29 июня, 2023

DCAP или DAG? Как выбрать систему защиты неструктурированных данных

Сегодня российский рынок систем защиты неструктурированных данных (DCAP/DAG) находится на стадии активного роста. На это повлияло несколько факторов: уровень зрелости процессов информационной безопасности в некоторых сферах бизнеса значительно вырос, увеличилось количество атак на российские компании, которые повлекли за собой массовые утечки персональных данных, а зарубежные вендоры начали массово покидать российский рынок. Теперь наши предприятия вынуждены в кратчайшие сроки найти замену привычным решениям и перейти на отечественные программное обеспечение и оборудование.

Прежде, чем перейти к критериям выбора DCAP/DAG, давайте определим, что мы понимаем под этими терминами.

 

DСAP или DAG?

Термин Data-Centric Audit and Protection (DCAP) был введен в широкое употребление компанией Gartner в 2014 году. Изначально он обозначал подход, подразумевающий использование продуктов для аудита и защиты, ориентированных на данные. Такой подход делает упор на безопасность самих данных, а не на безопасность сетей, оборудования или программного обеспечения. Одно из основных преимуществ подхода заключается в том, что он может применяться только к определенным категориям данных, которые необходимо защищать, что делает его масштабируемым без особого влияния на бизнес-процессы компании. Таким образом, безопасность данных согласуется со стратегией бизнеса.

В свою очередь Data Access Governance (DAG) представляет собой класс решений, для контроля и управления доступом к неструктурированным данным, который органично вписывается в концепцию, обозначенную Gartner.

В итоге именно термин DCAP прижился на российском рынке и стал обозначать класс решений, объединяющий в себе функциональность аудита неструктурированных данных, поведенческого анализа и автоматизированного реагирования на выявленные угрозы.

 

Как выбрать отечественного DCAP–вендора?

Теперь, когда мы определились с терминологией, давайте перейдем к критериям, которые влияют на выбор той или иной системы. Мы подготовили список рекомендаций – на что необходимо обратить внимание при выборе DCAP/DAG.

 

Зрелость решения

Российский рынок DCAP достаточно молодой, поэтому зрелость решения является важным критерием. При этом стоит обратить внимание на зрелость именно DCAP-системы, а не вендора, который может работать на рынке информационной безопасности более 10 лет.

 

Архитектура

Опыт компаний, которые внедрили DCAP показывает, что решения являются достаточно ресурсоемкими. Отдельное внимание стоит обратить на то, как в DCAP-системе настраивается сбор данных для анализа. Агентское решение (когда для сбора данных драйвер устанавливается непосредственно на файловый сервер) сильно сказывается на отказоустойчивости системы и может привести к замедлению работы файлового сервера и даже к его отказу. Безагентские режимы работы минимизируют риски, но могут потребовать предварительной настройки логирования.

 

Функциональность

Сравнение возможностей DCAP-систем требует отдельного внимания. Сегодня любой интегратор предоставит вам развернутые сравнения нескольких производителей. Но, учитывая новизну и стремительное развитие продукта, мы все же рекомендуем обратиться за сравнением непосредственно к вендору – так вы получите действительно актуальный документ, из которого вы сможете составить для себя объективное сравнение.

 

Поскольку функциональность DCAP можно объективно назвать масштабной, рекомендуем посмотреть вебинары и видеообзоры, которые можно найти на ресурсах вендоров, чтобы понять, какие возможности системы нужны именно вам. И конечно же, важным этапом для финального принятия решения о выборе продукта, является его тестирование, длительность которого составляет как правило около одного месяца. Итак, пройдемся по основным возможностям систем и расскажем, что должен уметь современный DCAP.

 

Файловый аудит

Позволяет выявлять конфиденциальную информацию, места её хранения и права доступа, классифицировать данные по категориям (банковская тайна, персональные данные и так далее), а также получить информацию о действиях с файлами и папками: изменение, копирование, перемещение, удаление. Файловый аудит призван автоматизировать процесс управления данными на файловых хранилищах.

 

Аудит доменных служб

Представляет собой контроль событий в Active Directory, GroupPolicy, Open LDAP и так далее. Помогает контролировать и управлять доступом к информационным ресурсам, получить подробные данные об изменениях в формате «кто, где, когда и какие действия выполнил», а также фиксирует изменения сетевого доступа.

