Проблема контроля конфиденциальных данных касается практически каждой компании. Бизнес-данные бывают разных форм и размеров. Но, как правило, их принято делить на структурированные (формат базы данных) и неструктурированные (текстовые файлы, видео, изображения и т. д.).

Согласно исследованию Gartner, 80% бизнес-данных неструктурированы. Из них 60% не приносят никакой пользы (копии, неиспользуемые файлы и т.п.), а ежегодный прирост этих данных составляет около 30-40%.

Неспособность структурировать информацию не только затрудняет ее анализ, но и снижает степень защиты. Политики безопасности не способны обеспечить безопасное хранение непроанализированной и непроверенной информации; Отсутствие маркировки файлов и учетных записей в зависимости от их роли в структуре компании приводит к серьезным утечкам. Контроль доступа к неструктурированным данным частично устраняет эти риски.

Неструктурированная информация может храниться на файловых серверах, в облачных хранилищах (частных и общедоступных), SharePoint и т. д. Весь этот процесс включает в себя две всеобъемлющие проблемы: одна связана с информационной безопасностью, а другая — с инфраструктурой.

Информационная безопасность

Инфраструктура

Конфиденциальные данные хранятся на общедоступных серверах

Увеличение объема данных. Хранение устаревших данных

Мы не знаем, кто с какими данными работает

Предоставьте сотрудникам доступ к нужным им данным

Ответьте на следующие вопросы:

  • Есть ли в вашей организации неструктурированные данные?

  • Знаете ли вы, где именно хранятся эти данные?

  • Знаете ли вы, какой сотрудник имеет доступ к этим данным и когда?

  • Хранится ли критическая информация (коммерческие предложения, персональные данные и другая информация) среди неструктурированных данных?

  • Знаете ли вы, сколько неактуальных и бесполезных данных занято?

Ответы на эти вопросы помогают определить необходимость в системе классов управления доступом к данным (DAG).

Data Access Governance – специализированные решения для контроля и управления доступом к неструктурированным данным. Эти решения предлагают возможность идентифицировать, классифицировать и классифицировать критически важные данные, а также централизованно управлять доступом к ним.

С помощью систем этого класса решаются следующие задачи:

  • Контроль действий пользователей с данными, отслеживание активности

  • Мониторинг аномальной активности

  • Классификация ценных данных

  • Получение текущей матрицы доступа по пользователю и ресурсу

  • Получайте уведомления о критических событиях

  • Отслеживайте важные данные

ЧИТАТЬ   Ройзман* назвал штраф по делу против него оправдательным приговором
3bfb1b241d8d38cd9a1d245153b535e6

Три функции, на которых основаны системы класса DAG:

  1. Классификация данных

  2. Показать разрешения

  3. Аудит

b49e0b9d71f18b51f7a163ac2c5d8d40

Рассмотрим этот класс решений подробнее на примере системы «Спектр».

Система Spectrum, решение Class Data Access Governance от национальной компании CyberPeak, обеспечивает полный контроль доступа сотрудников предприятия к документам, хранящимся в хранилищах неструктурированных данных, таких как файловые серверы под управлением операционных систем Windows, Linux, MS Exchange, почтовые серверы MS SharePoint. серверы, а также системы хранения данных от Dell EMC, NetApp и других.

Проблемы, решаемые Спектрумом:

1) Аудит запросов и прав доступа к данным

Spectrum контролирует все основные типы корпоративных хранилищ данных, позволяя:

  • Настройте гибкие политики для контроля доступа к критически важным данным;

  • Выявить неиспользуемые файлы, определить коммерческих владельцев файлов;

  • Получайте уведомления о важных системных инцидентах и ​​событиях через SIEM, электронную почту, Telegram, Slack и т. д. ;

2) Классификация данных

Модуль классификации системы «Спектр» позволяет определить, где находятся наиболее ценные для организации данные, а также данные, указанные в федеральных законах РФ и требованиях различных регуляторов (152 федеральных закона, ГОСТ Р 57580.1 – 2017, приказы ФСТЭК № 17, 21, 239, GDPR, PCI DSS и другие).

Система «Спектр» позволяет определить следующие виды категорий:

  • Личные сведения

  • Финансовая информация

  • Данные владельца кредитной карты

При этом отличительной особенностью является возможность оптического распознавания символов и классификации сканированных копий/фотографий документов.

3) Быстрый поиск информации

Данная функция позволяет быстро находить информацию во всех контролируемых хранилищах.

4) Поведенческий анализ

Система «Спектр» позволяет выявить аномальную активность как по действиям сотрудников, так и по активности на складских объектах.

Если система обнаружит необычную активность на хранилище, этот факт будет немедленно зафиксирован и оператор системы получит уведомление.

Примеры аномальной активности корпоративных пользователей:

  • Необычное количество просмотренных/измененных/переименованных файлов;

  • Доступ к документам «зарубежных» ведомств;

  • Массовое удаление документов

  • Работа в ненормированный график и т.д.

Теперь перейдем к работе с системой.

Contents

ЧИТАТЬ   Авито расширяет спектр форматов медийной рекламы в своем приложении

Хранилище

Раздел Хранилище содержит информацию о защищаемых системах.

