Журнал "Information Security/ Информационная безопасность" #3, 2022

DCAP – стремительно набирающий популярность класс систем защиты информации, предназначен- ный в первую очередь для защиты файловых храни- лищ. Если DLP-система ограничивается отображени- ем текущих прав доступа к файлу, то возможности DCAP гораздо шире. Такой диалог часто встречается при демонст- рации возможностей новой DCAP-системы "Гарда Файлы" пользо- вателям DLP-системы "Гарда Предприятие". В силу того, что техноло- гия DCAP нова для рос- сийских пользователей, счита- ется, что файловый аудит – это контроль перемещения докумен- тов. Ошибка в том, что под фай- ловым аудитом понимаются также и задачи контроля доку- ментов без привязки к их исполь- зованию. Давайте рассмотрим типовые задачи, решаемые системами класса DCAP, и чем они отли- чаются от задач, решаемых системами класса DLP, на при- мере функциональности систем "Гарда Предприятие" и "Гарда Файлы". DCAP и DLP: разбираемся в назначении DCAP – стремительно наби- рающий популярность класс систем защиты информации, предназначенный в первую оче- редь для защиты файловых хра- нилищ. В свою очередь, DLP за счет большего количества типов контроля позволяет более полно решать задачи, связанные с дея- тельностью конкретных сотруд- ников, а также с выявлением утечек информации на уровне сетевых потоков. По данным разных исследо- ваний, до 80% информации в большинстве компаний лежит в файловых "помойках" и/или в неструктурированном виде, что порождает много проблем с выявлением и защитой чув- ствительных данных. DCAP- система структурирует содер- жимое файловых хранилищ, определяет права доступа и подсвечивает данные, которые не должны находиться в широ- ком доступе. А вот для контроля создания и перемещения таких файлов внутри компании или за периметр нужны DLP. Еще один немаловажный аспект: где применяется система DCAP? Например, DLP исполь- зуется в основном на конечных рабочих местах, а также позво- ляет сканировать сетевые обще- доступные ресурсы. DCAP- системы, в свою очередь, пред- назначены для аудита СХД – файловых хранилищ на систе- мах Windows и Linux, MS Share- point, NetApp, Dell EMC, NextCloud, Synology и др. Уста- новка агента DLP на такие хра- нилища либо технологически невозможна, либо может повлечь за собой серьезное падение производительности, так как агент DLP-системы будет выполнять, помимо аудита, много избыточных для защиты файлового хранилища функций. Что контролирует DCAP? Дубликаты файлов с чувствительной информацией, множественные копии Задача прекращения обра- ботки ПДн – часто встречаю- щийся кейс, в рамках которого необходимо найти все копии файла, содержащие данные конкретного субъекта ПДн. Существование таких дублика- тов вне внимания компании может стать серьезной пробле- мой и поводом для штрафов при проверке регуляторов. Решение – модуль поиска и классификации, присутствую- щий в системе "Гарда Файлы". Он позволяет, во-первых, опре- делить все файлы, содержащие ПДн разных типов, а также быстро найти все файлы с дан- ными конкретного субъекта ПДн, включая дубликаты, места их хранения, доступ к ним. Такая функциональность не реализуется большинством DLP-систем, если применять их к файловым хранилищам. Нерациональное использования СХД Расширение СХД обходится недешево, особенно в новой реальности 2022 г. Поэтому встает вопрос об оптимизации использования имеющегося пространства. Для этой цели DCAP-системы умеют: l определять, какие типы данных занимают наибольший объем, а какие растут наиболее быстро; l определять принадлежность этих данных, то есть установить, какие подразделения ими поль- зуются; l выявлять неиспользуемые данные, мусорные файлы и дуб- ликаты; l давать рекомендации, какие данные могут быть безопасно удалены. Аудит прав доступа к данным Аудит прав доступа – наиболее востребованная задача у клиен- тов системы "Гарда Файлы". Если DLP-система ограничивается ото- бражением текущих прав доступа к файлу, то возможности DCAP гораздо шире. Они включают: 1. Выявление рисков, связан- ных с некорректно настроенны- ми правами доступа: выклю- ченное наследование, сломан- ные ACL, прямые разрешения. 2. Двустороннее отображение прав доступа: как полное отобра- жение всех прав доступа к опре- деленному файлу или директории, так и отображение всех файлов и папок, доступных определенному пользователю или группе пользо- вателей. При этом "Гарда Файлы" дополнит эту информацию сведе- ниями о наличии или отсутствии фактов реального обращения пользователей к этим файлам. 3. Рекомендации по сокра- щению прав доступа с возмож- ностью предварительного моде- лирования изменений прав: какие группы оно затронет, кто из реально пользующихся фай- лами сотрудников не сможет больше получить доступ. 30 • СПЕЦПРОЕКТ DCAP и DLP: в чем разница? ействующие лица: вендор, заказчик. Вендор. Одной из функций DCAP является файловый аудит и выяснение, кто и когда выполнял операции с файлом. Заказчик. Так, стоп, у нас же есть DLP с такой же функцией! Давайте на сервер поставим DLP-агент – и все, задача решена. (Занавес) Д Дмитрий Горлянский, руководитель направления технического сопровождения продаж “Гарда Технологии”