Защита корпоративных данных
Узнать большеОдна из самых острых проблем для ИТ- и ИБ-подразделений большинства организаций — стремительный рост количества неструктурированных данных. Исследование аналитического центра ITC позволило предположить, что общий объем данных компаний может в ближайшее время превысить 175 млрд терабайт и большая часть сведений окажется неструктурированной. Нюанс в том, что среди такого контента присутствует и конфиденциальная информация различных форматов с разными требованиями к обеспечению ее безопасности.
Увеличение количества данных и неоднородность их структуры усложняют организацию управления информационными активами, процессы выдачи прав доступа. В результате обмен сведениями не контролируется должным образом и критически важные информационные активы могут утечь. Например, в 2023 году с утечками столкнулись многие солидные предприятия из таких отраслей, как торговля, транспорт, ресторанное дело, IT. В начале 2024 года ситуация была еще хуже.
Проблемы с управлением информационными активами и риски утечек возникают из-за того, что в корпоративных хранилищах находятся документы, которые давно не использовались, — личные файлы сотрудников, устаревшие сведения. В таких массивах теряются и остаются практически без контроля действительно важные данные.
Неэффективное управление неструктурированными активами приводит не только к риску финансового и репутационного ущерба, но и к проблемам с законом. Например, если в публичном доступе появятся персональные данные, будет нарушен ФЗ № 152, что повлечет за собой штрафные санкции.
Многие уверены, что управлять доступом к неструктурированным данным и обеспечивать безопасность корпоративной информации можно с помощью DLP-систем. Такие решения действительно помогут закрыть ряд задач, но целесообразно внедрить и специализированные платформы класса DAG. Они более эффективны в части работы с неструктурированной информацией и управления связанными с ней рисками. В статье сравним два класса систем, расскажем об их ключевых функциях и различиях.
Продукты класса Data Access Governance (DAG)
К классу DAG относятся комплексные платформы, которые помогают управлять доступом к неструктурированному контенту, контролировать пользовательские действия с такими данными.
Какие задачи возложены на такие решения:
- Выявление всех неструктурированных данных, хранящихся в компании.
- Категоризация данных, классификация информации, которая ценна с коммерческой точки зрения.
- Централизованное управление информационными активами организации.
- Мониторинг и контроль пользовательского доступа в соответствии с внутренними политиками безопасности.
- Контроль подозрительной и нетипичной активности, например удаление файлов, копирование документов, использование посторонних программ и др.
DAG-решение собирает и проверяет метаданные файлов, применяя методы контентного анализа содержимого документов, затем присваивает им служебные метки конфиденциальности. Система помогает понять, где хранятся критически важные сведения, например информация, отнесенная к коммерческой тайне, личные папки сотрудников. С ее помощью можно установить, кто к каким активам имеет доступ, какого уровня этот доступ.
DAG-платформа собирает сведения о пользователях и группах пользователей из служб каталогов, файловых серверов, сетевых хранилищ, папок в облачных сервисах, электронных ящиков и других источников. Накопленная информация помогает проводить аудит доступа, создавать матрицы доступа, обнаруживать чрезмерные привилегии.
Еще одна функция — моделирование последствий назначения тех или иных полномочий. Например, можно предположить, какие ресурсы будут в распоряжении пользователя, если исключить его из рабочей группы или, наоборот, туда добавить.
Также DAG-системы могут осуществлять мониторинг исполнения внутренних регламентов в части разграничения доступа, контролировать политики распространения критически важных данных, а также в режиме реального времени отправлять уведомления о событиях ИБ ответственным лицам.
Резюмируем: решения класса DAG играют важную роль в контроле доступа к неструктурированной информации, выполняют мониторинг операций с корпоративными данными, предоставляют актуальную и детальную аналитику. Внедрение таких платформ позволит сократить расходы на администрирование целевых систем и повысить общий уровень защищенности инфраструктуры компании.
