Обзор рынка систем управления доступом к неструктурированным данным (DCAP)

Обзор рынка систем управления доступом к неструктурированным данным (DCAP)

Обзор рынка систем управления доступом к неструктурированным данным (DCAP)

Как осуществлять контроль неструктурированных данных и управление доступом к ним? Рассмотрим системы выполняющие эти функции (Data-Centric Audit and Protection, DCAP) в контексте мирового и российского рынков. Расскажем о базовой терминологии, истории возникновения и развития DCAP, приведём краткие описания наиболее популярных отечественных систем.

 

 

 

 

 

  1. Введение
  2. Что такое управление доступом к неструктурированным данным?
  3. Мировой рынок DCAP
  4. Российский рынок DCAP
  5. Краткий обзор продуктов класса DCAP
    1. 5.1. InfoWatch Data Discovery
    2. 5.2. Makves DCAP
    3. 5.3. Zecurion DCAP
    4. 5.4. «Орлан.DCAP»
    5. 5.5. «СёрчИнформ FileAuditor»
    6. 5.6. CyberPeak «Спектр»
  6. Выводы

Введение

Практически в любой корпоративной сети есть файловые хранилища, порталы SharePoint, почтовые серверы, облачные хранилища, NAS-системы, базы знаний (Confluence), в которых находится множество различных документов, в том числе и с конфиденциальной информацией. Управление такими массивами данных вызывает затруднения. Зачастую руководители бизнес-подразделений, а также ИТ- и ИБ-специалисты затрудняются ответить на вопросы о том, в каких хранилищах какая информация размещена, кто является владельцем документов, кто и как их использует. Неэффективное управление информацией ведёт к увеличению рисков для бизнеса.

Для решения таких проблем на рынке стали появляться специализированные комплексы для управления доступом к неструктурированным данным — DCAP (Data-Centric Audit and Protection).

Что такое управление доступом к неструктурированным данным?

В 2017 году мы делали обзор, в котором отмечали, что встречаются различные англоязычные наименования таких решений: Data Access Governance (DAG), Unstructured Data Management (UDM), Data Security Governance (DSG). Аббревиатура DCAP была введена Gartner; по сути речь здесь идёт о развитии систем DAG. 

30 ноября 2022 года мы провели эфир AM Live, который был посвящён системам DCAP.

DCAP — комплексные решения по управлению доступом к неструктурированным данным и контролю за действиями над ними. Такие системы позволяют выявить, категоризировать и классифицировать ценные с коммерческой точки зрения данные, а также контролировать доступ к ним с применением целостной системы административных процессов, политик и руководств.

Основной задачей систем класса DCAP является контентное разграничение доступа: не по объектам файловой системы, а по содержимому. DCAP-системы, как правило, не пересекаются с IDM или DLP.

По классификации Gartner DCAP-системы должны выполнять следующие функции:

  • Обнаруживать и классифицировать данные.
  • Проводить мониторинг прав доступа.
  • Отслеживать операции с данными.
  • Обеспечивать защиту данных, запрещая нежелательные операции с ними.

В системах DCAP защита фокусируется на пользовательских документах. Для этого в первую очередь необходимо классифицировать данные (конфиденциальные и открытые), определить их местонахождение и права доступа к ним. Всё это определяет концепцию защиты DCAP.

DCAP-системы решают несколько задач.

  1. Поиск информации в корпоративной сети: на каких хостах, в каких папках лежат документы с критически значимой информацией, например персональными данными, коммерческой тайной, паролями.
  2. Аудит действий пользователей над файлами: кто какие файлы открывал, откуда подключался, в каком контексте пользователь работает с данными, кто создал, отредактировал, переместил, удалил, скопировал документ.
  3. Аудит прав доступа с целью автоматически отслеживать ресурсы и файлы, которые доступны и конкретному пользователю, и группе, а также учётные записи с повышенными правами (привилегированные).
  4. Восстановление потерянных данных, если вдруг пользователь их удалил. Для этого DCAP может создавать теневые копии и хранить различные версии документов.

