Спектр

Проблема контроля конфиденциальных данных актуальна практически для всех предприятий. Корпоративные данные существуют в большом количестве различных форм и размеров. Но, как правило, обычно их делят на структурированные (формат баз данных) и неструктурированные (текстовые файлы, видео, изображения и т.д.).

Согласно исследованиям Gartner, 80% корпоративных данных являются неструктурированными. Из них 60% не приносят никакой пользы (копии, неиспользуемые файлы и т.д.), при этом ежегодный прирост таких данных составляет порядка 30-40%.

Отказ от структурирования информации не только затрудняет ее анализ, но и снижает степень защиты. Политики безопасности не способны обеспечить безопасное хранение непроанализированной и неизученной информации, отказ от маркировки файлов и учетных записей в зависимости от их роли в корпоративной структуре приводит к серьезным утечкам. Контроль доступа к неструктурированным данным частично снимает эти риски.

Неструктурированная информация может хранится на файловых серверах, в облачных хранилищах (частных и публичных), SharePoint и др. Весь этот процесс влечет за собой две глобальные проблемы, одна из которых связана с информационной безопасностью, а другая – с инфраструктурой.

Ответьте на следующие вопросы:

• Есть ли в вашей организации неструктурированные данные?
• Знаете ли вы, где конкретно хранятся эти данные?
• Знаете ли вы, какой сотрудник и в какой момент обращается к таким данным?
• Хранится ли среди неструктурированных данный критичная информация (коммерческие предложения, персональные данные и другие сведения)?
• Знаете ли вы какой объем занимают неактуальные и ненужные данные?

Data Access Governance – специализированные решения для контроля и управления доступом к неструктурированным данным. Данные решения предоставляют возможность выявлять, категоризировать и классифицировать критичные данные, а также централизованно управлять доступом к ним.

С помощью систем данного класса решаются следующие задачи:

• Контроль над действиями пользователей с данными, мониторинг активностей
• Контроль аномальной активности
• Классификация ценных данных
• Получение актуальной матрицы доступа в разрезе пользователя и ресурса
• Получение уведомлений о критичных событиях
• Отслеживание критичных данных

Три функции, на которых основываются системы класса DAG:

1. Классификация данных
2. Просмотр прав доступа
3. Аудит

Более подробно разберем данный класс решений на примере системы «Спектр».

Система «Спектр» — решение класса Data Access Governance от отечественной компании CyberPeak — позволяет осуществлять полный контроль доступа сотрудников компании к документам, хранящимся на хранилищах неструктурированных данных, таких как файловые сервера под управлением ОС Windows, Linux, почтовые сервера MS Exchange, сервера MS SharePoint, а также хранилища Dell EMC, NetApp и другие.

Задачи, которые решает «Спектр»:

1) Аудит обращений и прав доступа к данным

Спектр контролирует все основные виды корпоративных хранилищ данных, в результате чего есть возможность:

• Настраивать гибкие политики для контроля доступа к критичным данным;
• Выявлять неиспользуемые файлы, определять бизнес владельцев файлов;
• Получать оповещения об инцидентах и важных системных событиях через SIEM, e-mail, Telegram, Slack и др.;

2) Классификация данных

Модуль классификации системы «‎Спектр» позволяет определить, где находятся наиболее ценные для организации данные, а также данные, отмеченные в федеральных законах Российской Федерации и требованиях различных регуляторов (152 ФЗ, ГОСТ Р 57580.1 – 2017, Приказы ФСТЭК №№ 17, 21, 239, GDPR, PCI DSS и другие).

Система «Спектр» позволяет определять большое следующие виды категорий:

• Персональные данные
• Финансовая информация
• Данные держателей кредитных карт

При этом, отличительной особенностью является возможность оптического распознавания символов и классификация скан-копий/фотографий документов.

3) Быстрый поиск информации

Данный функционал позволяет быстро находить информацию на всех контролируемых хранилищах.

4) Поведенческая аналитика

Система «Спектр» позволяет выявлять аномальную активность как для действий сотрудников, так и для активности на хранилищах.

Если система обнаружит нетипичную активность на хранилище, то этот факт будет сразу же зафиксирован, и оператор системы получит уведомление.

Примерами для аномальной активности пользователей компании могут выступать:

• Нетипичное количество просмотренных/измененных/переименованных файлов;
• Обращение к документам «чужих» департаментов;
• Массовое удаление документов
• Работа в нетипичное время и др.

Теперь, давайте перейдем к работе с системой.

В разделе Хранилища содержится информация о защищаемых системах.

