BIS Journal №4(43)/2021

10 января, 2022

DCAP, кап, кап. Неотъемлемый компонент DLP для борьбы с утечкой информации

DCAP — достаточно молодой класс продуктов в области корпоративной безопасности, который не очень хорошо знаком потребителям, а эксперты до сих пор спорят о терминах и не могут сойтись даже на перечне решаемых задачах. При этом DCAP часто отводится роль компонента DLP. В данной статье оценим применимость таких систем для предотвращения утечки информации, разберём другие возможности и попытаемся очертить профиль их использования.

 

ТОЛЬКО ДЛЯ ДЖЕНТЕЛЬМЕНОВ

Обнаружение, категоризация и защита конфиденциальных данных часто фигурируют в списке основных задач DCAP. Кажется, это обособленный и законченный процесс. Но стоит сразу разрушить иллюзии, DCAP — это не защита от утечек, а лишь дополнение к ней. Использование DCAP автономно, в качестве DLP оно будет сродни воротам в поле — красиво, но легко обходится, стоит лишь сойти с дорожки (рис. 1). В то же время глупо отрицать пользу DCAP, ведь в грамотно построенном решении этот продукт может взять на себя роль системы раннего оповещения и даже предотвращения угроз. С фокусом на данных (Data Centric) и связанных с ними событиями и сущностями. 

Рисунок 1. Джентльмен в обход не пойдёт

 

ПРИЧИНЫ ДОЛГОЙ ЮНОСТИ

Дата-центричная модель защиты существует уже не один десяток лет, но сегмент DCAP молод и слабо распространён. В чём кроется причина? Наверное, в основном это возможность решать задачи DCAP другими инструментами и отсутствие остроты проблемы. Тем более здесь специалист может продемонстрировать свои компетенции (настроить права доступа на папки) и сэкономить деньги компании. Информация уже хранится и люди с ней как-то работают. По факту же получается, что такая экономия оказывается сомнительной. Файловые хранилища всё более разрастаются, структура папок усложняется, появляются всё новые и новые копии тех же файлов, количество версий превосходит все разумные рамки, поиск нужного файла становится нерешаемой проблемой (проще сделать документ с нуля), актуализация вообще никак не происходит. И это только верхушка айсберга, ведь обеспечить безопасность подобной файловой помойки представляется затруднительным. Избыточные копии и права доступа, нелогичные места хранения ещё более затрудняют дело.

Другими причинами пренебрежения DCAP могут быть недостатки самих продуктов. Это тоже можно объяснить в условиях, когда рынок ещё не сформировался, и подходы к разработке продуктов, их архитектуре и особенностям работы и у разных вендоров сильно отличаются. Например, гибридная модель работы, когда в продукте есть и сетевой компонент, и агент — скорее исключение. Хотя именно такой подход даёт лучший результат и контроль над данными в отличие от установки исключительно сетевого или только локального модулей.

 

КАТАЛИЗАТОР СИНЕРГИИ

Следующий этап — это взаимодействие с остальными компонентами корпоративной безопасности. Чаще всего продуктам DCAP приходится работать в связке с DLP и SIEM — это ближайшие союзники. В свою очередь полезными для DCAP являются IRP и UBA/UEBA-системы. IRP в виде отдельного продукта либо как функциональность, встроенная в DCAP, помогает управлять системой и координировать деятельность ответственных сотрудников, что особенно актуально для крупных компаний. Впрочем, даже единственный сотрудник находит применение IRP в качестве встроенного планировщика задач для себя самого. UBA, хотя и не является обязательным компонентом, поставляет данные для анализа закономерностей и профилей поведения. Синергетический эффект такой связки позволяет прогнозировать и выявлять сложные угрозы, то, что недоступно другим системам или не отслеживается политиками, основанными на стандартных условиях можно/нельзя (рис. 2).

