Российские решения DLP/DCAP
Утечки данных остаются одной из самых болезненных проблем для российских компаний, а разрыв между официальной статистикой и оценками участников рынка лишь подчеркивает масштаб такой угрозы. На этом фоне все более востребованными становятся решения классов DLP и DCAP, которые помогают фиксировать попытки вывода информации и выстраивать системную защиту данных внутри организации.
Если DLP-системы в первую очередь контролируют каналы передачи информации — почту, мессенджеры, веб-трафик, съемные носители, — то DCAP-решения отвечают за аудит хранилищ, контроль прав доступа и выявление рискованных сценариев работы с данными. В связке эти инструменты позволяют компаниям лучше понимать, где находятся критичные данные, кто с ними работает и в какой момент возникает риск утечки.
В обзоре рассмотрим несколько российских решений класса DLP/DCAP, включенных в Реестр отечественного ПО и применяемых для защиты данных в корпоративной и регулируемой среде.
«Гарда DLP» и «Гарда DCAP2
ГК «Гарда» развивает два взаимодополняющих решения: DLP-систему для контроля каналов передачи данных и DCAP-продукт для анализа файловых хранилищ, содержимого данных и прав доступа. Такая связка ориентирована прежде всего на крупные организации, которым недостаточно только контроля почты, мессенджеров и веб-трафика, а нужен еще и порядок внутри хранилищ — понимание, где лежат чувствительные данные, кто к ним имеет доступ и насколько эти доступы обоснованы. Сильная сторона этой пары — именно сочетание периметрового контроля с глубоким анализом внутренних ресурсов. DLP-компонент закрывает основные каналы возможной утечки, а DCAP-модуль помогает выявлять избыточные права, открытые папки, неиспользуемые доступы и ошибки в наследовании прав. Для заказчика это важно потому, что позволяет не только ловить попытки вывода информации, но и сокращать саму площадь риска внутри инфраструктуры. В этом смысле решение интересно компаниям с большим файловым контуром, развитой службой каталогов и высокими требованиями к разграничению доступа.
Отдельно стоит отметить, что у «Гарды» сделан сильный акцент на анализе хранилищ и событий доступа, а также на интеграции с корпоративной инфраструктурой — каталогами, почтовыми системами, SIEM и другими инструментами ИБ. Это делает продукт более уместным в зрелом корпоративном контуре, чем в небольших компаниях, где задачи часто ограничиваются базовым контролем каналов утечки.
При этом важно учитывать и особенности. DCAP-часть в большей степени рассчитана на организации среднего и крупного масштаба, а полноценное внедрение требует аккуратной настройки и готовности заказчика работать не только с событиями утечек, но и с моделью прав доступа. Кроме того, при комплексном внедрении DLP и DCAP следует заранее оценивать не только функциональность, но и общую стоимость проекта, поскольку речь идет фактически о двух связанных, но отдельных продуктах.
«Кибер Протего»
DLP-систему Кибер Протего развивает компания «Киберпротект». Решение входит в реестр отечественного ПО и используется компаниями разного масштаба — от небольших организаций до крупных предприятий с филиальной сетью.
Продукт делает ставку на агентскую архитектуру: контентный анализ выполняется непосредственно на конечных точках (рабочей станции или сервере), что позволяет обеспечить полноценный контроль удаленных сотрудников. Отдельный модуль Discovery отвечает за сканирование рабочих станций, серверов и файловых хранилищ
К сильным сторонам можно отнести широкий охват контролируемых каналов, включая трафик Tor Browser, MTP-устройства, терминальные сессии. Гибкая система лицензирования тоже выглядит плюсом: средства управления не лицензируются, а дополнительные модули активируются без переустановки продукта.
В отличие от специализированных DCAP-решений, система не строит целостную картину прав доступа по всей организации и не выявляет избыточные привилегии, открытые папки и ошибки наследования в масштабах корпоративной инфраструктуры.
В итоге Кибер Протего подойдет компаниям, которым нужна гибкая DLP-система с хорошим контролем конечных точек и возможностью периодического сканирования хранилищ, но без сложных DCAP-сценариев.
