Обзор DCAP-системы Zecurion: для упорядочения данных в корпоративной среде
Вместо введения. Для чего нужны DCAP-системы
DCAP (Datacentric audit and protection) предназначены для решения проблемы безопасного хранения информации, а именно они позволяют:
-
составить полную карту хранения данных, включая почтовые системы и файловые архивы;
-
выявить документы, содержащие персональные данные, информацию, попадающую под действие регулирующих актов, сведения, составляющие коммерческую и банковскую тайну и другие типы информации ограниченного доступа;
-
установить контроль над правами пользователей, избежать нерегламентированного и избыточного доступа к важной информации;
-
вести мониторинг движения информации и выявлять потенциально небезопасные действия;
-
оценивать риски, связанные с каждым объектом данных, местом хранения или пользователем;
-
формировать отчетность, показывающую различные срезы данных и связанных с ними событий информационной безопасности.
Перечень широк, но в решениях класса Enterprise DLP уже имелись Discovery-модули, которые находили и помогали защищать конфиденциальные данные компаний. Тогда зачем понадобился новый продукт?
Zecurion DCAP как элемент единой экосистемы информационной безопасности
Действительно, Zecurion смог использовать свои многолетние разработки в области DLP и хранения корпоративных данных для запуска нового продукта, и в целом DCAP — это один из элементов корпоративной платформы кибербезопасности для защиты от внутренних (DLP, Staff Control) и внешних (NGFW, SWG) угроз с единой консолью управления, общей базой событий и инцидентов, упрощающей расследование любых нарушений в сети. Помимо этого, есть Zecurion Storage Security для шифрования данных на серверах и резервных носителях и DCAP. Последние два продукта повышают защищенность информации на этапе хранения, тогда так DLP и NGFW снижают угрозы при обработке и передаче данных.
Совместная работа нескольких продуктов позволяет уменьшить количество ложных срабатываний за счет взаимного обогащения данными. А единое хранилище сокращает издержки на передачу данных и увеличивает скорость их обработки. Продукты имеют общие политики, обеспечивающие бесшовную защиту от разных угроз по всем каналам передачи данных.
Разработки Zecurion имеют сертификаты ФСТЭК и внесены в реестр отечественного ПО. Портфолио вендора выглядит как сильный вариант для построения полноценной системы безопасности данных на принципах реального, а не «бумажного» импортозамещения.
Как работает Zecurion DCAP
Ниже приведен краткий обзор функциональных возможностей Zecurion DCAP в разрезе методологии работы системы — от сбора первичной информации до формирования отчетности.
Сбор данных
Полнота и качество первоначальных данных имеют решающее значение для аудита и безопасного хранения информации. Zecurion DCAP способен контролировать данные, находящиеся на файловых серверах, локальных хостах и в папках общего доступа. Помимо этого, система работает с информацией из служб домена Active Directory и LDAP, а также получает данные о входящей и исходящей электронной почте с серверов Exchange.
Zecurion DCAP умеет собирать информацию по сети и парсить логи других систем, однако ключевым методом получения данных являются агенты, установленные на конечных точках, серверах и сетевых хранилищах.
Обработка
После сканирования очередного источника данных Zecurion DCAP проводит классификацию содержащейся в нем информации. Цель этого этапа — выбрать из всего массива данных те, что могут представлять ценность для компании.
В отличие от конкурентов, Zecurion применяет свыше 10 технологий контентного анализа, включая словари, морфологию, цифровые отпечатки, метод Байеса и другие возможности, которые позволяют очень точно классифицировать информацию.
Анализ угроз
Классификация — это лишь основа для сбора событий информационной безопасности и выявления киберугроз. Еще на этапе сбора информации DCAP добавляет в свою базу сведения о правах доступа к каждому объекту, после чего имеет возможность определить так называемые пассивные угрозы: документы с общим доступом, внегрупповые наборы прав, псевдоадминистраторские права. Здесь же определяются реальные владельцы файлов, подсвечиваются регулярные пользователи тех или иных данных, находятся зоны избыточного доступа.
Однако наибольший эффект дает динамический анализ данных. Изменение, перемещение, открытие объекта, содержащего критически важные данные, предоставление прав доступа к документу или папке, создание новых и изменение имеющихся наборов прав, а также десятки других событий не только фиксируются системой, но и оцениваются с точки зрения рисков информационной безопасности.
