько хорошо вы знакомы с решениями DCAP?
55 % слушателей осведомлены о принципах работы DCAP-систем.
Самодельный DCAP или «коробочное» решение?
Решение может быть и на скриптах «под себя», единицы это даже реализуют, но DCAP-система — это и анализ данных, это комплексные рекомендации организовать хранение информации и доступ к ней максимально эффективно и безопасно.
Алексей Парфентьев:
— Практика показывает, что задачу написать свой софт не берутся решать даже крупные ИТ-компании (Huawei), и они приходят к нам, в узкоспециализированную организацию.
Насколько вырос рынок DCAP-систем в РФ за последние 5 лет?
По данным приглашённых экспертов, за 5 лет в 18 раз увеличилось число закупок DCAP-систем. Происходит рост понимания и осведомлённости заказчика, для чего нужны эти системы, как выстраивать современную комплексную структуру безопасности в компании. «Файрвол и антивирус» — этого уже недостаточно.
Также специалисты отметили, что 5 лет назад DCAP приходилось презентовать, объяснять многие вещи более подробно, и это не всегда находило отклик у заказчиков, не все видели важность продукта.
Технические особенности и внедрение DCAP-решений
Второй блок встречи был открыт вопросом о типах носителей данных. Современные DCAP-системы поддерживают аппаратные и программные хранилища, в основном это — локальное хранилище, и неважно, что именно оно собой представляет физически: главное — охватить все данные.
Какие метаданные собирают DCAP-системы?
Стандартные метаданные, которые содержит файл; специфические данные метаполей (DOC, XLS, JPG и т. д.). Спикеры отметили, что заказчики часто просят включить поддержку файловых меток, «водяных знаков», которые DCAP-системы должны обязательно видеть.
DCAP — это и права доступа к другим системам, сайтам, а также аудит данных: кто какие файлы открывал, откуда подключался, в каком контексте пользователь работает с данными. Создаётся полная картина действий сотрудника, которая отображается в удобном интерфейсе.
Здесь же — эффективное противодействие криптолокерам, так как DCAP уменьшает площадь атаки, строго разграничивая доступ.
Рисунок 2. Можно ли, на ваш взгляд, реализовать достаточный по функциональности DCAP на базе открытого исходного кода?
48 % респондентов затруднились ответить, согласно данным второго опроса в ходе трансляции.
С какими системами в первую очередь интегрируется DCAP?
Это зависит от заказчика, ответил Роман Подкопаев. Основная информация собирается из инфраструктуры (файлы, «учётки», события), остальное зависит от задач, от конкретного случая. Можно как отдавать данные в SIEM или СКУД, так и забирать их оттуда. Поддерживается интеграция с DLP и другими системами.
Как привлечь пользователя?
Спикеры разошлись во мнениях по этому вопросу. Алексей Парфентьев считает, что DCAP больше подходит квалифицированному сотруднику, а пользователя можно привлечь для категоризации файлов, применяя удобный интерфейс через портал самообслуживания.
Иван Дудоров:
— Онлайн-заявка через такой портал для доступа к файлам пользователя — полезная опция; когда заявка проходит цепочку согласований, это удобно всем.
Роман Подкопаев думает, что пользователя не стоит привлекать к этому и нагружать его неквалифицированной задачей; пусть он лучше занимается своими обязанностями, а служба ИБ — своими.
Можно ли масштабировать занимаемое базой DCAP место на диске?
Да, к тому же хорошая DCAP-система хранит метаданные максимально удобным и сжатым способом, поддерживая опцию выгрузки. Архив событий за год занимает определённый фиксированный объём.
Спикеры подчеркнули, что при этом мы не храним файлы — мы храним метаинформацию, ссылки, метки.
Насколько интеллектуальны DCAP-решения?
Эксперты отметили интеграцию и получение данных извне для обогащения уже собранных DCAP данных. Чем больше источников данных поддерживает DCAP, тем более полная и чёткая картина собирается. Система всегда работает аккуратно, не нарушая бизнес-процессы.