«СёрчИнформ КИБ»
По данным TAdviser, DLP-система «Контур информационной безопасности (КИБ) СёрчИнформ» разрабатывается ГК «СёрчИнформ» с 2006 года. Решение входит в Реестр отечественного ПО и имеет сертификаты ФСТЭК России. Продукт позиционируется как универсальная DLP-платформа, сочетающая контроль каналов утечки, поведенческий анализ и инструменты расследования.
Архитектурно продукт интересен модульностью: заказчик может выбирать только необходимые компоненты, наращивая функциональность по мере роста потребностей. В основе лежит единый центр сбора и анализа событий, который объединяет данные от агентов на конечных точках, сенсоров трафика и интеграций с корпоративными сервисами. Поведенческий анализ встроен в ядро и позволяет выявлять аномалии без дополнительных модулей.
Отдельного внимания заслуживает модуль «Контроль файловых операций», который отслеживает действия с файлами на рабочих станциях и в сетевых папках — это помогает выявлять попытки несанкционированного копирования, изменения или удаления данных. Встроенный UBA-движок анализирует не только события, но и контекст: нормальные паттерны поведения пользователя формируются автоматически, а отклонения подсвечиваются как потенциальные риски. Широкая экосистема интеграций — еще один плюс: продукт совместим с большинством российских ОС, мессенджеров, облачных сервисов и корпоративных приложений.
Полноценный DCAP-функционал реализован в отдельном продукте FileAuditor, который интегрируется с КИБ и требует отдельного лицензирования. Для небольших компаний с простой инфраструктурой часть возможностей может оказаться избыточной.
«СёрчИнформ КИБ» выглядит как хороший вариант для заказчиков, желающих получить DLP-платформу с возможностью масштабирования и постепенного подключения дополнительных модулей по мере усложнения задач, но при этом есть риск вендор-лока.
Zecurion DLP и Zecurion DCAP
Zecurion развивает DLP для контроля каналов передачи и DCAP для анализа хранилищ и прав доступа. Оба решения входят в Реестр отечественного ПО и имеют сертификаты ФСТЭК. Компания на рынке с 2001 года.
Продукты ориентированы на средний бизнес и крупные корпорации с распределенной инфраструктурой. В портфеле — 15 схем внедрения, что позволяет адаптировать решение под конкретного заказчика.
Zecurion делает ставку на единую экосистему: DLP и DCAP используют общие политики, единую консоль и хранилище. Это предоставляет возможность контролировать все происходящее с файлом — от момента создания до попытки вывода наружу.
DCAP-функционал — одна из сильных сторон. Система анализирует права доступа в Active Directory и на файловых ресурсах, выявляя избыточные права, открытые папки, неиспользуемые доступы и ошибки наследования. Она определяет владельцев данных, находит дубликаты и измененные копии важных документов. Скорость обработки — до 1 Тбайт в час.
Для классификации используется более 10 технологий: словари, морфология, регулярные выражения, цифровые отпечатки, OCR, машинное обучение.
Контроль каналов охватывает почту, веб-трафик, мессенджеры, облачные сервисы, USB, печать, буфер обмена, скриншоты и фотографирование экрана. Политики едины для DLP и DCAP. Реакции включают блокировку, уведомления, запись событий в архив. Встроенный IRP-модуль управляет жизненным циклом инцидента.
Среди сильных сторон — зрелость продуктов, глубокая интеграция DLP и DCAP, высокая скорость обработки и развитый DCAP-функционал.
Ограничения: решение скорее для среднего и крупного бизнеса, для небольших компаний функционал может оказаться избыточным. Экосистемный подход предполагает приобретение продуктов одного вендора, что создает определенную зависимость.
Solar Dozor
Solar Dozor — флагманская DLP-система, которую разрабатывает ГК «Солар». Система корпоративного класса ориентирована прежде всего на крупный бизнес, госсектор и организации с распределенной инфраструктурой. Это решение для тех случаев, когда задача выходит за пределы базового контроля почты и съемных носителей и требует масштабируемой системы с развитыми средствами расследования, поведенческого анализа и интеграции в существующий ИБ-контур.
