Что такое DCAP (Data-Centric Audit and Protection) и чем эти ИБ-системы отличаются от решений DAG (Data Access Governance)? Кто является заказчиком таких решений? Конкурируют ли DLP-системы с DCAP или же эти продукты дополняют друг друга? Какие подводные камни ждут компании на пути внедрения решений для управления доступом к неструктурированным данным?
- Введение
- Базовые сведения об управлении доступом к неструктурированным данным
- Практика использования DCAP-систем
- 3.1. Как устроены DCAP-системы
- 3.2. Как заказчики используют DCAP
- 3.3. Как выбрать DCAP
- 3.4. Внедрение DCAP
- Прогнозы
- Итоги онлайн-конференции
- Выводы
Введение
Понятие DCAP относительно ново для отечественного рынка, хотя предшественники таких систем, решения класса DAG, появились в России более 10 лет назад. Как чувствует себя рынок DCAP после ухода многих западных вендоров? Могут ли местные разработки заменить глобальные бренды? Нужны ли вообще организациям системы DCAP, если у них уже есть DLP? Сфера управления доступом к неструктурированным данным вызывает множество вопросов не только у заказчиков, но иногда и у профессионалов рынка.
Разобраться с темой DCAP мы решили в прямом эфире онлайн-конференции AM Live, куда пригласили представительный состав экспертов.
Рисунок 1. Участники прямого эфира в студии AM Live
Гости прямого эфира:
- Мария Фомина, менеджер по развитию бизнеса компании ITD Group;
- Роман Подкопаев, генеральный директор компании MAKVES;
- Сергей Добрушский, директор по развитию продуктов компании «Сайберпик»;
- Алексей Парфентьев, руководитель отдела аналитики компании «СёрчИнформ»;
- Михаил Фигин, директор по продажам компании «Орлан».
Модератор и ведущий онлайн конференции: Евгений Акимов, директор департамента «Национальный киберполигон» компании «Ростелеком-Солар».
Базовые сведения об управлении доступом к неструктурированным данным
Что такое решения DCAP
Для того чтобы определиться с терминологией и рассказать зрителям о предмете дискуссии, ведущий предложил экспертам поделиться мнением о том, что же такое системы контроля и управления доступом к различным неструктурированным данным.
Сергей Добрушский:
— В первую очередь DCAP — это класс продуктов. С другой стороны, это подход к защите информации. Само название «Data-Centric Audit and Protection» говорит, что защиту можно выстраивать не только от людей и их действий, но и от данных — основного информационного актива компании.
Сергей Добрушский, директор по развитию продуктов компании «Сайберпик»
Алексей Парфентьев:
— DCAP — понятие западное. У нас подобный класс решений называли «средства защиты информации», СЗИ. Я вижу, что заказчики смотрят на DCAP как на СЗИ следующего поколения: умное средство безопасности, которое даёт готовые технологии защиты данных, реализуя новый подход к важной и нужной задаче.
Роман Подкопаев:
— DCAP-системы работают внутри периметра безопасности. Они анализируют учётные записи, права, файлы, их содержимое, доступы и перемещения, а также выявляют нарушения. DCAP-системы призваны в автоматическом режиме выявлять и исправлять проблемы с хранением и использованием данных в компании.
Роман Подкопаев, генеральный директор компании MAKVES
Евгений Акимов напомнил спикерам, что ранее подобные системы назывались DAG, и попросил объяснить разницу между этими терминами.
Михаил Фигин:
— Аббревиатура DCAP была введена одним из западных аналитических агентств, однако по сути это — развитие идей систем DAG, чья история началась ещё в 2004 году. На российском рынке DAG-системы появились в 2008 году и присутствуют по сей день, уже под названием DCAP.
Михаил Фигин, директор по продажам компании «Орлан»
Мария Фомина:
— В понимании российского заказчика аббревиатуры DAG и DCAP неразрывно связаны. На протяжении последних трёх-четырёх лет, когда началось активное «пилотирование» и внедрение таких проектов, для заказчиков нет разницы между двумя этими терминами. Изменение названия — это скорее маркетинговый ход.
Какие атаки способны предотвратить DCAP-системы
В продолжение разговора ведущий напомнил, что этот год характеризуется повышенной активностью киберпреступников по отношению к отечественным компаниям. Полезны ли DCAP-решения в условиях такого кибершторма, какие атаки они способны предотвратить? Есть ли практические примеры использования таких систем? Эксперты AM Live пояснили, что с точки зрения матрицы MITRE ATT&CK подобные продукты могут быть использованы на всех её этапах, начиная от получения доступа и заканчивая эксфильтрацией. Особенно эффективны DCAP-системы для предотвращения нарушений на этапе закрепления, повышения привилегий и доступа к данным.
