Компания «СёрчИнформ» провела неформальную дискуссию о применении DCAP-решений. Участники обсудили, какие прикладные и неформальные задачи решают системы, как они закрывают требования регуляторов, насколько зрелый российский рынок DCAP и какое будущее его ждет.
Еще три года назад термин DCAP знали разве что в Gartner и в узком кругу специалистов. Сегодня популярность таких систем растет: решения часто называют в числе базовых ИБ-инструментов на различных конференциях, уважающие себя вендоры стараются включить в свои линейки продуктов. Этому способствуют и требования регуляторов, например федеральный закон № 152-ФЗ напрямую требует от операторов внедрять подобные инструменты для защиты ПДн.
Насколько реально ИБ-специалисту остаться в состоянии покоя, используя DCAP-системы, мы разбирались во время стрима. Его участниками стали начальник департамента ИБ «Транскапиталбанк» Петр Курило, начальник отдела ИБ «Полисан» Николай Казанцев, а также руководитель отдела аналитики «СёрчИнформ» Алексей Парфентьев. Модерировал дискуссию Алексей Дрозд, начальник отдела информационной безопасности «СёрчИнформ».
Во время дискуссии зрители могли участвовать в опросах, задавать вопросы в чате и получать на них ответы экспертов. Что из этого вышло, узнаете в нашем небольшом итоговом материале.
Что такое DCAP-системы и зачем они необходимы
DCAP или data-centric audit and protection – решения, которые предназначены для автоматизированного аудита данных в файловой системе, поиска нарушений прав доступа и отслеживания изменений в критичных документах. Как отметили участники стрима, задачу защиты данных раньше приходилось «подручными» средствами, потому что в России DCAP-решения распространены не были, первые отечественные системы появились только в 2019 году: собственно, «СёрчИнформ FileAuditor» и решение Makves. По данным , в 2021 году решения класса DCAP использовали только в 2,5% компаний. На стриме, как выяснилось, собралась более подкованная аудитория: систему используют почти 15% организаций.
ОПРОС 1: ЗНАКОМЫ ЛИ ВЫ С DCAP-РЕШЕНИЯМИ?
| «Если ИБ-служба считает, что данные лежат только на одном компьютере, это не так. Информация хранится во многих местах – на серверах, компьютерах сотрудников. И без системы инвентаризации, без своего «гугла» службе ИБ сложно гарантировать, что информация находится там, где должна быть. Нам DCAP помогает ответить на вопросы – какие данные есть в компании, какого они уровня конфиденциальности, в каких бизнес-процессах участвуют, куда могут отправиться, кто должен иметь к ним доступ. И самая полезная функция DCAP – поиск этих данных по содержимому файлов», – Николай Казанцев, начальник отдела ИБ «Полисан». |
«Была задача от бизнеса – найти данные, которые есть в компании, далее – классифицировать соответствующим образом, привлекая владельцев. И наша ИБ-команда смогла все это выполнить, применяя систему. Дальше, запрос от владельцев этой информации был в том, чтобы ограничить к ней доступ, потому что они за нее ответственны. Служба ИБ смогла справиться и с этой задачей», – Петр Курило, начальник департамента информационной безопасности «Транскапиталбанк». |
ОПРОС 2: КАКИЕ КЛЮЧЕВЫЕ ЗАДАЧИ РЕШАЕТЕ С DCAP?
Блокировки – это обязательный функционал по словам и экспертов стрима: DCAP-система точно должна уметь ограничивать доступ к файлам и действия с ними.
«Нам важен мониторинг операций с файлом: знать, кто, какую папку, когда создал и куда переместил. Без этого мы слепы. Да, DLP отчасти решает эту задачу, мы знаем, как данные двигаются, но мы не знаем, как они двигаются внутри наших файловых хранилищ. Эта информация очень нужна, чтобы иметь комплексную картину того, что происходит. Особенно полезна эта функция при расследовании инцидентов. Реже – для превентивной работы. Я благодарен DCAP за алерты об аномалиях, которые у нас происходят», – Николай Казанцев. |
«В качестве примера мне вспомнился кейс об отправке информации контрагенту, которая предназначалась другому контрагенту, но по тому же проекту. DLP в этом случае могла бы остановить файл, но система должна была знать, что остановить. В DCAP создатель может пометить информацию, разграничить для себя два файла метками, и информация просто не будет отправлена не туда», – Петр Курило. |
Вовлечение создателей файлов в их разметку – очень важный процесс, считают участники дискуссии, ведь кто как не владелец файла понимает, насколько он конфиденциальный. Другое дело, что не нужно заставлять делать таких меток слишком много: достаточно если пользователь будет помечать документ как конфиденциальный, согласились эксперты.
Кроме того, ручная разметка не отменяет автоматизированной, т.к. пользователь может ошибаться, а может и желать намеренно обмануть систему безопасности.
Новые требования регуляторов – как их закрыть технически
Алексей Парфентьев напомнил, что обязанность защищать информацию, в том числе с применение таких средств, как DCAP, не появилась сейчас. Законы были требовательны давно, правда штраф не мотивировал их выполнять. В 2022 году появляются инициативы, которые должны существенно изменить ситуацию.
