DCAP-система: один в поле – воин?

Система для управления неструктурированными данными (Data-Centric Audit and Protection, DCAP), казалось бы, нишевое решение для отдельно взятой задачи по информационной безопасности. Но что если оно может гораздо больше? Разбираемся, может ли система файлового аудита стать основным средством внутренней ИБ в компании.

1. Введение
2. Откуда сомнения?
3. Как работают DCAP-системы?
4. Выход за границы возможностей
5. Когда DCAP достаточно?
6. Выводы

Введение

DCAP-системы появились на рынке не вчера, и всё же до сих пор существует много мифов об их возможностях и ограничениях. Есть мнение, что DCAP — это «дополнение» к DLP, которое отвечает за классификацию и мониторинг доступа к файлам. Альтернативная точка зрения:  DCAP как самостоятельный продукт может посоперничать с DLP в плане защиты данных вплоть до противодействия утечкам. 

Предлагаю разобраться: откуда взялись эти представления, что умеет DCAP и насколько она может взять на себя защиту компании.

Откуда сомнения?

По Gartner, DCAP-системы (от англ. Data-Centric Audit and Protection) должны решать три основные задачи:

1. Поиск и классификацию данных.
2. Аудит файловых операций и прав доступа к ним.
3. Контентное разграничение доступов к файлам.

До появления DCAP-систем на широком рынке (российские разработчики стали массово предлагать свои продукты с 2019 года) часть этих задач решали DLP. Например, в нашей «СёрчИнформ КИБ» уже были базовые инструменты аудита: индексация рабочих станций, анализ файловых операций. В обоих случаях функции помогали расследовать инциденты, но не решали напрямую основную задачу DLP — противодействие утечкам. 

При этом и контроль операций, и контроль содержимого файлов предоставляли ИБ-специалисту ценные данные для работы. Например, понимание, как информация «живёт» внутри компании, пока никто не пытается передать её куда-то на сторону. Вендоры вывели этот функционал в отдельное решение — DCAP. Так в нашей линейке появился «СёрчИнформ FileAuditor», став одним из пионеров на российском рынке.

Параллельно менялись законы в области защиты данных. Например, по 152-ФЗ операторы персональных данных (ПДн) обязаны обеспечивать безопасное хранение и обработку ПДн, и в последние годы ответственность за нарушения в этих процессах ужесточилась. Всё перечисленное обусловило пристальный  интерес к DCAP со стороны компаний, а вендоров стимулировало развивать и совершенствовать свои DCAP-продукты.

Как работают DCAP-системы?

Работа любой DCAP проходит в несколько этапов.

1. Система собирает информацию из всех хранилищ и анализирует её. Некоторые DCAP подключаются к хранилищам файлов по сетевым протоколам (DFS, API, ODBC и тому подобным), в том числе к облакам и сетевым папкам вне локальной инфраструктуры компании. Это даёт информацию о местах хранения без детализации. У некоторых агенты установлены внутри инфраструктуры: на ПК сотрудников и файловых серверах. В этом случае у ИБ-специалиста перед глазами все файловые операции и пользовательские права доступа к данным. Наибольшего эффекта системы достигают при сочетании сетевых и агентских функций в одном решении, как, например, в «СёрчИнформ FileAuditor».
2. DCAP классифицирует файлы в хранилищах, чтобы определить, какие из них требуют защиты. В классическом варианте системы категоризируют файлы в соответствии с атрибутами: их размером, расположением, расширением и так далее. Для выполнения указанной задачи продвинутые решения опираются на содержимое файлов. 
3. DCAP разграничивают доступ к защищаемым файлам в зависимости от их категории. Система определяет, какие пользователи и что могут делать с теми или иными данными, а что им делать нельзя. 

На этом этапе наглядно видно разницу между принципами категоризации: от атрибутов или контента. Приведу пример.

Возьмём чертежи или схемы, обычно они представлены в формате DWG. Чтобы избежать их порчи и утечки, обычная DCAP запретит доступ к файлам DWG всем пользователям, кроме группы «Проектировщики». Другой вариант — запретить пользователям не из группы доступ в папку проектировщиков. Но стоит сотруднику из группы скопировать файл за пределы «разрешённой» папки или изменить его расширение, правила стандартной DCAP перестанут действовать. Например, если инсайдер сделает скриншоты чертежа в JPG, файлы изображений не подпадут под защиту, хотя содержимое того требует. 

Более функциональные решения используют другой принцип. К примеру, «СёрчИнформ FileAuditor» в первую очередь «вычитывает» содержимое каждого файла, даже если оно представлено в нетекстовом формате. Система увидит, что в DWG и его скриншотах в JPG из примера выше одни и те же данные. По итогам анализа файл получит метку в соответствии с контентом. Она встраивается в структуру файла, поэтому не потеряется при смене расширения, расположения или других атрибутов. Функция работает в файловых системах NTFS для Windows и ext3/ext4 для Linux.

