Обзор Makves DCAP, системы аудита и контроля информационных активов

Обзор Makves DCAP, системы аудита и контроля информационных активов


Обзор Makves DCAP, системы аудита и контроля информационных активов

Makves DCAP — первый российский программный продукт для мониторинга информационных ресурсов организации. Система позволяет выявить коллизии прав доступа к файлам, определить критически важные информационные активы компании, оценить риски утечки данных. Система собирает сведения для поведенческого анализа и выявления аномальных действий пользователей.

Сертификат AM Test Lab

Номер сертификата: 302

Дата выдачи: 06.09.2020

Срок действия: 06.09.2025

Реестр сертифицированных продуктов »

 

  1. Введение
  2. Архитектура системы
  3. Системные требования
  4. Функциональные возможности
  5. Применение Makves DCAP
    1. 5.1. Аудит пользователей
    2. 5.2. Мониторинг компьютеров
    3. 5.3. Анализ работы с файлами
    4. 5.4. Анализ событий
    5. 5.5. Контроль почтовых ящиков и работа с оповещениями
    6. 5.6. Управление рисками и расследования
    7. 5.7. Панель сводной информации
  6. Выводы

 

Введение

Термин DCAP — Data-Centric Audit and Protection (аудит и защита с фокусом на данных) — появился относительно недавно. Gartner выделила программные продукты этого класса в особую группу лишь в 2017 году. Первоначально это понятие относилось преимущественно к задачам файлового аудита, однако сегодня большинство специалистов определяет функции DCAP-систем несколько шире.

К системам уровня DCAP можно отнести продукты со следующими возможностями:

  • Сбор и классификация данных.
  • Обработка данных для выявления объектов, содержащих критически важную информацию.
  • Анализ и управление правами доступа к объектам.
  • Аналитика поведения пользователей.
  • Мониторинг и аудит изменений в данных и разрешениях.

При этом классические разработки, «заточенные» исключительно на работу с файловыми архивами, по-прежнему с полным правом могут быть отнесены к DCAP.

В общем случае DCAP-разработки решают задачи контроля и мониторинга неструктурированных данных «в покое». Объекты информационной системы, которые не перемещаются и зачастую не изменяются в течение длительного периода времени, тем не менее могут представлять угрозу для информационной безопасности предприятия. Продукты класса DCAP могут осуществлять контроль прав доступа к файлам, размещённым на серверах, рабочих станциях, в облачных хранилищах и не являющимся частью какой-либо базы данных.

В качестве примера можно привести документы, подпадающие под действие регламентов GDPR, федерального закона № 152-ФЗ или банковской тайны. Даже если администратор установил для папки с такими файлами правильные ограничения, копии объектов могут быть выведены в хранилища с общим доступом. Скорее всего, это будет сделано не с целью кражи данных, а в процессе выполнения рутинных рабочих операций, когда целевой файл потребуется другому сотруднику.

В результате на сервере или рабочей станции компании окажется «бомба замедленного действия» — объект, который может стать причиной штрафов при проверке или причинит большой ущерб, будучи украден в процессе атаки. DCAP-система поможет выявить такие документы и собрать данные о копиях конфиденциальных файлов, расположенных в хранилищах с общим доступом.

Другой важный аспект работы таких систем — выявление отклонений в поведении пользователей и сущностей, обозначаемое термином UEBA (User and Entity Behavior Analytics). Анализ журналов событий в режиме реального времени сопряжён с рядом трудностей, одна из которых — быстрое обновление. Нагруженный сервер может перезаписывать такой журнал каждые несколько часов, что иногда мешает отследить аномальные отклонения.

Многие DCAP-системы способны накапливать данные журналов событий. Это даёт администратору возможность увидеть общую картину действий за произвольный период времени относительно пользователя или другого объекта. Резкий рост активности, действия, выполняемые в выходные дни или в неурочное время, большое количество неудачных попыток авторизации должны привлечь внимание ИБ-специалиста или администратора сети. Возможность наложить данные об активности пользователя на сведения о содержимом файлов, которыми он оперирует, позволит также расследовать возможные утечки или предотвратить их.

