- Что такое DCAP?
- Как выбрать отечественное DCAP-решение?
- Зрелость решения
- Архитектура
- Функциональность
- Техническая поддержка
- Удобство работы с системой
- Выводы
Сегодня российским компаниям приходится адаптироваться к новой реальности. Количество кибератак участилось. Если раньше утечки данных случались в основном по вине действующих или уволенных сотрудников, сейчас это происходит извне, с целью причинения репутационного вреда. О том, как концептуально изменить подход к защите от угроз и сосредоточиться на безопасности данных, которые интересуют хакеров в первую очередь, с помощью DCAP, рассказывает генеральный директор компании Makves (входит в группу компаний «Гарда») Роман Подкопаев.
Что такое DCAP?
Термин DCAP (Data-Centric Audit and Protection) был введен в обиход в 2014 известной консалтинговой компанией Gartner, которая специализируется на IT-исследованиях. Эта аббревиатура стала использоваться на российском рынке для обозначения класса решений, которые объединяют функции аудита неструктурированной информации, анализа поведения пользователей и автоматического реагирования на обнаруженные угрозы.
“DCAP-системы ориентированы на безопасность самих данных (Data-Centric) и анализируют неструктурированную информацию, которая может представлять собой текстовый, аудио- и видео контент, файлы электронной почты, изображения и многое другое. Отделу информационной безопасности сложно отследить копирование и перемещение такой информации, особенно если она содержит конфиденциальные данные. С этой задачей помогают справиться решения класса DCAP”, – Роман Подкопаев, генеральный директор Makves.
Как выбрать отечественное DCAP-решение?
Рассмотрим критерии выбора системы. Мы составили список рекомендаций, которые помогут не ошибиться при поиске отечественного DCAP-решения.
Зрелость решения
На сравнительно молодом российском рынке DCAP стоит обратить внимание именно на зрелость самой системы, а не на возраст вендора. Опыт производителя является большим преимуществом, но конкретное DCAP-решение может разрабатываться разными продуктовыми командами, чья экспертиза может существенно различаться и не всегда в положительную сторону. И наоборот, у относительно молодой компании могут находится в команде профессионалы с многолетним опытом, которые представляют новый, но качественный продукт.
Архитектура
Использование DCAP-решений может потребовать значительных ИТ-ресурсов компании. Важно обратить внимание на то, как DCAP-система собирает данные для анализа. Использование агентов (драйвер для сбора данных устанавливается на файловом сервере) может негативно повлиять на отказоустойчивость системы и привести к замедлению работы файлового сервера или даже его сбою.
Безагентский режим минимизирует риски, характерные для систем с агентами, но может потребоваться предварительная настройка логирования. Большим преимуществом DCAP-решения является возможность выбора в каком режиме будет работать система.
Функциональность
Выбор между DCAP-системами требует тщательного изучения. Учитывая молодость и быстрый рост данного продукта, лучше обращаться непосредственно к вендору для получения актуальной информации. Поскольку возможности DCAP-систем весьма обширны, следует также ознакомиться с вебинарами и видеообзорами на сайтах разработчиков, чтобы определить, какие именно функции необходимы для вашего бизнеса.
Одним из ключевых этапов выбора продукта является его тестирование. Обычно оно длится около одного месяца, в течение которого можно оценить все возможности системы. Рассмотрим основные функции, которые должны присутствовать в современной DCAP-системе.
- Файловый аудит
Обнаруживает и анализирует конфиденциальную информацию, определяет места ее хранения и уровни доступа. Отслеживает действия с файлами и папками, включая изменения, копирование, перемещение и удаление файлов. Автоматизирует процессы управления данными на файловых серверах, обеспечивая безопасность и защиту информации. Помогает организовать эффективное хранение за счет выявления множественных дубликатов и неделовых файлов.
- Аудит доменных служб
Отвечает за контроль событий в Active Directory, Group Policy, и других системах. Позволяет контролировать и управлять доступом к информационным ресурсам, предоставляя подробные данные о том, кто, где, когда и какие действия выполнял, а также регистрируя изменения в сетевом доступе.
- Аудит корпоративной почты
Отображает информацию о том, какие пользователи и группы имеют доступ к данным почтового сервера, а также как были получены эти права доступа. Помогает обнаружить несанкционированный доступ к чужой почте, а также пустые и потенциально опасные почтовые ящики.
- Поведенческий анализ
Помогает оперативно обнаружить несанкционированные действия сотрудников и взломанные аккаунты. Позволяет вовремя обнаружить вирусы-шифровальщики и даже признаки DDoS-атаки. DCAP-системы фиксируют аномальную активность для всех объектов анализа, то есть не только пользователей, но и для файлов, сервисных аккаунтов и событий системы.
- Активная реакция на выявленные инциденты
Современные DCAP-системы в случае инцидента позволяют выявить нарушителя и принять меры в режиме реального времени. Система уведомит о подозрительной активности конкретного пользователя и позволит заблокировать его прямо в интерфейсе системы. Плюсом будет наличие режима «песочницы», в котором можно проверить, как повлияют изменения прав на работу с файлом или папкой.
- Интеграция с другими решениями
Системы класса DCAP легко интегрируются с большинством корпоративных систем и сервисов (SIEM, DLP, HelpDesk, 1C и другими) через открытый API. Однако некоторые вендоры до сих пор используют собственный API для интеграции.
Техническая поддержка
Помимо технических характеристик продуктов, которые у всех ведущих производителей, как правило, со временем выравниваются, важно учитывать уровень обслуживания. Важно узнать о вариантах технической поддержки, которая может быть предоставлена как самим производителем, так и через интегратора. Следует обратить внимание также на скорость реагирования на запросы, возможности вызова специалиста на место или качество онлайн-поддержки. Все это обычно можно оценить в ходе пилотного проекта.
Удобство работы с системой
Не стоит забывать и об удобстве использования системы, современном и продуманном интерфейсе. Отечественные DCAP-системы можно тонко настраивать и кастомизировать, также они позволяют делать красочные и информативные отчеты.
Выводы
Выбор и внедрение системы DCAP — это сложный и долгосрочный процесс, который требует тщательного анализа и планирования. Решение должно быть адаптировано к потребностям организации и обеспечивать надежную защиту данных от различных угроз. Важно провести сравнение архитектуры решения, возможностей интеграции и условий технической поддержки перед принятием окончательного решения. Но весь этот процесс в итоге того стоит, так как полноценное внедрение систем класса DCAP поможет навести порядок с файлами и правами доступами на любых файловых хранилищах организации и избежать негативных последствий кибератак, инсайдеров и остановок в бизнес-процессах.
В конце добавить: Получайте новые статьи моментально в Telegram по ссылке: https://t.me/sldonline_bot
