Как не утратить контроль над миллионами корпоративных файлов? Роман Подкопаев, Makves - о широких возможностях систем DCAP
Системы аудита и управления информационными активами - Data-Centric Audit and Protection (DCAP) – постепенно становятся надежными средствами как для ИТ-служб, так и для офицеров безопасности. О развитии рынка DCAP в интервью TAdviser рассказал Роман Подкопаев, генеральный директор компании Makves (Маквес).
С чего началось формирование концепции DCAP? Когда она оформилась в самостоятельный класс решений?
Роман Подкопаев: Те проблемы, которые решают системы класса DCAP, возникли практически в одно время с появлением на рынке решений Microsoft корпоративного класса, когда в компаниях стали использовать локальные сети и первичные хранилища. В то время, когда оформились зачатки ИТ-инфраструктуры, появилась потребность в разграничении прав доступа.
Вполне естественно, что в любой организации постепенно увеличивается объем обрабатываемой и передаваемой информации. Внутренних файлов могут быть миллионы, и люди с определенными правами доступа взаимодействуют с этими документами: открывают, редактируют, пересылают, перемещают, копируют их и т.д. В процессе развития организации массив файлов превращается в огромный хаос. Даже если ИТ-служба разработала правила обращения с информацией и утвердила регламенты доступа к тем или иным документам, в компании, где работают даже сотни сотрудников, не говоря уже о тысячах, отследить выполнение этих регламентов практически невозможно. При отсутствии адекватного контроля многие сотрудники начинают перемещать корпоративные файлы туда, куда им удобно – на локальные хранилища, на жесткие диски компьютеров. Таким образом конфиденциальная информация расползается по всей организации, и контроль доступа теряется. Поскольку вручную решить эту проблему невозможно, сформировалась потребность в создании автоматизированных средств.
Первые системы DCAP были представлены в США примерно в 2010 г. Поначалу они формировались как системные модули DLP. Но через некоторое время стало ясно, что DCAP может решать огромный пласт задач по управлению ИТ-инфраструктурой, поэтому в 2017 г. аналитическая компания Gartner выделила соответствующий класс решений в отдельное направление. Естественно, вскоре после этого американские аналитики сформулировали правила отнесения к новому классу решений и предложили стандарты.
В России не было собственных решений класса DCAP до 2019 г. Именно тогда на рынке появился продукт компании Makves.
Расскажите о принципах работы технологии DCAP. В чем ее отличия от IDM и DLP?
Роман Подкопаев: Отличия здесь достаточно очевидные. Напомню, что главная задача DLP – это контроль периметра организации с целью не допустить выхода информации за его пределы. IDM – это системы удобного выделения прав доступа, некий «киоск», через который пользователи могут запрашивать такие права и получать их автоматически. Что касается DCAP, то она призвана показать то, как организован доступ к информации в компании, соответствуют ли реальные права доступа политикам безопасности компании. Кроме того, DCAP анализирует файловые хранилища на предмет выявления чувствительной информации, в том числе персональных данных. Например, можно сделать в системе запрос о том, где в файловых хранилищах лежат копии паспортов. Наш опыт показывает, что сканы документов в компаниях очень часто находятся в общедоступных хранилищах. Из-за этого значительно повышается риск утечки конфиденциальной информации.
DCAP охватывает всю информационную инфраструктуру организации, отслеживает движение файлов, обращение к ним различных пользователей, то есть позволяет автоматически следить за всем, что происходит внутри периметра. Кроме того, современная DCAP-система имеет развитые аналитические функции: собрав информацию, она может изучать поведение пользователей, выявляя аномалии. Система может распознать нетипичное поведение любого из сотрудников. Например, если менеджер стал заходить в те папки, в которым раньше не имел интереса, или – условно – вместо 20 файлов в день начал обрабатывать 200, то с точки зрения информационной безопасности подобные действия сотрудников – это еще не утечка, но они рассматриваются как подготовка к утечке.
