Контроль прав доступа и хранения данных играет ключевую роль в защите информации. На примере InfoWatch DCAP рассмотрим, какие функции должны быть в эффективной системе для контроля прав доступа и хранения данных.
DCAP: взлет на волне пандемии и сопутствующей трансформации
Несколько лет назад Gartner впервые упомянул о необходимости систем DCAP внутри контура любой компании. Но сильный всплеск интереса к DCAP-системам пришелся на время пандемии, когда мир изменился до такой степени, что это потребовало трансформации работы ИБ и ИТ, существующих бизнес-процессов и т.д.
В нынешних реалиях интерес к DCAP-системам сформирован совокупностью сразу нескольких тенденций:
- Снижение лояльности сотрудников в сочетании с кадровым голодом.
Специалист ИБ должен оградить собственную компанию, ее бизнес, репутацию от возможных угроз со стороны нелояльных сотрудников, при этом не мешая текущей работе. - Рост объема данных, нуждающихся в защите.
Новые процессы порождают новые документы, которые передаются по новым каналам коммуникаций. Все это нужно защищать. - Необходимость тесной координации между ИТ и ИБ.
В эпоху гибридных атак внешнему воздействию в большинстве случаев предшествует внутренняя утечка.
Добавим сюда необходимость находить компромисс между уровнем безопасности и удобством бизнес-процессов — то есть делать так, чтобы любая система специалиста по информационной безопасности была незаметна и эффективна.
DCAP родом из DLP
Раньше то, что находилась в периметре организации, считалось для специалиста ИБ «зелёной» зоной, которую можно не контролировать.
Но современные тенденции показывают, что и внутри этой «зелёной» зоны есть довольно серые участки. Задача ИБ — идентифицировать только ценную конфиденциальную информацию, ее местонахождение и доступы к ней. И вовремя сигнализировать, если эти доступы меняются или не соответствуют тому, что должно быть.
Логично, что, имея мощную базу в виде собственной DLP-системы InfoWatch Traffic Monitor, мы занялись разработкой собственной DCAP-системы. Для этого нам потребовалось добавить новую функциональность.
- Изначально специалисту ИБ нужно идентифицировать места хранения ценной информации.
- Затем проверить, какие права доступа у этих данных, и те ли они, которые должны быть.
- Далее необходимо контролировать изменения прав доступа, чтобы к конфиденциальным данным не получил доступ несанкционированный сотрудник или внешний человек после взлома системы.
InfoWatch DCAP — это мощное объединение возможностей InfoWatch Data Discovery, Data Access Tracker, предоставляющее полный контроль над данными, их аудит и защиту.
Возможности защиты данных с InfoWatch DCAP
Классификация данных
При помощи модуля InfoWatch Data Discovery автоматически сканируются файловые хранилища, выявляя и классифицируя конфиденциальную информацию. Классификация данных на основе содержания помогает минимизировать риски утечки данных и обеспечивает контроль прав доступа.
Технологии искусственного интеллекта «под капотом» помогают группировать документы по смыслу, даже если объекты защиты настроены не на все конфиденциальные документы, или не настроены вовсе.
Это даёт почти 100% покрытие анализируемых документов за счет того, что проще найти в «серой зоне» важные информационные активы, на которые еще не настроены политики безопасности.
В интерфейсе DCAP-системы можно увидеть все документы, которые система просканировала и нашла, а помимо группировки по смыслу, также показываются и текущие права доступа.
Аудит и контроль доступа
С помощью DCAP возможностей InfoWatch можно отслеживать и контролировать доступ к данным. Подробная информация о правах доступа предоставляют полную прозрачность распределения прав к конфиденциальной информации, помогая быстро выявлять ошибки конфигурации в матрице доступа и реагировать на потенциальные угрозы.
Доступ можно организовать: напрямую, за счет наследования или за счет изменения в службах каталогов. Изменение в составе определенных групп пользователей может привести к существенным изменениям прав доступа.
Аудит служб каталогов
InfoWatch DCAP включает в себя функции аудита служб каталогов для отслеживания изменений Microsoft Active Directory и контроля доступа к критическим данным. Это обеспечивает дополнительный уровень безопасности и контроля за учетными записями, изменениями прав доступа в службах каталогов.
Защита данных
Защита данных от несанкционированного доступа — одна из ключевых функций InfoWatch DCAP. Интеграция с другими системами безопасности, такими как InfoWatch Traffic Monitor, обеспечивает комплексный подход к защите данных, снижая риск утечек, внутренних угроз и кибератак.
Сценарии защиты данных с DLP-системой и InfoWatch DCAP
Интеграция c DLP-системой InfoWatch Traffic Monitor и InfoWatch DCAP позволяет реализовать ключевые сценарии защиты данных:
Обнаружение и предотвращение утечек данных:
- Мониторинг сетевого трафика и данных, предотвращение утечек конфиденциальной информации.
- Обеспечение защиты данных на всех уровнях, от локальных файлов до сетевых коммуникаций.
Управление доступом на основе контекста:
- Контроль и управление доступом к данным в зависимости от контекста и уровня чувствительности информации.
- Мониторинг изменений в данных и учетных записях, предотвращение несанкционированного доступа.
Расширенные возможности аудита:
- Подробный аудит и мониторинг действий пользователей в реальном времени.
- Интеграция данных аудита из различных источников, включая сетевой трафик и файловые хранилища.
Data Discovery: находим инфоактивы, нуждающиеся в защите
InfoWatch Data Discovery проводит аудит документов в компании, показывает права доступа, категоризирует документы по смыслу (без участия DLP-системы) и проводит контентный анализ с теми же объектами защиты, которые настроены в InfoWatch Traffic Monitor.