Отсюда же можно перейти к структуре хранилища. Общий вид интерфейса системы для работы со структурой каталогов защищаемых серверов, а также структуры контроллера домена показана на рисунке ниже.

1) Классификация данных

Одним из ключевых функций систем класса DAG является классификация данных. «Спектр» работает с большим количеством форматов документов и позволяет классифицировать документы по категориям (около 200 категорий):

В системе можно отфильтровать документы по различным категориям и посмотреть, есть ли какие-либо из них в общем доступе. Например, показать все файлы, в которых фигурирует паспорт или ИНН:

Файлы можно открывать в системе и просматривать, где именно содержаться искомые категории:

Одной из ключевых особенностей «Спектр» является определение критичных данных из скан-копий и фотографий:

2) Риски

Система «Спектр» при сканировании хранилищ позволяет определять риски ИБ/ИТ в системе назначения прав доступа к файлам и категориям:

• Папки/файлы с выключенным наследованием
• Общедоступные папки/файлы
• Папки/файлы с прямыми разрешениями
• Сломанный ACL
• Уникальные права
• Неуправляемые папки и файлы
• Неизвестные SID'ы
• Разрешения из других доменов

Отфильтруем документы по категориям «Паспорт», «ИНН» по рискам, связанными с нахождениями в общедоступных папках и папках с прямыми разрешениями. Такие директории требуют повышенного внимания, т.к. в них могут появиться данные, указанные в требованиях законов и требований регуляторов РФ и других стран. Например, №152-ФЗ, PCI DSS, GDRP, а также внутренняя критичная информация. При этом, можно сразу же посмотреть выданные права сотрудникам.

Также есть возможность экспортировать данную информацию и передать коллегам в IT-отдел.

Классификация данных и просмотр возможных рисков позволяет наводить порядок в хранилищах.

«Спектр» ведет полный аудит действий пользователей инфраструктуры организации в части доступа к файлам/каталогам защищаемых серверов. Результаты аудита можно просмотреть во вкладке «Аудит» - «Хранилища»

Система аудита позволяет фильтровать события. Например, важный файл был перемещен, можно отфильтровать события по перемещенным файлам и определить настоящее местоположение файла:

Также возможно установить все факты обращения к документу. Это может быть полезно при расследовании инцидентов, связанных с утечкой информации.

Инцидентом считается одно или несколько событий и условий, которые значительно повышают риски ИБ и требуют оперативной реакции.

Для того, чтобы система начала фиксировать, инциденты необходимо настроить правила. Предустановлено около 15 правил:

• Аномально большое количество удаляемых файлов;
• Аномальное количество изменений данных;
• Большое количество неуспешных операций;
• Массовое изменение данных;
• Массовое переименование данных;
• Массовое удаление файлов одним сотрудником
• Обращение к ПДн;
• Подозрение по ransomware;
• Появление общедоступной папки/файла;
• Появление папки/файла с прямыми разрешениями;
• Создание исполняемого сценария на Windows Server.

При этом возможно создавать собственные правила. Например, необходимо выявлять факты массового обращения к документам, содержащих ПДн:

К выявленным инцидентам можно применять активные реакции, тем самым блокируя доступ:

Данный модуль работает на основе алгоритмов Machine Learning и позволяет отслеживать аномальную активность как со стороны пользователей, так и со стороны защищаемых серверов.

Аномальная активность содержит список с информацией обо всех нетипичных действиях:

Система содержит ряд предустановленных отчетов:

Отчеты будут показательны не только для руководства, но и для оптимизации IT в целом. Например, можно построить отчет по дубликатам файлов, и таким образом расчистить место на диске.

Наиболее интересные отчеты для IT-отдела:

• Топ дубликатов:

Система «Спектр» имеет возможность интегрироваться практически со всеми сторонними решениями:

Как правило, системы класса DAG интегрируют с SIEM, IdM и DLP системами.

Системы класса Data Access Governance призваны не только для обеспечения безопасности, но и для оптимизации IT-инфраструктуры организации. «Спектр» демонстрирует данный функционал в полной мере.

На текущий момент решение находится в процессе получения сертификата по требованиям ФСТЭК по 4-му уровню контроля отсутствия НДВ. Планируется получение сертификата в первом полугодии 2022 года. На данный момент подобных сертифицированных решений не существует.

Если у вас остались вопросы по данному решению или вы хотите его протестировать, обращайтесь на почту sales@tssolution.ru или dl@tssolution.ru

Автор статьи: Дмитрий Лебедев, инженер TS Solution