Журнал "Information Security/ Информационная безопасность" #3, 2023

l избыточные права доступа к данным (люди, которые не должны иметь досту- па); l дубликаты файлов, которые распол- заются по сети (в том числе через сек- ретарей, помощников, дизайнеров и т.д.); l активные учетные записи уволенных сотрудников, которыми могут продол- жать пользоваться они, их коллеги или даже внешние злоумышленники; l скрытые и неизвестные или забытые места хранения данных (так называемые shadow data); l сам по себе огромный объем данных, который продолжает нарастать прогрес- сирующими темпами; l плохая (непрозрачная, запутанная) организация хранения данных; l слабый контроль или даже полное отсутствие контроля доступа к данным. Сократить угрозы конфиденциально- сти для данных, хранящихся в корпора- тивной среде, призваны DCAP-системы. Они способны провести аудит, создать всю картину хранения данных в органи- зации, показать права доступа и под- светить некорректно настроенные. При этом определяются реальные владельцы данных, избыточный доступ к ним и регу- лярные пользователи файлов. Но авто- номное использование DLP и DCAP поз- воляет получить едва ли половину воз- можностей. Преимущества связки DLP + DCAP Использование разрозненных инстру- ментов безопасности вполне допустимо, но только совместное их применение позволяет получить синергетический эффект. На поверхностном уровне это дает: l единые политики для обеспечения бесшовной защиты данных; l общую консоль и подходы к управле- нию данными; l взаимное обогащение данных для получения полной картины и точного прогнозирования; l единое хранилище данных и событий, которое позволяет сократить расходы на его внедрение и обслуживание. Если посмотреть глубже, то мы увидим более широкий пласт преимуществ: l используются одни и те же технологии анализа и классификации контента, которые нужны для анализа и храня- щейся, и перехватываемой информации, причем они могут быть реализованы общими сервисами; l специфика бизнеса может учитывать- ся одними и теми же словарями, которые не надо разрабатывать заново или пере- носить; l объекты получают единые метки. Объединение данных дает еще больше сведений о защищаемых объектах, про- исходит их взаимное обогащение. Это не просто увеличение объема информа- ции, доступной в карточке объекта, но еще и тот случай, когда 1 + 1 > 2. В част- ности, это позволяет: l выявлять аномалии и оценивать риски; l открывать запароленные архивы; l производить перекрестную детализа- цию данных; l создавать теневые копии важных фай- лов; l увеличить число используемых тех- нологий и повысить эффективность системы защиты информации; l точнее оценивать риски для корпора- тивных данных и пользователей. Среди аномалий можно выявлять мно- жественное удаление или перемещение файлов, резкое повышение активности сотрудника или системных учетных запи- сей и другие подозрительные события. Важный момент связан с расследова- нием инцидентов, которые можно про- водить через единый модуль IRP, полу- чающий данные из статики и динамики. Это помогает восстанавливать цепочки событий и файлов, находить связанные неочевидными связями факты. DCAP подсвечивает данные, на которые нужно обратить внимание DLP. Ни одна DCAP-система не сможет получить све- дения о файлах с перимет- ра сети. В свою очередь, DLP-система по каждому перехваченному файлу сможет отследить весь его жизненный путь от момен- та создания или появления в периметре сети. Наконец, связка сможет обнаружить все текущие места хранения изучаемого документа, его предыдущие версии, а также похожие по содержанию файлы. У совместного использования DLP и DCAP-систем немало преимуществ. Но сам тезис о совместном использова- нии не совсем корректен. Правильнее будет сказать, что это два этапа единого процесса защиты информации от утечки, и они в принципе не должны рассматри- ваться и обеспечиваться по отдельности. Это и есть идея DLP следующего поко- ления – соединить части, которые были искусственно разделены (реализованы в разных классах продуктов), для обес- печения безопасности корпоративных данных. Синергия совместного применения позволяет сэкономить на внедрении и обслуживании ИБ-систем, сократить требования к офицерам безопасности и, самое главное, повысить прозрачность данных в корпоративной среде, обеспе- чив эффективную защиту. l • 15 DLP, DCAP, DAG www.itsec.ru Оценка рисков для контролируемого пользователя. Zecurion, 2023 Схема работы DCAP-системы. Zecurion, 2023 АДРЕСА И ТЕЛЕФОНЫ ZECURION см. стр. 68 NM Реклама