Роман Подкопаев:
— DCAP очень гибок, отдаёт и забирает данные от многих систем, обрабатывает их, всё зависит от кейса. Например, с одной стороны, свой драйвер работы с файлами на «эндпойнте» иметь хорошо для аналитики, но с другой стороны — это удар по производительности и надёжности.
Нестандартные применения DCAP из практики
Алексей Парфентьев привёл пример, когда заказчик «пилотировал» систему только для того, чтобы организовать бэкап конкретных критически важных файлов, другие функции его совершенно не интересовали.
Иван Дудоров рассказал о случае, когда DCAP-систему использовали для контроля рабочего времени сотрудников.
Как обойти DCAP?
Эксперты сошлись во мнении, что по сути обходить здесь нечего, так как это — не DLP. DCAP видит всё то, что не видит DLP.
DCAP-систему могут воспринимать неправильно, потому что DCAP показывает состояние дел в инфраструктуре, порядок, который должен быть. И если все рекомендации выполнены, риски закрыты, то площадь атаки уже снижена, подчеркнули эксперты.
Рисунок 3. Интеграция с какими системами ИБ важна для вас в первую очередь?
Почти половина слушателей считает, что в первую очередь важна интеграция с SIEM / SOC.
Тренды и прогнозы развития рынка DCAP
Заключительная часть встречи обозначилась вопросами об узаконивании использования DCAP и прогнозом развития рынка DCAP-решений.
Использование DCAP — это внутренний регламент компании по обращению с данными. Развитие рынка идёт в сторону автоматизации, это движение к «одной кнопке», которую нажал — и на контуре всё стало хорошо. Многие заказчики покупают DCAP и используют его от силы на 60 %, потому что не хватает ресурсов привести всю инфраструктуру в порядок быстро, процесс растянут во времени.
Алексей Парфентьев:
— Возвращаемся к ФЗ-152, который практически настаивает на использовании DCAP, но это не DLP, юридически узаконивать использование DCAP не требуется. Общий тренд — вовлечение пользователя в процесс и упрощение DCAP до «одной кнопки».
Станет ли DCAP частью систем типа DLP и что ждёт нас в ближайшие 2–3 года на рынке DCAP?
По мнению специалистов, нас ждут рост автоматизации и повышение зрелости заказчика, так как DCAP-системы — это важная часть киберзащиты в компании. DCAP будет постепенно поглощать DLP и двигаться в облачные сервисы.
Роман Подкопаев:
— Увидим рост рынка, появление новых игроков, будем вместе популяризировать DCAP.
Алексей Парфентьев:
— DCAP движется к обособленному самостоятельному решению. Со временем функции DCAP будут интегрированы в операционную систему, как когда-то был интегрирован файрвол или антивирус.
Рисунок 4. Каково ваше мнение относительно решений DCAP?
Согласно данным финального опроса 39 % слушателей заинтересовались решениями DCAP и готовы их тестировать.
Ответы на вопросы слушателей
Нужен ли DCAP-системе активный режим работы, когда система может удалить файл и изменить права доступа к нему?
Система использует принцип «не навреди» и никак не затрагивает бизнес-процессы. Если что-то отклоняется от настроенных политик, то система оповещает об этом. Не исключены ложные срабатывания, требуется вмешательство администратора. DCAP без проактивных мер — это не DCAP, потому как цель — защищать данные, иначе получается обычный Е-discovery.
Как быть с облаками?
В РФ существует законодательство, которое не позволяет выносить персональные данные в облака. Если выйти за пределы РФ, то это — гибридная организация данных, где DCAP должен поддерживать интеграцию с основными облачными сервисами. Кроме того, для пользователя принципы работы с данными локально и облачно по сути не отличаются, но структура хранения данных в облаках — не самая прозрачная.
Роман Подкопаев:
— По сути DCAP — это основа безопасности хранения данных, распределения прав доступа.
Можно ли с помощью DCAP понять, у кого какие персональные данные на рабочем столе и кто их «слил», в случае инцидента?