Сильная сторона Solar Dozor — акцент не только на движении данных, но и на анализе поведения сотрудников. Система позволяет смотреть на инцидент шире: кто взаимодействовал с информацией, с кем контактировал, как менялся паттерн активности и есть ли признаки инсайдерского риска. Для крупных компаний это важный момент, поскольку снижает зависимость от простых сигнатурных правил и помогает точнее выявлять подозрительные действия в сложной корпоративной среде.
С точки зрения функциональности Solar Dozor закрывает классический DLP-контур — контроль основных каналов передачи данных и действий на рабочих станциях, — а также дополняется инструментами расследования и UBA-аналитики. Отдельным преимуществом можно считать полноценную поддержку macOS, что для российского рынка DLP по-прежнему остается заметным отличием. Для компаний со смешанным парком устройств это может стать существенным фактором при выборе.
DCAP-возможности в Solar Dozor также присутствуют, но здесь важно понимать архитектурный нюанс: анализ файловых хранилищ и неструктурированных данных входит в контур продукта, а более глубокое управление правами доступа реализуется в связке с другими решениями экосистемы Solar. Иными словами, продукт хорошо вписывается в комплексную защиту данных, но максимальный эффект достигается именно в составе более широкого стека этого вендора.
Решение подойдет организациям, которым важны масштаб, зрелость продукта, развитые инструменты расследования и кроссплатформенность. В то же время Solar Dozor — это выбор скорее для крупного заказчика: стоимость внедрения и эксплуатации может быть избыточной для СМБ, а ориентация на экосистемный подход требует заранее оценивать зависимость от одного поставщика и общую стоимость комплексного проекта.
DLP/DCAP-решения InfoWatch
Линейка InfoWatch от одноименной компании закрывает оба направления защиты данных: контроль каналов передачи информации и аудит хранилищ с анализом прав доступа. Это делает решение интересным прежде всего для крупных организаций, которым нужен не отдельный DLP-инструмент, а более широкий контур работы с данными — от мониторинга коммуникаций до анализа того, как информация хранится и кто имеет к ней доступ.
Сильная сторона InfoWatch — попытка собрать в едином контуре несколько задач, которые во многих компаниях до сих пор решаются разрозненно. DLP-компоненты отвечают за контроль основных каналов передачи данных и мониторинг действий сотрудников, а DCAP-модули позволяют искать чувствительную информацию в хранилищах, выявлять нарушения в ее размещении и анализировать состояние прав доступа. Для заказчика это важно потому, что инцидент можно рассматривать не только как факт передачи данных наружу, но и как следствие более глубокой проблемы — избыточных доступов, слабой классификации данных или непрозрачной структуры хранения.
Отдельно стоит отметить сильную аналитическую часть платформы. У InfoWatch акцент сделан не только на фиксации событий, но и на расследовании: визуализации связей, анализе маршрутов движения данных, выявлении групп риска и поведенческих аномалий. Для крупных компаний с большим числом сотрудников и сложной оргструктурой это особенно ценно, поскольку позволяет быстрее переходить от потока событий к пониманию того, что именно произошло и кто вовлечен в инцидент.
Решение выглядит особенно уместным в тех организациях, где уже есть зрелый запрос на комплексную защиту данных, подготовку к проверкам регуляторов и работу с расследованиями в едином окне. Дополнительным плюсом можно считать широкие интеграционные возможности и хорошую адаптацию к российскому ИТ-ландшафту, включая совместимость с отечественными сервисами и ОС.
Важно учитывать, что InfoWatch — это скорее выбор крупного заказчика. Полноценное внедрение требует проектного подхода, квалифицированной настройки и готовности работать с несколькими взаимосвязанными компонентами. Для среднего и малого бизнеса такой контур может оказаться слишком сложным и дорогим, а часть DCAP-функциональности реализуется через отдельные модули, что тоже влияет на итоговую стоимость проекта.