Рисунок 2. DCAP обладает наибольшей ценностью, являясь компонентом DLP

 

О ВРОЖДЁННОЙ ИНТЕГРАЦИИ

DCAP — это вообще не про статичную картину в моменте. Будучи компонентом DLP, система позволяет выявлять неочевидные связи между сотрудниками, которые выстраиваются не напрямую, а через файлы. Более того, таким образом можно отследить пути появления, точки изменений, всю историю файлов, что одинаково полезно при расследовании прошлых инцидентов и прогнозировании рисков, выявлении сложных схем мошенничества, распространившихся с момента начала пандемии, когда люди почувствовали неуверенность в завтрашнем дне. Поэтому важен двусторонний обмен данными между DCAP и DLP, обогащение информации, собираемой сенсорами каждой из систем. На практике такой обмен расширит горизонт применения связки, даст возможность детектировать новые типы угроз, настраивать новые виды реакций. А с точки зрения управления — это единые политики, упрощение настройки и эксплуатации, бесшовная защита. Всё это указывает на необходимость врождённой, а не приобретённой интеграции между компонентами единой системы.

Следующий шаг — интеграция DCAP и DLP в рамках одной платформы позволит исключить избыточность использовать общие ресурсы. DLP уже обладает набором технологий контентного анализа, включая морфологию, шаблоны, цифровые отпечатки, метод опорных векторов и многие другие. Соответственно, DCAP может использовать эти технологии для симметричной категоризации файлов.

 

ВИРТУОЗ В РАБОТЕ С ДАННЫМИ

Возвращаясь к возможностям самого DCAP, продукт по своей сути должен быть наглядным. Ведь он не изменяет данные, не создаёт новых, не меняет структуру хранения и является только надстройкой над данными. Суть задачи — упростить работу с данными, поэтому и сам он должен быть простым и наглядным. Как в автомобиле, вместо того, чтобы прилагать усилие напрямую к рычагам, проще воспользоваться рулём, не рассчитывая нужные вектор и силу. В этом контексте DCAP в одном окне показывает структуру и классы данных, в том числе из разных источников/силосов сразу, как файлов, так и почтовых и AD-объектов. При этом подсвечивает нарушения прав, избыточные или неиспользуемые, фактических владельцев данных, действия с объектами. В обязательном порядке — дашборды для оценки текущей ситуации и отслеживания изменений, а также отчёты, в том числе в режиме онлайн, графики, статистика и… снова приходим к профилированию UBA и обогащению данных из других источников.

 

ОБ ИСПОЛЬЗОВАНИИ

После того как мы очертили контуры функциональности DCAP, обратим внимание на практику использования. Сегодня необходимым набором является поддержка Windows, Linux, Exchange, Active Directory — это база. Endpoint-агенты, адекватные enterprise-архитектуре заказчика, с централизованной установкой и способные работать самостоятельно в самых больших масштабах, ведь enterprise — это не тысячи, а десятки тысяч рабочих мест. Ну и, конечно, разумная защита от админа, исключающая злоупотребление служебным положением, тоже должна быть реализована.

 

ПОДВЕДЁМ ИТОГИ

DCAP — это полезный модуль DLP. Синергия совместного использования продуктов двух классов позволяет находить новые угрозы и собирать более полные отчёты и досье. А технологии контентного анализа, скорее всего, в DLP развиты даже лучше. В случае если DLP и DCAP поставляются одним вендором, это упрощает работу со связкой, унифицирует политики безопасности и отчёты, экономит ресурсы на внедрение и интеграцию, а самое главное — даёт больше сценариев для выявления корпоративных угроз.

Используя DCAP без DLP теряется львиная доля смысла, особенно в части защиты от утечки. Причём этот симбиоз полезен и для DLP, поэтому DLP-вендоры сейчас активно развивают функциональность в своих продуктах, и именно эти решения будут доминировать на рынке в ближайшие годы.

DCAP почти всегда — это работа с большими объёмами данных, поэтому даже в небольших компаниях требования не сильно отличаются от enterprise. При этом само решение должно быть понятным и удобным, полнофункциональным уже из коробки для того, чтобы справиться с анархией данных, какая часто встречается в реальных компаниях. DCAP выявляет риски избыточного, некорректного и неактуального доступа и даёт возможность эффективно управлять правами с минимальными трудозатратами. А параллельно поставляет полезную информацию для защиты от других внутренних угроз.

Смотрите также