Как вы оцениваете российский рынок систем контроля и управления доступом к неструктурированным данным? Насколько он вырос за последние годы?
Роман Подкопаев: Можно сказать, что российский рынок DCAP все еще находится в стадии становления. Как я уже сказал, первые отечественные решения на нем появились в течение 2019 г. а в 2014—2018 гг. в нашей стране свои решения стали продвигать американские вендоры. Конечно, за минувшие годы были продажи систем DCAP, в том числе в ряде крупных компаний, но объем этого рынка пока невелик. Как отмечают специалисты компании Makves, в 9 из 10 компаний, в которые они приходят, нет даже понимания того, что решения класса DCAP представлены на рынке.
Развитие российского рынка DCAP несколько затормозили карантинные мероприятия 2020 г. в рамках борьбы с COVID-19, но мы достаточно быстро почувствовали интерес к нашим решениям. Самое важное, что на рынке появилось понимание того, что доступом к огромным хранилищам документов можно управлять автоматически, не боясь потерять конфиденциальную информацию. В итоге по сравнению с 2017 г. российский рынок DCAP вырос в 20 раз. Согласно прогнозам международных аналитиков, в ближайшие годы сегмент DLP в мире будет расти на 9-11%, тогда как среднегодовые темпы роста сегмента DCAP составят порядка 20%. Но того уровня зрелости, который на сегодня имеет рынок DLP, направление DCAP, на мой взгляд, достигнет в лучшем случае через 5-7 лет.
Какие возможности анализа данных реализованы в DCAP?
Роман Подкопаев: По сути, в информационной инфраструктуре есть три сущности: пользователи, файлы и события. В системе DCAP записываются данные о любых событиях: открытие файла, перемещение, редактирование, изменение прав доступа, добавление новых пользователей и т.д. Соответственно, любая система может анализировать все хранилища в корпоративном домене. Фактически она изучает свойства и содержимое каждого файла, сопоставляет их со словарями и определяет, к какой категории относится документ. Также DCAP может записывать действия пользователей без использования штатных средств Microsoft и Linux. Используя алгоритмы анализа действий, система выдает определенные рекомендации. Так, она может отреагировать в том случае, если пользователь был неактивен в течение нескольких месяцев, если в общем доступе обнаружены файлы с конфиденциальной информацией. Получив эти рекомендации, сотрудник службы информационной безопасности сможет оперативно устранить нарушения.
Стоит отметить, что DCAP помогает бороться и с инцидентами внешнего характера. С учетом возможностей системы по анализу логов событий, можно на раннем этапе выявить атаку вируса-шифровальщика и предотвратить ее распространение. Дело в том, что когда злоумышленники пытаются внедрить шифровальщика в инфраструктуру компании, то это приводит к интенсивному возникновению событий. Если с аккаунта того или иного пользователя стало генерироваться аномально высокое количество событий, то для системы это становится поводом запустить заданную для таких случаев реакцию. Например, DCAP может заблокировать такую учетную запись. Также система может оперативно реагировать в тех случаях, когда сотрудник станет удалять информацию, перемещать ее или решит поменять настройки прав доступа. При любом подобном нарушении офицер безопасности получит автоматическое оповещение и будет иметь необходимую информацию для проведения расследования. К примеру, в Makves DCAP можно настроить отправку оповещений на email или в мессенджер, например в Telegram.
С какими системами интегрируется Makves DCAP?
Роман Подкопаев: Поскольку в нашей системе реализован открытый API, она может интегрироваться с широким кругом решений: DLP, SIEM и т.д. У нас есть довольно интересный опыт интеграции с Системой контроля и управления доступом (СКУД) на крупном металлургическом предприятии. Заказчик хотел определять те случаи, когда сотрудник не прошел через турникет, но под его учетной записью запустился процесс производства. Здесь речь идет о явных нарушениях техники безопасности, связанной с передачей пароля или ключа постороннему лицу. Наши специалисты реализовали процесс сверки логов СКУД с логами из производственных систем.