Falcongaze SecureTower
Falcongaze SecureTower от компании Falcongaze позиционируется как DLP-система для компаний разного масштаба — от сравнительно небольших организаций до структур с филиальной сетью и распределенной инфраструктурой. Это делает продукт заметным на фоне многих конкурентов, которые в первую очередь ориентируются на крупный корпоративный сегмент. Для заказчика это означает более низкий порог входа и возможность внедрять систему не только в enterprise-контуре, но и в среднем бизнесе.
Основной акцент в SecureTower сделан на классическом DLP-контроле: мониторинге каналов передачи данных, наблюдении за действиями пользователей на рабочих станциях и сборе материалов для расследования инцидентов. Сильной стороной решения можно считать достаточно широкий охват сценариев на конечных точках. Система позволяет не только контролировать передачу данных, но и отслеживать операции с файлами на рабочих станциях, выявляя случаи, когда конфиденциальные документы оказываются у сотрудников вне ожидаемого контура. Для многих компаний это практический плюс: часть рисков возникает не в централизованных хранилищах, а именно на пользовательских устройствах.
Еще одно преимущество продукта — сравнительно быстрый старт и понятный сценарий внедрения. Для заказчиков, которым важно не строить тяжелый многокомпонентный проект, а достаточно быстро получить рабочий инструмент контроля, это может быть серьезным аргументом. SecureTower также выглядит уместно там, где нужно централизованно собирать данные из нескольких площадок и филиалов в единый контур наблюдения.
При этом важно понимать границы продукта. Несмотря на наличие функций, связанных с анализом файлов и действиями с ними на рабочих станциях, SecureTower нельзя в полной мере рассматривать как развитое DCAP-решение в классическом смысле. Система сильнее в контроле конечных точек, коммуникаций и пользовательской активности, чем в глубоком анализе прав доступа, избыточных разрешений и состоянии централизованных файловых хранилищ. Поэтому для компаний, у которых проблема с управлением правами доступа и неструктурированными данными в общем файловом контуре, одного этого решения может быть недостаточно.
В результате SecureTower выглядит как разумный вариант для заказчиков, которым нужен широкий DLP-функционал, контроль действий пользователей и относительно быстрый запуск без чрезмерно тяжелого проекта внедрения. Но при выборе важно учитывать, что в части DCAP-возможностей продукт скорее закрывает смежные задачи, чем дает полноценный инструментарий для управления доступом и анализа корпоративных хранилищ.
LanAgent EnterpriseDLP
LanAgent EnterpriseDLP — DLP-система, которую разрабатывает компания «Нетворк Профи». Решение ориентировано прежде всего на малый и средний бизнес и выделяется на фоне более тяжеловесных корпоративных платформ сравнительно низким порогом входа: систему можно развернуть без длительного проекта внедрения и использовать как практический инструмент базового контроля утечек и действий пользователей.
Продукт закрывает типовой DLP-контур: контроль основных каналов передачи данных, мониторинг активности на рабочих станциях и фиксацию операций с файлами. Для заказчика это возможность решать самые распространенные задачи — отслеживать попытки вывода информации через почту, мессенджеры, облачные сервисы, съемные носители и другие повседневные каналы, а также видеть, как документы перемещаются внутри пользовательской среды. С точки зрения расследований полезно, что система умеет собирать события в едином контуре и позволяет восстанавливать историю работы с файлами.
Сильная сторона LanAgent — именно практичность. Это продукт не столько для построения сложной многоуровневой архитектуры защиты данных, сколько для компаний, которым нужен понятный и относительно доступный инструмент контроля без избыточной сложности. Для сегмента СМБ это важный аргумент: такие заказчики часто не готовы ни к высокой стоимости enterprise-систем, ни к отдельной команде специалистов под сопровождение DLP-платформы.
Однако возможности продукта в части DCAP ограничены. LanAgent умеет работать с данными на рабочих станциях и фиксировать доступ к файлам, но не дает глубокого анализа прав доступа в корпоративных хранилищах: речь не идет о полноценном выявлении избыточных прав, ошибочного наследования или открытых папок в том объеме, который ожидают от развитых DCAP-решений. Поэтому для компаний с большим файловым контуром, сложной службой каталогов и высокой зависимостью от централизованного управления доступом подобного функционала может оказаться недостаточно.
