Спектр: контроль файловых хранилищ04.03.2024 11:30

Проблема контроля конфиденциальных данных актуальна практически для всех предприятий. Корпоративные данные существуют в большом количестве различных форм и размеров. Но, как правило, обычно их делят на структурированные (формат баз данных) и неструктурированные (текстовые файлы, видео, изображения и т.д.).

Согласно исследованиям Gartner, 80% корпоративных данных являются неструктурированными. Из них 60% не приносят никакой пользы (копии, неиспользуемые файлы и т.д.), при этом ежегодный прирост таких данных составляет порядка 30–40%.

73937ad4e621a682311da48159b1c06c.png

Отказ от структурирования информации не только затрудняет ее анализ, но и снижает степень защиты. Политики безопасности не способны обеспечить безопасное хранение непроанализированной и неизученной информации, отказ от маркировки файлов и учетных записей в зависимости от их роли в корпоративной структуре приводит к серьезным утечкам. Контроль доступа к неструктурированным данным частично снимает эти риски.

Неструктурированная информация может хранится на файловых серверах, в облачных хранилищах (частных и публичных), SharePoint и др. Весь этот процесс влечет за собой две глобальные проблемы, одна из которых связана с информационной безопасностью, а другая — с инфраструктурой.

Информационная безопасность

Инфраструктура

Хранящиеся на публичных серверах конфиденциальные данные

Рост объема данных. Хранение неактуальных данных

Нет понимания, кто с какими данными работает

Предоставление сотрудникам доступа к необходимым данным

Ответьте на следующие вопросы:

  • Есть ли в вашей организации неструктурированные данные?

  • Знаете ли вы, где конкретно хранятся эти данные?

  • Знаете ли вы, какой сотрудник и в какой момент обращается к таким данным?

  • Хранится ли среди неструктурированных данный критичная информация (коммерческие предложения, персональные данные и другие сведения)?

  • Знаете ли вы какой объем занимают неактуальные и ненужные данные?

Ответы на эти вопросы позволяют определить необходимость в системе классаDAG (DataAccess Governance).

Data Access Governance — специализированные решения для контроля и управления доступом к неструктурированным данным. Данные решения предоставляют возможность выявлять, категоризировать и классифицировать критичные данные, а также централизованно управлять доступом к ним.

С помощью систем данного класса решаются следующие задачи:

  • Контроль над действиями пользователей с данными, мониторинг активностей

  • Контроль аномальной активности

  • Классификация ценных данных

  • Получение актуальной матрицы доступа в разрезе пользователя и ресурса

  • Получение уведомлений о критичных событиях

  • Отслеживание критичных данных

3bfb1b241d8d38cd9a1d245153b535e6.png

Три функции, на которых основываются системы класса DAG:

  1. Классификация данных

  2. Просмотр прав доступа

  3. Аудит

b49e0b9d71f18b51f7a163ac2c5d8d40.png

Более подробно разберем данный класс решений на примере системы «Спектр».

Система «Спектр» — решение класса Data Access Governance от отечественной компании CyberPeak — позволяет осуществлять полный контроль доступа сотрудников компании к документам, хранящимся на хранилищах неструктурированных данных, таких как файловые сервера под управлением ОС Windows, Linux, почтовые сервера MS Exchange, сервера MS SharePoint, а также хранилища Dell EMC, NetApp и другие.

Задачи, которые решает «Спектр»:

1) Аудит обращений и прав доступа к данным

Спектр контролирует все основные виды корпоративных хранилищ данных, в результате чего есть возможность:

  • Настраивать гибкие политики для контроля доступа к критичным данным;

  • Выявлять неиспользуемые файлы, определять бизнес владельцев файлов;

  • Получать оповещения об инцидентах и важных системных событиях через SIEM, e-mail, Telegram, Slack и др.;

2) Классификация данных

Модуль классификации системы »‎Спектр» позволяет определить, где находятся наиболее ценные для организации данные, а также данные, отмеченные в федеральных законах Российской Федерации и требованиях различных регуляторов (152 ФЗ, ГОСТ Р 57580.1 — 2017, Приказы ФСТЭК №№ 17, 21, 239, GDPR, PCI DSS и другие).

Система «Спектр» позволяет определять большое следующие виды категорий:

  • Персональные данные

  • Финансовая информация

  • Данные держателей кредитных карт

При этом, отличительной особенностью является возможность оптического распознавания символов и классификация скан-копий/фотографий документов.

3) Быстрый поиск информации

Данный функционал позволяет быстро находить информацию на всех контролируемых хранилищах.

4) Поведенческая аналитика

Система «Спектр» позволяет выявлять аномальную активность как для действий сотрудников, так и для активности на хранилищах.

Если система обнаружит нетипичную активность на хранилище, то этот факт будет сразу же зафиксирован, и оператор системы получит уведомление.

Примерами для аномальной активности пользователей компании могут выступать:

  • Нетипичное количество просмотренных/измененных/переименованных файлов;

  • Обращение к документам «чужих» департаментов;

  • Массовое удаление документов

  • Работа в нетипичное время и др.

Теперь, давайте перейдем к работе с системой.

Хранилища

В разделе Хранилища содержится информация о защищаемых системах.

