Авторы:
Асреев Артём, Архитектор ИБ
Королев Евгений, Аналитик ИБ
В 2025 году концепция «периметр защищён — данные в безопасности» окончательно умерла. Конфиденциальные данные, за которыми охотятся злоумышленники, теперь повсюду: в облаках, в мессенджерах, в руках подрядчиков и внутри нейросетей. Если вы не контролируете, кто, как и зачем обращается к вашим файлам внутри инфраструктуры, вы не просто рискуете – вы уже в очереди на пополнение печальной статистики. Отчёт Verizon DBIR 2025 показывает, что атака начинается не с обхода периметровых средств защиты, а с использования уже выданных прав доступа.
На практике конфиденциальные данные хранятся в различных форматах и в самых неожиданных местах, от фотографии паспорта на файловой шаре до yaml-конфигов средств защиты на общедоступной странице корпоративной базы знаний.
Внутренние нарушители и неструктурированные данные в организации
По данным Verizon DBIR 2025, паттерн Privilege Misuse (злоупотребление привилегиями) на 90% состоит из действий внутренних нарушителей. Это не всегда злой умысел: часто это любопытство или халатность. Но результат один – утечка персональных данных (которые фигурируют в 72% случаев злоупотребления правами). А как известно, с 2025 года в России была значительно ужесточена ответственность за такие утечки.
Когда заходит речь об обеспечении конфиденциальности данных в компании, первое, о чём подумает каждый, кто имеет хоть какое-то отношение к ИБ – это, естественно, DLP. И это правильно, DLP зачастую является последним рубежом, который остановит утечку, но как определить, где вообще хранятся конфиденциальные данные, как разгрести эти Авгиевы конюшни? DCAP решает фундаментальную проблему: отсутствие прозрачности в вопросах доступа к неструктурированным данным, а ведь это порядка 80%. Он позволяет ответить на вопросы, которые не закрываются ни DLP, ни IAM, ни PAM:
какие данные существуют в инфраструктуре;
кто имеет к ним доступ фактически;
какие права являются избыточными;
какие доступы не использовались месяцами или годами.
DCAP позволяет проанализировать сами данные: уровень чувствительности, расположение, их перемещение и копирование, аномальные паттерны доступа и аномалии в поведении пользователей. В совокупности это позволяет обнаруживать риск ещё до того, как он трансформируется в инцидент.
Ярким примером эффективности DCAP для предотвращения массовой утечки может быть не самый редкий сценарий: аномальное поведение пользователя, который внезапно выполняет тысячи операций копирования с файлового сервера данных о проектах компании за последние несколько лет. Да, возможно, он просто беспокоится о сохранности данных и хочет сделать бэкап, а может быть просто готовится к увольнению. Выявленный факт аномального поведения пользователя позволяет офицеру безопасности обратить на него более пристальное внимание и действовать на упреждение при пресечении попытки кражи конфиденциальных данных.
Также технология выявления аномального поведения пользователей позволяет обеспечить не только конфиденциальность чувствительных данных, но и их доступность. С 2017 года и массовой эпидемии шифровальщиков WannaCry и NotPetya прошло уже почти 10 лет, однако потенциальные последствия таких атак остаются ужасающими для любой организации, коммерческой или государственной. Способов доставки полезной нагрузки внутрь инфраструктуры может быть много, но сейчас не об этом: благодаря анализу поведения пользователей и аудиту прав учётных записей DCAP является именно средством проактивной защиты от угроз шифровальщиков. В случае обнаружения потенциально опасных манипуляций с файлами (этот параметр гибко настраивается) DCAP может осуществлять блокировку учётной записи, а также данные о подобных событиях отправляются в SIEM, для дальнейшего реагирования и расследования инцидента.
Риски для бизнеса. Прямые, репутационные, регуляторные
Про регуляторные риски от утечки различных видов конфиденциальных данных я уже упоминал, но также стоит помнить и о репутационных рисках. В нашем случае репутационные риски напрямую сопряжены с нашей профессиональной деятельностью.
