DCAP или DAG? Как выбрать систему защиты неструктурированных данных
Сегодня российский рынок систем защиты неструктурированных данных (DCAP/DAG) находится на стадии активного роста. На это повлияло несколько факторов: уровень зрелости процессов информационной безопасности в некоторых сферах бизнеса значительно вырос, увеличилось количество атак на российские компании, которые повлекли за собой массовые утечки персональных данных, а зарубежные вендоры начали массово покидать российский рынок. Теперь наши предприятия вынуждены в кратчайшие сроки найти замену привычным решениям и перейти на отечественные программное обеспечение и оборудование.
Прежде, чем перейти к критериям выбора DCAP/DAG, давайте определим, что мы понимаем под этими терминами.
DСAP или DAG?
Термин Data-Centric Audit and Protection (DCAP) был введен в широкое употребление компанией Gartner в 2014 году. Изначально он обозначал подход, подразумевающий использование продуктов для аудита и защиты, ориентированных на данные. Такой подход делает упор на безопасность самих данных, а не на безопасность сетей, оборудования или программного обеспечения. Одно из основных преимуществ подхода заключается в том, что он может применяться только к определенным категориям данных, которые необходимо защищать, что делает его масштабируемым без особого влияния на бизнес-процессы компании. Таким образом, безопасность данных согласуется со стратегией бизнеса.
В свою очередь Data Access Governance (DAG) представляет собой класс решений, для контроля и управления доступом к неструктурированным данным, который органично вписывается в концепцию, обозначенную Gartner.
В итоге именно термин DCAP прижился на российском рынке и стал обозначать класс решений, объединяющий в себе функциональность аудита неструктурированных данных, поведенческого анализа и автоматизированного реагирования на выявленные угрозы.
Как выбрать отечественного DCAP–вендора?
Теперь, когда мы определились с терминологией, давайте перейдем к критериям, которые влияют на выбор той или иной системы. Мы подготовили список рекомендаций – на что необходимо обратить внимание при выборе DCAP/DAG.
Зрелость решения
Российский рынок DCAP достаточно молодой, поэтому зрелость решения является важным критерием. При этом стоит обратить внимание на зрелость именно DCAP-системы, а не вендора, который может работать на рынке информационной безопасности более 10 лет.
Архитектура
Опыт компаний, которые внедрили DCAP показывает, что решения являются достаточно ресурсоемкими. Отдельное внимание стоит обратить на то, как в DCAP-системе настраивается сбор данных для анализа. Агентское решение (когда для сбора данных драйвер устанавливается непосредственно на файловый сервер) сильно сказывается на отказоустойчивости системы и может привести к замедлению работы файлового сервера и даже к его отказу. Безагентские режимы работы минимизируют риски, но могут потребовать предварительной настройки логирования.
Функциональность
Сравнение возможностей DCAP-систем требует отдельного внимания. Сегодня любой интегратор предоставит вам развернутые сравнения нескольких производителей. Но, учитывая новизну и стремительное развитие продукта, мы все же рекомендуем обратиться за сравнением непосредственно к вендору – так вы получите действительно актуальный документ, из которого вы сможете составить для себя объективное сравнение.
Поскольку функциональность DCAP можно объективно назвать масштабной, рекомендуем посмотреть вебинары и видеообзоры, которые можно найти на ресурсах вендоров, чтобы понять, какие возможности системы нужны именно вам. И конечно же, важным этапом для финального принятия решения о выборе продукта, является его тестирование, длительность которого составляет как правило около одного месяца. Итак, пройдемся по основным возможностям систем и расскажем, что должен уметь современный DCAP.
Файловый аудит
Позволяет выявлять конфиденциальную информацию, места её хранения и права доступа, классифицировать данные по категориям (банковская тайна, персональные данные и так далее), а также получить информацию о действиях с файлами и папками: изменение, копирование, перемещение, удаление. Файловый аудит призван автоматизировать процесс управления данными на файловых хранилищах.
Аудит доменных служб
Представляет собой контроль событий в Active Directory, GroupPolicy, Open LDAP и так далее. Помогает контролировать и управлять доступом к информационным ресурсам, получить подробные данные об изменениях в формате «кто, где, когда и какие действия выполнил», а также фиксирует изменения сетевого доступа.
Аудит корпоративной почты
Отображает, какие пользователи и группы имеют доступ к данным почтового сервера и как эти права доступа были получены. Помогает определить наличие доступа к чужой почте, пустые почтовые ящики, ящики с высоким уровнем риска.
Поведенческий анализ
Помогает оперативно обнаружить несанкционированные действия сотрудников и взломанные аккаунты. Позволяет вовремя обнаружить вирусы-шифровальщики и даже признаки DDoS-атаки.
Активная реакция на выявленные инциденты
Современная DCAP-система должна не только выявлять инциденты, но и уметь устранять их – например, заблокировать пользователя, а также запретить или изменить доступ к файлу или папке прямо из интерфейса системы. Стоит обратить внимание на наличие функциональности «песочницы», которая позволяет проверить, как повлияют те или иные изменения прав на работу с файлом или папкой, и избежать негативных последствий для бизнес-процессов.
Интеграция с другими решениями
Системы класса DCAP легко интегрируются с большинством корпоративных систем и сервисов (SIEM, DLP, HelpDesk, 1C и другими) через открытый API. Однако некоторые вендоры до сих пор используют собственный API для интеграции.
Техническая поддержка
Помимо технических характеристик продуктов, которые, как показывает практика, у всех ведущих разработчиков рано или поздно приходят к общему знаменателю, важно обратить внимание на уровень сервиса. Важными критериями выбора могут стать: варианты технической поддержки, которая может быть организована как напрямую от вендора, так и через интегратора скорость реакции на запросы, возможность выезда специалиста или онлайн-консультаций. Все это как правило можно выяснить в процессе пилотного проекта.
Удобство работы с системой
При выборе DCAP стоит обратить внимание на удобство работы с системой. Сегодня отечественные разработчики готовы предложить удобный современный инструмент с множеством тонких настроек и возможностью кастомизации. И даже если DCAP призван автоматизировать многие процессы, а вам не придется смотреть в интерфейс системы круглые сутки, некоторые производители предлагают смену цвета темы интерфейса, чтобы вам было приятно делать красивые и информативные отчеты.
Материалы, которые рассказывают об опыте использования системы (whitepaper, successstory или истории успеха), можно найти в открытых источниках или запросить у вендора. Они подробно рассказывают о процессе выбора решения и помогают избежать подводных камней. Также мы рекомендуем почитать отзывы заказчиков, которые когда-то тестировали или уже активно используют DCAP-систему. Здесь желательно обратиться к авторитетным площадкам и каталогам программного обеспечения (Anti-Malware, CISOCLUB и другие).
Выводы
Выбор любого сложного ИТ и ИБ продукта является непростой задачей и может занимать достаточно времени и человеческих ресурсов. Однако, полноценное внедрение систем класса DCAP/DAG помогает избежать негативных последствий внешних угроз, инсайда, ошибок в бизнес-процессах или в настройках IT-инфраструктуры. Одним из важнейших факторов выбора является соответствие функциональных возможностей системы требованиям и задачам бизнеса. Также при выборе решения важно сравнить архитектуру решения, возможности интеграции и условия технической поддержки. Заказчику с ограниченными ИТ-ресурсами стоит обратить внимание на DCAP-системы, которые не требуют обязательной установки файловых агентов.
.png)