Технологии Zecurion заточены на работу в больших и очень больших организациях. DCAP может обрабатывать события со скоростью до 1 Тбайт/ч, ее архитектура специально предназначена для работы с распределенной сетевой инфраструктурой.
Реагирование
Выявлением инцидентов и созданием алертов возможности Zecurion DCAP не ограничиваются. При необходимости Zecurion DCAP может реагировать на обнаруженные нарушения, запуская заранее определенные скрипты или передавая данные во внешнюю систему.
Помимо стандартного для DCAP-систем набора функций реагирования, разработка Zecurion обладает расширенным набором возможностей, которые выделяют ее среди аналогичных решений. К таким функциям относится теневое копирование данных. В этом случае сотрудник безопасности получает в свое распоряжение не просто запись об инциденте, но и полную копию данных, связанных с событием. Это предоставляет возможность быстро, на месте принять решение об уровне опасности произошедшего и при необходимости немедленно принять меры.
Zecurion DCAP может заблокировать учетную запись пользователя. Это крайняя, но весьма эффективная мера противодействия. Если есть основания полагать, что аккаунт сотрудника скомпрометирован, лучше лишить его доступа и потом спокойно разбираться. Такой же механизм действует в отношении выявленных угроз. При этом для проведения дальнейшего расследования не требуется внешний инструментарий — Zecurion DCAP обладает собственным IRP-модулем, куда может быть отправлена информация об инциденте.
Отчеты и интерфейс
Важным преимуществом Zecurion DCAP является мощная система отчетов. Помимо традиционного для продуктов вендора, удобного и всеобъемлющего дашборда с таблицами и графическими виджетами, пользователю доступно несколько десятков готовых отчетов, раскрывающих все необходимые срезы собранной базы. Каждый шаблон можно дополнительно настроить, а если и этого недостаточно — отчет можно собрать самостоятельно, используя удобный конструктор.
Отдельно отметим систему рекомендаций Zecurion DCAP. Для большинства контролируемых объектов решение будет рассчитывать уровень риска. Подсистема охватывает как файлы, папки и хранилища в целом, так и пользователей, группы, конкретного админа и структурные подразделения.
Итоги
Безусловно, у Zecurion DCAP большой потенциал в своем сегменте. Функциональные возможности стартового релиза системы сразу выводят ее в лидеры сегмента на отечественном рынке и как минимум сильного конкурента западным решениям для контроля и хранения данных. Перечислим еще раз сильные стороны:
-
Глубокая интеграция DCAP c Zecurion DLP и другими продуктами вендора. Системы используют единый массив данных, взаимно обогащая накопленную информацию.
-
Zecurion DCAP использует весь стек фирменных технологий анализа данных вендора, хорошо зарекомендовавших себя в Zecurion DLP, это позволяет точно классифицировать корпоративные данные.
-
Работа через агенты позволяет Zecurion DCAP собирать максимальный объем данных с конечных точек, серверов и сетевых хранилищ. Кроме того, в ряде случаев агенты могут самостоятельно реагировать на потенциально опасные действия, пресекая возможные инциденты.
-
Глубокий разбор событий Active Directory. Zecurion DCAP способен не только подробно расшифровывать стандартные события службы каталогов, но и контролировать еще более полутора десятка действий внутри AD.
-
Помимо операционных систем Microsoft, Zecurion DCAP полноценно взаимодействует с серверами и рабочими станциями под управлением ОС на базе Linux. Решение поддерживает как отечественные варианты (Astra Linux, AltLinux, RedOS и другие), так и наиболее распространенные западные сборки (Ubuntu, Debian и т. д.).
Как встретит новинку рынок, покажет время. Однако первый взгляд на Zecurion DCAP дает основание утверждать, что в этом сегменте появился очень серьезный игрок. Система с архитектурой, заточенной под инфраструктуру Enterprise-заказчиков, обладающая богатым набором функций и технологий, многие из которых уникальны даже по сравнению с глобальными конкурентами. Решение, учитывающее особенности отечественного рынка и поддерживающее широкий стек операционных систем.
Опубликовано 08.01.2023