Makves DCAP предлагает комплексный взгляд на вопрос аудита и защиты информационных ресурсов предприятия. Помимо классического анализа файловых хранилищ и обработки журналов действий система собирает данные о компьютерах, пользователях и почтовых аккаунтах организации, что значительно расширяет возможности анализа информации.

 

Рисунок 1. Основные возможности Makves DCAP

 Основные возможности Makves DCAP

 

Работу Makves DCAP можно условно разделить на два этапа — определение структуры данных и аудит информации с целью оценки рисков утечки. На основании сведений из множества источников программный продукт формирует матрицу доступа на уровне каждого файла и пользователя. Далее программа выполняет поиск потенциальных проблем в сфере хранения и обработки информации — выявляет избыточные права и коллизии доступа, оценивает вероятность утечки конфиденциальных сведений. Если данные регулярно обновляются и обогащаются актуальными материалами из журналов событий, Makves DCAP может быть использована для поведенческого анализа действий сотрудников.

Дополнительно система позволяет обнаруживать дубликаты файлов и непрофильные файловые архивы (музыку, фильмы), хранящиеся на серверах и рабочих станциях организации. При помощи Makves DCAP можно также выявлять устаревшие и неактивные аккаунты пользователей, анализировать состав установленного ПО, получать информацию о проблемах с лицензированием ОС.

Makves DCAP является полностью российской разработкой и включена в реестр отечественного программного обеспечения под номером 6299. По информации от разработчиков, это — первый в своём классе программный продукт, не содержащий зарубежного кода, и система сохранит свою работоспособность в случае изоляции Рунета или введения дополнительных санкционных мер.

Последняя на данный момент версия Makves DCAP вышла в конце мая 2020 года. Мы проанализировали возможности системы и изучили основные сценарии её использования.

 

Архитектура системы

Архитектура Makves DCAP включает в себя три основных компонента — консоль, хранилище и агенты.

 

Рисунок 2. Архитектура Makves DCAP

 Архитектура Makves DCAP

 

Хранилище представляет собой базу данных PostgreSQL, в которую записываются все сведения, собранные системой.

Консоль является центральным элементом пользовательского интерфейса, отвечающим за представление информации из БД. Здесь проводится поведенческий анализ, формируются отчёты, выполняется управление рисками. Консоль представляет собой единое рабочее пространство для всех продуктов Makves. Если организация использует также программный продукт для управления инцидентами Makves IRP, его инструменты будут добавлены в консоль.

Агент предназначен для автоматизации задач по обновлению базы данных. Для получения сведений об объектах информационной системы Makves DCAP использует PowerShell-скрипты, однако при большом количестве компьютеров удобнее собирать информацию одного типа при помощи агента, который может обрабатывать несколько устройств.

Агенты принимают и обогащают информацию из реестров Active Directory, протоколов событий, журналов SIEM-продуктов, почтового сервера Exchange, а также сканируют папки с общим доступом.

Makves DCAP поставляется в виде Docker-контейнера или как MSI-файл. Последний может быть установлен как на физический носитель, так и на виртуальную машину.

 

Системные требования

Для нормальной работы Makves DCAP требуются следующие аппаратные ресурсы:

  • процессор Intel Core i5,
  • 8 ГБ оперативной памяти,
  • 10 ГБ свободного места на жёстком диске.

Makves DCAP поддерживает следующие операционные системы:

  • Windows 10,
  • Windows Server 2016 и 2019,
  • Mac OS X 10.9—10.11,
  • macOS 10.14 и более поздние версии,
  • Ubuntu 16 LTS (Xenial Xerus) и 18 LTS (Bionic Beaver)

Понадобятся также браузер Chrome и доступ в интернет.

Дополнительное программное обеспечение, необходимое для работы Makves DCAP:

  • Под управлением ОС семейства Windows — Docker Desktop 18 или выше для Windows 10, Docker Enterprise для Windows Server; СУБД PostgreSQL 9.6 х64 или более поздняя версия (при установке из MSI-файла).
  • Для macOS: Docker 18.*.
  • Для ОС Linux: Docker 18.*; docker-compose 3.6 или выше.