У заказчиков из сферы промышленности также бывает потребность в управлении рабочим временем сотрудников. По оценкам специалистов, если рабочий день на производстве продолжается дольше 8 часов, это резко увеличивает вероятность травматизма. Система DCAP может высылать уведомления, когда тот или иной сотрудник задерживается на рабочем месте. Дальше непосредственный руководитель такого сотрудника выясняет, по какой причине произошла задержка – связана ли она с необходимостью проведения аварийных работ или с чем-то еще.
Кто в компаниях обычно выступает инициатором внедрения DCAP? Если это ИБ или ИТ, то как им убедить бизнес выделить деньги на такое решение после дорогостоящего проекта внедрения DLP?
Роман Подкопаев: DCAP – довольно уникальное решение, поскольку оно находится на стыке задач ИТ и ИБ. Например, оно отслеживает появление дубликатов файлов, оценивает наличие свободного места в хранилищах, работает с учетными записями (в том числе с аккаунтами увольняющихся сотрудников) и т.д.
При этом DCAP никак не конфликтует с DLP. Более того, если в компании уже внедрена DLP-система, то она станет отличной основой для перехода на DCAP. Это значит, что в компании есть достаточно зрелая служба ИБ, что в ней налажена работа с инцидентами и выявление инсайдеров. То есть, таких заказчиков обычно не приходится убеждать в пользе DCAP.
Чтобы убедить бизнес, целесообразно реализовать пилотный проект на основе ИТ-аудита: мы разворачиваем систему, используя определенный участок информационной инфраструктуры (как правило, это одна или несколько папок с данными). По итогам пилотирования системы мы выдаем заказчику отчет, в котором указываем, какие конфиденциальные документы хранятся в исследуемом хранилище.
Очень часто служба безопасности той или иной компании, «поймав» передачу файла с помощью DLP-системы, хочет знать, что происходило с этим файлом раньше (кто и куда его перемещал, где могут храниться копии и проч.). И здесь на помощь приходит система DCAP.
Существует ли проблема сопротивления со стороны пользователей? Если да, то как ее решить?
Роман Подкопаев: По сути, такой проблемы не стоит, поскольку главным пользователем системы выступает офицер безопасности компании. Обычные пользователи в компании никак не ощущают работу системы DCAP, просто она позволяет контролировать работу с файлами. Как показала практика, очень полезной возможностью системы становится выявление неделовых файлов. ИТ-служба периодически удаляет из файловых хранилищ личные документы сотрудников (электронные книги, музыку, фильмы и т.д.), но постепенно такие файлы появляются вновь и серьезно засоряют рабочее пространство. DCAP-система быстро определит, кто и когда записал на сервер десять сезонов «Игры престолов», а также то, кто заходит эти фильмы смотреть.
Бывает, что новые системы информационной безопасности не очень любят ИТ-службы, поскольку это требует от них дополнительных усилий по инсталляции, настройке и т.д. Кроме того, ИТ-специалистам обычно не нравится, что новые системы «отъедают» ресурсы. Но в случае с DCAP такое недовольство имеет место быть в меньшей степени, поскольку эта система записывает уже имеющиеся данные и не оказывает никакого влияния на существующие процессы.
Есть ли возможность обойти систему, например, пользователю с правами администратора?
Роман Подкопаев: Конечно, системный администратор может отключить любую систему. Вопрос в том, зачем ему это надо делать. DCAP является средством предотвращения угроз, которое показывает, что в данный момент происходит с информационными активами компании. В случае с DLP злоумышленник может отключить систему, чтобы, например, записать конфиденциальную информацию на флэшку. Что касается DCAP, смысла отключать эту систему нет, тем более, у нее есть функция работы не только в режиме онлайн. Как правило, система DCAP настраивается на анализ по расписанию и по итогам той или иной сессии она выдает отчет об изменениях, в том числе о действиях пользователя с правами администратора.