Евгений Акимов, директор департамента «Национальный киберполигон» компании «Ростелеком-Солар»
Для атаки чаще всего требуется учётная запись, которая обладает определёнными привилегиями. DCAP способна выявить нарушение прав доступа, найти общедоступные объекты и установить режим минимально необходимых привилегий. В этом случае у киберпреступника или шифровальщика будет гораздо меньше возможностей для развития атаки. Ещё одна задача DCAP — это оптимизация систем хранения. Убирая неиспользуемые данные, компания не только удаляет потенциально общедоступную конфиденциальную информацию, но и разгружает серверные хранилища.
Как отметили гости студии, теневая копия DCAP поможет оперативно восстановить критически важные данные в случае атаки вируса-шифровальщика. Кроме того, система контроля доступа к данным, работающая на уровне оконечных устройств, способна заблокировать попытки доступа к файлам со стороны нелегитимных аккаунтов и процессов.
Экономическая эффективность DCAP
Как оценить экономическую эффективность систем класса DCAP? Ведь на одной чаше весов находится стоимость решений, а на другой — риски и возможность их принять. Как пояснили эксперты онлайн-конференции, DCAP-решениями пользуются как департаменты информационных технологий, так и службы ИБ, поэтому обоснования бюджета на приобретение такой системы могут быть различными. С точки зрения ИТ это — высвобождение дисковых массивов, что в условиях возросших цен на серверы делает использование DCAP весьма выгодным для компании.
У департамента информационной безопасности ситуация сложнее, поскольку цену риска не всегда можно точно измерить в деньгах. Однако здесь в качестве обоснования нередко используются репутационные риски, связанные с утечкой данных. Компаниям, у которых уже были инциденты, обосновать необходимость DCAP проще. В противном случае эксперты рекомендуют провести пилотное внедрение на небольшом массиве учётных записей и на примере полученных результатов показать заказчику выгоду.
Структура рынка DCAP
Как показали результаты опроса зрителей прямого эфира AM Live, более 21 % заказчиков уже используют DCAP-решения или пробуют их «пилотировать» и внедрять. Эти варианты ответов выбрали 12 % и 9 % респондентов соответственно. Интересно, что год назад на нашей онлайн-конференции, посвящённой DCAP, лишь 6 % опрошенных назвали себя пользователями таких систем. Очевидно, это свидетельствует о том, что за последнее время соответствующий сегмент рынка значительно вырос. Что может быть причиной этого? Скорее всего, драйвером изменений стала совокупность факторов — возросшая зрелость заказчиков, рост числа кибератак, нацеленных на данные, и даже уход западных вендоров.
При этом, как мы видим, очень многие потенциальные пользователи DCAP либо знают лишь общие принципы работы таких систем (46 %), либо вообще не слышали о подобных инструментах безопасности (33 %). Это даёт основание полагать, что у рынка есть значительный потенциал роста.
Рисунок 2. Насколько хорошо вы знакомы с решениями DCAP?
Рисунок 3. Насколько хорошо вы знакомы с решениями DCAP? Результаты опроса в 2021 г.
Эксперты AM Live подтвердили, что объём продаж у DCAP-вендоров за последний год вырос. Они связывают это как с повысившейся зрелостью рынка (которая, однако, сильно зависит от конкретного сектора), так и с возросшим уровнем самих решений. Отечественные вендоры начали активно развивать свои DCAP-системы, последних стало больше, в них была добавлена возможность реагирования на нарушения — всё это стимулирует интерес клиентов. Как отметили спикеры, у DCAP очень широк круг потенциальных заказчиков: по сути, это все организации, кому важна сохранность данных.
Тенденции активного импортозамещения в сегменте DCAP подтверждают результаты опроса зрителей онлайн-конференции. Более половины его участников — 53 % — выбирают только из отечественных систем управления доступом к неструктурированным данным. Готовы использовать только зарубежные аналоги всего 5 % респондентов. Не имеют «национальных» предпочтений в сфере DCAP 42 % опрошенных. Последний вариант, скорее всего, выбирали коммерческие компании или недостаточно хорошо знакомые с отечественным ИБ-рынком клиенты.
Рисунок 4. Важно ли для вас происхождение DCAP-системы?
Эксперты онлайн-конференции заметили, что западные вендоры не очень охотно выполняли индивидуализацию своих систем под требования клиентов. В этом смысле переход на отечественные разработки приносит заказчикам дополнительные выгоды, поскольку местные производители стараются прислушиваться к их запросам.
Влияние регуляторов на рынок DCAP
Однако существует ли какая-то регуляторная база, которая бы подталкивала российские компании к использованию DCAP-систем? Является ли этот фактор драйвером рынка? Гости студии рассказали, что правовых оснований для использования DCAP весьма много, более того, за последний год такие требования стали жёстче и тенденция к «закручиванию гаек» сохраняется.