 

Функциональные возможности

Makves DCAP предназначена для сбора и анализа информации об объектах корпоративной сети — компьютерах, пользователях, почтовых ящиках и файлах. Эти данные могут быть использованы для описания структуры информационной системы и определения её «узких мест», выявления перекосов в распределении прав доступа, предотвращения утечки конфиденциальных сведений. Кроме того, Makves DCAP позволяет выполнять анализ рисков, в том числе и в разрезе пар объектов: «Пользователь—Файлы», «Приложения—Компьютеры», «Пользователь—Почтовый ящик».

Перечислим далее основные функциональные возможности этого программного продукта.

  • Сбор данных о событиях:
    • Получение информации об изменениях, внесённых в файлы и папки.
    • Получение информации из Active Directory об изменениях в списках пользователей, в группах учётных записей и компьютеров, а также в параметрах этих объектов.
    • Получение информации из журналов событий (Event Log).
    • Анализ почтовых ящиков Exchange.
  • Просмотр статистики об объектах и событиях в различных разрезах.
  • Анализ зависимостей пар объектов: приложения—компьютер, файлы—пользователи, пользователи—почтовые ящики, пользователи—файлы.
  • Аудит структуры данных и прав доступа к ним.
  • Анализ и сводная оценка рисков в разрезе объектов информационной системы.
  • Анализ текстовых файлов для определения документов, регулируемых стандартами.
  • Поведенческий анализ действий пользователей и детектирование аномалий.
  • Автоматизация реагирования на риск-факторы с применением заданных процедур.
  • Создание отдельных задач на сбор данных определённого типа.
  • Автоматизация сбора информации при помощи программных агентов.

 

Применение Makves DCAP

Аудит пользователей

Информация о пользователях домена, собранная системой, находится в разделе «Пользователи» главного меню. На главную страницу секции выведены информеры, содержащие основные данные об объектах этого типа — количество пользователей, количество групп, сводная информация о рисках и число выявленных аномалий.

 

Рисунок 3. Раздел «Пользователи» в Makves DCAP

 Раздел «Пользователи» в Makves DCAP

 

В списке пользователей кроме имени можно отображать большое количество дополнительной информации об учётной записи: домен, риск-фактор, дату последней авторизации, дату последней смены пароля, дату последней неудачной авторизации и другие сведения. Все поля таблицы настраиваются — можно отключить ненужные и изменить их порядок.

 

Рисунок 4. Список полей табличной части раздела «Пользователи» в Makves DCAP

 Список полей табличной части раздела «Пользователи» в Makves DCAP

 

Система позволяет быстро отбирать информацию путём установки фильтра по определённому полю прямо из интерфейса таблицы. Настройки фильтра можно сохранить для последующего применения. Кроме сохранения пользовательских запросов имеется ряд конфигураций «из коробки», при помощи которых формируются типовые отчёты — «Заблокированные пользователи», «Пользователи с высоким риском», «Междоменные учётные записи» и другие. Результаты отбора можно сохранить в Excel-формате и отправить по электронной почте. Точно так же построена работа со списками в других разделах главного меню.

Карточка пользователя помимо информации из Active Directory содержит диаграмму связей пользователя с группами, а также список файлов, к которым у него есть доступ. Эта информация располагается на отдельной вкладке «Файлы».

 

Рисунок 5. Диаграмма связей в Makves DCAP

 Диаграмма связей в Makves DCAP

 

Администратор системы может быстро отфильтровать список файлов по нескольким критериям — например, вывести на экран документы, содержащие информацию, которая подпадает под действие GDPR или 152-ФЗ.

 

Рисунок 6. Карточка пользователя, закладка «Файлы» в Makves DCAP

 Карточка пользователя, закладка «Файлы» в Makves DCAP

 

На вкладке «Процедуры» той же карточки администратор может заблокировать пользователя или инициировать принудительную смену пароля. Скрипты, выполняющие эти действия, доступны непосредственно из интерфейса Makves DCAP.

Для каждого пользователя система вычисляет риск-фактор на основании нескольких возможных параметров, имеющих разный вес. Это — своего рода сводная оценка уровня безопасности аккаунта. Риск-фактор и компоненты, на основании которых он рассчитан, также отображаются в карточке пользователя. Тут же можно отправить сотруднику электронное письмо с информацией о выявленных проблемах.