Свежая статистику Роскомнадзора, по данным которого, за 2025 год зафиксировано 118 инцидентов (52 млн. записей), связанных с утечкой ПДн, показывает положительную динамику по отношению к 2024 году - 135 случаев (710 млн. записей). И, несмотря на это, внимание со стороны регуляторов остается пристальным, что, в свою очередь, возлагает больше ответственности на владельцев такой информации.
Именно использование «Спектр | DCAP» для поиска персональных данных на файловых серверах компании стало первым опытом эксплуатации СЗИ в нашей инфраструктуре. Задача, которая выглядит как поиск иголки в стоге сена, заняла считаные минуты благодаря предустановленным шаблонам, которые идут «из коробки».
Средства DCAP критически важны, так как они радикально сокращают время обнаружения инцидента. Статистика IBM 2025 неумолима: средний цикл жизни утечки (от момента кражи до локализации) составляет 241 день. Представьте, что злоумышленник или недобросовестный админ гуляет по вашим серверам почти 8 месяцев!
Основная задержка происходит на этапе идентификации (181 день). «Спектр | DCAP» использует поведенческий анализ с гибкой настройкой паттернов для обнаружения потенциально скомпрометированных УЗ или внутренних нарушителей. Если бухгалтер, который обычно работает с 5 файлами в день, внезапно начинает скачивать тысячи документов в три часа ночи, DCAP поднимет тревогу мгновенно, превращая 241 день ожидания в несколько минут реагирования, благодаря интеграции с SIEM.
Во многих компаниях сейчас проходит оптимизация, которая в том числе затрагивает и вычислительные ресурсы. В этом также нам помог «Спектр | DCAP». Для более рационального использования дискового пространства файловых серверов мы выявили места хранения копий файлов (множество копий устаревших дистрибутивов, «бесхозные» архивы данных), что позволило продлить период эксплуатации файловых серверов без необходимости расширения пространства.
DCAP дополняет комплекс инструментов в арсенале DPO (Data Protection Officer). «Не DLP единым»
В рамках реализации политики Zero-trust очень полезной для нас оказался функционал «Спектр | DCAP» по аудиту доменных УЗ. Мы смогли обнаружить и устранить лишние права доступа у нескольких сервисных УЗ, а также избавиться от legacy-УЗ, тем самым еще сократив потенциальную поверхность атаки.
DCAP закрывает «слепую зону» между IAM, PAM и DLP, эти средства защиты решают лишь часть задачи:
IAM и PAM позволяют управлять выдачей прав, но не анализируют последствия накопленного доступа;
DLP контролирует каналы утечки, но не даёт понимания, почему пользователь вообще имел доступ к данным.
DCAP работает на уровне данных и их использования. Он позволяет выявить:
устаревшие и «наследственные» доступы;
расшаренные файловые ресурсы с чувствительными данными;
концентрацию критичных данных в неконтролируемых хранилищах;
аномальный доступ со стороны сервисных и технических учётных записей.
Именно эта зона чаще всего становится точкой старта инцидентов, что подтверждается данными DBIR о высокой доле атак через боковое перемещение и Privilege Misuse легитимных учётных данных.
При этом DLP и DCAP гармонично дополняют друг друга: один следит за данными в движении, другой – за данными в покое. В результате одним из типичных сценариев интеграции двух решений является обмен данными о результатах классификации хранилищ – DCAP их сканирует и обновляет информацию по мере появления новых или изменения старых файлов, а затем выгружает для импорта в DLP, чтобы тот более эффективно работал с уже проклассифицированными данными. Интеграция при этом возможно как через обычные выгрузки в csv формате на файловый ресурс, так и напрямую через открытый Rest API.
Выводы
DCAP – это логичный следующий этап повышения уровня зрелости ИБ. Он переводит защиту данных из реактивного режима в проактивное управление рисками. В условиях роста объёмов неструктурированных данных, удалённой работы и атак через легитимный доступ использование «Спектр | DCAP» позволило снизить стратегические риски для бизнеса.