В частности, применение DCAP подразумевается статьёй 19 закона 152-ФЗ «О персональных данных». С сентября все операторы персональных данных должны отчитываться об инцидентах с этим типом информации в течение суток, а предоставлять результаты расследования — в течение трёх суток. Без DCAP выполнить эти требования крайне трудно. Обсуждается также введение оборотных штрафов за утечки данных. При этом явной регуляторики, обязывающей использовать DCAP-решения, на нашем рынке нет, а «косвенные» акты работают хуже.
Практика использования DCAP-систем
Как устроены DCAP-системы
Переходя к практической части онлайн-конференции, Евгений Акимов попросил экспертов в студии рассказать об архитектуре DCAP-решений, пояснить зрителям основные принципы функционирования таких систем. Представители вендоров и интеграторов отметили, что единой, принятой повсеместно архитектуры DCAP-продуктов не существует. В зависимости от идеологии системы и решаемых задач может применяться агентская логика, предполагающая установку сканеров системы на все контролируемые устройства. Также DCAP может выполнять удалённый сбор информации — анализировать логи, использовать данные SIEM и других инструментов информационной безопасности. Можно использовать сбалансированный подход, основанный на этих двух концепциях.
При этом все решения DCAP имеют схожие модули обработки собранных данных — средства индексирования, каталогизации и анализа информации (например, структуры прав доступа), лингвистическое ядро. DCAP собирает поток метаданных о пользователях и группах, статистическую информацию, данные об активности, обогащённые сведениями от служб каталогов. Многие вендоры используют возможности искусственного интеллекта для распознавания нужных данных. Кроме этого, отличительной чертой DCAP является наличие блока аудита, призванного дать ответ, кто, когда и какой информацией пользовался.
Как заказчики используют DCAP
Как компании используют DCAP-системы? Как показал наш опрос, проведённый среди зрителей прямого эфира AM Live, большинство заказчиков применяют их для контроля доступа (27 %), а также поиска и классификации неструктурированных данных (20 %). Ещё 18 % опрошенных при помощи DCAP управляют доступом к неструктурированным данным, 16 % обнаруживают аномалии в работе с ними. Затруднились с ответом 14 % участников опроса.
Интересно, что лишь 5 % респондентов используют DCAP для оптимизации хранилищ информации. Скорее всего, такие результаты опроса связаны с тем, что основная аудитория онлайн-конференции AM Live — это специалисты по информационной безопасности. При этом нельзя забывать, что неиспользуемые данные, которые находит DCAP, также могут содержать конфиденциальную информацию. Не исключено, что по мере увеличения зрелости рынка заказчики осознают значимость и этой функции DCAP.
Рисунок 5. Какой сценарий использования DCAP наиболее интересен вашей компании?
Как выбрать DCAP
Какими возможностями должна обладать хорошая DCAP-система? Мы попросили гостей студии назвать преимущества своих решений и на основании их ответов составили общий список. Потенциальные заказчики могут ориентироваться на него при выборе решения для управления доступом к неструктурированным данным.
Критерии оценки DCAP-системы:
- Качественный агентский сбор событий.
- Возможность собирать данные без агента.
- Большое количество поддерживаемых типов хранилищ.
- Автоматизация процессов связанных с доступом к данным.
- Возможность поиска в массиве проиндексированных данных.
- Автоматическое управление жизненным циклом данных.
- Наличие руководств для самостоятельного «пилотирования» системы.
- Экспертиза разработчика.
- Встроенная система рекомендаций.
- Песочница для моделирования прав доступа.
- Обеспечение миграции матрицы прав между различными типами доменов.
- Эффективный модуль анализа данных.
- Биометрическая идентификация при доступе к определённым типам данных.
Внедрение DCAP
В завершение практической части конференции мы предложили экспертам поговорить об особенностях внедрения DCAP-систем. В частности, модератор дискуссии задал вопрос о соотношении «технологической» и «методологической» частей внедрения. Ведь кроме развёртывания и запуска системы весьма много ресурсов требует настройка различных правил, политик, сценариев работы. Эксперты отметили, что скорость выстраивания процессов работы с данными напрямую зависит от положения дел с хранением информации и доступом к ней в компании. Чем больше объектов необходимо обработать и упорядочить, чем выше доля проблемных «учёток» и файлов, тем больше времени и ресурсов придётся потратить.
Что же касается потенциальных заказчиков, то, как показал наш опрос, чаще всего от внедрения DCAP их останавливает высокая стоимость решений этого класса. Такого мнения придерживаются 29 % респондентов. Это, кстати, идёт вразрез с результатами опросов, которые мы проводили на прошлом эфире AM Live, посвящённом ИБ-экосистемам. Тогда зрители онлайн-конференции, напротив, высказывали мнение, что финансовая сторона вопроса не так важна.