0ed4c7c48c04bcd141279278ebf9a1f2.png

Отсюда же можно перейти к структуре хранилища. Общий вид интерфейса системы для работы со структурой каталогов защищаемых серверов, а также структуры контроллера домена показана на рисунке ниже.

c8d2366a232a116a49e6460a4c1ffa6b.png

1) Классификация данных

Одним из ключевых функций систем класса DAG является классификация данных. «Спектр» работает с большим количеством форматов документов и позволяет классифицировать документы по категориям (около 200 категорий):

67c8ce5737d2bf3a360c08dae3299a2b.png

В системе можно отфильтровать документы по различным категориям и посмотреть, есть ли какие-либо из них в общем доступе. Например, показать все файлы, в которых фигурирует паспорт или ИНН:

cbcb81d0b2b504283a37589d503a6f3e.png

Файлы можно открывать в системе и просматривать, где именно содержаться искомые категории:

2241561c82387ce9e93ced137ac547fd.pngc7b7cf451341a36e04875b42e43de2c5.png

Одной из ключевых особенностей «Спектр» является определение критичных данных из скан-копий и фотографий:

91f47a7c7dffdcd2bc936e02f5bafa10.png680a31c4278541e953bb1cae4e5bdb93.pngdcf2136d0ed71fbf981c06ad529ee443.pngdf48631e2799e082fc7ec6ccbf673b2d.png

2) Риски

Система «Спектр» при сканировании хранилищ позволяет определять риски ИБ/ИТ в системе назначения прав доступа к файлам и категориям:

  • Папки/файлы с выключенным наследованием

  • Общедоступные папки/файлы

  • Папки/файлы с прямыми разрешениями

  • Сломанный ACL

  • Уникальные права

  • Неуправляемые папки и файлы

  • Неизвестные SID’ы

  • Разрешения из других доменов

Отфильтруем документы по категориям «Паспорт», «ИНН» по рискам, связанными с нахождениями в общедоступных папках и папках с прямыми разрешениями. Такие директории требуют повышенного внимания, т.к. в них могут появиться данные, указанные в требованиях законов и требований регуляторов РФ и других стран. Например, №152-ФЗ, PCI DSS, GDRP, а также внутренняя критичная информация. При этом, можно сразу же посмотреть выданные права сотрудникам.

a48513f67bb4cbef502334c408f8d4a7.png3eaefbf8a07e668e60c5d2fc9ef7e385.png

Также есть возможность экспортировать данную информацию и передать коллегам в IT-отдел.

Классификация данных и просмотр возможных рисков позволяет наводить порядок в хранилищах.

Аудит

«Спектр» ведет полный аудит действий пользователей инфраструктуры организации в части доступа к файлам/каталогам защищаемых серверов. Результаты аудита можно просмотреть во вкладке «Аудит» — «Хранилища»

ac16af599bcef92c1c9ac87d47b69393.png

Система аудита позволяет фильтровать события. Например, важный файл был перемещен, можно отфильтровать события по перемещенным файлам и определить настоящее местоположение файла:

b7f5106aa07aabb1022bcb4211717022.png

Также возможно установить все факты обращения к документу. Это может быть полезно при расследовании инцидентов, связанных с утечкой информации.

894850797e7216678f545121f4aeb127.png

Инциденты

Инцидентом считается одно или несколько событий и условий, которые значительно повышают риски ИБ и требуют оперативной реакции.

9fbcad5fc02083ca1051802af4dce2a3.png

Для того, чтобы система начала фиксировать, инциденты необходимо настроить правила. Предустановлено около 15 правил:

  • Аномально большое количество удаляемых файлов;

  • Аномальное количество изменений данных;

  • Большое количество неуспешных операций;

  • Массовое изменение данных;

  • Массовое переименование данных;

  • Массовое удаление файлов одним сотрудником

  • Обращение к ПДн;

  • Подозрение по ransomware;

  • Появление общедоступной папки/файла;

  • Появление папки/файла с прямыми разрешениями;

  • Создание исполняемого сценария на Windows Server.

При этом возможно создавать собственные правила. Например, необходимо выявлять факты массового обращения к документам, содержащих ПДн:

25a60f4826bbf30d4de5d83b414785bc.png

К выявленным инцидентам можно применять активные реакции, тем самым блокируя доступ:

e83d31ca7ae70c65910ec3e9c657c6d7.png

Аномалии

Данный модуль работает на основе алгоритмов Machine Learning и позволяет отслеживать аномальную активность как со стороны пользователей, так и со стороны защищаемых серверов.

Аномальная активность содержит список с информацией обо всех нетипичных действиях:

7554cc521b8f83b9a0ed30ea22f3ea73.png

Отчеты

Система содержит ряд предустановленных отчетов:

1fc6da88d74ad44b29309e9059ff6160.png

Отчеты будут показательны не только для руководства, но и для оптимизации IT в целом. Например, можно построить отчет по дубликатам файлов, и таким образом расчистить место на диске.

Наиболее интересные отчеты для IT-отдела:

a82bf3d6b1f5d92b948862984d560dc9.png3ac196cc02d9bbca79b591ba6cf77462.png8106feb23204cca037c5e1d381eab903.png792dee32e32ada4efcb414284af949a7.png

Интеграция со сторонними решениями

Система «Спектр» имеет возможность интегрироваться практически со всеми сторонними решениями:

d593b02b8a15760e65bb0055006a617e.png

Как правило, системы класса DAG интегрируют с SIEM, IdM и DLP системами.

Заключение

Системы класса Data Access Governance призваны не только для обеспечения безопасности, но и для оптимизации IT-инфраструктуры организации. «Спектр» демонстрирует данный функционал в полной мере.

В апреле 2023 года решение успешно прошло испытания на соответствие требованиям безопасности: документов Т ДОВ по 4 уровню доверия и технических условий.

Протестировать «Спектр» можно тут

Автор статьи: Дмитрий Лебедев, инженер ИБ

© Habrahabr.ru