Можно найти, понять и отследить, кто именно и когда изменял файл — DCAP-система позволяет увидеть полный жизненный цикл. С точки зрения защиты эффективна интеграция с DLP: когда DCAP-система произвела автоматический анализ, а DLP приняла решение заблокировать отправку файла.
Может ли DCAP помочь открыть запароленные архивы?
На практике брутфорс архивов и запароленных файлов применяется редко. Здесь вопрос скорее состоит в том, почему в организации есть файлы, к которым ограничен доступ не только групповыми политиками, но еще и паролями.
Алексей Парфентьев отметил, что функция брутфорса полезна и интересна заказчикам.
В чём принципиальное отличие DCAP от DAG?
DCAP — это методология, алгоритм, когда мы фокусируемся на данных и строим защиту вокруг них. DAG — это уже класс решений, который нацелен на управление этими данными. Получается своеобразная система: немного кейлогер, немного SIEM, немного бэкап и т. д.
Есть ли в DCAP контроль учётных данных и анализ поведения?
Как только профиль поведения пользователя меняется — например, когда он работал с одними данными, а теперь переключился на другие, — DCAP-система отправляет уведомление. Поддерживаются самообучающиеся модели, которые формируют подобные профили поведения.
Спикеры отметили, что машинное обучение можно настроить более тонко, когда администратор вручную помогает системе оптимизировать правила, добавляет собственные. Важность и глубина «тюнинга» определяются конкретной задачей.
Как продавать бизнесу подобные классы систем?
Как отметили спикеры, после первичного анализа инфраструктуры продажа заканчивается, когда заказчик видит хаос в организации доступа к конфиденциальным файлам.
Иван Дудоров поделился опытом, сказав, что за шесть лет работы встретил только одну компанию, у которой был порядок в системе хранения данных; это был небольшой банк.
Алексей Парфентьев:
— На этапе «пилота» заказчик видит, надо ему это или нет. Данные — это актив, как деньги. Второй путь продажи — это обращение к регулятору. Постепенно штрафы за нарушения возрастают.
В какие структуры включают специалистов обслуживающих DCAP-системы (ИТ, ИБ, офис и т. д.)?
DCAP-системам нужны специалисты по ИБ, аналитики по данным и доступам. Всё это происходит на стыке ИБ и ИТ: ИБ выдаёт рекомендации, выполнять их может отдел ИТ.
Иван Дудоров:
— Ещё важны владельцы данных, нужен фидбэк от бизнеса, здесь [происходит] взаимодействие бизнеса и ИБ.
Алексей Парфентьев считает, что задача DCAP — обеспечить безопасность, так что для обслуживания скорее нужны специалисты по ИБ.
Какие стратегии защиты информации стоит применять, если есть «холодные», «тёплые» и «горячие» данные?
Здесь вырисовывается матрица доступа и приоритизации. «Холодные» данные — это бэкап с аудитом. «Горячие» — минимальные права, контроль доступа.
Выводы
Системы DCAP реализуют политики «нулевого доверия», минимизации прав, аудита доступов и информационных потоков. Профессиональная грамотная классификация любых типов данных выстраивается с помощью DCAP-решений.
Собирая данные из разных источников, DCAP выявляет и показывает проблемы и аномалии, которые не видны в других системах. Появляется порядок в инфраструктуре компании, прозрачная организация работы сотрудников с ценными данными.
Решения DCAP — не самые популярные на рынке в данный момент, но крайне перспективные, особенно в рамках ужесточения контроля за персональными данными со стороны регулятора. В ближайшие несколько лет нас ждут автоматизация и упрощение решений для контроля и управления доступом к неструктурированным данным, а также постепенное поглощение DLP и эволюция в более комплексные продукты.
Подписывайтесь на наш канал, участвуйте в наших опросах и дискуссиях, задавайте вопросы спикерам в чате, получайте актуальную информацию по самым современным направлениям в информационной безопасности на AM Live!
