ОБЗОР DCAP/DAG-СИСТЕМЫ «СПЕКТР»: ВЫСТРАИВАЕМ СТРАТЕГИЮ ЗАЩИТЫ ДАННЫХ

Всё больше компаний смотрят в сторону DCAP-систем для защиты самого ценного в организации – чувствительных данных. Проведем обзор российской DCAP/DAG-системы «Спектр» на примере кейсов, чтобы понимать, как DCAP помогает выстраивать в компаниях стратегию защиты данных и каким дополнительным функционалом обладает в этом ключе российская DCAP.

DCAP: СТРАТЕГИЯ И СИСТЕМА

Расшифровка DCAP (Data-Centric Audit & Protection ) в переводе означает - аудит и защита, ориентированные на данные. Термин DCAP придуман консалтинговой компанией Gartner, занимающейся исследованиями в сфере мировой информационной безопасности. DCAP – это название стратегии безопасности, в центре которой находятся данные.

Какие направления включает DCAP-стратегия защиты данных:

обнаружение и классификация данных;
хранение и обработка данных;
управление доступом к данным;
аналитика поведения пользователей;
мониторинг и аудит изменений данных и разрешений.

Помещая данные в основу своей стратегии кибербезопасности, вы в полной мере должны иметь ответы на вопросы: где и какая информация хранится, кто имеет к ней доступ, что происходит с этой информацией, как сотрудники взаимодействуют с информацией. DCAP-системы обладают всем необходимым функционалом для ответов на эти вопросы и помогут выстроить в организации работу с данными и доступом к ним.

РОССИЙСКАЯ DCAP/DAG-СИСТЕМА «СПЕКТР»

DCAP/DAG-система «Спектр» - это российская разработка компании «Сайберпик», которая помогает обеспечить защиту неструктурированных данных организации, в целом, и чувствительных данных, в частности.

В DCAP/DAG-системе «Спектр» за закрытие каждого направления стратегии отвечают отдельные модули. Каждый модуль обладает набором функций, которые позволяют полностью обеспечить защиту файловых хранилищ, почтовых серверов, порталов Sharepoint, контроллеров домена и других хранилищ неструктурированных данных. При этом система не только пассивно наблюдает за всем происходящем, но и обладает функционалом активной реакции. Посмотрим, какие модули есть у «Спектра» и за что они отвечают.

Модуль	Задачи модуля
Модуль аудита и анализа прав доступа	Модуль собирает информацию о структуре файловых хранилищ и контроллеров домена. Система обладает возможностью инкрементального сканирования – при последующем запуске анализируются только новые файлы и файлы, в которых произошли изменения. Модуль отвечает за контроль и фиксацию всех операций с файлами на защищаемых серверах. При необходимости система может среагировать на инцидент посредством блокировки действий пользователя или всего хранилища. Также данный модуль позволяет получить информацию о правах доступа сотрудников к файлам. По каждому пользователю отображается, к каким файлам и папкам имеется доступ. Отчет по правам формируется в двунаправленном виде, как от ресурсов к сотрудникам, так и от сотрудников к ресурсам. Является базовым модулем системы.
Модуль аудита Microsoft Active Directory	Осуществляет фиксацию событий, связанных с функционированием Active Directory: создание, изменение, удаление учетных записей и других объектов, факты успешной и неуспешной авторизации, блокировки, активации, отключения учетных записей и др. Хранение событий аудита ведется независимо от настроек контроллера домена и обеспечивает возможность анализа событий за длительные промежутки времени.
Модуль классификации данных защищаемых серверов	Модуль позволяет получать информацию о наличии той или иной критичной информации в файлах, содержащихся на защищаемых серверах, такой как: кредитные карты, ПДН, финансовая информация и другое (более 230 категорий). Модуль включает в себя возможность распознавания изображений на базе технологий OCR, а также распознавания шаблонов изображений на базе предобученных нейронных сетей. Поэтому важная информация, которая хранится в изображениях, не будет пропущена. Работа модуля напрямую связана с выполнением требований регуляторов и помогает исключить риски получения штрафов. Все обновления в законодательстве отражаются в новых категориях и подгружаются в систему при обновлении.
Модуль поведенческой аналитики, оповещений и отчётности.	Данный модуль позволяет строить модель типичного поведения пользователей, обращающихся к защищаемой информации, а также выявлять отклонения от их стандартного поведения. Позволяет в графическом виде предоставлять пользователям системы различные срезы информации (результаты аудита), такие как: перечень самых востребованных ресурсов (файлов), список пользователей осуществляющих больше всего операций того или иного характера с данными, определение бизнес-владельцев документов и.т.д. Также модуль позволяет отправлять результаты аудита в SIEM-системы и уведомлять по электронной почте сотрудников компании о потенциальных инцидентах, основанных в том числе на массовых операциях сотрудников, таких как: неуспешные авторизации, удаление информации, и др.
Модуль поиска по содержимому файлов	Обеспечивает полнотекстовое индексирование и быстрый поиск по содержимому документов, расположенных на файловых ресурсов.
Портал выдачи прав и разрешений	Портал позволяет выстроить комплексный процесс работы с заявками на управление правами доступа сотрудников к файловым ресурсам компании, а также автоматизирует предоставление прав через членство в группах безопасности.