В итоге LanAgent выглядит как рациональный выбор для небольших и средних организаций, которым нужен рабочий DLP-инструмент с быстрым запуском и без тяжелого проектного внедрения. Но если задача выходит за рамки контроля каналов и пользовательских действий и упирается в аудит хранилищ и модель прав доступа, потребуется либо дополнение другими средствами, либо выбор более развитой платформы.
Программный комплекс «Стахановец»
Программный комплекс «Стахановец» разрабатывает одноименная компания. Решение позиционируется как универсальная DLP-система для компаний разного масштаба и особенно заметно в тех сценариях, где заказчику нужен не только контроль каналов утечки, но и пристальное наблюдение за пользовательской активностью на рабочих станциях.
Сильная сторона «Стахановца» — сочетание классического DLP-функционала с развитым поведенческим контролем. Система позволяет отслеживать основные каналы передачи данных, контролировать действия сотрудников на рабочих местах и собирать материалы для последующего расследования. Отдельный акцент сделан на мониторинге коммуникаций, включая голосовые и видеоканалы, а также на защите от фотографирования экрана и других попыток обойти стандартные механизмы контроля. Для компаний, где риск связан не только с пересылкой файлов, но и с поведением сотрудников в течение рабочего дня, это может быть важным аргументом в пользу продукта.
Еще одна сильная сторона решения — ориентация на практическое расследование инцидентов. «Стахановец» дает службе ИБ достаточно широкий набор инструментов для ретроспективного анализа: от поиска по собранным событиям и контенту до графов связей и скрытого мониторинга действий пользователя. Это делает продукт интересным для тех организаций, где важно не просто зафиксировать нарушение, а восстановить последовательность действий и контекст инцидента.
К тому же важно понимать, что «Стахановец» — это прежде всего DLP-решение с возможностью мониторинга активности пользователей, а не полноценная DCAP-платформа. Продукт умеет искать конфиденциальные данные на рабочих станциях и в доступных пользователю ресурсах, но не закрывает в полном объеме задачи аудита прав доступа в корпоративных хранилищах. Здесь нет глубокого анализа NTFS/AD-прав, поиска избыточных доступов, открытых папок и ошибок наследования в том виде, в каком этого обычно ждут от специализированных DCAP-систем. Поэтому для наведения порядка в правах доступа и файловых хранилищах одного «Стахановца» может быть недостаточно.
В итоге «Стахановец» выглядит как сильный вариант для заказчиков, которым нужны широкий DLP-функционал, развитое наблюдение за действиями пользователей и инструменты расследования в едином продукте. Но при выборе важно учитывать, что в части DCAP его возможности ограничены, и для задач управления доступом и анализа корпоративных хранилищ может потребоваться дополнительный специализированный инструмент.
Staffcop
Staffcop — это DLP-система от компании «Атом Безопасность». Решение входит в реестр отечественного ПО и имеет сертификаты ФСТЭК и ФСБ , что позволяет использовать его в государственных информационных системах и на объектах КИИ до 1 го класса защищенности включительно. Продукт ориентирован на СКБ (банки и финтех, медицина и фармацевтика, производственные предприятия, строительный бизнес, конструкторские бюро), госучреждения и госкорпорации от 250 сотрудников, но может применяться и в малом бизнесе, работающем с персональными данными.
Решение позиционируется прежде всего как система расследования инцидентов внутренней информационной безопасности с функциями DLP для выявления утечек, анализа деятельности сотрудников, поиска нарушений и контроля доступности файлов с конфиденциальной информацией.
Мониторинг каналов утечки охватывает почту, веб-трафик, мессенджеры, облачные сервисы, сетевые хранилища, съемные носители, печать, демонстрацию экрана и удаленный доступ. Система также сканирует файловые серверы и рабочие станции пользователей.
