За первый квартал 2022 года число атак на компании в сравнении с тем же периодом 2021 года выросло в 8 раз. 65% атак направлены на получение конфиденциальных корпоративных данных, которые находятся на файловых хранилищах и почтовых серверах, а также на изменение состояния контроллеров доменов и т.д. Затруднение поставок вынуждает компании оптимизировать ресурсы, снижая зависимость от закупки нового оборудования для хранения данных.
В то же время, в корпоративных файловых хранилищах и почтовых серверах зачастую царит хаос. Документы дублируются в разных местах, большая часть их никогда не изменяется или не используется вовсе, политики доступа настроены некорректно или не настроены вовсе. Как решить проблему и навести порядок с самым ценным активом компании – данными?
DCAP: новое решение старых проблем?
Термин DCAP является достаточно молодым, в России о таких системах заговорили всего лишь около года назад. Проблема не является новой, решения были представлены на рынке в основном зарубежными поставщиками и назывались немного другим термином – DAG (Data Access Governance). Обострение ситуации с информационной безопасностью в мире сделало эту тему более актуальной наряду с другими.
Какие же проблемы могут принести хранилища неструктурированных данных?
Хранилища неструктурированных данных – это, в первую очередь, файловые хранилища на Windows, Linux, СХД разных производителей, почтовые серверы, MS SharePoint. Около 80% данных компаний являются неструктурированными, причем прирост составляет до 30% в год (исходя из данных по закупкам оборудования). Поскольку сейчас с закупкой оборудования возникли некоторые сложности, темпы прироста замедлились, но актуальнее стала задача оптимизации файловых хранилищ – одна из решаемых DCAP-системами.
По данным компании CyberPeak, до 65% атак направлены на получение конфиденциальной информации из неструктурированных данных; 20% информации не приносят никакой пользы бизнесу и представляют собой копии, файлы без изменений и пр.
Риски, которые несут неструктурированные данные:
несоблюдение требований регуляторов
утечки конфиденциальной информации
риски масштабных потерь данных от вредоносного ПО
репутационные риски
замедление и остановка бизнес-процессов
DCAP-системы – это не антивирус, и ИБ в компании должна достигнуть определенного уровня развития и зрелости, прежде чем может встать вопрос развертывания таких продуктов.
Сколько стоит инцидент безопасности? Это равно средствам, которые мы потратим на восстановление от ущерба. Поэтому средство безопасности не должно стоить больше.
Покупка средств ИБ в РФ реактивна. Если компания выжила после инцидента, то она готовы приобрести средство. Пока инцидента не было – обосновать приобретение очень сложно.
Задачи, решаемые DCAP
Для IT-департамента – вопросы, касающиеся в основном аудита прав доступа и оптимизации ресурсов:
обнаружение действий шифровальщиков
помощь в распределении нагрузки на вычислительные ресурсы
контроль и прогноз заполняемости файловых хранилищ
помощь в оптимизации файловых хранилищ
формирование отчетности о неиспользуемых файлах
формирование отчетности о дублирующихся файлах
Для департамента ИБ – вопросы, связанные с классификацией и обнаружением конфиденциальной информации:
определение бизнес-владельца любого объекта
выявление сотрудников, имеющих доступ к объекту
список объектов, к которым есть доступ у сотрудников
кто из сотрудников и как использует данные
построение модели поведения сотрудника
определение излишнего доступа у сотрудников к данным
инструменты для расследований утечек данных
Какие решения есть на рынке РФ сейчас?
Орлан.DCAP (Инновации безопасности)
Infowatch, Ростелеком-Солар (краулеры в составе DLP)
Что интересного предлагает CyberPeak?
DCAP/DAG «Спектр» решает задачу защиты хранилищ неструктурированных данных и контроллеров домена на больших объемах данных (до нескольких петабайт) и размеров компании до сотен тысяч сотрудников. Система рассчитана на компании от 200 сотрудников, наличие файловых хранилищ и контроллера домена, без определенной специфики отрасли.
Есть ли возможность использования отдельных модулей СПЕКТР без приобретения полной версии?
Продукт лицензируется по модульному принципу, в зависимости от количества учетных записей и типов защищаемых хранилищ. Базовая комплектация включает Модуль аудита и анализа прав доступа, дополнительная – модули аудита Microsoft Active Directory, классификации данных защищаемых серверов, поведенческой аналитики, оповещений и отчетности, поиска по содержимому файлов, портал выдачи/отзыва прав доступа и разрешений. Кроме того, есть возможность покупки срочных лицензий.
Какие есть альтернативы DCAP-системам?
скрипты на Powershell для мониторинга прав доступа
логи windows для отслеживания событий
бесплатный пилотный проект DCAP-системы
применить DLP для регистрации утечек конфиденциальных данных
автоматизировать процессы управления данными
регламентация процессов организационного управления
внедрить asset management. Файлы – это лишь один из типов активов. Только за счет комплексного построения информационной модели можно навести порядок с данными.
Дальнейшее развитие DCAP систем
Файловыми хранилищами задачи DCAP не ограничиваются, все больше данных хранятся в различных системах и базах данных (СЭДО, Jira, Confluence). Поэтому развитие DCAP в будущем будет идти именно в этом направлении.
Является ли DCAP и DAG одним и тем же? DCAP – анализ неструктурированных данных, DAG – анализ доступов, прав и проч., т.е. это несколько разные продукты, хотя функционал тесно переплетен.
Для DAG основным вектором развития является интеграция с IdM, для DCAP – c DLP/UEBA-системами, которые предоставляют информацию о том, что происходит в компании.
Как привести данные к принципу минимальной достаточности?
Первый способ – провести пилот у вендора DCAP-системы. Это позволит одномоментно привести данные «в порядок», но не даст возможности организовать процесс работы с данными в динамике.
Второй способ – использовать IRM – управление правами на основе меток или метаданных в документах. На российском рынке представлены два основных продукта: первый использует контейнерное хранение в самой операционной системе, второй – управляет метками. Этот способ дешевле, но требует дополнительных организационных мер. Это превентивные средства, хотя основаны несколько на иной концепции.
Третий способ – внедрить DLP-систему нижней ценовой категории.
Четвертый способ – организационные мероприятия и выстраивание процессов: определение владельцев, прав и периодическая их актуализация; введение режима коммерческой тайны.
Пятый способ – использование скриптов для управления и работы с правами. На первых этапах права доступа к папкам можно отслеживать, например, скриптами на Powershell, доступ к файлам – логами windows. DCAP – системы недешевые, и ее применение должно быть обосновано. Как правило, показателем зрелости является наличие внедренной и используемой на практике DLP-системы.