 

Рисунок 7. Информация о риск-факторах пользователя в Makves DCAP

 Информация о риск-факторах пользователя в Makves DCAP

 

Непосредственно из карточки пользователя можно перейти в карточку любой из групп, в которых он состоит — посмотреть её состав, параметры и другую информацию. Перечень данных для пользователей и групп во многом совпадает, поскольку и в том, и в другом случае информация извлекается из Active Directory.

Секция «Статистика пользователей» содержит ряд графических виджетов, наглядно отображающих основные показатели для этой категории объектов. Здесь можно найти:

  • Диаграмму, группирующую пользователей по различным параметрам (активность, блокировка, бессрочный пароль и т. д.).
  • График последнего входа в систему.
  • Распределение пользователей по доменам.
  • Сводную диаграмму по факторам риска.

 

Мониторинг компьютеров

Сведения о вычислительных ресурсах организации собраны в разделе «Компьютеры». Makves DCAP получает информацию из Active Directory и отображает её в удобном для анализа виде. Для каждого сервера или рабочей станции указываются домен, IP-адрес, количество входов в систему, число неверных вводов пароля и другие данные. Табличная часть может быть настроена, а фильтры — сохранены для быстрого доступа таким же образом, как и в разделе «Пользователи».

Makves DCAP выводит название и версию операционной системы для каждого компьютера. Кроме того, программный продукт отдельно помечает ОС с активированной лицензией. Таким образом оператор получает возможность быстро найти устройства с истёкшим сроком лицензии или машины, на которых установлены устаревшие версии операционной системы.

 

Рисунок 8. Информация об операционной системе, установленной на компьютере, в Makves DCAP

 Информация об операционной системе, установленной на компьютере, в Makves DCAP

 

В главном окне раздела, над таблицей, расположены графические виджеты, которые показывают базовую статистику по компьютерам — количество активных и отключённых устройств, сводную информацию по риск-факторам, количество групп, в которых состоят компьютеры.

В карточке конкретного устройства отображается риск-фактор компьютера, рассчитанный на основании нескольких параметров с разным весом. Вкладка «Профили» содержит список аккаунтов, которые авторизовались на выбранном компьютере, а «Папки общего доступа» — перечень «расшаренных» объектов.

 

Рисунок 9. Карточка компьютера в Makves DCAP

 Карточка компьютера в Makves DCAP

 

Кроме того, администратор системы может посмотреть полный список программного обеспечения, установленного на выбранном устройстве. Эта функция будет полезна при проведении аудитов соответствия набора и версий ПО корпоративным стандартам.

 

Анализ работы с файлами

В разделе «Файлы» собрана информация о документах и других объектах, включённых в пул мониторинга Makves DCAP. Система получает исходную информацию при помощи PowerShell-скриптов. Важно понимать, что DCAP-система не копирует файлы и не хранит их содержимое, а лишь собирает и анализирует информацию о них и хранит ссылки на конечные объекты. Параметры скриптов позволяют получать данные о файлах, расположенных в определённых папках, извлекать данные из документов Word и электронных таблиц, выявлять сведения, подпадающие под требования регулирующих органов. Мониторинг может проводиться разово, в произвольные промежутки времени (ручной запуск скрипта) или по расписанию. В планах разработчиков — добавить возможность распознавания текста в графических файлах.

В главном окне раздела «Файлы» расположены четыре информера со сводными данными о наблюдаемых объектах. Из них можно узнать количество объектов (файлов и папок), просканированных системой, их размер, количество обнаруженных дубликатов и число документов, попадающих под действие 152-ФЗ, GDPR и других регулирующих актов.

 

Рисунок 10. Раздел «Файлы» в Makves DCAP

 Раздел «Файлы» в Makves DCAP

 

К списку файлов можно применить более 20 готовых фильтров, которые помимо прочего позволяют найти большие объекты или «неделовые» файлы. С помощью таких отборов можно выявить нецелевое использование дискового пространства на компьютерах организации, обнаружить хранилища фильмов и музыки.