Что ваша компания предложит пользователям в новой версии решения Makves DCAP?
Роман Подкопаев: Недавно мы выпустили версию Makves DCAP 3.0. В этом релизе предложены ряд новых и важных функций. Во-первых, появилась «песочница» - функционал для моделирования прав доступа. Суть здесь в том, что, проанализировав данные о пользователях, система выдает определенные рекомендации: отключить пользователя, понизить уровень его прав и т.д. При этом рекомендации выдаются только с учетом того, какое влияние те или иные решения окажут на работу пользователя. Во-вторых, система может автоматически реагировать на нетипичные действия пользователей. В-третьих, исправление уязвимостей, о которых сигнализирует система, теперь можно делать через ее интерфейс. Например, Makves DCAP позволяет поставить галочки напротив фамилий пользователей, которые определены как уволенные, и отключить их аккаунты, то есть офицеру безопасности не надо заходить в Active Directory и писать в ИТ-службу. Таким же способом безопасник может оперативно удалить файлы с персональными данными, которые система обнаружила в открытом доступе, может переместить файлы и поменять права доступа. Еще одна интересная особенность новой версии системы – возможность с помощью нейросети распознавать сканы документов с персональными данными. При этом система понимает образы документов, поэтому ей не надо выявлять текст.
Одним из значимых обновлений системы является поддержка отечественной СУБД Jatoba (продукт компании «Газинформсервис»). Программное решение обеспечивает многопользовательский доступ к расположенным в ней данным с разным уровнем конфиденциальности.
Наши специалисты также поработали над удобством системы. В версии Makves DCAP 3.0 появилась возможность создавать кастомизированные дашборды: администратор системы может настраивать собственные отчеты, добавляя необходимые панели, меняя их местами и убирая ненужные панели.
Как будет развиваться направление DCAP дальше? Станет ли оно ближе к DLP или, наоборот, еще больше отстроится от него?
Роман Подкопаев: Если мы посмотрим на западный рынок, то на нем сейчас есть, с одной стороны, довольно большой спектр DLP-вендоров, а с другой, тоже довольно значительный ряд DCAP-вендоров. Каждая из этих компаний достаточно независима. В то же время в России часто относят DCAP к DLP (в качестве модуля), многие участники рынка довольно безосновательно считают, что DCAP не может существовать без DLP. Но на основе пилотных проектов мы доказываем, что DLP не может закрыть большой спектр задач. Таким образом, DLP решает свой круг задач, а DCAP – свой. Функциональные пересечения между этими системами есть, но их совсем немного.
На мой взгляд, рынок DCAP будет развиваться как самостоятельное направление. Возможности таких систем колоссальные в условиях, когда инфраструктура любой относительно крупной компании сегодня представляет из себя большой бардак, который требует управления с помощью средств автоматизации. Только решение DCAP способно разобраться в запутанном клубке связей между пользователями и файлами.
В части функциональных возможностей системы, решения будут двигаться в сторону автоматизации исправления выявленных рисков. При этом алгоритмы автоматического реагирования для каждой организации будут свои в зависимости от бизнес-процессов компании.
DCAP-вендоры из так называемых «недружественных стран» практически синхронно в марте 2022 г. объявили об уходе из России. Сейчас на российском рынке DCAP активно появляются новые игроки, но возможностей для Makves в любом случае станет больше. Мы являемся одним из первопроходцев рынка, обладаем экспертизой в вопросах внедрения систем управления неструктурированными данными и способны предоставить заказчику действительно зрелое решение. В прошлом году мы реализовали более 20 внедрений и видим глобальные перспективы роста. Makves DCAP уже активно используют в ИТ-инфраструктуре такие компании, как Информационное агентство ТАСС, ГК «Элемент», АО «МСП Банк», Инвестиционная группа Тринфико, Агентство по страхованию вкладов и другие.