DCAP поддерживают различные источники информации: файловые и почтовые серверы, рабочие станции, корпоративные порталы, общие ресурсы и т. п.

Архитектурно все DCAP-системы имеют схожие модули анализа данных: средства индексирования, каталогизации и анализа информации (например, структуры прав доступа), а также лингвистическое ядро.

Мировой рынок DCAP

Согласно исследованию компании Research and Markets, глобальный рынок Data-Centric Security на 2022 г. составляет 4,2 миллиарда долларов США. При этом по прогнозам он должен достигнуть 12,3 миллиарда долларов к 2027 году, в среднем ежегодно увеличиваясь на 23,9 % в год.

 

Рисунок 1. Динамика глобального рынка Data-Centric Security, 2022–2027 годы (Research and Markets)

Динамика глобального рынка Data-Centric Security, 2022–2027 годы (Research and Markets)

 

Примерно такой же прогноз был сделан и в исследовании компании KBV Research. По её оценке, глобальный рынок Data-Centric Security на 2021 г. составлял 3,4 миллиарда долларов США. При этом по прогнозам он должен достигнуть 13 миллиардов долларов к 2027 году, в среднем ежегодно увеличиваясь на 20,8 % в год.

 

Рисунок 2. Динамика глобального рынка Data-Centric Security, 2021–2027 годы (KBV Research)

Динамика глобального рынка Data-Centric Security, 2021–2027 годы (KBV Research)

 

В зависимости от конечного пользователя рынок подразделяется на банковский сектор, государственные учреждения, информационные технологии, телеком, здравоохранение, производство, розничную торговлю и другие. По мнению KBV Research, сегмент здравоохранения и фармацевтики продемонстрирует самые высокие темпы роста за прогнозируемый период. Сегмент здравоохранения — это личная медицинская информация и некоторые важные данные о пациенте, что требует высокой степени безопасности. Возрастающие требования к защите внутренних данных также становятся всё более важными, поскольку многие организации здравоохранения не заботятся об этом.

По мнению KBV Research, пандемия COVID-19 привела к росту рынка DCAP, в т. ч. вследствие изменения фокуса информационной безопасности. Во время пандемии удалённая работа привела к резкому росту числа утечек данных. Компании должны адаптироваться к этой новой норме, перемещая свои активы и ресурсы в облачные и цифровые платформы, внедряя соответствующие меры защиты как на уровне сети, так и на уровне данных.

Кроме того, в нормативных актах зарубежных стран сформулированы предписания по защите персональных данных. Существуют, например, правила безопасности сведений о здоровье, такие как HIPAA, и стандарты финансовой индустрии, такие как PCI DSS. Защита, классификация и обнаружение данных, управление ими и обеспечение соответствия требованиям — вот некоторые из основных возможностей типовой системы класса DCAP.

На мировом рынке можно выделить следующих основных игроков:

  • Dell Quest.
  • IBM.
  • Imperva.
  • McAfee.
  • Mentis.
  • Netscope.
  • Oracle.
  • Quest.
  • SailPoint.
  • STEALTHbits.
  • Symantec.
  • Trustware.
  • Varonis.
  • Veritas.

К сожалению, мы не располагаем данными об объёмах продаж и долях рынка этих компаний, поэтому не сможем в рамках данной статьи провести их ранжирование. Однако очевидно, что на сегодняшний день выбор поставщиков DCAP на мировом рынке весьма велик.

Российский рынок DCAP

Согласно исследованию Anti-Malware.ru, доля DCAP в объёме российского рынка управления доступом и учётными записями в 2020 году составила 5,3 % (около 500 миллионов рублей).

Российский рынок DCAP относительно молод, но при этом на нём уже представлен ряд систем от отечественных производителей.

Под действием тренда импортозамещения российский рынок DCAP переживает значительные изменения — как в структуре представленных на нём игроков, так и в плане объёма.