Можно выделить несколько типовых сценариев использования информации о файлах, собранной Makves DCAP:

  • Поиск дубликатов. Копии файлов чаще всего связаны с риском утечки информации. Документ с конфиденциальными данными, хранящийся в папке с ограниченным доступом, может быть скопирован её владельцем, передан другому пользователю и размещён в каталоге с общим доступом. Makves DCAP позволяет найти такие документы, анализируя полное бинарное совпадение. Поэтому файлы с одинаковым содержанием, но разными именами также будут найдены и помечены как дубликаты.
  • Определение реальных владельцев файла. Пользователи, открывавшие файл в течение периода наблюдения, помечаются как его владельцы. При этом список аккаунтов, имеющих доступ к документу, может быть шире. Сведения об избыточных правах, когда пользователь может открывать определённые документы, но никогда этого не делает, помогут лучше настроить политики доступа в организации.
  • Выявление коллизий доступа. Доступ к файлам и папкам осуществляется на уровне групп пользователей. Если сотрудник имеет доступ к файлу, но не состоит ни в одной из групп, имеющих такие права, возникает коллизия, которую можно выявить при помощи Makves DCAP.
  • Аудит файлов, попадающих под действие стандартов. При анализе текста документов Makves DCAP проводит поиск слов и регулярных выражений, которые могут свидетельствовать о наличии сведений, подпадающих под действие стандартов. Например, на информацию о паспортных данных физического лица могут распространяться требования федерального закона № 152-ФЗ и ряда зарубежных регламентов. Система помечает такие файлы, что даёт возможность выяснить, соответствуют ли разрешения на доступ к ним предписаниям законодательства. Анализ позволяет выявить документы, регулируемые GDPR, 152-ФЗ, PCI-DSS, HIPAA и другими регламентами, а также содержащие банковскую тайну и медицинскую информацию.

 

Рисунок 11. Файлы, подпадающие под действие стандартов, в Makves DCAP

 Файлы, подпадающие под действие стандартов, в Makves DCAP

 

На вкладке «Связи» карточки файла информация о пользователях и группах, имеющих к нему доступ, представлена в виде диаграммы. Из вкладки «Процедуры» можно при необходимости удалить выбранный файл или папку.

 

Анализ событий

Makves DCAP собирает информацию из различных журналов событий Active Directory, Exchange и из других источников. Одной из проблем, связанных с анализом многих системных журналов, является их регулярное обновление. В зависимости от размеров организации некоторые логи могут перезаписываться раз в несколько дней, часов или минут из-за ограничения размера файла. Таким образом ценная информация о событиях может быть утеряна. Makves DCAP имеет возможность сохранять эти данные, что позволяет анализировать действия внутри информационной системы за произвольный период времени.

Собранные сведения хранятся в разделе «События» главного меню. Все элементы классифицированы по типу — события Active Directory, операции с файлами, авторизация в системе и другие. Программа позволяет отслеживать все ключевые действия — изменения прав, сброс пароля, операции с файлами. Администратор может быстро отобрать необходимый ему тип события и настроить видимость тех или иных колонок в таблице.

 

Рисунок 12. Раздел «События» в Makves DCAP

 Раздел «События» в Makves DCAP

 

Все действия, выполненные определённым пользователем, можно посмотреть не только в разделе «События», но и на одноимённой вкладке карточки пользователя. Там же расположен блок анализа статистики с графиками количества событий по дням и часам, по типам действий, по важности и с другими диаграммами. По кнопке «Статистика» в разделе «События» те же сведения можно получить не относительно конкретного пользователя, а по всем объектам системы.

 

Рисунок 13. События по дням с отмеченными аномалиями

 События по дням с отмеченными аномалиями

 

Обнаружив на графике аномальный всплеск активности, администратор может одним кликом вывести на экран сведения о том, какими действиями каких пользователей он был вызван.

 

Контроль почтовых ящиков и работа с оповещениями

Раздел «Почтовые ящики» содержит полную информацию об учётных записях электронной почты, полученную из Exchange. Здесь можно как найти сводные данные о количестве ящиков и объектов, хранящихся в них, так и получить детальные сведения о конкретном аккаунте. В карточке почтового ящика отображаются все сотрудники, имеющие к нему доступ, что позволяет выявить пользователей с избыточными правами этого типа.