Решения класса Data Loss Prevention (DLP)
DLP-платформы используются компаниями для мониторинга коммуникаций сотрудников, блокировки несогласованной передачи информации, предотвращения потери критически важных данных. С помощью таких решений можно отследить копирование ресурсов, перенос данных на внешние устройства, в сторонние хранилища. Также DLP-системы эффективно предотвращают утечку конфиденциальной информации через демонстрацию экрана, потоковое видео, сообщения текстового и голосового форматов.
DLP-платформы контролируют перемещение информационных ресурсов на границах охраняемого периметра, непосредственно на рабочих компьютерах. Решения могут блокировать подозрительные операции либо делать копии трафика для расследования инцидентов.
Сходство и различия функциональных возможностей решений
Начнем со сходства. И DLP, и DAG-решения внедряются с целью получения контроля над конфиденциальной информацией, повышения общего уровня ИБ и предотвращения потери критически важных активов.
В продуктах имеются схожие функции: в обеих системах применяются алгоритмы контентного анализа для работы с информацией, обе системы интегрируются с другими решениями, например Identity Management (IdM), которые сфокусированы на управлении пользовательским доступом и жизненным циклом учетных записей.
В отличие от DAG-платформ, решения класса DLP работают преимущественно не в периметре, а на фронтире. Они фокусируются на перехвате и проверке исходящих потоков данных с целью отслеживания всех подозрительных действий.
DAG-продукты ориентированы на контроль безопасности хранения информации внутри корпоративного периметра. С их помощью можно определить, какие данные есть в распоряжении компании, где они хранятся, кто с ними работает. DAG-системы позволяют упорядочить информацию, организовать для нее надлежащее хранение, обеспечить соблюдение политик доступа. Также решения будут полезны в части сбора сведений для аудитов, расследований киберинцидентов, реализации сценариев автоматизированного отклика на подозрительную активность.
DAG-системы контролируют ресурсы, которые хранятся на корпоративных серверах или непосредственно на компьютерах пользователей. Продукты этого класса не предназначены для предотвращения инцидентов, поскольку информация о нарушениях поступает после того, как подозрительная активность уже развернулась. Зато DAG-решения помогут обнаружить и исправить ошибки в управлении данными, ставшие причиной инцидентов. Таким образом, использование систем позволит снизить вероятность повторения аналогичных негативных сценариев в будущем. DLP-платформы, напротив, способны противодействовать утечкам в момент попыток их реализации. Объектами контроля таких систем становятся компьютеры сотрудников. Но чтобы DLP-решения функционировали, необходимо установить на рабочие станции агенты, которые будут проверять каждую совершаемую операцию на соответствие внутренним регламентам.
Для DAG-системы также распространена агентская реализация. Агенты могут влиять на скорость работы сервера — они расходуют много ресурсов при широком сканировании. Но для детального сканирования агентом можно определить время, когда хранимая на серверах информация не применяется для бизнес-процессов, например в выходные дни или ночью.
Почему DAG-решения не заменяют DLP-решения, и наоборот
DAG-платформы важны в части определения степени конфиденциальности хранимой информации, контроля соблюдения внутренних политик безопасности. Они становятся источником сведений о том, какие информационные активы есть в распоряжении компании, какие ресурсы нуждаются в усиленной защите. DLP-продукт не является альтернативой DAG-системам в вопросах установления контроля над корпоративными данными.
В свою очередь, DAG-решение не может эффективно и проактивно предотвращать утечки, поскольку получает сведения об уже произошедших инцидентах.
Синергия DAG- и DLP-систем
Некоторые считают, что для обеспечения безопасности корпоративных данных будет достаточно одной из систем и пытаются сэкономить, пренебрегая внедрением второй. Но мы привели аргументы, доказывающие, что решения не могут полноценно заменить друг друга. Они будут эффективно работать в комплексе, повышая уровень защищенности критически важной информации.