Организации, которые в данный момент используют западные DCAP-системы, уже ведут пилотные внедрения отечественных продуктов, а те, которые ранее не пользовались DCAP, активно присматриваются к этому типу решений.

Среди прочих драйверов рынка стоит отметить дефицит систем при возрастающей потребности в них, а также ужесточение законов по защите данных. DCAP позволяют выполнять меры защиты в части управления доступом (группа мер УПД), предписанные 17-м, 21-м, 31-м и 239-м приказами ФСТЭК России, а также требования ко сбору и хранению информации о событиях по безопасности в течение установленного времени. Указанные требования необходимо соблюдать при организации защиты ГИС, ИСПДн, КИИ.

На российском рынке представлены решения следующих отечественных вендоров:

  • CyberPeak.
  • InfoWatch.
  • MAKVES.
  • Zecurion.
  • «Орлан».
  • «СёрчИнформ».

Краткий обзор их продуктов приведён ниже.

Краткий обзор продуктов класса DCAP

InfoWatch Data Discovery

DCAP-система InfoWatch Data Discovery производит аудит хранения данных и поиск новых информационных активов, требующих защиты, на файловых ресурсах организации. Система сканирует файловые ресурсы, уведомляет администратора ИБ о наличии конфиденциальной информации в неположенном месте, даёт возможность установить пользователя, который опубликовал файл, и всех лиц с правами доступа к этому файлу. InfoWatch Data Discovery также помогает управлять рисками, связанными с хранением данных.

Особая возможность InfoWatch Data Discovery — система способна находить новые информационные активы, ранее неизвестные специалистам ИБ, но требующие защиты. InfoWatch Data Discovery с помощью искусственного интеллекта распределяет похожие по смыслу документы по категориям. Среди этих коллекций документов могут оказаться новые — например, если появился или изменился бизнес-процесс. Последующий анализ документов из сформированных с помощью искусственного интеллекта «смысловых» кластеров позволяет понять, стоит ли предпринимать меры по защите.

 

Рисунок 3. Интерфейс системы InfoWatch Data Discovery

Интерфейс системы InfoWatch Data Discovery

 

Функциональные возможности InfoWatch Data Discovery позволяют специалисту по ИБ контролировать правильность хранения конфиденциальной информации, а также собирать информацию о том, кто выложил данные туда, где их быть не должно.

Сканирование файловых хранилищ можно проводить по расписанию с учётом рабочего цикла организации. Файлы, которые присутствовали на ресурсе при предыдущем сканировании, можно исключать из охвата для ускорения аудита.

InfoWatch Data Discovery осуществляет поиск и сбор информации по файлам внутри периметра организации. Далее найденные файлы автоматически передаются в InfoWatch Traffic Monitor на контентный анализ для идентификации категории конфиденциальных данных. В случае нарушения политик безопасности, связанных со хранением конфиденциальных документов, специалиста по ИБ автоматически оповещают.

Особенности:

  • Сканирование ПК и серверов (Windows и Linux) по протоколам SMB, SSH и DFS, а также порталов Microsoft SharePoint.
  • Импорт списка компьютеров сотрудников из Microsoft Active Directory.
  • Обнаружение и обработка новых и изменённых файлов с последующей их отправкой в InfoWatch Traffic Monitor.
  • Режим быстрого сканирования: анализ только новых файлов, а также быстрая инвентаризация по метаинформации.
  • Параллельная обработка несколькими нодами позволяет распределить нагрузку и ускорить сканирование.
  • Поиск новых информационных активов с помощью технологий искусственного интеллекта.
  • Включён в реестр отечественного ПО, поддерживает российские операционные системы Astra Linux и РЕД ОС.

Подробнее с продуктом можно ознакомиться здесь.

 

 

Makves DCAP

Makves DCAP собирает информацию из Active Directory, с рабочих станций, корпоративных файловых и почтовых серверов, после чего аккумулирует сведения о пользователях и формирует наглядную матрицу доступа к информационным ресурсам компании.