Для поиска и классификация конфиденциальных данных используются словари, шаблоны, цифровые отпечатки, регулярные выражения, OCR, морфология русского языка, метки конфиденциальности и машинное обучение. В версии 5.7 появилась возможность распознавания лиц на снимках с веб-камер и печатей на документах. На основе контента и атрибутов файлов настраиваются реакции на инциденты: блокировка доступа к файлам по заданным параметрам, уведомления и формирование отчетов.
При этом полноценный DCAP-функционал пока не реализован — система анализирует права доступа только на основе действий пользователей над файлами. Однако политики могут комбинировать несколько факторов: контент, канал, пользователь, а также ранжировать пользователей и политики по уровню риска.
Интеграционные возможности включают поддержку SIEM (подтверждена совместимость с RuSIEM и MaxPatrol SIEM), SOAR, IDM/IAM, AD/LDAP, MDM, почтовых систем, а также российских операционных систем Astra Linux (сертифицированная совместимость с версиями 1.7.6 и 1.8) и РЕД ОС.
Разработчики помогают с установкой, настройкой и обучением как на этапе пилотирования, так и при последующей эксплуатации. Техподдержка реализована через тикеты, удаленные подключения и по телефону. Лицензирование — по количеству учетных записей пользователей. При этом компоненты, расширяющие возможности контроля, лицензируются отдельно.
Таким образом, Staffcop — вариант для организаций, которым нужна система расследования инцидентов с базовым DLP-функционалом, но без сложных DCAP-сценариев, где возможностей продукта может оказаться недостаточно.
Усиление решений DLP/DCAP
Было бы несправедливо не упомянуть в обзоре систем DLP/DCAP поставщиков, которые усиливают сами эти решения, и одну общую для всех проблему: выявление и анализ утечки зашифрованных данных. Например, в виде архива, для расшифровки которого требуется пароль.
ARinteg предлагает современный архиватор ARZip, который использует сервер-паролей, поставляемый ARinteg. ARZip при интеграции по API c DLP позволяет последней «видеть архивы насквозь» и автоматически проверять запароленные архивы. Решение уже используется такими вендорами, как СёрчИнформ и InfoWatch. По словам разработчиков, настройка архиватора занимает несколько минут и не требует установки дополнительных компонентов на DLP-сервер. ARZip входит в Реестр отечественного ПО, совместим с Windows и Linux, включая российские дистрибутивы, поддерживает все популярные форматы архивов и обеспечивает «умное» сжатие, которое выбирает наиболее подходящий метод для каждого типа данных.
Ключевые выводы
Если проблема в утечках наружу (через почту, мессенджеры, флешки) — начинайте с DLP. Если досаждает неразбериха в правах доступа, присмотритесь к DCAP. Идеально, когда оба класса работают в связке: DLP контролирует периметр, DCAP наводит порядок внутри.
Малому и среднему бизнесу стоит обратить внимание на LanAgent, Falcongaze или Кибер Протего. Они проще в установке и не требуют большой команды поддержки. Крупному бизнесу, госсектору, предприятиям КИИ могут подойти enterprise-решения: Solar Dozor, InfoWatch, «Гарда», Zecurion, «СёрчИнформ КИБ». Они масштабируются на сотни тысяч рабочих станций, имеют сертификаты ФСТЭК и развитые инструменты расследования. При этом Zecurion и «Гарда» выделяются глубокой интеграцией DLP и DCAP в единой экосистеме, а «СёрчИнформ КИБ» — модульностью и возможностью постепенно наращивать функционал.
Проверьте «слепые зоны». Если много компьютеров с macOS — присмотритесь к Solar Dozor. Охват голосовых коммуникаций и защита от фотосъемки сильны у «Стахановца» и InfoWatch. Если важна работа с запароленными архивами — обратите внимание на решения, использующие такой компонент как архиватор ARZip.
Обязательно проведите собственное исследование. Запросите демоверсии продуктов, проверьте совместимость с установленным ПО и оцените экономическую эффективность решения. Важно, чтобы продукт закрывал ваши потребности и при этом вписывался в бюджет и ресурсы.