Сильный конкурент западным решениям. Обзор DCAP-системы Zecurion для упорядочения данных в корпоративной среде

BIS Journal №4(47)2022

28 ноября, 2022

Сильный конкурент западным решениям. Обзор DCAP-системы Zecurion для упорядочения данных в корпоративной среде

В 2022 году на рынок DCAP-систем вышел новый игрок — российская компания Zecurion, получившая мировое признание и высокие оценки Gartner, IDC и Forrester за собственную DLP-систему. Попробуем критически оценить новый продукт, на что способен, так ли он нов и какие преимущества перед конкурентами может предложить.

 

Вместо введения – для чего нужны DCAP-системы

DCAP (Data-centric auditand protection) предназначены для решения проблемы безопасного хранения информации, а именно:

  • составить полную карту хранения данных, включая почтовые системы и файловые архивы
  • выявить документы, содержащие персональные данные, информацию, попадающую под действие регулирующих актов, сведения, составляющие коммерческую и банковскую тайну и другие типы информации ограниченного доступа.
  • установить контроль над правами пользователей, избежать нерегламентированного и избыточного доступа к важной информации.
  • вести мониторинг движения информации и выявлять потенциально небезопасные действия.
  • оценивать риски, связанные с каждым объектом данных, местом хранения или пользователем.
  • формировать отчетность, показывающую различные срезы данных и связанных с ними событий информационной безопасности.

Перечень широк, но в решениях класса Enterprise DLP уже имелись Discovery-модули, которые находили и помогали защищать конфиденциальные данные компаний. Тогда зачем понадобился новый продукт?

 

Zecurion DCAP как элемент единой экосистемы информационной безопасности

Действительно, Zecurion смог использовать свои многолетние разработки в области DLP и хранения корпоративных данных для запуска нового продукта, и в целом DCAP — это один из элементов корпоративной платформы кибербезопасности для защиты от внутренних (DLP, Staff Control) и внешних (NGFW, SWG) угроз с единой консолью управления, общей базой событий и инцидентов, упрощающей расследование любых нарушений в сети. Помимо этого есть Zecurion Storage Security для шифрования данных на серверах и резервных носителях и DCAP. Последние два продукта повышают защищённость информации на этапе хранения, тогда так DLP и NGFW сокращают угрозы при обработке и передаче данных.

Совместная работа нескольких продуктов позволяет уменьшить количество ложных срабатываний за счёт взаимного обогащения данными. А единое хранилище снижает издержки на передачу данных и увеличивает скорость их обработки. Продукты имеют общие политики, обеспечивающие бесшовную защиту от разных угроз по всем каналам передачи данных.

Разработки Zecurion имеют сертификаты ФСТЭК и внесены в реестр отечественного ПО. Портфолио вендора выглядит как сильный вариант для построения полноценной системы безопасности данных на принципах реального, а не «бумажного» импортозамещения.

 

Как работает Zecurion DCAP

Ниже, краткий обзор функциональных возможностей Zecurion DCAP в разрезе методологии работы системы – от сбора первичной информации до формирования отчётности.

 

Сбор данных

Полнота и качество первоначальных данных имеют решающее значение для аудита и безопасного хранения информации. Zecurion DCAP способен контролировать данные находящиеся на файловых серверах, локальных хостах, и в папках общего доступа. Помимо этого, система работает с информацией из служб домена Active Directory и LDAP, а также получает данные о входящей и исходящей электронной почте с серверов Exchange.

 

Обработка

После сканирования очередного источника данных Zecurion DCAP проводит классификацию содержащейся в нём информации. Цель этого этапа – выбрать из всего массива данных те, что могут представлять ценность для компании.

В отличие от конкурентов, Zecurion применяет свыше 10 технологий контентного анализа, включая словари, морфологию, цифровые отпечатки, метод Байеса и др., которые позволяют очень точно классифицировать информацию.

 

Анализ угроз

Классификация — это лишь основа для сбора событий информационной безопасности и выявления киберугроз. Ещё на этапе сбора информации DCAP имеет возможность определить так называемые пассивные угрозы: документы с общим доступом, внегрупповые наборы прав, псевдоадминистраторские права. Здесь же определяются реальные владельцы файлов, подсвечиваются регулярные пользователи тех или иных данных, находятся зоны избыточного доступа.

Однако наибольший эффект даёт динамический анализ данных. Изменение, перемещение, открытие объекта, содержащего критически важные данные, предоставление прав доступа к документу или папке, создание новых и изменение имеющихся наборов прав, а также десятки других событий не только фиксируются системой, но и оцениваются с точки зрения рисков информационной безопасности.