«Последний год внес существенные коррективы в ужесточение регуляторики. Сейчас есть несколько инициатив, которые со временем вступят в силу. Применительно к DCAP-системам – ужесточение ответственности за инциденты с конфиденциальной информацией, в частности с персданным – оборотные штрафы за утечку ПДн. И это серьезная подвижка, потому что на данный момент требования защищать информацию есть, но наказание в виде десятка тысяч рублей не являются стимулом их выполнять», – Алексей Парфентьев. |
Задачи для DCAP прописаны чуть ли не во всей нормативке – закон о персданных, GDPR и американский Data Protection Act, если говорить про работу с данными иностранных пользователей. Но в нормативных документах нет четкого указания, что нужно использовать именно DCAP. Для сравнения, требование ставить антивирусы прописано прямо, а SIEM – явно читается. И хоть «бумажную безопасность» нельзя и не нужно игнорировать, применение DCAP по мнению участников стрима нужно в первую очередь для практики.
«Считаю, что DCAP – он не про compliance. Условно говоря, закрыть требование 17, 21 и 39 можно и без DCAP. Но с системой это будет намного лучше и более практико-ориентированно. Поэтому, когда мы говорим про DCAP, мы говорим про реальные задачи безопасности, которые за собой тянут закрытие большого количества регуляторных требований. Потому что регуляторы, формируя требования, исходят из реальной потребности в защищенности инфраструктур», – Николай Казанцев. |
Данные из DCAP помогают и в расследовании инцидентов и могут доказать проверяющей группе регулятора, что утечка произошла не по вине проверяемого. Соответственно, организация не попадет на штраф и не станет «козлом отпущения».
«DCAP-система поможет доказать, что утечка ПДн произошла не на вашей стороне. Ее функционал даст возможность расследовать инцидент и узнать, кто работал с данными. А если система функционирует в связке с DLP, можно получить больше: мы точно будем знать, проходила ли эта информация через те или иные каналы или нет», – Петр Курило. |
Светлое будущее DCAP
Для компаний актуален вопрос безопасной передачи информации за пределы собственной инфраструктуры, потому что подход работы исключительно внутри локальной сети уже устарел. И чтобы, например, при отправке данных контрагенту информация осталась под защитой, у DCAP должны быть реализованы дополнительные функции.
«Какие-то инструменты по такому доступу точно будут появляться: например, интеграция с решениями RMS, которые позволяют пользоваться результатами работы DCAP-системы в другой среде, или решениями на базе шифрования, частичного доступа через веб-интерфейс, который запрещает или разрешает обрабатывать какой-то конфиденциальный документ извне», – Алексей Парфентьев, руководитель отдела аналитики «СёрчИнформ». |
«На практике удобно использовать Microsoft RMS или Azure AIP, так как документ можно пометить как конфиденциальный, файл зашифруется и может быть безопасно открыт откуда угодно, в том числе с домашнего компьютера. И служба ИБ всегда знает кто, когда и где открыл файл, и может удаленно заблокировать доступ пользователю. DCAP должен развиваться в эту сторону и вбирать в себя функции RMS. Это может выглядеть так: по умолчанию, все файлы, которые забирает пользователь за пределы компании, отмечены меткой шифрования, которая не дает использовать их за рабочим периметром. И чтобы пользователь смог открыть файл в дело должен вступить DCAP, который позволит (или нет) воспользоваться документом», – Николай Казанцев. |
Еще одна задача, решение которой ждут эксперты по безопасности, – работа DCAP с облаками.
«На мой взгляд безопасней и «управляемей» будут все же собственные, частные облака. Но бизнес все же семимильными шагами идет в облака, снижает косты. Здесь я вижу вариант DCAP уходить от клиентской темы и фокусироваться полностью на данных либо как-то пытаться интегрироваться с провайдерами», – Петр Курило. |
«Большинство нормальных энтерпрайз облачных сервисов абсолютно логируемы – API, интеграция с SIEM. Если это наш энтерпрайз, и там файловое хранилище в облаке, мы всегда знаем, кто расшарил доступ и куда информацию увел. Не можем заблокировать оперативно, но знаем – в нормальных облаках все это есть. Поэтому, интеграция с облаками просто обязательна, чтобы мы не искали информацию в десятке разных консолей, а видели все в DCAP. Как минимум, стоит воплотить это с отечественными ключевыми сервисами – Яндекс, Mail и др.», – Николай Казанцев. |
По итогам стрима можно сказать, что время DCAP пришло. В данный момент, системы вбирают в себя функционал е-discovery (позволяют контентно классифицировать информацию), проводят аудит файловых операций и данных, их тегирование. Благодаря DCAP компании не только защищают информацию более продуманно (так как знают, что требует защиты), но и грамотно, с точки зрения закона. Полную версию стрима с тайм-кодами смотрите по ссылке:
Также предлагаем к просмотру весенний стрим . В котором раскрыты все подробности внедрения и использования SIEM-систем.
Компания «СёрчИнформ» продолжит освещать серьезные вопросы информационной безопасности в таком легком и не лишенном юмора виде.