Рисунок 1. Представление результатов классификации файлов в «СёрчИнформ FileAuditor»

Соответственно, и блокировки в FileAuditor привязываются не к атрибутам файлов, а к их контенту. Например, блокируется открытие не всех файлов формата JPG или PDF, а всех сканов паспортов вне зависимости от расширения. Условия блокировок гибко настраиваются и учитывают:

• какой класс файлов (по метке, можно уточнить по атрибутам); 
• кому (по пользователям/группам);
• где (на заданном ПК, в хранилище); 
• как (с помощью любого заданного процесса: Word, Chrome, 1C, самописного мессенджера и так далее) можно/нельзя обрабатывать. 

Например, можно разрешить работу с чертежами в AutoCAD, но запретить просматривать такие файлы в браузере или прикреплять в почте. Кроме того, программа сделает теневые копии выбранных файлов, чтобы они остались в архиве на случай порчи или потери. 

Таким образом, DCAP-системы помогают выстроить первый уровень защиты: упорядочить хранение и создать безопасные сценарии обработки данных в компании.

Выход за границы возможностей

На практике работа DCAP выглядит так. В компании стоит задача обеспечить безопасную обработку ПДн. С помощью системы файлового аудита ИБ-специалист узнает, сколько в компании ПДн и где они хранятся, кто имеет к ним доступ и как им пользуется, а также сможет управлять этим доступом. 

Если DCAP продвинутая, то на уровне доступа к файлам она заблокирует и нежелательные варианты взаимодействия с ними. Например, запрет открывать документы с ПДн в мессенджерах, почте или десктоп-клиентах облачных хранилищ фактически означает блокировку отправки этих файлов. Таким образом  DCAP предотвращает утечку информации.

Риск возникает там, где DCAP не может действовать: когда защищаемые данные «вынимают» из файла или среды контроля. Например, ПДн можно скопировать из документа и отправить в письме или сообщении просто текстом, распечатать на принтере, записать в новый файл на флешке, где DCAP не сможет поставить метку. В этих случаях нужна вторая линия защиты — DLP-система. DLP контролируют движение данных по разным каналам и могут заблокировать передачу критичной информации в любом виде — от сообщения до поискового запроса. Так как защита от утечек — основная задача системы, DLP надёжно «закроет» неподконтрольные DCAP риски. В итоге безопасность конфиденциальных данных вырастет:

1. DCAP контролирует данные «в покое», то есть при хранении, DLP — «в движении», а точнее при передаче.
2. DCAP разграничивает доступ к файлам для разных пользователей в компании. DLP защищает от попадания информации к третьим лицам за пределами компании.
3. DCAP защищает файлы, DLP — информацию в любом виде.

Системы дополняют и усиливают друг друга. DCAP сводит к минимуму риск, что критичный файл в компании попадёт «не в те руки». DLP следит, чтобы так и оставалось: мониторит работу пользователей и выявляет попытки инсайдеров обойти запреты. К тому же файловый аудит может ускорить работу DLP: метки DCAP заменят длинные поисковые запросы в политиках безопасности, системе не придётся самой «вычитывать» каждый файл. Это достижимо, когда DCAP и DLP интегрированы между собой, как, например, «СёрчИнформ FileAuditor» и «СёрчИнформ КИБ».

Когда DCAP достаточно?

Системы файлового аудита могут обеспечить безопасность информации на начальном этапе. Например, разграничения внутренних доступов к данным хватит для профилактики ИБ-инцидентов, когда в компании немного пользователей и они «на виду». 

Возможностей DCAP достаточно, чтобы обеспечить целостность, сохранность и конфиденциальность данных. Благодаря этому даже небольшая компания легко выполнит нормативные требования по защите ПДн и другой охраняемой законом информации. 

Кроме того, DCAP обойдутся малым и средним компаниям дешевле, чем DLP, и не только из-за стоимости лицензий. Например, «СёрчИнформ FileAuditor» высоко автоматизирован, готовые правила классификации доступны «из коробки» и минимизируют потребность в ручной донастройке. Поэтому использовать его могут даже ИБ-специалисты уровня junior или, например, системные администраторы, компания сэкономит на редких высокооплачиваемых кадрах для работы с системой.

Когда же штат в компании вырастет, а инфраструктура расширится, «дорастить» функциональность DCAP поможет интеграция с DLP. 

Бесплатно познакомиться с возможностями файлового аудита для защиты данных можно на примере «СёрчИнформ FileAuditor» в течение  30 дней. А чтобы узнать больше, как использовать их самостоятельно или в связке с DLP, присоединяйтесь к вебинару 4 марта, в 11:00.

Выводы

Передовая DCAP работает с данными не по внешним атрибутам, которые легко сменить или исказить, а по содержанию. Такое средство защиты — не просто нишевый продукт: оно вполне может стать фундаментом для системы обеспечения ИБ небольшой компании, где нужно обезопасить персональные данные, или помочь решить базовые задачи по борьбе с утечками в тех организациях, где ограничен бюджет.

По мере роста компании-заказчика DCAP можно будет объединить с решением класса DLP в функциональную связку. Тогда первая из двух систем будет обеспечивать безопасность «покоящихся» данных, а вторая — защищённость «движущихся». Соответственно, чем теснее интеграционное взаимодействие между этими средствами защиты информации, тем более высокой окажется эффективность такой конструкции.