Как выбрать DCAP – систему защиты неструктурированных данных

• Что такое DCAP?
• Как выбрать отечественное DCAP-решение?
• Зрелость решения
• Архитектура
• Функциональность
• Техническая поддержка
• Удобство работы с системой
• Выводы

Сегодня российским компаниям приходится адаптироваться к новой реальности. Количество кибератак участилось. Если раньше утечки данных случались в основном по вине действующих или уволенных сотрудников, сейчас это происходит извне, с целью причинения репутационного вреда. О том, как концептуально изменить подход к защите от угроз и сосредоточиться на безопасности данных, которые интересуют хакеров в первую очередь, с помощью DCAP, рассказывает генеральный директор компании Makves (входит в группу компаний «Гарда») Роман Подкопаев.  

Что такое DCAP?

Термин DCAP (Data-Centric Audit and Protection) был введен в обиход в 2014 известной консалтинговой компанией Gartner, которая специализируется на IT-исследованиях. Эта аббревиатура стала использоваться на российском рынке для обозначения класса решений, которые объединяют функции аудита неструктурированной информации, анализа поведения пользователей и автоматического реагирования на обнаруженные угрозы.

“DCAP-системы ориентированы на безопасность самих данных (Data-Centric) и анализируют неструктурированную информацию, которая может представлять собой текстовый, аудио- и видео контент, файлы электронной почты, изображения и многое другое. Отделу информационной безопасности сложно отследить копирование и перемещение такой информации, особенно если она содержит конфиденциальные данные. С этой задачей помогают справиться решения класса DCAP”, – Роман Подкопаев, генеральный директор Makves. 

Как выбрать отечественное DCAP-решение?

Рассмотрим критерии выбора системы. Мы составили список рекомендаций, которые помогут не ошибиться при поиске отечественного DCAP-решения.

Зрелость решения

На сравнительно молодом российском рынке DCAP стоит обратить внимание именно на зрелость самой системы, а не на возраст вендора. Опыт производителя является большим преимуществом, но конкретное DCAP-решение может разрабатываться разными продуктовыми командами, чья экспертиза может существенно различаться и не всегда в положительную сторону. И наоборот, у относительно молодой компании могут находится в команде профессионалы с многолетним опытом, которые представляют новый, но качественный продукт.

Архитектура

Использование DCAP-решений может потребовать значительных ИТ-ресурсов компании. Важно обратить внимание на то, как DCAP-система собирает данные для анализа. Использование агентов (драйвер для сбора данных устанавливается на файловом сервере) может негативно повлиять на отказоустойчивость системы и привести к замедлению работы файлового сервера или даже его сбою.

Безагентский режим минимизирует риски, характерные для систем с агентами, но может потребоваться предварительная настройка логирования. Большим преимуществом DCAP-решения является возможность выбора в каком режиме будет работать система. 

Функциональность

Выбор между DCAP-системами требует тщательного изучения. Учитывая молодость и быстрый рост данного продукта, лучше обращаться непосредственно к вендору для получения актуальной информации. Поскольку возможности DCAP-систем весьма обширны, следует также ознакомиться с вебинарами и видеообзорами на сайтах разработчиков, чтобы определить, какие именно функции необходимы для вашего бизнеса.

Одним из ключевых этапов выбора продукта является его тестирование. Обычно оно длится около одного месяца, в течение которого можно оценить все возможности системы. Рассмотрим основные функции, которые должны присутствовать в современной DCAP-системе.

• Файловый аудит

Обнаруживает и анализирует конфиденциальную информацию, определяет места ее хранения и уровни доступа. Отслеживает действия с файлами и папками, включая изменения, копирование, перемещение и удаление файлов. Автоматизирует процессы управления данными на файловых серверах, обеспечивая безопасность и защиту информации. Помогает организовать эффективное хранение за счет выявления множественных дубликатов и неделовых файлов.

• Аудит доменных служб

Отвечает за контроль событий в Active Directory, Group Policy, и других системах. Позволяет контролировать и управлять доступом к информационным ресурсам, предоставляя подробные данные о том, кто, где, когда и какие действия выполнял, а также регистрируя изменения в сетевом доступе.

• Аудит корпоративной почты

Отображает информацию о том, какие пользователи и группы имеют доступ к данным почтового сервера, а также как были получены эти права доступа. Помогает обнаружить несанкционированный доступ к чужой почте, а также пустые и потенциально опасные почтовые ящики.

• Поведенческий анализ

Помогает оперативно обнаружить несанкционированные действия сотрудников и взломанные аккаунты. Позволяет вовремя обнаружить вирусы-шифровальщики и даже признаки DDoS-атаки. DCAP-системы фиксируют аномальную активность для всех объектов анализа, то есть не только пользователей, но и для файлов, сервисных аккаунтов и событий системы.

• Активная реакция на выявленные инциденты

Современные DCAP-системы в случае инцидента позволяют выявить нарушителя и принять меры в режиме реального времени. Система уведомит о подозрительной активности конкретного пользователя и позволит заблокировать его прямо в интерфейсе системы. Плюсом будет наличие режима «песочницы», в котором можно проверить, как повлияют изменения прав на работу с файлом или папкой.

• Интеграция с другими решениями

Системы класса DCAP легко интегрируются с большинством корпоративных систем и сервисов (SIEM, DLP, HelpDesk, 1C и другими) через открытый API. Однако некоторые вендоры до сих пор используют собственный API для интеграции.

Техническая поддержка

Помимо технических характеристик продуктов, которые у всех ведущих производителей, как правило, со временем выравниваются, важно учитывать уровень обслуживания. Важно узнать о вариантах технической поддержки, которая может быть предоставлена как самим производителем, так и через интегратора. Следует обратить внимание также на скорость реагирования на запросы, возможности вызова специалиста на место или качество онлайн-поддержки. Все это обычно можно оценить в ходе пилотного проекта. 

Удобство работы с системой

Не стоит забывать и об удобстве использования системы, современном и продуманном интерфейсе. Отечественные DCAP-системы можно тонко настраивать и кастомизировать, также они позволяют делать красочные и информативные отчеты. 

Выводы

Выбор и внедрение системы DCAP — это сложный и долгосрочный процесс, который требует тщательного анализа и планирования. Решение должно быть адаптировано к потребностям организации и обеспечивать надежную защиту данных от различных угроз. Важно провести сравнение архитектуры решения, возможностей интеграции и условий технической поддержки перед принятием окончательного решения. Но весь этот процесс в итоге того стоит, так как полноценное внедрение систем класса DCAP поможет навести порядок с файлами и правами доступами на любых файловых хранилищах организации и избежать негативных последствий кибератак, инсайдеров и остановок в бизнес-процессах.

В конце добавить: Получайте новые статьи моментально в Telegram по ссылке: https://t.me/sldonline_bot