Помимо денег, внедрение DCAP тормозится отсутствием интеграции с другими системами ИБ (16 %), невозможностью работы с необходимыми источниками данных (5 %) и сложностью внедрения и настройки (3 %). Часть опрошенных вообще не видят смысла в DCAP — возможно, потому, что в смежном сегменте ИБ-рынка работают гораздо более «раскрученные» DLP-системы. Не нашли для себя подходящего варианта 39 % участников опроса.
Рисунок 6. Что главным образом останавливает вас от внедрения DCAP?
Прогнозы
Подводя итоги конференции, мы предложили спикерам дать прогнозы развития отечественного рынка DCAP и попутно оценить его нынешние объёмы.
Мария Фомина:
— На рынке продолжится тренд импортозамещения. Те компании, которые в данный момент используют западные DCAP-системы, уже ведут пилотные внедрения отечественных продуктов. Организации, которые ранее не пользовались DCAP, активно присматриваются к этому типу решений.
Мария Фомина, менеджер по развитию бизнеса компании ITD Group
Сергей Добрушский:
— Соглашусь, что примерно 30 % новых заказчиков переходят с западных решений, а 70 % — это новые клиенты. По пилотным проектам, которые уже проведены, мы можем прогнозировать как минимум 1,5-кратный рост объёмов продаж и внедрения наших решений.
Алексей Парфентьев:
— Результаты событий, произошедших в этом году, мы увидим в 2023-м, так как замена зарубежных решений требует значительного количества времени и ресурсов. Мне кажется, что рост продаж DCAP-решений в следующем году и далее будет более чем двукратным.
Алексей Парфентьев, руководитель отдела аналитики компании «СёрчИнформ»
Роман Подкопаев:
— Рынок будет расти значительно быстрее, если его игроки будут пропагандировать тему DCAP. Чем больше мы будем рассказывать, что это — основа информационной безопасности, и сдвигать фокус внимания с периметра на инфраструктуру, тем более зрелым будет рынок, тем выше будет его рост.
Михаил Фигин:
— Большинство заказчиков, буквально 99 %, планируют замещение зарубежных продуктов на отечественные аналоги. Возможно, это произойдёт не в следующем году, может быть, даже не в 2024-м, но в ближайшие годы они точно перейдут на российское программное обеспечение.
Итоги онлайн-конференции
По традиции, подводя итоги прямого эфира, мы задали нашим зрителям вопрос: каково их мнение относительно решений DCAP по результатам дискуссии? Прогнозы экспертов, связанные с грядущим ростом рынка решений для управления доступом к неструктурированным данным, подтвердили и потенциальные заказчики: 57 % опрошенных сообщили, что заинтересованы темой DCAP и будут тестировать соответствующие решения. Ещё 11 % уже пользуются этими инструментами информационной безопасности. Для 18 % участников опроса такие системы пока избыточны, а 7 % респондентов считают, что гости студии не смогли доказать необходимость их использования. Не поняли, о чём шла речь в прямом эфире, также 7 % участников опроса.
Рисунок 7. Каково ваше мнение относительно решений DCAP после эфира?
Выводы
Российский рынок DCAP переживает значительные изменения, как в структуре представленных на нём игроков, так и в плане объёма. Отечественные вендоры, долгое время остававшиеся в тени западных разработчиков, получили наконец возможность выйти не только на государственных заказчиков, что, безусловно, послужит толчком и для развития имеющихся решений, и для появления новых производителей.
Универсальность DCAP-систем, их нацеленность как на информационную безопасность, так и на ИТ облегчают их продвижение: ведь именно решения по управлению доступом к неструктурированным данным могут стать основой всей инфраструктуры безопасной работы с информацией. Однако в отсутствие внятного регулирования этого сектора со стороны государства DCAP всё ещё воспринимается многими заказчиками как необязательный, дополнительный элемент ИБ-системы.
Но положение меняется: вендоры существенно расширили портфель внедрений, запланированных на 2023 год, причём лишь треть из них связаны с импортозамещением. Ещё больше разогнать рынок DCAP поможет ужесточение наказаний за утечки персональных данных. Игроки сегмента говорят о возможном внедрении оборотных штрафов, однако такое решение пока находится лишь на стадии проекта. Возможно, это и к лучшему, иначе имеющиеся вендоры могут не переварить возросший спрос. Всё должно достигать зрелости синхронно — и запросы клиентов, и решения, способные их удовлетворить.
В рамках онлайн-конференций проекта AM Live мы обсуждаем самые актуальные для российского рынка информационной безопасности темы. Чтобы не пропускать новые выпуски и оставаться в курсе главных тенденций индустрии, не забудьте подписаться на YouTube-канал Anti-Malware.ru. До встречи в эфире!