При помощи программных агентов Makves DCAP получает сведения из службы Active Directory, сканирует жёсткие диски подключённых к сети устройств, обращается к облачным хранилищам и другим источникам. Далее система анализирует внешние атрибуты и содержание файлов, выявляет данные с конфиденциальной информацией и вносит их в список особо защищаемых.

 

Рисунок 4. Интерфейс системы Makves DCAP

Интерфейс системы Makves DCAP

 

В рамках аудита фиксируются ключевые события системы в динамике: изменение прав, операции с файлами, сброс паролей, аномальная активность. Таким образом Makves DCAP отслеживает атипичные параметры пользователей, компьютеров, файлов и почтовых ящиков, а также их взаимодействие.

Применение Makves DCAP позволяет соответствовать стандартам и законам (152-ФЗ, GDPR, PCI DSS, СТО БР ИББС, ГОСТ Р 57580.1−2017, требования ФСТЭК России), а также снижать репутационные риски.

Особенности:

  • Легко интегрируется с корпоративными программами и сервисами через REST API.
  • Контроль параметров всех сущностей системы позволяет вовремя реагировать на внутренние и внешние угрозы, обеспечивая защиту от вирусов-шифровальщиков и DDoS-атак.
  • Функциональность песочницы, с помощью которой можно смоделировать последствия изменения прав пользователей и избежать негативных последствий для бизнес-процессов заказчика.
  • Включён в реестр отечественного ПО.

Обзор продукта на нашем сайте доступен здесь.

Подробнее с продуктом можно ознакомиться здесь.

 

 

Zecurion DCAP

Zecurion DCAP способен контролировать данные на файловых серверах и локальных хостах, а также в папках общего доступа. Помимо этого система работает с информацией из служб домена Active Directory и LDAP, а также получает данные о входящей и исходящей электронной почте с серверов Exchange.

После сканирования очередного источника данных Zecurion DCAP проводит классификацию содержащейся в нём информации. Для этого используется более 10 технологий контентного анализа (включая словари, регулярные выражения, цифровые отпечатки, метод Байеса и др.), что нетипично для рынка и позволяет точно определить содержимое ресурса.

На этапе сбора информации DCAP имеет возможность определить так называемые пассивные угрозы: документы с общим доступом, внегрупповые наборы прав, псевдоадминистраторские права. Здесь же определяются реальные владельцы файлов, подсвечиваются регулярные пользователи тех или иных данных, находятся зоны избыточного доступа.

 

Рисунок 5. Схема работы системы Zecurion DCAP

Схема работы системы Zecurion DCAP

 

Zecurion DCAP способен сканировать источники данных как по сети, так и с помощью собственных локальных агентов. На выходе система создаёт единую картину расположения информации и прав доступа, а также выполняет аудит использования данных. В качестве реакций на обнаруженные угрозы могут производиться урезание прав пользователя и даже блокировка учётной записи, удаление или перемещение некорректно хранимых данных, создание теневых копий, запуск скриптов или отправка команд в стороннее ПО и др.

Особенности:

  • Глубокая интеграция c Zecurion DLP и другими продуктами вендора. Системы используют единый массив данных, взаимно обогащая накопленную информацию. Доступны все возможности Zecurion Reports, включая карточки сотрудников и объектов, табличные и сложные графические отчёты (свыше 20 предустановленных), а также расследование инцидентов с помощью модуля Zecurion IRP.
  • Применение Zecurion DCAP позволяет соответствовать следующим нормативным актам по ИБ: 187-ФЗ, 152-ФЗ, PCI DSS, GDPR, приказы ФСТЭК России, стандарты Банка России и др.
  • Zecurion DCAP полноценно работает с серверами и рабочими станциями под управлением ОС на базе Linux, поддерживает СУБД PostgreSQL и Jatoba. Сам Zecurion DCAP включён в реестр российского ПО Минцифры.
  • Высокая скорость обработки данных, подтверждённая на объёмах до 400 ТБ и выше.
  • Выявляет аномалии в операциях с файлами (нетипичные операции удаления, перемещения, повышения пользовательской активности и др.), отслеживает изменения файлов в режиме реального времени, проверяет изменения формальных признаков файлов, метаданных и самого содержимого.
  • Помогает бороться со смешанными угрозами корпоративной безопасности, в т. ч. вирусами-шифровальщиками, автоматически рассчитывает риски для файлов и объектов.