Практические примеры использования DCAP «СПЕКТР»

Теперь рассмотрим, что подразумевается под каждым направлением стратегии DCAP и как они реализуются «Спектром» на практике.

Обнаружение и классификация данных, аудит файловых хранилищ

Важный вопрос для каждого сотрудника отдела информационной безопасности - где находятся важные данные. Здесь в игру вступают методы обнаружения и классификации данных. DCAP «Спектр» поможет обнаружить, маркировать и классифицировать данные на основе их содержимого и рисков, связанных с ними. Например, если файл содержит персональные данные, связанные с 152 ФЗ, то решение классифицирует эту информацию и покажет вам.

Кейс: Перед аудитом на соответствие требованиями регуляторов необходимо обеспечить расположение чувствительной информации только в тех каталогах, где это предполагают внутренние нормативные документы и стандарты безопасности компании. Часто документы, содержащие коммерческую, финансовую тайны, либо же персональные данные, “расползаются” по информационным системам и каталогам файловых хранилищ.

Как поможет «Спектр»:

После первого запуска системы и проведения сканирования файловых хранилищ вы получите понимание о данных в вашей системе:

какие данные попадают под действие законов и находятся в открытом доступе;
к каким данным права выданы напрямую в обход групп безопасности;
какие данные не используются сотрудниками в работе и занимают место на файловых серверах.

После аудита “Спектр” даст полное понимание того, где находятся наиболее ценные активы, какие права доступа на них назначены, и предоставит рекомендации по закрытию рисков, связанных с ними.

Хранение и обработка данных

В части хранения и обработки данных каждая компания должна следовать четко выстроенным правилам. Нарушение правил мест хранения критичных данных или несоответствие прав доступа сотрудников принципам минимальной достаточности может являться серьезным нарушением, влекущим за собой репутационные и финансовые потери для организации.

Кейс: Обмен информацией с внешними подрядчиками - это обычная практика для любой организации. Для этого сотрудников сторонних организаций заводят в домен, либо осуществляют обмен через облачные системы файлообмена, например, NextCloud. Необходимо учитывать постоянные изменения прав доступа и создание новых учетных записей, а также появление новых каталогов, участвующих в данном процессе. Важно четко понимать и управлять текущей картиной прав доступа, а также следить за целостностью информации (например, отсутствие модификации файла после его добавлении на файловый ресурс).

Как поможет «Спектр»:

Помимо традиционных файловых хранилищ на базе Windows/Linux, либо же NAS систем DCAP, “Спектр” может комплексно контролировать облачные хранилища, например NextCloud.

Система позволяет контролировать процесс хранения данных, актуализируя все факты перемещений документов между каталогами и хранилищами в режиме реального времени, и следить за целостностью документов. Это достигается благодаря контролю изменений документов, которые были добавлены в каталоги файловых хранилищ для взаимодействия с третьими системами. Все операции со стороны сотрудников подрядных организаций также попадают в скоуп аудита - в любой момент времени можно узнать, кто из сотрудников сторонних организаций обращался к документам и какие права доступа к ним присутствуют.