Администратор системы имеет возможность отфильтровать почтовые ящики по размеру и определить аккаунты, занимающие значительное дисковое пространство. Как и в случае с другими объектами, Makves DCAP рассчитывает для каждого почтового ящика риск-фактор на основании ряда показателей. Сводные данные о количестве аккаунтов в разрезе их риск-фактора отображаются на главном экране раздела.

Для уведомления администраторов и ответственных лиц об определённых событиях, зафиксированных по результатам мониторинга, предназначен механизм оповещений. Оповещения представляют собой особый вид отчётов, которые генерируются на основании созданных пользователем шаблонов. Для описания шаблона применяется последовательность условий, в которых можно задать тип события (например, удаление файла или изменение прав доступа), его локализацию (например, конкретная папка) и другие параметры. Оповещения могут быть отправлены на электронную почту, а также отображаются в особом одноимённом разделе.

 

Управление рисками и расследования

Сводная информация по всем обнаруженным рискам собрана в разделе «Риски» главного меню Makves DCAP. Основной экран раздела содержит набор виджетов, отображающих количество рисков в разрезе объектов системы (пользователи, файлы и т. д.) и типов угроз (неактивные, без обязательного пароля и пр.). В частности, при помощи информера можно как узнать общее число файлов с доступом «для всех», так и отобрать документы, содержащие конфиденциальную информацию.

 

Рисунки 14—15. Виджеты раздела «Риски» в Makves DCAP

 Виджеты раздела «Риски» в Makves DCAP

 Виджеты раздела «Риски» в Makves DCAP

 

Для расследования несоответствий Makves DCAP имеет возможность анализировать данные в разрезе пары объектов, например «Пользователь—Файлы» или «Пользователь—Почтовый ящик». Этот инструментарий находится в разделе «Анализ» главного меню.

Сценарии расследования могут быть такими:

  • На вкладке «Пользователь—Файлы» выбрать пользователя и посмотреть список объектов, к которым он имеет доступ. Файлы можно отфильтровать по ряду параметров, в том числе и по ключевым словам.
  • На вкладке «Файл—Пользователи» можно выполнить обратное действие — посмотреть, какие учётные записи имеют доступ к конкретному объекту.
  • На вкладке «Пользователь—Почтовый ящик» администратор имеет возможность узнать, к каким почтовым аккаунтам имеет доступ выбранный сотрудник.
  • Вкладка «Приложение—Компьютер» отображает список рабочих станций и серверов, на которые установлена определённая программа. Такой анализ необходим для поиска устаревших версий ПО и запрещённых корпоративными стандартами приложений.

 

Рисунок 16. Вкладка «Файл—Пользователи» раздела «Анализ» в Makves DCAP

 Вкладка «Файл—Пользователи» раздела «Анализ» в Makves DCAP

 

Панель сводной информации

Сводная информация обо всех объектах компьютерной инфраструктуры организации хранится в разделе «Сводка». Здесь собраны данные о количестве компьютеров, пользователей, событий и файлов, мониторинг которых осуществляет система. На один экран выведена ключевая статистика по всем объектам:

  • Диаграмма рисков применительно к пользователям.
  • Распределение файлов по типам.
  • Количество документов, содержащих регулируемые законодательством сведения.
  • Данные по событиям, которые относятся к действиям, пользователям, компьютерам и регламентам.
  • Сведения о размере файлов, находящихся на компьютерах.

 

Рисунок 17. Раздел «Сводка» в Makves DCAP

 Раздел «Сводка» в Makves DCAP

 

Эта панель мониторинга («дашборд») даёт администратору возможность комплексно взглянуть на компьютерную инфраструктуру компании и определить проблемные места с точки зрения информационной безопасности. Все информеры и графики позволяют перейти к данным, на основе которых они сформированы.

 

Выводы

Makves DCAP представляет собой комплексную систему анализа информационных активов предприятия. Программа позволяет собрать в едином интерфейсе полные данные о компьютерной инфраструктуре организации и определить критически важные информационные активы, нуждающиеся в повышенном внимании ИБ-специалистов и администраторов системы.

