Интервью с экспертом: «Кому и зачем нужны современные продукты DAG/DCAP»
Когда и где появились первые продукты для контроля и управления неструктурированными данными в сети предприятия - DAG (Data Access Governance) и DCAP (Data-Centric Audit and Protection)? Чем было обусловлено их появление на рынке информационной безопасности? Какие тенденции в отрасли способствовали этому?
Такие продукты появились на рынке примерно пятнадцать лет назад. Застрельщиками выступили американцы, чей ИТ-рынок развивался тогда опережающими темпами. Разработчики технологии пытались по-новому взглянуть на проблему управления правами пользователей: если разработчики так называемых систем IDM (IDentity Management – управление учетными данными), которые начали появляться примерно в то же время, отталкивались от назначения типизированных полномочий, то создатели DAG-системы решили оттолкнуться от самых данных. Они решили отслеживать активность пользователей, связанную с доступом к тем или иным файлам и попытались связать ее с тем, что хранится в этих файлах.
На первом этапе решения анализировали доступные метаданные, которые извлекались из файлов. Эти метаданные пытались связывать с пользователями для уточнения текущих прав доступа. Впоследствии технология стала развиваться в сторону анализа содержимого файлов, что позволило лучше понимать ландшафт доступности информации внутри организаций, прогнозировать и расследовать утечки данных, вовремя выявлять подозрительную активность в рамках файловой системы, включая необычный доступ к конфиденциальным данным и файлам конфигурации.
Так, например, классифицировав информацию по тем же ключевым словам, стало возможно понять, где в действительности хранятся данные по тому или иному проекту или направлению деятельности компании, кто реально имеет к ним доступ. Ведь люди всегда могут умышленно или по халатности скопировать критичные данные в «общую» папку или дать кому-то доступ к важным разделам хранилища, случайно дать доступ к информации, не отследив иерархию групп пользователей или папок в хранилище.
Со временем выяснилось, что технология позволяет решать более широкий перечень задач, связанных, в том числе, с оптимизацией хранения информации. Технология позволила как выявлять нецелевое использование систем хранения данных, когда пользователи размещают на корпоративных ресурсах медиаконтент, так и нерациональность, приводящую к тому, что одни и те же данные хранятся сразу в нескольких местах.
Когда в России появились первые продукты такого класса?
Специализированные DAG-решения (западных разработчиков) появились в России лет семь-восемь назад. Их появление примерно совпало с пиком волны интереса к решениям DLP (Data Leak Prevention), что, возможно, немного «смазало» эффект от их появления ввиду наличия более понятной и осязаемой задачи по борьбе с утечками информации. К тому же западные решения были (и до недавнего времени оставались) слишком дорогими. Однако сама идея решения достаточно быстро нашла отзыв в сердцах специалистов по безопасности, которым необходимы были инструменты для работы с неструктурированными данными и расследования инцидентов с ними. К решениям стали активно присматриваться, изучать, пилотировать.
Дороговизна зарубежных аналогов и взятый курс на импортозамещение привели к тому, что отечественные производители, особенно имевшие опыт в контентном анализе и управлении правами доступа, стали пытаться предоставить рынку доступный отечественный аналог системы контроля доступа к неструктурированным данным. Первые отечественные продукты во многом были основаны на повторении западного функционала. Однако сегодня уже начинает формироваться «осознанный клиентский опыт» эксплуатации подобных систем, что заключается не просто в потреблении предложенного вендором функционала, а в выставлении требований, основанных на реальных потребностях и выявленных недостатках и неудобствах. И тут не без гордости можно отметить, что наши разработчики уже в отдельном функционале начинают превосходить то, что изначально старались просто скопировать. Например, некоторые российские системы DAG могут работать с такими распространенными системами совместной работы с данными, как Jira, Confluence и др.
Расскажите о функциональной эволюции продуктов класса DAG/DCAP с момента их появления на рынке. Какими новыми возможностями они «обрастали» со временем?
