Почему DCAP не DLP? И хорошо ли это или плохо?

Для чего нужна DLP-система

Задача DLP – предотвращение утечек информации. По сути, это активное реагирование на действия пользователей, коими в самом упрощенном понимании являются передача конфиденциальной информации за контролируемый периметр организации: например, отправка по электронной почте или запись на внешний носитель.

Аналитические механизмы DLP также используются для выявления сотрудников, несущих потенциальные риски для организации: лиц, по каким-либо причинам планирующих сменить работу, ищущих параллельные источники дохода, увлекающихся наркотиками, религиозными культами, и прочей деструктивной деятельностью, да и просто бездельников. Востребованность этого функционала даже привела к появлению в составе DLP-систем отдельных модулей: контроля рабочего времени, поведенческого анализа и профилирования персонала.

Кроме того, входящие в состав DLP сканеры (так называемые краулеры) позволяют успешно категорировать информацию, хранящуюся как на пользовательских АРМах, так и на петабайтных СХД, выявлять факты хранения конфиденциальной информации в неположенных для этого местах. А некоторые даже умеют переносить такую выявленную информацию в специальные защищённые хранилища. И тем не менее, основной задачей DLP-системы остаётся функция, зашифрованная в её аббревиатуре.

Для чего нужен DCAP

Назначение системы DCAP иное: категорирование информационных массивов организации – файловых хранилищ, аудит прав доступа к файлам, а также регистрация обращений к ним пользователей. То есть DCAP ничего не предотвращает, зато выявляет потенциальные угрозы утечек иным, чем DLP, способом: определяя избыточные права доступа к информации, регистрируя аномальную активность пользователей при обращении к ней, а также выявляя нарушения правил хранения конфиденциальной информации.

Похожие, но разные

Как мы видим, в некоторых местах функционал DLP и DCAP пересекается: обе системы способны сканировать файловые хранилища, обе системы используют аналитические механизмы и OCR для категорирования информации и выявления конфиденциальных данных. Но функционал DCAP сфокусирован на сервисной поддержке IT-инфраструктуры и выявлении потенциальных уязвимостей, связанных с ошибками распределения AP полномочий пользователей и прав доступа к файлам в файловых хранилищах. DLP-система же нацелена непосредственно на предотвращении утечек конфиденциальной информации, а функции сервисного аудита не являются её целевой задачей.

Например, рассмотрим одинаковый, казалось бы, для DLP и DCAP функционал сканирования файловых ресурсов и категорирования информации, которая на них хранится. Решая эту задачу, DCAP построит карту файловых хранилищ, классифицирует информацию и выявит нарушения прав доступа к ней. А краулеру – компоненту DLP-системы, предназначенному для выявления хранения конфиденциальной информации в неразрешенных для этого местах, глубоко безразлично, какие у этих выявленных файлов права. Его задача – как можно быстрее обнаружить такие файлы, убрать их из общедоступных мест и перенести конфиденциальную информацию в предназначенное для этого защищённое хранилище, с соответствующим ограниченным доступом.

Проще говоря, DLP сфокусирована на контентном анализе информации, классификации конфиденциальных данных и ограничении их передачи, а DCAP – на общей классификации информации, хранящейся на корпоративных СХД, и аудите доступа к ней.

Ещё большая разница наблюдается в потребителях информации об инцидентах, генерируемых DLP и DCAP-системами.

DLP ориентирована на подразделения безопасности. ИТ-специалисты в части взаимодействия с DLP только настраивают систему, разворачивают на рабочих станциях агентов, а также решают технические вопросы при их возникновении. Иногда – пишут политики безопасности, что, собственно, неправильно: для настройки в DLP качественной политики требуется анализ реальных образцов документов, имеющих ограничительные грифы организации («конфиденциально», «коммерческая тайна» и т.п.). А сисадмин не может и не должен иметь доступ к такой информации, разве что к конфиденциальным данным, относящимся к сведениям об ИТ-инфраструктуре.