Одной из наиболее востребованных функций продукта является возможность анализа содержимого документов на предмет подпадения под действие отечественных и зарубежных регламентов. Возможность выявлять объекты, связанные с 152-ФЗ, GDPR, PII и другими актами, есть почти во всех логических модулях системы. Так, данные об активности пользователя или список доступных ему файлов могут быть легко проанализированы в разрезе регламентируемых сведений.

Makves DCAP не хранит файлы и их содержимое в своей базе данных, а лишь собирает необходимую для их классификации информацию. Таким образом существующие контуры безопасности компании не нарушаются и конфиденциальные данные не копируются в новое хранилище.

Другой важный элемент программного продукта — система оценки рисков, которая позволяет наглядно показать объекты, которые могут представлять угрозу для безопасности предприятия. Отсутствие пароля на вход в аккаунт, длительные периоды бездействия, пустые группы, неограниченный доступ и другие показатели формируют комплексный риск-фактор для каждого исследуемого актива. Обычно эта оценка складывается из нескольких составляющих, каждая из которых имеет свой вес, учитываемый при расчёте итогового значения.

Ещё одна интересная функция Makves DCAP — аудит программного обеспечения, установленного на компьютерах организации. Она поможет администратору выявить устаревшие, потенциально небезопасные версии системных и прикладных программ. Кроме того, во многих организациях состав ПО на рабочих станциях ограничен внутренними актами — функциональность системы даёт возможность оперативно проверить весь парк и выявить отклонения. Дополнительно продукт следит за активацией Windows и помечает компьютеры, на которых она не выполнена.

Подводя итог, отметим преимущества и недочёты Makves DCAP.

Достоинства:

  • Механизм выявления конфиденциальной информации в документах без копирования их содержимого.
  • Алгоритм поиска дубликатов файлов по бинарному совпадению.
  • Собственная система оценки рисков.
  • Поведенческий анализ пользователей и сущностей на основании данных из нескольких журналов событий и сведений из Active Directory.
  • Возможность анализа данных в разрезе пар объектов («Пользователь—Файлы» и другие).
  • Механизм поиска нецелевых хранилищ информации на серверах предприятия.
  • Функция сбора данных об установленном ПО.
  • Гибкий интерфейс представления информации с возможностью настройки полей таблиц и отбора по ним, а также сохранения пользовательских запросов для быстрого доступа.
  • Продукт включён в реестр российского программного обеспечения.

Недостатки:

  • Небольшой набор действий с объектами, доступных для выполнения непосредственно из интерфейса программы.
  • Слабая автоматизация процесса аудита программного обеспечения, отсутствие инструментов для задания шаблона стандартного ПО рабочей станции.

В целом можно утверждать, что Makves DCAP — перспективный полнофункциональный продукт для аудита информационных ресурсов. Это первая полноценная программа такого класса, созданная российскими разработчиками. Возможности системы не уступают западным аналогам по функциональности и в то же время превосходят их по экономической эффективности: стоимость внедрения и эксплуатации отечественного продукта будет ниже, а поддержка — оперативнее.

Кроме того, нынешняя реальность заставляет российские компании (особенно — с участием государственного капитала) с осторожностью относиться к зарубежным системам. Makves DCAP устойчива к любым санкционным мерам и включена в реестр отечественного ПО, что позволяет смело рекомендовать её бюджетным организациям и предприятиям энергетического сектора. Внедрение системы поможет понять структуру информационных активов компании и определить слабые места политик безопасности, регламентирующих доступ к данным.

Реестр сертифицированных продуктов »

Записаться на демонстрацию

Нажимая "Запросить", вы соглашаетесь с Политикой конфиденциальности и обработки персональных данных нашей компании

Запросить пробную версию

Нажимая "Получить", вы соглашаетесь с Политикой конфиденциальности и обработки персональных данных нашей компании

Запросить цены

Нажимая "Отправить", вы соглашаетесь с Политикой конфиденциальности и обработки персональных данных нашей компании

Задать вопрос

Нажимая "Задать", вы соглашаетесь с Политикой конфиденциальности и обработки персональных данных нашей компании

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.
Лаборатория AM Test Lab готова провести независимую экспертизу и добровольную сертификацию любого продукта или сервиса по информационной безопасности и подготовить его профессиональный обзор. Для получения дополнительной информации необходимо оформить запрос.