Сначала перед этими продуктами ставилась задача просто понять какие в ИТ-системе организации есть сущности (а это прежде всего связка «ресурсы - права доступа»), на чем и сфокусировались решения DAG первой волны. Возможности по категорированию информации, то есть пониманию, что именно находится в анализируемых файлах, были минимальными. Напрашивающийся вектор развития направлял усилия разработчиков в сторону расширения возможностей по «пониманию» и категорированию анализируемых хранилищ неструктурированных данных. Нужно было учиться заглядывать не только внутрь условно «текстовых» форматов, но и «понимать» PDF, сканы документов, графические файлы, специфические форматы документов. Накапливался опыт в решении проблем управления доступом, включая наследование атрибутов доступа, отличающиеся права доступа в рамках одной папки и тому подобное – необходимо было учиться обрабатывать такие аномалии. Требовались функции по сохранению журналов регистрации доступов к файлам как для выявления аномалий, так и проведения расследований. Выдвигались требования к автоматизации действий пользователей и интеграции с системами мониторинга событий информационной безопасности. С появлением и популяризацией облачных хранилищ данных – возникла задача поддержки работы с ними.
В чем актуальность этих продуктов сегодня, почему они востребованы на рынке?
В первую очередь хочется отметить тренд перехода настроений в сфере информационной и кибербезопасности к необходимости обеспечения реальной безопасности. А «реальность» подразумевает осознанность: какие недопустимые последствия несет несанкционированный доступ к той или иной информации, где она реально хранится, кем и как обрабатывается.
Именно поэтому в последнее время стало модно говорить не столько о решениях DAG, сколько о DCAP (Data-Centric Audit and Protection) подходе, где мы отталкиваемся от объекта защиты.
Бездумная цифровизация тоже вполне способна привнести хаос даже туда, где раньше были отстроенные процессы. В результате – взрывообразный рост объемов накапливаемой и хранимой информации, большая часть которой хранится в неструктурированном виде. Причем это необязательно папки обмена или файловые ресурсы, но это и системы совместной работы с данными, куда тоже загружается огромное количество информации, и контролировать ее оборот без средств автоматизации очень тяжело. При этом число инцидентов, связанных с утечками растет, и службы информационной безопасности начинают понимать, что без специализированной системы, которая могла бы дать им возможность максимально полно контролировать расположение и циркуляцию данных в организации, уже не справиться.
Среди универсальных проблем, с которыми сталкиваются компании сегодня – дубликаты файлов с чувствительной информацией и их множественные копии. Это неприятно само по себе – в силу нерационального использования системы хранения данных и затруднения процессов резервного копирования. Но это также может стать причиной нарушений регуляторных требований, например, в случае отзыва субъектом персональных данных согласия на обработку своих данных.
Нерациональное использование системы хранения данных – это еще и хранение огромных объемов «потерянных» данных, к которым никто не обращается.
Особняком стоят проблемы аудита реальных прав доступа к данным в информационных системах, возможности быстрого построения двустороннего отображения прав доступа: как полного отображения всех прав доступа к определенному файлу или директории, так и отображения всех файлов и папок, доступных определенному пользователю или группе пользователей, что остро необходимо при расследовании инцидентов и операциях по минимизации полномочий пользователей в системах.
Каким образом использование продуктов DAG/DCAP способствует выполнению требований регуляторов?
Помимо уже упомянутого примера решения задачи гарантированного уничтожения всех копий определенных данных, решения DAG/DCAP позволяют выполнять четкие формальные требования по реализации разграничения доступа, предписанных 17, 21, 31 и 239 приказами ФСТЭК России, а также требования к сбору и хранению информации о событиях безопасности в течение установленного времени. Указанные требования необходимо соблюдать при организации систем защиты информационных систем, обрабатывающих персональные данные, являющихся частью критической информационной инфраструктуры, государственными информационными системами.
Каковы ключевые функции современных отечественных продуктов класса DAG/DCAP? Что они должны «уметь»?
Отвечая на подобные вопросы всегда трудно расставлять приоритеты, отдавая предпочтение тому или иному функционалу, но все-таки начать хочется с возможности интеграции с системами заказчика, умения разбирать и классифицировать как можно большее число видов данных, наличия системы аналитики и отчетности по вопросу прав доступа, способности максимально подробно отображать в своих журналах как действия пользователей с информацией, так и факты изменения прав доступа.
Особняком стоит проблема производительности подсистем анализа и аудита, а также умения системы работать в периоды минимальной боевой загрузки анализируемой системы.
Уже достаточно остро встает вопрос возможности не только управлять при помощи DCAP-решений правами в отдельных системах, но и настраивать единые полномочия пользователей при работе с информацией определенного класса.
Требования по управлению доступом и категорированию информации задают вектор развития продуктов DAG сегодня – для создания единой системы категоризации, управления правами и контроля каналов распространения информации. То есть можно говорить о некотором объединении технологий DAG, DLP и IDM на базе DCAP-подхода.