Технологии Zecurion заточены на работу в больших и очень больших организациях. DCAP может обрабатывать события со скоростью до 1 Тбайт в час, её архитектура специально разработана для работы с распределённой сетевой инфраструктурой.

 

Реагирование

Безусловно, выявлением инцидентов и созданием алертов возможности Zecurion DCAP не ограничиваются. При необходимости Zecurion DCAP может реагировать на обнаруженные нарушения.

Помимо стандартного для DCAP-систем набора функций реагирования, разработка Zecurion обладает расширенным набором возможностей, которые выделяют её среди аналогичных решений. К таким функциям относится теневое копирование данных. В этом случае офицера безопасности получает в своё распоряжение не просто запись об инциденте, а полную копию данных, связанных с событием.

Zecurion DCAP в автоматическом режиме может заблокировать учётную запись пользователя. Это крайняя, но весьма эффективная мера противодействия утечкам данных. Если есть основания полагать, что сотрудником движут преступные намерения или же его аккаунт взломан, лучше просто лишить его доступа к системе, после чего спокойно разбираться нарушением. При этом, для проведения дальнейшего расследования не требуется внешний инструментарий, Zecurion DCAP обладает собственным IRP-модулем, куда может быть отправлена информация об инциденте.

 

Отчёты и интерфейс

Важное преимущество Zecurion DCAP — мощная система отчётов. Помимо традиционного для продуктов вендора дашборда с таблицами и графическими виджетами, пользователю доступны несколько десятков готовых отчётов, раскрывающих все необходимые срезы собранной базы. Каждый шаблон можно дополнительно настроить, а если и этого окажется мало, отчёт можно собрать, используя удобный конструктор.

Отдельно отметим систему рекомендации Zecurion DCAP. Для большинства контролируемых объектов решение будет рассчитывать уровень риска. Подсистема должна охватить как файлы, папки и хранилища в целом, так и пользователей, группы, конкретного админа, а также структурные подразделения.

 

Итоги

Безусловно, у Zecurion DCAP большой потенциал в своём сегменте. Функциональные возможности стартового релиза системы сразу выводят её в лидеры сегмента на отечественном рынке и, как минимум, сильного конкурента западным решениям для контроля и хранения данных. Перечислим ещё раз сильные стороны:

  • Глубокая интеграция DCAP c Zecurion DLP и другими продуктам вендора. Системы используют единый массив данных, взаимно обогащая накопленную информацию.
  • Zecurion DCAP использует весь стек фирменных технологий анализа данных вендора, хорошо зарекомендовавших себя в Zecurion DLP, это позволяет точно классифицировать корпоративные данные.
  • Работа через агенты позволяет Zecurion DCAP собирать максимальный объём данных с конечных точек, серверов и сетевых хранилищ. Кроме того, в ряде случаев агенты могут самостоятельно реагировать на потенциально опасные действия, пресекая возможные инциденты.
  • Глубокий разбор событий Active Directory. Zecurion DCAP не только способен подробно расшифровывать стандартные события службы каталогов, но и может контролировать ещё более полутора десятков действий внутри AD.
  • Помимо операционных систем Microsoft, Zecurion DCAP полноценно работает с серверами и рабочими станциями под управлением ОС на базе Linux.

Как встретит новинку рынок, покажет время. Однако первый взгляд на Zecurion DCAP даёт основание утверждать, что в этом сегменте появился очень серьёзный игрок. Система с архитектурой, заточенной под инфраструктуру Enterprise-заказчиков, обладающая богатым набором функций и технологий, многие из которых уникальны даже по сравнению с глобальными конкурентами. Решение, учитывающее особенности отечественного рынка и поддерживающее широкий стек операционных систем.

Стать автором BIS Journal

Смотрите также

Подписаться на новости BIS Journal / Медиа группы Авангард

Подписаться
Введите ваш E-mail

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных

29.11.2024
«Глонасс»: Видеокамеры в автомобилях могут выдать геопозицию водителя
29.11.2024
Таргетированные информкампании уберегают россиян от скамеров
29.11.2024
YouTube обращается к российским блогерам, но игнорирует Роскомнадзор?
29.11.2024
«Официальные периоды распродаж — это благодатная почва для злоумышленников»
29.11.2024
О последнем (?) сетевом сбое ноября
28.11.2024
AOSP-проблемы: ограничения в модели распространения и настроения Google
28.11.2024
Минцифры строит планы на ближайшие два года по антифрод-направлению
28.11.2024
На телеком-рынке США впервые признали атаку на сети компании
28.11.2024
Конференция Код ИБ ИТОГИ совсем скоро!
28.11.2024
ВШЭ: Навыки для работы с ИИ требуются представителям разных профессий

Стать автором BIS Journal

Поля, обозначенные звездочкой, обязательные для заполнения!

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных