DCAP долгое время находился в поисках своего места в сложной иерархии средств информационной безопасности. Он родился под названием DAG, конкурировал с такими альтернативами, как DSG и UDM, а как только обрел общепринятое название в рамках концепции DCAP, начал испытывать притязания со стороны старого союзника – DLP, вместе с которым защищал корпоративные данные еще до выделения в отдельный класс. Разберемся в истории развития DCAP и его перспективах.
Автор: Владимир Ульянов, руководитель аналитического центра Zecurion
DCAP часто называют потомком модулей DLPсистем, предназначенных для поиска и классификации данных в корпоративной среде Data Discovery. Справедлива ли такая оценка? Является ли DCAP развитием или заменой Discovery – или это разные инструменты, которые похожи лишь внешне, как серрейтор и ножовка?
В портфеле Zecurion есть оба продукта и многолетний опыт использования их крупнейшими корпоративными заказчиками, поэтому при рассмотрении функциональности и перспектив продуктов мы можем опираться не только на видение вендора или оценки независимых аналитиков, но и интересы потребителей, которые часто (но не всегда, о чем мы расскажем ниже) формируют требования и определяют направление развития.
Zecurion DCAP берет свое развитие от Zecurion Discovery, выпущенного в 2012 г. Одна из причин появления Discovery заключалась в необходимости повышения конкурентоспособности на международном рынке с самыми сильными мировыми игроками.
Discovery является неотъемлемой частью Enterprise DLP – в определениях аналитиков Gartner. Претендуя на попадание в “магический квадрант” в качестве равноправного участника, продукт был технологически развит до уровня наиболее продвинутых и перспективных образцов. Усилия не пропали даром: Zecurion не только попал в Gartner Magic Quadrant, но и в рейтинги других мировых аналитиков. В результате Zecurion стал единственным российским вендором, чья DLP-система признана независимыми экспертами “большой тройки” аналитических агентств (Gartner, IDC, Forrester) в числе ведущих.
Zecurion DLP имеет максимальный рейтинг 5.0 на Gartner Peer Insights. Рейтинг был составлен на основе отзывов потребителей, опрошенных непосредственно аналитиками
Gartner. Отраслевые эксперты журнала SC Magazine оценили Zecurion DLP, дав ему пять звезд из пяти в каждой из оцениваемых категорий.
К тому времени на мировом рынке средств корпоративной безопасности уже сформировалась концепция DCAP и появился отдельный класс продуктов – DAG. DAG сложно назвать прямым потомком Discovery, он появился под влиянием все возрастающих требований нормативных актов в области защиты информации в ответ на активную цифровизацию экономики. Найти конкретные данные и обеспечить их должное хранение – задача, которая ставится многими отраслевыми, государственными и международными актами и стандартами.
В это время в России на корпоративных серверах активно нарастал объем данных, но в условиях недостаточно жестких требований по работе с ними большого интереса со стороны заказчиков не было. Действия по выяснению того, что именно там хранится, как лучше организовать это хранение и защитить его, являлись бы дополнительным обременением, но отнюдь не достижением для специалистов по информационной безопасности. Новые продукты и новые инструменты требуют изменения подходов и новых компетенций.
Позже потребительский интерес к подобного рода продуктам начал расти и вызван был не только законодательными изменениями, но и назревшей необходимостью разобраться с корпоративными хранилищами, для которых самые тривиальные вопросы стали исключительно острыми. Само хранение, резервирование данных, масштабирование системы для обеспечения растущих потребностей, наложенные на рост цен на оборудование, стали для организаций тяжелым бременем. И оказалось, что класс решений DAG/DCAP полезен не только с точки зрения информационной безопасности, но и с точки зрения ИТ. Внедрение и освоение новых продуктов открыло дополнительные возможности перед службами ИТ, которые с интересом изучали продукты в разрезе уже кибербезопасности.
Растущий спрос привел к появлению на рынке новых российских игроков. Хотя их продукты во многом уступали опытным мировым конкурентам (особенно в части охвата источников, полноты и наглядности отчетов, масштабирования на большие объемы), они лучше понимали и учитывали отечественную специфику.
Сформировавшийся рынок с устойчивым спросом привлек внимание серьезных разработчиков, в том числе Zecurion, у которого был наработан богатый опыт эксплуатации продуктов в крупнейших организациях. Discovery оставался компонентом DLP, а не самостоятельным продуктом, что давало абсолютно разные сценарии продаж, внедрения и использования. И даже с точки зрения разработки, от модуля до продукта – огромная пропасть.
Отработанная технологическая основа позволила вывести на рынок не экспериментальный, как у новых российских игроков, а уже зрелый продукт Zecurion DCAP, готовый к эксплуатации на больших объемах и отвечающий уровню мировых лидеров. Большой шаг вперед был сделан и по сравнению с Discovery. Сопоставление основных возможностей приведено в таблице.
DCAP как самостоятельный продукт предназначен для аудита данных внутри корпоративного периметра. Он находит и классифицирует данные из разных источников, обеспечивает мониторинг прав доступа, ведет историю событий с данными, следит за соблюдением политик безопасности. Его возможности гораздо шире, чем просто ИТ-инструмента, который поможет упорядочить хранение данных.
Активное использование DCAP службами информационной безопасности выявило недостатки автономной работы, прежде всего ограниченность получаемой информации. DCAP дает точную статичную картинку. Его работа на продолжительном временном отрезке не может ответить на важные для офицеров безопасности вопросы, часто возникающие при расследовании инцидентов. Например, откуда взялся этот файл в корпоративной сети? Каким образом он попал к другому сотруднику? Мог ли его получить кто-то извне? DCAP не контролирует каналы передачи информации и дает только ограниченное видение, а чтобы его расширить, необходимо подключать другие средства корпоративной безопасности.
Следующий шаг в развитии класса DCAP направлен туда, откуда все начиналось, – к симбиозу с DLP. Две эти системы идеально дополняют друг друга, обеспечивая полную видимость данных как в статике, так и в динамике. Впервые концепция была реализована в Zecurion DLP NG – DLP следующего поколения, связке, которая включает DLP-систему и полноценный DCAP, а не только лишь модуль Discovery.
В DLP NG осуществлен трансфер технологий. В частности, DCAP получил более 10 технологий контентного анализа, которые были в DLP, enterprise-агентов для сбора данных, возможность собирать события, связанные с пользователем, и события на периметре, работать с запароленными архивами, оценивать уровень риска. В свою очередь, DLP обрел возможность охватить все корпоративные данные, включая часто невидимые для средств корпоративной безопасности shadow data, узнавать события с файлами, происходящие внутри сети, собирать больше сведений о пользователях, их правах доступа, читать черновики почты, видеть активность в AD, узнавать классы и атрибуты данных и многое другое.
В результате DLP NG может лучше выявлять аномалии, открывать запароленные архивы, производить перекрестную детализацию данных, создавать теневые копии важных файлов, использовать гибридные технологии контентного анализа и повысить эффективность системы защиты информации, точнее оценивать риски для корпоративных данных и пользователей. И это только небольшой перечень дополнительных возможностей системы. Кроме того, слияние DLP и DCAP дает:
единые политики и бесшовную защиту;
общую консоль и подходы к управлению данными (при использовании продуктов от одного вендора);
взаимное обогащение данных для получения полной картины и точного прогнозирования;
единое хранилище данных и событий, которое позволяет сократить расходы на его внедрение и обслуживание.
Цикл развития DCAP начался из модуля DLP и, обогатившись возможностями и требованиями извне, неожиданно закончился снова в единой связке с DLP. По поводу его будущего возникает справедливый вопрос: будет ли он востребован как самостоятельный продукт? Практически наверняка. Задачи, которые решает DCAP, позволяют ему быть полезным инструментом в корпоративной среде. Но если говорить о выстраивании комплексной системы ИБ, то никакого смысла отделять DCAP от DLP нет. Информация, которую собирают оба продукта, взаимно дополняет друг друга и более ценна вместе. Это и есть синергетический эффект, который проявляется при совместном использовании. Кроме того, использование DLP и DCAP от одного вендора позволяет сократить потребление системных ресурсов, упростить и удешевить эксплуатацию системы.
Можно ли использовать DCAP и DLP разных вендоров, ведь информация, собираемая классом продуктов, аналогична? Теоретически можно. На практике это может привести к рассогласованию политик, создаваемых в разных системах по разным принципам, затруднению сбора и агрегации информации, проведения расследований. Возможно, понадобится разработка коннекторов или внедрение дополнительных систем, которые бы обеспечивали обмен информацией между компонентами, что, в свою очередь, приведет не к повышению эффективности, а к росту расходов и усложнению администрирования.
Связка DLP и DCAP от одного вендора для защиты от внутренних угроз видится логичной и наиболее эффективной как с точки зрения обеспечения самой защиты, так и опыта эксплуатации.
ITSec_articles