Журнал "Information Security/ Информационная безопасность" #3, 2022

Если DCAP проводит кон- тентный анализ только хра- нимой информации, то для DLP наиболее важным является контентный анализ передаваемой информации. DCAP работает только с данными аудита файловых операций, что хорошо помо- гает при выявлении ано- мальной активности внутри хранилища, но не всегда применимо к выявлению аномального поведения живого сотрудника. Несмотря на некоторую схожесть функциональности, DLP и DCAP являются само- стоятельными системами для решения совершенно разных задач. Файловый аудит и расследование инцидентов Эту функцию часто исполь- зуют в интеграции с "Гарда Предприятие", чтобы получить наиболее полную картину. Глав- ное отличие в том, что DLP- система больше предназначена для точечного выявления инци- дентов и утечек информации, в то время, как DCAP-система использует данные файлового аудита не только для выявления отдельного инцидента – напри- мер, кто удалил или изменил тот или иной файл, – но и анали- зирует все операции в контексте хранилища или даже нескольких хранилищ, что позволяет: l анализировать все обраще- ния и выявлять реальных биз- нес-владельцев ресурса; l отобразить активность всех сотрудников с этими данными в различных видах (таблица, графический отчет); l выявлять аномальное пове- дение на основе статистики обращений к файлам, например аномально большое количество операций записи от одной учет- ной записи – это может свиде- тельствовать об активности вре- доносного ПО, шифрующего содержимое файлов; l определять причины повы- шенной нагрузки на файловый сервер на основе анализа обра- щений: какие учетные записи генерируют наибольшую нагруз- ку, при работе с какими файла- ми, какими действиями. Это позволит проанализировать и снизить нагрузку на СХД. Помимо детектирования инцидентов и выявления ано- малий, в "Гарда Файлы" пред- усмотрено и активное реаги- рование, включающее в себя как рассылку уведомлений по разным каналам (SIEM, почта, мессенджер), так и работу с правами: запрет доступа для учетной записи, запрет доступа к конкретной папке/файлу, установка режима "только чте- ние", запуск пользовательского скрипта и др. Когда применять DLP? Среди клиентов "Гарда Пред- приятие" наиболее востребо- ванными функциями DLP можно назвать следующие. Контроль рабочего времени сотрудников Этот тренд сформировался в 2020 г. в связи с массовым переходом на удаленную систему работы и так и остался популярным ввиду наглядности его результатов и простоты использования. Современная DLP-система позволяет вести статистику занятости сотруд- ников на основе контроля запу- щенных приложений, времени, проведенного на разных вклад- ках браузера. Эти функции не реализуются DCAP-системой, которая в данном случае про- сто покажет факт запуска браузера. Контентный анализ и выявление утечек Если DCAP проводит контент- ный анализ только хранимой информации, то для DLP наи- более важным является кон- тентный анализ передаваемой информации. К DCAP просто неприменимо понятие канала передачи, отправителя, полу- чателя, периметра. В стандарт- ный набор контролируемых DLP-системой каналов входят веб-трафик (веб-почта, соци- альные сети), мессенджеры, внешние носители, корпоратив- ная почта. Формально DCAP сможет обнаружить данные, хранимые на внешнем носите- ле, но только при ближайшем его сканировании и только если на момент сканирования носи- тель будет доступен. DLP же работает в реальном времени и выявит утечку сразу на этапе копирования информации на носитель, а также сможет пред- отвратить утечку, заблокировав передачу файла с критичной информацией. Важным являет- ся и то, что категорирование передаваемого файла на пред- мет критичности произойдет сразу в момент попытки пере- дачи, а не по расписанию во время сканирования, как в слу- чае с DCAP. Поведенческая аналитика Поведенческая аналитика при- сутствует также и в DLP-системах, но, в отличие от DCAP, DLP ана- лизирует бо' льшее количество раз- ных типов событий: это не только файловые операции, но и комму- никации пользователя, запущен- ные приложения, вплоть до особых событий, например посещений сайта с определенными ключевы- ми словами в заголовке окна. В свою очередь, DCAP рабо- тает только с данными аудита файловых операций, что хорошо помогает при выявлении ано- мальной активности внутри хра- нилища, но не всегда примени- мо к выявлению аномального поведения живого сотрудника. Что же выбрать? Несмотря на некоторую схо- жесть функциональности, DLP и DCAP являются самостоятель- ными системами для решения совершенно разных задач, выявления принципиально раз- ных типов инцидентов, совер- шаемых в разном контексте. DLP лучше подходит для выявления конкретного нарушителя и при- меняется на АРМ пользователей. DCAP лучше подходит для выявления инцидентов внутри хранилищ неструктурированных данных, связанных больше не с передачей, а с хранением и доступом пользователей к хра- нимым данным. Оптимальным вариантом будет интеграция DLP и DCAP для более полного конт- роля всего жизненного цикла корпоративных данных. l • 31 DLP, DCAP, DAG www.itsec.ru Принцип работы системы "Гарда Файлы" АДРЕСА И ТЕЛЕФОНЫ "Гарда Технологии" см. стр. 60 NM Реклама