 

Аудит корпоративной почты

Отображает, какие пользователи и группы имеют доступ к данным почтового сервера и как эти права доступа были получены. Помогает определить наличие доступа к чужой почте, пустые почтовые ящики, ящики с высоким уровнем риска.

 

Поведенческий анализ

Помогает оперативно обнаружить несанкционированные действия сотрудников и взломанные аккаунты. Позволяет вовремя обнаружить вирусы-шифровальщики и даже признаки DDoS-атаки.

 

Активная реакция на выявленные инциденты

Современная DCAP-система должна не только выявлять инциденты, но и уметь устранять их – например, заблокировать пользователя, а также запретить или изменить доступ к файлу или папке прямо из интерфейса системы. Стоит обратить внимание на наличие функциональности «песочницы», которая позволяет проверить, как повлияют те или иные изменения прав на работу с файлом или папкой, и избежать негативных последствий для бизнес-процессов.

 

Интеграция с другими решениями

Системы класса DCAP легко интегрируются с большинством корпоративных систем и сервисов (SIEM, DLP, HelpDesk, 1C и другими) через открытый API. Однако некоторые вендоры до сих пор используют собственный API для интеграции.

 

Техническая поддержка

Помимо технических характеристик продуктов, которые, как показывает практика, у всех ведущих разработчиков рано или поздно приходят к общему знаменателю, важно обратить внимание на уровень сервиса. Важными критериями выбора могут стать: варианты технической поддержки, которая может быть организована как напрямую от вендора, так и через интегратора скорость реакции на запросы, возможность выезда специалиста или онлайн-консультаций. Все это как правило можно выяснить в процессе пилотного проекта.

 

Удобство работы с системой

При выборе DCAP стоит обратить внимание на удобство работы с системой. Сегодня отечественные разработчики готовы предложить удобный современный инструмент с множеством тонких настроек и возможностью кастомизации. И даже если DCAP призван автоматизировать многие процессы, а вам не придется смотреть в интерфейс системы круглые сутки, некоторые производители предлагают смену цвета темы интерфейса, чтобы вам было приятно делать красивые и информативные отчеты.

 

Опыт и отзывы заказчиков

Материалы, которые рассказывают об опыте использования системы (whitepaper, successstory или истории успеха), можно найти в открытых источниках или запросить у вендора. Они подробно рассказывают о процессе выбора решения и помогают избежать подводных камней. Также мы рекомендуем почитать отзывы заказчиков, которые когда-то тестировали или уже активно используют DCAP-систему. Здесь желательно обратиться к авторитетным площадкам и каталогам программного обеспечения (Anti-Malware, CISOCLUB и другие).

 

Выводы

Выбор любого сложного ИТ и ИБ продукта является непростой задачей и может занимать достаточно времени и человеческих ресурсов. Однако, полноценное внедрение систем класса DCAP/DAG помогает избежать негативных последствий внешних угроз, инсайда, ошибок в бизнес-процессах или в настройках IT-инфраструктуры. Одним из важнейших факторов выбора является соответствие функциональных возможностей системы требованиям и задачам бизнеса. Также при выборе решения важно сравнить архитектуру решения, возможности интеграции и условия технической поддержки. Заказчику с ограниченными ИТ-ресурсами стоит обратить внимание на DCAP-системы, которые не требуют обязательной установки файловых агентов.

Стать автором BIS Journal

Смотрите также

Подписаться на новости BIS Journal / Медиа группы Авангард

Подписаться
Введите ваш E-mail

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных

19.04.2024
Банкиры просят продлить сроки импортозамещения «инософта»
19.04.2024
Россияне смогут получить ЭП за пределами страны
19.04.2024
В России появится консорциум по кибербезопасности ИИ
18.04.2024
У нас есть GitHub дома. Вместо нацрепозитория готовое решение от вендора?
18.04.2024
Минэк создаст профильную комиссию по ИИ-расследованиям
18.04.2024
Видеоидентификация клиентов банков уже в этом году?
18.04.2024
Дано: смартфон. Форма: «Аквариус». Суть: «Лаборатория Касперского»
18.04.2024
Члены АБД утвердили отраслевой стандарт защиты данных
17.04.2024
ФСТЭК будет аттестовать не готовое ПО, а процесс его разработки
17.04.2024
Китайцы используют карты «Мир» для бизнес-платежей

Стать автором BIS Journal

Поля, обозначенные звездочкой, обязательные для заполнения!

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных