Проблема контроля конфиденциальных данных актуальна практически для всех предприятий. Корпоративные данные существуют в большом количестве различных форм и размеров. Но, как правило, обычно их делят на структурированные (формат баз данных) и неструктурированные (текстовые файлы, видео, изображения и т.д.).
Согласно исследованиям Gartner, 80% корпоративных данных являются неструктурированными. Из них 60% не приносят никакой пользы (копии, неиспользуемые файлы и т.д.), при этом ежегодный прирост таких данных составляет порядка 30-40%.
Отказ от структурирования информации не только затрудняет ее анализ, но и снижает степень защиты. Политики безопасности не способны обеспечить безопасное хранение непроанализированной и неизученной информации, отказ от маркировки файлов и учетных записей в зависимости от их роли в корпоративной структуре приводит к серьезным утечкам. Контроль доступа к неструктурированным данным частично снимает эти риски.
Неструктурированная информация может хранится на файловых серверах, в облачных хранилищах (частных и публичных), SharePoint и др. Весь этот процесс влечет за собой две глобальные проблемы, одна из которых связана с информационной безопасностью, а другая – с инфраструктурой.
Информационная безопасность | Инфраструктура |
|---|---|
Хранящиеся на публичных серверах конфиденциальные данные | Рост объема данных. Хранение неактуальных данных |
Нет понимания, кто с какими данными работает | Предоставление сотрудникам доступа к необходимым данным |
Ответьте на следующие вопросы:
Есть ли в вашей организации неструктурированные данные?
Знаете ли вы, где конкретно хранятся эти данные?
Знаете ли вы, какой сотрудник и в какой момент обращается к таким данным?
Хранится ли среди неструктурированных данный критичная информация (коммерческие предложения, персональные данные и другие сведения)?
Знаете ли вы какой объем занимают неактуальные и ненужные данные?
Ответы на эти вопросы позволяют определить необходимость в системе классаDAG (DataAccess Governance).
Data Access Governance – специализированные решения для контроля и управления доступом к неструктурированным данным. Данные решения предоставляют возможность выявлять, категоризировать и классифицировать критичные данные, а также централизованно управлять доступом к ним.
С помощью систем данного класса решаются следующие задачи:
Контроль над действиями пользователей с данными, мониторинг активностей
Контроль аномальной активности
Классификация ценных данных
Получение актуальной матрицы доступа в разрезе пользователя и ресурса
Получение уведомлений о критичных событиях
Отслеживание критичных данных
Три функции, на которых основываются системы класса DAG:
Классификация данных
Просмотр прав доступа
Аудит
Более подробно разберем данный класс решений на примере системы «Спектр».
Система «Спектр» — решение класса Data Access Governance от отечественной компании CyberPeak — позволяет осуществлять полный контроль доступа сотрудников компании к документам, хранящимся на хранилищах неструктурированных данных, таких как файловые сервера под управлением ОС Windows, Linux, почтовые сервера MS Exchange, сервера MS SharePoint, а также хранилища Dell EMC, NetApp и другие.
Задачи, которые решает «Спектр»:
1) Аудит обращений и прав доступа к данным
Спектр контролирует все основные виды корпоративных хранилищ данных, в результате чего есть возможность:
Настраивать гибкие политики для контроля доступа к критичным данным;
Выявлять неиспользуемые файлы, определять бизнес владельцев файлов;
Получать оповещения об инцидентах и важных системных событиях через SIEM, e-mail, Telegram, Slack и др.;
2) Классификация данных
Модуль классификации системы «Спектр» позволяет определить, где находятся наиболее ценные для организации данные, а также данные, отмеченные в федеральных законах Российской Федерации и требованиях различных регуляторов (152 ФЗ, ГОСТ Р 57580.1 – 2017, Приказы ФСТЭК №№ 17, 21, 239, GDPR, PCI DSS и другие).
Система «Спектр» позволяет определять большое следующие виды категорий:
Персональные данные
Финансовая информация
Данные держателей кредитных карт
При этом, отличительной особенностью является возможность оптического распознавания символов и классификация скан-копий/фотографий документов.
3) Быстрый поиск информации
Данный функционал позволяет быстро находить информацию на всех контролируемых хранилищах.
4) Поведенческая аналитика
Система «Спектр» позволяет выявлять аномальную активность как для действий сотрудников, так и для активности на хранилищах.
Если система обнаружит нетипичную активность на хранилище, то этот факт будет сразу же зафиксирован, и оператор системы получит уведомление.
Примерами для аномальной активности пользователей компании могут выступать:
Нетипичное количество просмотренных/измененных/переименованных файлов;
Обращение к документам «чужих» департаментов;
Массовое удаление документов
Работа в нетипичное время и др.
Теперь, давайте перейдем к работе с системой.
Хранилища
В разделе Хранилища содержится информация о защищаемых системах.
Отсюда же можно перейти к структуре хранилища. Общий вид интерфейса системы для работы со структурой каталогов защищаемых серверов, а также структуры контроллера домена показана на рисунке ниже.
1) Классификация данных
Одним из ключевых функций систем класса DAG является классификация данных. «Спектр» работает с большим количеством форматов документов и позволяет классифицировать документы по категориям (около 200 категорий):
В системе можно отфильтровать документы по различным категориям и посмотреть, есть ли какие-либо из них в общем доступе. Например, показать все файлы, в которых фигурирует паспорт или ИНН:
Файлы можно открывать в системе и просматривать, где именно содержаться искомые категории:
Одной из ключевых особенностей «Спектр» является определение критичных данных из скан-копий и фотографий:
2) Риски
Система «Спектр» при сканировании хранилищ позволяет определять риски ИБ/ИТ в системе назначения прав доступа к файлам и категориям:
Папки/файлы с выключенным наследованием
Общедоступные папки/файлы
Папки/файлы с прямыми разрешениями
Сломанный ACL
Уникальные права
Неуправляемые папки и файлы
Неизвестные SID'ы
Разрешения из других доменов
Отфильтруем документы по категориям «Паспорт», «ИНН» по рискам, связанными с нахождениями в общедоступных папках и папках с прямыми разрешениями. Такие директории требуют повышенного внимания, т.к. в них могут появиться данные, указанные в требованиях законов и требований регуляторов РФ и других стран. Например, №152-ФЗ, PCI DSS, GDRP, а также внутренняя критичная информация. При этом, можно сразу же посмотреть выданные права сотрудникам.
Также есть возможность экспортировать данную информацию и передать коллегам в IT-отдел.
Классификация данных и просмотр возможных рисков позволяет наводить порядок в хранилищах.
Аудит
«Спектр» ведет полный аудит действий пользователей инфраструктуры организации в части доступа к файлам/каталогам защищаемых серверов. Результаты аудита можно просмотреть во вкладке «Аудит» - «Хранилища»
Система аудита позволяет фильтровать события. Например, важный файл был перемещен, можно отфильтровать события по перемещенным файлам и определить настоящее местоположение файла:
Также возможно установить все факты обращения к документу. Это может быть полезно при расследовании инцидентов, связанных с утечкой информации.
Инциденты
Инцидентом считается одно или несколько событий и условий, которые значительно повышают риски ИБ и требуют оперативной реакции.
Для того, чтобы система начала фиксировать, инциденты необходимо настроить правила. Предустановлено около 15 правил:
Аномально большое количество удаляемых файлов;
Аномальное количество изменений данных;
Большое количество неуспешных операций;
Массовое изменение данных;
Массовое переименование данных;
Массовое удаление файлов одним сотрудником
Обращение к ПДн;
Подозрение по ransomware;
Появление общедоступной папки/файла;
Появление папки/файла с прямыми разрешениями;
Создание исполняемого сценария на Windows Server.
При этом возможно создавать собственные правила. Например, необходимо выявлять факты массового обращения к документам, содержащих ПДн:
К выявленным инцидентам можно применять активные реакции, тем самым блокируя доступ:
Аномалии
Данный модуль работает на основе алгоритмов Machine Learning и позволяет отслеживать аномальную активность как со стороны пользователей, так и со стороны защищаемых серверов.
Аномальная активность содержит список с информацией обо всех нетипичных действиях:
Отчеты
Система содержит ряд предустановленных отчетов:
Отчеты будут показательны не только для руководства, но и для оптимизации IT в целом. Например, можно построить отчет по дубликатам файлов, и таким образом расчистить место на диске.
Наиболее интересные отчеты для IT-отдела:
Топ дубликатов:
Распределение файлов по категориям и хранилищам
Общедоступные файлы и папки
Файлы и папки, к которым не было обращений
Интеграция со сторонними решениями
Система «Спектр» имеет возможность интегрироваться практически со всеми сторонними решениями:
Как правило, системы класса DAG интегрируют с SIEM, IdM и DLP системами.
Заключение
Системы класса Data Access Governance призваны не только для обеспечения безопасности, но и для оптимизации IT-инфраструктуры организации. «Спектр» демонстрирует данный функционал в полной мере.
В апреле 2023 года решение успешно прошло испытания на соответствие требованиям безопасности: документов Т ДОВ по 4 уровню доверия и технических условий.
Протестировать «Спектр» можно тут
Автор статьи: Дмитрий Лебедев, инженер ИБ
