Дмитрий Богомолов, архитектор отдела проектирования, подготовил материал о ключевых различиях DLP и DAG-решений.
О неструктурированных данных
Стремительный рост объемов неструктурированного корпоративного контента стал одной из острейших проблем для ИТ- и ИБ-отрасли. При этом, по оценке международной аналитической компании ITC, суммарный объем данных в ближайшей перспективе достигнет уровня 175 зеттабайт, или 175 миллиардов терабайт, и существенная доля такой информации будет неструктурированной.
В большинстве корпоративных центров обработки данных (ЦОД) размещаются файловые и почтовые серверы, корпоративные порталы, сетевые и облачные хранилища, которые содержат критически важную информацию.
Ожидаемое многократное увеличение объемов и разнообразие хранимых и обрабатываемых данных существенно усложняют задачу управления приложениями и процессами, так как из-за своей неоднородной структуры они не поддаются формальному назначению прав доступа к ним.
Часть корпоративных хранилищ занимает информация различного уровня конфиденциальности и с разными требованиями к защите. В результате неконтролируемой передачи данных она может оказаться за пределами защищаемого периметра или в публичном доступе. Так, в 2023 году были установлены факты масштабных утечек данных из ИТ-инфраструктур добывающих компаний, транспортных операторов, крупных ретейлеров, ресторанных сетей, IT-компаний. При этом, по информации Роскомнадзора, объем украденных данных только в январе-феврале 2024 года превысил масштаб утечек за весь 2023 год.
В немалой части хранилищ содержатся копии документов, файлы, к которым никто не обращался несколько лет, данные больших объемов, папки с нерабочим контентом и «корпоративный мусор».
Управлять такими массивами информации сложно не столько из-за их объема, сколько из-за частого изменения форматов файлов, непрозрачности или отсутствия полноценного контроля над ними, в особенности над документами с критической информацией.
Как итог, неэффективное управление ведет к рискам для бизнеса. Так, хранение персональных данных и другой конфиденциальной информации на общедоступных ресурсах явно нарушает требования 152-ФЗ и других нормативных документов (98-ФЗ, 149-ФЗ, 230-ФЗ и другие). Также стоит обращать внимание на появление зашифрованных пользовательских архивов и нарушение политик доступа к важной информации.
Таким образом, управление доступом к неструктурированным данным становится проблемой для большинства крупных компаний. Мы часто слышим, что для решения подобных задач достаточно использовать DLP-системы. Да, нередко подобные продукты закрывают ряд задач по управлению доступом к неструктурированным данным, но в большинстве случаев использование специализированных DAG-платформ более эффективно с точки зрения управления рисками в крупных компаниях.
Data Access Governance (DAG)
Системы для контроля и управления доступом к неструктурированным данным Data Access Governance (DAG) – это комплексные решения по управлению доступом к неструктурированным массивам информации и контролю действий в отношении этих файлов.
Они позволяют:
выявлять, категоризировать и классифицировать ценные с коммерческой точки зрения данные;
централизованно управлять данными;
контролировать доступ с применением комплексной системы административных мер, политик и руководств.
Принцип работы DAG основан на сборе и анализе метаданных. Система анализирует содержимое файлов и относит их к отдельным категориям, что, например, позволяет понять:
где находятся документы, подпадающие под действие режима коммерческой тайны;
кто имеет доступ к документам руководства;
какие конфиденциальные данные доступны для всех;
какие папки с не имеющими отношения к работе данными (музыка, фото, видео), принадлежат сотрудникам.
Платформа также собирает информацию о группах и пользователях из Active Directory, LDAP, NIS, SharePoint, о разрешениях на доступ к файлам и проводит аудит доступа – какие пользователи, когда и с какими данными работали и как их использовали.
Объектами контроля систем класса DAG могут быть файловые серверы и сетевые хранилища, корпоративные и совместные порталы, ящики электронной почты и папки в облачных сервисах.
Системы класса DAG позволяют вести мониторинг и контроль действий пользователей с данными, контролировать массовую и аномальную активность, например, копирование информации при увольнении, удаление файлов, использование вирусных и malware-программ.
Они также обеспечивают контроль за доступом к критичным данным и их распространением, получать актуальную матрицу доступа в разрезе пользователя и ресурсов. Например, выявлять неиспользуемый или избыточный доступ к ресурсам в соответствии с принципом наименьших привилегий, моделировать последствия действий с правами доступа.
Одна из наиболее полезных функций – это моделирование последствий для управления правами доступа. Например, можно заранее оценить, к каким папкам сотрудник получит доступ, если добавить или удалить его из рабочей группы.
Дополнительные функции - автоматический мониторинг исполнения политики разграничения прав доступа и политики распространения критичных данных. Система также оповещает в режиме реального времени об обнаруженных событиях ИБ, наглядно отображает информацию в формате дашбордов, графиков и отчетов.
Основными функциями систем DAG являются: контроль действий с данными, управление правами доступа к ресурсам, реагирование на события и отчетность.
DAG-система также будет востребована, чтобы исключить риски утечки информации. Нередко уволенные сотрудники уносят с собой базы клиентов, коммерческую информацию и произведения, защищаемые исключительным правом, или искажают информацию, особенно в случае конфликтных увольнений.
Таким образом, решения DAG помогают контролировать доступ к неструктурированным данным определенных категорий сотрудников согласно настроенным политикам ИБ, обеспечивают мониторинг действий с данными, предоставляют аналитику по их использованию.
Одно из преимуществ DAG-систем – это сокращение затрат на администрирование и поддержку необходимого уровня информационной безопасности, поскольку акцентируют внимание на безопасности самих данных, а не сетей или программного обеспечения.