Управление доступом к данным (DAG)

Управление доступа к данным традиционно находится в зоне ответственности DAG/DCAP-системы. DAG/DCAP-системы отвечают за политику и практику определения того, что такое конфиденциальные данные, где они находятся, кто имеет к ним доступ и какие у них есть уровни доступа. DAG/DCAP позволяет предоставлять пользователям уровни доступа, необходимые для выполнения их работы, и в то же время защищать конфиденциальные данные.

Кейс: Часть сотрудников обладает прямыми правами доступа в обход групп безопасности, что противоречит политикам в области ИБ. Необходимо адаптировать процесс предоставления прав доступа к данным, учитывая принципы минимальной достаточности.

Как поможет «Спектр»:

Портал выдачи прав доступа системы “Спектр” позволяет выстроить комплексный процесс по управлению заявками на предоставление прав. Система предусматривает автоматическое применение запрошенных прав доступа к файловым ресурсам. “Спектр” вовлекает собственников данных (бизнес-владельцев) в утверждение заявок на предоставление прав, что является отличительной особенностью системы. В результате согласования “Спектр” автоматически добавит сотрудника в нужную группу безопасности, добавит ее в ACL файлового сервера и удалит учетную запись из группы по истечению срока действия прав.

3 (5).jpg

Аналитика поведения пользователей

Понимание того, как ваши пользователи взаимодействуют с вашими данными, является важной частью обеспечения безопасности и целостности этих данных. «Спектр» не просто предоставляет организациям информацию об изменениях, которые пользователи вносят в данные, но и выявляет различные аномалии, связанные с нетипичными действиями пользователей и хранилищах в целом. Этот функционал поможет вам обнаружить активность аномальных изменений в отношении конфиденциальных данных и является эффективным способом предотвращения внутренних угроз.

Кейс: Сотрудники при увольнении могут забирать и удалять документы с критичными данными, которые окажутся полезны на новом месте работы.

Как поможет «Спектр»:

“Спектр” с помощью модуля “Инциденты” позволяет фиксировать последовательности массовых событий. Например, это могут быть удаления, перемещения, чтения или изменения документов. Корреляционный механизм, входящий в состав модуля, может автоматически объединить последовательность событий сотрудника в единую цепочку. Системы оперативно уведомит сотрудника безопасности и при необходимости предотвратит выполнение всех последующих операций, заблокировав учетную запись сотрудника на уровне контроллера домена, либо нативно заблокировав файловые операции сотрудника на уровне защищаемого хранилища.

4 (2).jpg

Мониторинг и аудит изменений данных и разрешений

Мониторинг и аудит изменений, вносимых в данные, а также разрешений, связанных с этими данными, являются важной частью ориентированного на данные подхода аудита и защиты. Мониторинг разрешений позволит вам определить, работаете ли вы по модели наименьших привилегий или подвержены риску злоупотребления привилегиями. Вы должны предоставлять права доступа к конфиденциальным данным только тем сотрудникам вашей организации, которым они действительно нужны (которых, вероятно, немного).

«Спектр» проводит непрерывный аудит и мониторинг изменений, вносимых в данные, и поможет обнаружить и смягчить ущерб от потенциальных кибератак (таких как внутренние угрозы, программы-вымогатели, злоупотребление привилегиями и т. д.).

5 (3).jpg

Это далеко не полный перечень задач, которые можно решить при помощи системы DСAP/DAG “Спектр”. Система является готовым решением, которое интегрируется в инфраструктуры любой сложности, в том числе и распределенные.

DCAP/DAG “Спектр” - система, разработанная российской компанией “Сайберпик”. Специалисты компании более 10 лет занимаются созданием продуктов в сфере ИБ. Клиентами “Сайберпик” являются российские организации из финансового, промышленного, государственного секторов, телеком-операторы, компании из сферы информационных технологий, ритейла, транспорта. Компания имеет лицензию на деятельность по разработке и производству средств защиты конфиденциальной информации ФСТЭК России. Является резидентом фонда «Сколково».

Удаленный доступ Кибербезопасность