На кого все-таки больше ориентированы решения DAG/DCAP – на службы информационной безопасности (ИБ) или информационных технологий (ИТ)?
DAG, наряду с IDM, являются пограничными решениями – их функционал полезен и ИБ-, и ИТ-службам (это отчасти определяет некоторые сложности при их внедрении и эксплуатации). Польза для ИТ, выражающаяся в автоматизации управления правами доступа, оптимизации систем хранения данных, снижении объемов хранимых и резервно-копируемых данных, воспринимается сквозь призму недоверия к надежности и быстродействию агентов, которые становятся новой точкой отказа в информационных системах. Помочь переломить сомнения ИТ-подразделений тут могут компетенции разработчика и дипломатические способности безопасников.
Какие организации и предприятия прежде всего заинтересованы в продуктах DAG/DCAP?
Цитируя одного из наших коллег по рынку информационной безопасности, скажу, что лучший клиент поставщика систем ИБ – тот, которого уже «взламывали». Те, кто уже сталкивался с инцидентами, гораздо четче формулируют свои потребности в тех или защитных механизмах, способных обеспечить реальную защищенность данных.
Что касается DAG-систем, то организациям, совместную работу с информацией внутри которых ведет более ста человек, уже пора задумываться о применении DCAP-подхода и взвешенной защите своих информационных активов.
Чем определяется эффективность (продуктивность) использования систем класса DAG/DCAP на стороне заказчика? Как добиться максимального эффекта от их применения?
Если мы говорим о задачах управления доступом к информации, то здесь максимального эффекта можно добиться при условии наличия заинтересованных в наведении порядка бизнес-подразделений и выделенных ИБ/ИТ специалистов, готовых решать задачи оптимального разграничения доступа и обрабатывать возникающие в связи с этим инциденты.
Надо понимать, что внедрение DAG-систем – это не разовые аудит и «лечение» текущего состояния, а последующая за внедрением планомерная работа по реализации принципов минимизации прав доступа, которая должна пронизывать общие корпоративные процессы процедуры работы с информацией и информационными системами. Вот тогда система начнет жить и приносить пользу.
Расскажите об особенностях внедрения продуктов DAG/DCAP на практике. Какие процессы предварительно должны быть выстроены в организации?
Если нет проблем с интеграцией, DAG-системы внедряются относительно легко. Буквально – это установка определенных агентов с инсталляцией самой системы в серверной (хотя может быть реализовано и облачное решение), что не занимает много времени. Первые аудиты и анализы хранимой информации обычно приносят определенные плоды практически сразу, выявляя ошибки настройки, потерянные данные и тому подобное. А вот дальше нужны время и выделенные люди, которые будут смотреть в мониторы и тщательно разбираться в происходящем. То есть для того, чтобы готовиться к внедрению, нужно прежде всего иметь желание и человеческий ресурс, который дальше будет разбираться с доступом, минимизировать права и оптимизировать оборот информации с учетом требований безопасности. Эти сотрудники должны быть готовы бороться с непониманием коллег из других подразделений, объяснять бизнесу пользу от потраченного на разбор вопросов времени. Еще раз отмечу, что применение DAG-решений будет результативным лишь в случае тесного сотрудничества и сопряжения с основными процессами организации.
В каком направлении будут развиваться продукты данного класса в ближайшем будущем и среднесрочной перспективе? Какие новые функции будут появляться? Какие новые задачи они будут решать?
Главной тенденцией развития станет слияние, взаимное проникновение DAG/DCAP с технологиями IDM и DLP для достижения максимального синергетического эффекта по контролю всех каналов распространения данных и информации, а также дальнейшая автоматизация процессов поиска инцидентов и аномалий в процессах работы с данными.
Скорее всего для повышения точности распознавания и классификации информации стоит ожидать активного подключения систем так называемого «искусственного интеллекта». А к решению задачи управления правами доступа с условием обеспечения работы бизнес-процессов при минимизации полномочий в крупных организациях можно ждать привлечения методов машинного обучения.
Я очень надеюсь, что умение систем быстро и точно распознавать и категорировать информацию в любом представлении и в любом процессе ее обработки, а также полный контроль за операциями с данными и изменениями прав доступа к ним, наконец смогут если не полностью предотвратить, то по крайней мере существенно сократить объемы инцидентов, связанных с утечками данных.
Интернет-портал «Безопасность пользователей в сети Интернет»
admin@safe-surf.ru
https://safe-surf.ru