Подробнее с продуктом можно ознакомиться здесь.

 

 

«Орлан.DCAP»

«Орлан.DCAP» от российской компании «Инновации безопасности» позволяет обеспечить защиту и контроль данных в разрезе автоматизации политик по информационной безопасности. Мониторинг и управление правами доступа к данным дают возможность выявлять избыточные и ошибочно назначенные права, реализовывать модель минимальных привилегий и в дальнейшем эффективно следовать заданным политикам.

«Орлан.DCAP» осуществляет мониторинг действий на файловых и почтовых серверах, рабочих станциях, в службах каталогов AD или любых других LDAP-совместимых службах, системах документооборота. Администратору доступен полный журнал активности учётных записей по всем наблюдаемым платформам из единого окна или отчёта. Система фильтрации ускоряет расследование любых инцидентов. Имеется возможность интеграции с подсистемами классов SIEM, DLP, SOAR.

Продукт классифицирует файлы по метаданным и содержимому, выявляет критически важные данные на файловых ресурсах компании среди общего объёма данных, а также определяет, кто имеет к ним доступ и как с ними работает. Доступна автоматизация процессов по информационной безопасности — от точечного выявления нарушений до создания автоматических политик по своевременному их обнаружению на основе как классических методов, так и методов поведенческого анализа.

Также «Орлан.DCAP» контролирует жизненный цикл данных: выявляет неиспользуемые массивы информации для снижения стоимости владения и уменьшения окна резервного копирования, а также для сокращения площади потенциальной атаки злоумышленника (включая различные криптовирусы) и обеспечения соответствия требованиям регуляторов.

Особенности:

  • Работает на отечественном и (или) свободно распространяемом системном ПО и поддерживает импортозамещённую инфраструктуру.
  • Работает с гетерогенными, распределёнными и высоконагруженными средами.
  • Мониторинг действий на файловых и почтовых серверах, в службах каталогов AD / LDAP и в системах документооборота.
  • Классификация файлов по метаданным и содержимому.
  • Зарегистрирован в реестре российского ПО.

Подробнее с продуктом можно ознакомиться здесь.

 

 

«СёрчИнформ FileAuditor»

«СёрчИнформ FileAuditor» предназначен для автоматизированного аудита файловой системы, поиска нарушений прав доступа и отслеживания изменений в критически важных данных. Он защищает конфиденциальные документы от опасных действий сотрудников и наводит порядок в файловых хранилищах.

FileAuditor находит в общем документообороте файлы, которые содержат критически значимую информацию, и присваивает каждому метку определённого типа: персональные данные, коммерческая тайна, номера кредитных карт и т. д. Также система следит за доступом к уязвимой информации: автоматически отслеживает открытые ресурсы, файлы доступные конкретному пользователю или группе, учётные записи с повышенными правами.

Продукт делает теневые копии важных файлов, найденных на ПК, сервере или в сетевых папках, и сохраняет историю их редакций. Архив помогает в расследованиях инцидентов и гарантирует восстановление потерянной информации.

 

Рисунок 6. Интерфейс системы «СёрчИнформ FileAuditor»

Интерфейс системы «СёрчИнформ FileAuditor»

 

Также FileAuditor производит аудит пользовательских операций в файловой системе. ИБ-служба всегда имеет актуальную информацию о «жизни» файла: создание, редактирование, перемещение, удаление и т. д. Продукт способен блокировать нежелательную активность с файлами в любом произвольном приложении.

Особенности:

  • Полноценный глубокий контентно-контекстный анализ файлов благодаря собственному высокопроизводительному поисковому ядру.
  • Динамический (непрерывный) мониторинг действий с файлами, что обеспечивает оперативную реакцию на любые изменения в файловой системе.
  • Гибкая настройка разрешений на операции с файлами на базе контента или контекста.