Data-Centric Audit and Protection (DCAP)
Стоит отметить еще более крупный класс систем защиты данных − Data-Centric Audit and Protection (DCAP). Gartner считает DAG сегментом DCAP.
В дополнение к функциям и задачам DAG системы DCAP в автоматическом режиме выявляют и исправляют проблемы с хранением и использованием данных, поддерживают алгоритмы поведенческого анализа и интеграцию с решениями DLP и IdM/IAM.
Ключевое отличие систем DCAP от DAG – устранение проблем с хранением данных путем активной реакций на выявленные инциденты. Другие отличия двух классов родственных систем, влияющих на выбор средств информационной безопасности, приведены в следующей таблице:
DAG | DCAP |
Cистемы DAG фокусируются главным образом на аудите и мониторинге самих данных и действий с ним. Они проще в настройке и эксплуатации | Cистемы DCAP повышают уровень безопасности и при этом снижают нагрузку на ИБ-специалистов |
Решения DAG дешевле DCAP
| Их основной минус – риск ложных срабатываний, что может приводить к нарушениям в работе организации и к снижению доступности данных. |
Data Loss Prevention (DLP)
Cистемы защиты от утечек конфиденциальной информации (DLP) позволяют в режиме реального времени вести мониторинг и блокировать входящие и исходящие потоки информации, копирование файлов на внешние устройства, сетевые хранилища информации и веб-ресурсы. Также подобные решения контролируют голосовые и текстовые сообщения, трансляции экрана, потоковое видео.
DLP-системы контролируют оборот данных на границе защищаемого периметра и на рабочих станциях пользователей и в зависимости от параметров могут блокировать несанкционированную передачу информации или записывать копию трафика для постанализа на случай проведения расследования возможной утечки.
Ключевая особенность DLP-системы – это фокус на перехвате и фильтрации потоков данных, что обеспечивает защиту периметра не внутри, как это делает DAG, а на фронтире.
Сходства и различия
Ключевая особенность DLP-системы – это фокус на перехвате и фильтрации потоков данных, что обеспечивает защиту периметра не внутри, как это делает DAG, а на фронтире.
Все отмеченные классы систем служат повышению уровня информационной безопасности сети и препятствуют утечкам критичных для операционной деятельности компании данных.
Но DAG/DCAP контролирует безопасность хранения разделяемых данных компании и мониторит доступ к ним внутри защищаемого периметра. С помощью решений этого класса можно выявить, что представляют собой данные, доступные в сети, определить место их хранения и соблюдаются ли политики доступа к ним. Кроме того, эти системы собирают сведения для расследования киберинцидентов и автоматизированного реагирования на выявленные нарушения.
Под контролем DAG находятся данные, которые хранятся на серверах компании, реже – на рабочих станциях пользователей. И хотя системы DAG/DCAP позволяют в режиме реального времени отслеживать нарушения, они предназначены для устранения угроз после того, как атака была реализована, так как активные действия в отношении выявленного инцидента происходят с задержкой.
Пользователи DAG получают информацию о фактах изменения, перемещения, удаления ресурсов (файлов, учетных записей Active Directory и т. п.) только постфактум, поэтому системы DAG не заменяют DLP, которая предотвращает утечки во время попытки их совершения.
DLP же контролирует потоки данных на краю периметра, т. е. предотвращает несанкционированный доступ в момент самого доступа в качестве последнего барьера на пути утечки, поэтому и предметом защиты являются в первую очередь рабочие станции сотрудников.
Почему системы DLP в большинстве своем не используются для защиты серверов данных?
Особенности реализации DLP требуют установки агента, выполняющего проверку каждой операции на предмет соответствия политикам доступа. Это снижает производительность серверов и вынуждает искать другие пути защиты данных.
DAG/DCAP зачастую для сбора данных и реагирования также используют агент. В процессе мониторинга задействовано мало ресурсов, а для полного сканирования агентом DAG можно назначить определенное время, к примеру, когда хранимые данные на серверах менее востребованы (ночью, на выходных). Главным отличием в работе агентов является то, что DAG-агент не прерывает выполнения пользовательских операций, т. е. не понижает уровень надежности, стабильности серверов, доступности данных, время отклика на запросы пользователя.
Однако DLP не может заменить DAG, так как последнее решение является источником информации о том, какие данные находятся в системе, какие из них требуют защиты и усиления контроля. Платформа автоматизирует применение политик хранения данных, т. е. работает на опережение – организует хранение данных безопасным образом. С этой точки зрения для DAG нет разумных альтернатив.
Обе системы используют контентный анализ для классификации данных и интегрируются с системами управления учетными данными Identity Management / Identity and Access Management (IdM/IAM).
В каждой из систем есть функционал, частично дублирующий возможности другой системы. Так, DAG/DCAP имеет возможность предотвращения доступа в момент обнаружения нарушения политики безопасности, с упомянутыми выше недостатками. DLP посредством сетевых краулеров сканирует хранилища файлов и документов с целью построения карты ресурсов. Но их эффективность значительно уступает агентам DAG.
Синергия решений
Отмеченные сходства систем создают иллюзию, что достаточно внедрить одну из их них и на этом можно сэкономить. Но важно иметь в виду, что задачи у них разные, поэтому DAG/DCAP и DLP не могут быть полноценной заменой друг другу.
При этом их совместное использование повышает защищенность данных компании за счет того, что применяются специализированные решения для задач своего класса. А для экономии найдется место в случае совместного использования обоих инструментов и повышения эффективности работы ИБ-подразделений.