Поэтому расследованием инцидентов, выявленных DLP-системой, занимаются подразделения внутренней и экономической безопасности, которые отсекают ложноположительные срабатывания (ЛПС), идентифицируют участников инцидента и проводят соответствующие мероприятия. IT-специалисты же к непосредственной обработке DLP-инцидентов привлекаются время от времени, по мере необходимости, например, для проведения гарантированного удаления конфиденциальной информации из почтовой системы после выявления попытки утечки.

У DCAP-систем всё наоборот, целевые потребители зарегистрированных инцидентов – ИТ-подразделения. Это системные администраторы средств ИБ, которые сами обрабатывают эти инциденты и генерируют на доменных администраторов ИТ-департамента обращения по исправлению проблем информационной безопасности, связанные как с нарушением прав доступа к данным, так и с хранением конфиденциальной информации в ненадлежащих местах на корпоративных файловых хранилищах. Для отсечения ЛПС и подтверждения идентификации конфиденциальных данных, обнаруженных DCAP-системой, привлекаются сотрудники службы ИБ из подразделения защиты конфиденциальной информации. Именно они определяют, действительно ли данная информация должна быть ограничена в доступе, и, если это так, проводят собственное расследование и определяют место, куда эта информация должна быть перенесена. При этом системные администраторы, как было сказано выше, не должны иметь самостоятельный доступ к конфиденциальным файлам и оперируют лишь кратким резюме на срабатывание.

Не интеграция, а взаимодействие

Как иногда говорят, именно сложности в организации применения одной системы в интересах двух разных групп пользователей привели к тому, что DCAP системы стали развиваться в отдельное самостоятельное направление ИБ. И развитие это, как мы наблюдаем, – вполне успешное.

Конечно, и DLP, и DCAP внедряются в корпоративные SIEM и IRP системы, передают в них свои инциденты, не дублируя их и не конкурируя друг с другом, а скорее наоборот, дополняя. Так, наличие в организации системы DCAP позволяет не только выявлять потенциально слабые места в ИТ-инфраструктуре (нарушения прав доступа к информации), но и обогащает сгенерированные DLP-системой инциденты дополнительной информацией для проведения успешного расследования (например, за счёт предоставления статистической информации о доступе нарушителя к тому либо иному документу).

Что же до непосредственной интеграции DCAP в продукт DLP, то несмотря на идентичность ряда компонентов этих систем, надо вспомнить, что пути их уже один раз разошлись, по вполне обоснованным причинам. И здесь уместно упомянуть русскую басню про последствия впряжения в одну телегу трёх разных животных. А схожесть функционала описывается русской же пословицей «кто в лес, кто по дрова»: вроде бы ходят иногда в одни и те же места, но с разными целями.

В поиске выбора

Но не дорого и не избыточно ли иметь сразу две системы? Может быть, стоит ограничиться чем-то одним?

Смогла бы серьёзная организация обходиться без функционала DLP? Конечно, нет. Её присутствие, во-первых, останавливает потенциальных нарушителей от непоправимых поступков, а во-вторых – действительно предотвращает реальные утечки. И заменить такую систему нечем. Более того, практика показывает, что большинство утечек чувствительной информации осуществляют люди, получившие к ней доступ вполне себе легитимно, а утечка такая произошла даже не по злому умыслу, а по банальному разгильдяйству, и только правильно настроенная, работающая в активном режиме DLP-система сможет такую утечку предотвратить.

С другой стороны, DCAP автоматизирует процесс контроля организации доступа к файловым ресурсам и распределения прав, что существенно облегчает работу системного администратора и снижает потенциальные риски в любой крупной организации. А для сегмента крупных компаний решениям DCAP просто нет альтернативы.

P.S. Как известно, самые страшные секреты можно найти в какой-нибудь синей папке, забытой на автобусной остановке – и ни DLP, ни, тем более DCAP не сможет гарантированно оградить от такой ситуации. Но такие случаи единичны на фоне количества инцидентов, связанных с нарушением правил хранения и передачи конфиденциальной информации. Поэтому и DLP, и DCAP должны являться неотъемлемой частью корпоративной инфраструктуры ИБ.

Автор: Дмитрий Мешавкин, старший аналитик Центра продуктов Dozor «РТК-Солар»