Также Data Discovery остается одним из компонентов, работающих с InfoWatch Traffic Monitor, обеспечивая реагирование политик, настроенных внутри DLP.
Пример:
Руководство обращается в ИБ с подозрением, что определенные документы были похищены, потому что содержащимися в них данные каким-то образом начали оперировать конкуренты. И просит выяснить, где находятся эти документы, кто к ним имеет доступ.
Специалист ИБ в этом случае не пытается с помощью InfoWatch Traffic Monitor просканировать терабайты информации, а применяет тут новый интеллектуальный компонент Data Discovery, который занимается категоризацией данных.
Data Discovery забирает документы изо всех доступных мест хранения на анализ, система анализа и категоризация информации, объединяет похожие документы по смыслу и тегирует их.
После этого специалист ИБ может увидеть, где эти документы находятся, кто к ним имеет доступ. В итоге можно очень быстро разобрать всю «серую зону», которая еще не расчищена InfoWatch Traffic Monitor.
Data Discovery, которая является частью DCAP-системы, умеет определять уже настроенные в InfoWatch Traffic Monitor объекты защиты. Для DCAP-системы это очень важно, потому что внедрение DCAP, где движок и политики отличаются от того, что уже настроено в InfoWatch Traffic Monitor, потребует дополнительных ресурсов.
При помощи системы кластеризации документов, категоризации по смыслу, новые бизнес-процессы будут отражены в виде новых групп документов, а изменения бизнес-процессов — в виде документов, не содержащих объекты защиты.
Обладая информацией о содержимом документа, InfoWatch Data Discovery позволяет быстро понять, где находятся документы и есть ли нарушения в хранении.
Контроль изменений прав доступа в DCAP-системе InfoWatch
Контроль изменений прав доступа в DCAP-системе InfoWatch осуществляется с помощью InfoWatch Data Access Tracker. Благодаря этой системе контроль изменений прав доступа становится более эффективным и надежным.
Изменение состава групп — довольно важный сценарий с точки зрения DCAP. Если пользователь попал в привилегированную группу, DCAP-система тут же покажет специалисту ИБ, что состав контролируемой группы поменялся, и необходимо убедиться в легитимности процесса и уточнить, кто и кого добавил.
В первой версии Data Access Tracker уже было около 10 отчётов, фокусирующих специалиста безопасности на проблемах конфигурирования Active Directory.
Самые популярные отчеты:
Системы InfoWatch эффективны в первую очередь потому, что основаны на реальных жизненных сценариях, без пустого функционала.
Визуальный анализ данных в DCAP-системе
Для эффективной работы с DCAP-системой важен визуальный анализ данных в реальном времени. Система дашбордов позволяет фокусировать визуальный анализ данных на текущих проблемах.
В ближайшее время в DCAP InfoWatch появятся виджеты, которые позволят офицеру безопасности проактивно реагировать на изменения и угрозы, которые могут исходить от изменения объектов, их атрибутов, службы каталогов.
Контроль внешних устройств — InfoWatch Device Control
Когда речь идет про контроль файловых директорий или изменений в службе каталогов, важно учитывать роль пользователя. Нелояльный сотрудник, получивший доступ к ценной информации, будет искать способы ее вывода. Эффективный контроль внешних устройств поможет предотвратить такие угрозы. Контроль внешних устройств становится одним из ключевых элементов в защите данных.
InfoWatch Device Control контролирует использование обширного списка внешних подключаемых устройств и закрывает все возможные пути вывести конфиденциальную информацию с их помощью.
InfoWatch Device Control позволяет автоматически определять, какие устройства подключаются к персональным компьютерам пользователей и включать их в политики безопасности.
Сотрудник безопасности в свою очередь увидит в событиях, какие действия совершает сотрудник с внешним подключённым устройством.
DCAP — это не только безопасность доступа, но и безопасность самих данных
Сейчас все сложнее представить инфраструктуру компании без DCAP-системы, потому что без нее безопасность данных не будет обеспечена полностью: организация останется в «серой» зоне, пытаясь ловить уходящую наружу информацию. Но внутри компании, которая уже давно перестала быть зелёной зоной, вы будете фактически беспомощны.
Функциональность DCAP InfoWatch планомерно наращивается, мы развиваем такое понятие, как инфраструктурные решения, которые объединены Единым центром расследования InfoWatch.
Таким образом происходит взаимное обогащение продуктов, а суммарная функциональность превышает функциональность отдельных решений.
Преимущества использования InfoWatch DCAP
- Всесторонняя безопасность данных: обеспечивает полный контроль и защиту данных, снижая риски их утечки и несанкционированного доступа.
- Эффективный аудит и мониторинг: отслеживает изменения и доступ к данным, повышая прозрачность и безопасность.
- Аудит служб каталогов: обеспечивает контроль и мониторинг изменений в критических системах, таких как Active Directory и ALD.Pro.
- Интеграция с InfoWatch Traffic Monitor: позволяет реализовать ключевые сценарии защиты данных, такие как DLP-системы и контекстуальное управление доступом.
- Соответствие нормативным требованиям: обеспечивает классификацию данных согласно регуляторным требованиям, включая Приказ №250 ФСТЭК России.
- Комплексное решение в Центре Расследований: объединяет возможности двух мощных продуктов InfoWatch, предоставляя полный набор инструментов для управления данными.
InfoWatch DCAP — это надежное решение для управления, аудита и защиты ваших данных
Полное или частичное копирование материалов возможно только при указании ссылки на источник — сайт www.infowatch.ru или на страницу с исходной информацией.
