Журнал "Information Security/ Информационная безопасность" #6, 2023

Полнота и качество пер- воначальных данных имеют важнейшее значение для аудита и безопасного хране- ния информации. Zecurion применяет свыше 10 технологий кон- тентного анализа, включая словари, морфологию, циф- ровые отпечатки, метод Байеса и другие, которые позволяют точно классифи- цировать информацию. Спрос на отечествен- ные решения со стороны заказчиков подстегнул уход иностранных вен- доров. И если Varonis был неким ориентиром, по крайней мере для крупных организаций, то с его уходом образовалась лакуна, заполнить которую попытались молодые российские игроки. Вместе с ними на рынок DCAP вышли и опытные разработчики из дру- гих сегментов, такие как Zecu- rion, чья DLP-система признана аналитиками Gartner, IDC, For- rester в числе лучших в мире. Интерес разработчиков DLP к рынку DCAP не является слу- чайным. В данном случае кор- ректно говорить о технологиче- ском развитии продукта для защиты от внутренних угроз, одной из задач которого всегда была защита на этапе хранения, предназначенные для этого dis- covery-модули часто входили в поставку DLP уровня enterprise (для крупных предприятий). При этом возможности DCAP гораз- до шире классических discove- ry-модулей. Рассмотрим под- робнее возможности DCAP- систем на примере Zecurion. Принцип работы DCAP Работу DCAP логично разде- лить на несколько взаимосвя- занных этапов, в процессе выполнения которых система выявляет нарушения корпора- тивных политик и помогает их устранить. Этап 1. Поиск и сбор Zecurion может контролиро- вать данные на файловых сер- верах, локальных хостах и в папках общего доступа. Система работает с информацией из Acti- ve Directory, а также получает данные из других источников. Zecurion DCAP умеет собирать информацию по сети и парсить логи других систем, однако основной метод получения дан- ных – агенты, установленные на рабочих станциях, серверах и сетевых хранилищах. Полнота и качество первоначальных дан- ных имеют важнейшее значение для аудита и безопасного хра- нения информации. Этап 2. Нормализация и обработка После завершения сканиро- вания источников Zecurion DCAP проводит классификацию информации. Цель – выбрать из всего массива данных те, которые могут представлять ценность для компании. Zecu- rion применяет свыше 10 тех- нологий контентного анализа, включая словари, морфологию, цифровые отпечатки, метод Байеса и другие, которые поз- воляют точно классифициро- вать информацию. Этап 3. Анализ Классификация – лишь осно- ва для сбора событий инфор- мационной безопасности и выявления угроз. Еще на этапе сбора информации DCAP добавляет в свою базу сведения о правах доступа к каждому объекту, после чего имеет воз- можность определить ряд типо- вых угроз, например документы с общим доступом или особые, отличные от других участников группы наборы прав. Здесь же определяются реальные вла- дельцы файлов, подсвечивают- ся частые пользователи тех или иных данных, выявляются зоны избыточного доступа. Еще больше возможностей дает динамический анализ: изменение, перемещение, открытие объекта, содержащего критически важные данные, предоставления прав доступа к документу или папке, создание новых и изменение имеющихся наборов прав. Эти, а также десятки других событий не толь- ко фиксируются системой, но и 58 • ТЕХНОЛОГИИ Обуздать корпоративный хаос адача упорядочения хранения данных в корпоративной среде связана не только и не столько с выстраиванием бизнес- процессов, сколько с вопросами обеспечения их безопасности. Сложно говорить о защите, когда не знаешь, где и какие данные хранятся, какую ценность представляют, кому принадлежат, кто имеет к ним доступ и какие угрозы наиболее актуальны. Подобную задачу решают системы класса DCAP, в том числе и российские. З Владимир Ульянов, руководитель аналитического центра Zecurion Рис. 1