Место DCAP в потоке импортозамещения

Автор: Старостина Екатерина, директор по развитию компании «Орлан» (orlan-security.ru)

Определение DCAP

Современная инфраструктура компаний зачастую является гетерогенной средой и распределена между разными компонентами. Сетевое оборудование может быть локализовано в месте основного размещения компании, основные компоненты, такие как: служба каталогов, DNS сервера, - могут функционировать как в полноценном облаке, так и в режиме Collocation. Некоторые сервисы, например, интранет-портал, кадровая и бухгалтерская системы, вполне могут доставляться в виде сервиса.

Что уж говорить про постпандемийное время: по предварительной оценке, количество работающих сотрудников в дистанционном формате выросло с 30 000 до почти 3-х миллионов. 100-кратный рост количества удаленных узлов, имеющих доступ к корневым инфраструктурам компаний, дополняет текущий стек задач ИТИБ специалистов еще одними важными вызовами. Точек доступа становится больше, ну и соответственно количество копий данных увеличивается.

Ответом на вопрос как подходить к решению задачи по уходу от распространенных сценариев утечки данных, которые являются чувствительными для компании, становятся решения DLP (Data Leak Prevention, система противодействия утечек) и решения DCAP (data-centric audit and protection, система контроля неструктурированных данных). Но, если DLP нацелены на контроль каналов утечки (почта, мессенджеры, web в принципе), то с помощью DCAP формируется системный подход к хранению и предоставлению прав доступа к таким данным. Обусловлено такое разделение так называемым коренным отличием: в скорости индексации, классификации и оперирования большими объемами данных. Причем эта опция становится все актуальней, с учетом запроса со стороны всех компаний по переводу большинства сервисов в электронный вид, скапливанию и обработке больших данных.

При этом, DCAP зачастую выступает как инструмент формирования практики централизованного доступа к данным, попутно высвобождая дисковые массивы от дублей, копий и прочих закономерных артефактов рабочих процессов. В свете текущего дня - эта особенность, как никогда актуальна. Цепочки поставок оборудования вносят корректировки в планы компаний и приводят к снижению покупательской способности. Проще говоря, купить быстро и дешево, как раньше не получается и проблема размещения данных становится с каждым месяцем все критичнее. Выход простой - начать экономить! Вычистить старые, избыточные и задублированные файлы и установить контроль над их распространением. Чем Вам не выход?

Где место DCAP?

После 24.02 многое в стандартных процессах компаний также поменялось. Зарубежные решения не работают, не поддерживаются или в любой момент могут принять такое решение. А так, как проблема общая нам было интересно узнать, что приоритетней коллегам внутри Заказчика для продолжения поддержки защищенности инфраструктуры. Выборка тех коллег, кто был готов поделиться своими соображениями, состояла из представителей компаний уровня Enterprise. По результатам опроса, очередность замещения иностранных решений выглядит примерно так:

1. SIEM (Security information event Management)
2. FW (Firewall)
3. DCAPDLP (data-centric audit and protectionData Leak Prevention)
4. VM (Vulnerability Management)

Очевидно, что предпочтения отдаются именно решениям направленным на активное противодействие угрозам и тем решениям, которые плотно завязаны на обновляемый контент (сигнатуры, правила корреляции). В изменившейся враждебной среде — это логичный и правильный вывод. Но не все так однозначно! Если подходить к решению не стандартным, пакетно-коробочным способом, то вполне можно извлечь выгоду от сопутствующих функций DCAP-системы и где-то перекрыть потребности в других решениях.

DCAP и другие классы решений

К примеру, основываясь на возможностях ряда решений DCAP, можно сформировать набор функций, которые на первом этапе могут удовлетворить потребности Заказчиков:

(SIEM)

Для небольших компаний, или тех компаний, у которых нет сложной инфраструктуры. DCAP обеспечит наблюдаемость основных операций. В том числе становятся более наблюдаемы операции доступа к почтовым ящикам, как к персональным, так и общим. Наличие механизмов контроля GPO, сброса паролей, блокировки пользователей и других операций службы каталогов, вполне себе дополняет общую картину.

Наличие встроенного Workflow позволяет оперировать данными о нарушении политик ИБ на подключенных источниках. Для многих компаний такой набор источников будет вполне исчерпывающим, т.к. охватывает базовые и самые распространенные типы от службы каталогов до файловых серверов. Кроме того в решение изначально встроены алгоритмы фиксации криптолокеров (шифровальщиков),возможность оповещения по произвольным или нехарактерным для конкретной компании событиям. Наличие “сырых” логов без нормализации и сопутствующих изменений дает возможность для предоставления данных системы, в качестве доказательств.

(DLP)

Если в Вашей компании действует запрет использования каких-либо каналов, кроме почты, то c помощью DCAP можно осуществлять базовый контроль действий пользователей и администраторов на почтовых серверах с помощью установленного агента. Если Вы в процессе выстраивания правил для пользователей по обращению с чувствительной информацией, контроль основного канала - будет достаточен.

И можно отложить приобретение DLP на более поздний срок - когда все уже будет систематизировано, классифицировано и места обмена и хранения данными однозначно будут определены. В таком случае и затраты на новое решение окажется значительно меньше.

Функция выявления нетипичного поведения пользователей по отношению к контролируемой информации будет приятным дополнением к общей картине.

Практически же можно рассмотреть основные повторяющиеся внутренние угрозы, которые можно купировать с помощью решений DCAP:

• Изменение ключевой групповой политики домена.
• Состояние учетных записей (пароли, административные учетные записи)
• Аномальные события (шифровальщики, копирование данных)

А что же дальше?

Мы находимся на той переходной точке, которая в дальнейшем определит развитие и комплектность множества существующих и создаваемых решений. И тут, мне кажется, что DCAP может стать аналогом SIEM для процессов контроля данных. А ведь данных, как и событий, становится все больше. Что ведет к расслоению компонентов автоматизации процесса на несколько решений максимально эффективно решающих свою задачу.

При этом наиболее востребованные решения используют агентский метод взаимодействия с инфраструктурой. Если их перечислить, становится страшно: EDR, AV, DLP, VM, CASB, proxy gfw-client. Кроме того и потребителями одинаковых данных является множество систем класса SOAR, SIEM, Sandbox и DLP. Все это дублирование, за которое нужно будет заплатить. Как временем, так и живыми средствами.

Представим, что все производители договорились решать проблему своих заказчиков в той области, где у них наибольшее количество компетенций и нарисуем идиллическую модель. И вот здесь:

• с помощью одного клиента собираются данные о событиях информационной безопасности, производится классификация данных, контролируются основные настройки и параметры конечной точки;
• стандартизированные и систематизированные данные доступны для решений по контролю утечек, SIEM, SOAR и SandBox;
• контроль данных не подразделяется на структурированный и неструктурированный формат. Есть единая консоль позволяющая разобраться в присутствии определенного типа чувствительной информации в каждом компоненте инфраструктуры компании;
• если в одном из решений фиксируется аномальное поведение, по разработанным сценариям возможна автоматическая реакция, как в активном воздействии, так и после оповещения.

А как вы считаете? Поделитесь!