Обзор продукта на нашем сайте доступен здесь.

Подробнее с продуктом можно ознакомиться здесь.

 

 

«Спектр»

«Спектр» — DCAP-система, внедрённая в крупных российских территориально распределённых компаниях с численностью сотрудников более 100 000 человек и объёмами данных более 1 ПБ. «Спектр» позволяет реализовывать комплексную защиту и администрирование хранилищ неструктурированных данных, включая файловые серверы под управлением ОС Windows и Linux, рабочие станции, контроллеры домена Active Directory, почтовые серверы Exchange, порталы SharePoint, а также хранилищ Dell EMC, NetApp, Synology, систем Jira, Confluence и др.

Система построена по модульному принципу и обеспечивает аудит и блокировку действий пользователей без использования штатного аудита ОС, классификацию данных (имеется более 250 предустановленных правил категоризации), проверку рациональности использования файловых хранилищ. Доступны также анализ и администрирование прав доступа с возможностью предварительного моделирования, управление жизненным циклом данных с возможностью удаления и переноса неоптимально расположенных файлов.

 

Рисунок 7. Интерфейс системы «‎Спектр»

Интерфейс системы «‎Спектр»

 

Встроенный модуль поведенческой аналитики с помощью обучаемых нейронных сетей выявляет аномалии как в поведении пользователей, так и в работе отдельных систем хранения данных целиком, оповещая сотрудников отдела безопасности по настраиваемым каналам интеграции. Отдельно стоит отметить модуль корпоративного поиска, способный без создания теневых копий построить индекс по содержимому всех файлов защищаемых хранилищ для последующего контентного поиска по ним. Модуль «Портал выдачи прав» позволяет выстроить процесс согласования и фактического предоставления прав доступа к защищаемым ресурсам из единого интерфейса системы.

«Спектр» гибко интегрируется с ИТ- и ИБ-ландшафтом организации при помощи предустановленных коннекторов к ряду систем, может отправлять данные в SIEM, Telegram, по электронной почте или на любую другую платформу в формате JSON по протоколам HTTP, TCP или UDP. «Спектр» также обладает полностью описанным двухсторонним REST API, позволяя максимально автоматизировать работу комплекса.

Особенности:

  • Возможность кластеризации системы для обеспечения отказоустойчивости и внедрения в территориально распределённых компаниях.
  • Возможность настройки активных реакций на инциденты, как при помощи автоматически запускаемых скриптов, так и нативными блокировками на уровне агентов.
  • Использование внутренних хранилищ класса «big data» для длительного хранения событий и быстрого поиска по ним.
  • Широкий перечень предустановленных шаблонов классификации, отчётов, инцидентных правил и рисковых моделей под требования регуляторов и ключевые задачи ИТ- и ИБ-департаментов.

Обзор продукта на нашем сайте доступен здесь.

Подробнее с продуктом можно ознакомиться здесь.

Выводы

DCAP — специализированные системы для управления доступом к неструктурированным данным, помогающие удостовериться, что политики компании в этой области соблюдаются. DCAP-системы анализируют учётные записи, права, файлы, их содержимое, доступы и перемещения, а также выявляют нарушения. Такие продукты призваны в автоматическом режиме выявлять и исправлять проблемы с хранением и использованием данных в компании.

В настоящее время рынок DCAP стремительно развивается. На мировом рынке представлены уже десятки решений для управления доступом к неструктурированным данным. Российский рынок DCAP также хорошо развит — на нём уже представлены системы отечественных производителей.

Учитывая постоянно растущие объёмы неструктурированных данных, можно утверждать, что решения класса DCAP будут актуальны и дальнейший спрос на них будет только расти. Это должно, несомненно, положительно сказаться на развитии российского рынка продуктов данного класса.

Полезные ссылки: 
AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новые статьи на Anti-Malware.ru