0ed4c7c48c04bcd141279278ebf9a1f2

Отсюда вы можете перейти к структуре хранения. Общий вид интерфейса системы для работы со структурой каталогов защищаемых серверов, а также структурой контроллера домена показан на рисунке ниже.

c8d2366a232a116a49e6460a4c1ffa6b

1) Классификация данных

Одной из ключевых функций систем класса DAG является классификация данных. «Спектр» работает с большим количеством форматов документов и позволяет классифицировать документы по категориям (около 200 категорий):

67c8ce5737d2bf3a360c08dae3299a2b

В системе вы можете фильтровать документы по разным категориям и смотреть, есть ли какие-либо из них в открытом доступе. Например, вывести все файлы, содержащие паспорт или ИНН:

cbcb81d0b2b504283a37589d503a6f3e

Вы можете открыть файлы в системе и посмотреть, где именно находятся те категории, которые вы ищете:

2241561c82387ce9e93ced137ac547fd
c7b7cf451341a36e04875b42e43de2c5

Одной из ключевых особенностей Spectrum является идентификация критически важных данных по сканированным копиям и фотографиям:

91f47a7c7dffdcd2bc936e02f5bafa10
680a31c4278541e953bb1cae4e5bdb93
dcf2136d0ed71fbf981c06ad529ee443
df48631e2799e082fc7ec6ccbf673b2d

2) Риски

Система «Спектр» при анализе объектов хранения помогает выявить риски информационной/компьютерной безопасности в системе распределения прав доступа к файлам и категориям:

  • Папки/файлы с отключенным наследованием

  • Общие папки/файлы

  • Папки/файлы с прямыми разрешениями

  • Сломанный ACL

  • Уникальные права

  • Неуправляемые папки и файлы

  • Неизвестные SID

  • Разрешения из других доменов

Отфильтруем документы по категориям «Паспорт», «ИНН» по рискам, связанным с нахождением в общедоступных файлах и файлах с прямой авторизацией. Такие каталоги требуют повышенного внимания, поскольку… могут содержать данные, указанные в требованиях законодательства и нормативных требованиях РФ и других стран. Например, № 152-ФЗ, PCI DSS, GDPR, а также внутренняя критическая информация. При этом вы можете сразу просмотреть права, предоставленные сотрудникам.

a48513f67bb4cbef502334c408f8d4a7
3eaefbf8a07e668e60c5d2fc9ef7e385

Также есть возможность экспортировать эту информацию и передать ее коллегам в ИТ-отделе.

Классификация данных и визуализация возможных рисков помогают навести порядок в хранилище.

Аудит

«Спектр» проводит комплексный аудит действий пользователей инфраструктуры организации в части доступа к файлам/каталогам защищаемых серверов. Результаты проверки можно посмотреть во вкладке «Аудит» – «Хранение».

ac16af599bcef92c1c9ac87d47b69393

Система аудита позволяет фильтровать события. Например, был перемещен важный файл, вы можете отфильтровать события по перемещенным файлам и определить фактическое местоположение файла:

b7f5106aa07aabb1022bcb4211717022

Также возможно установить все факты доступа к документу. Это может быть полезно при расследовании инцидентов, связанных с утечками информации.

ЧИТАТЬ   СМИ: Боярского госпитализировали
894850797e7216678f545121f4aeb127

Инциденты

Инцидент – это одно или несколько событий и условий, которые существенно увеличивают риски информационной безопасности и требуют быстрого реагирования.

9fbcad5fc02083ca1051802af4dce2a3

Чтобы система начала фиксировать инциденты, необходимо настроить правила. Предопределено около пятнадцати правил:

  • Аномально большое количество удаленных файлов;

  • Ненормальное количество модификаций данных;

  • Большое количество неудачных операций;

  • Массовая модификация данных;

  • Массовое переименование данных;

  • Массовое удаление файлов сотрудником

  • Звонок в ПД;

  • Подозрение на программы-вымогатели;

  • Внешний вид общедоступной папки/файла;

  • Внешний вид папки/файла с прямыми разрешениями;

  • Создание исполняемого скрипта на Windows Server.

Также возможно создавать свои собственные правила. Например, необходимо выявить факты массового доступа к документам, содержащим персональные данные:

25a60f4826bbf30d4de5d83b414785bc

К выявленным инцидентам можно применять активные реакции, тем самым блокируя доступ:

e83d31ca7ae70c65910ec3e9c657c6d7

Аномалии

Этот модуль работает на основе алгоритмов машинного обучения и позволяет отслеживать аномальную активность пользователей и защищаемых серверов.

Аномальная активность содержит список информации обо всех нетипичных действиях:

7554cc521b8f83b9a0ed30ea22f3ea73

Отчеты

Система содержит ряд предустановленных отчетов:

1fc6da88d74ad44b29309e9059ff6160

Отчеты будут информативны не только для руководства, но и для оптимизации ИТ в целом. Например, вы можете создать отчет о повторяющихся файлах и тем самым освободить место на диске.

Самые интересные доклады для ИТ отдел:

a82bf3d6b1f5d92b948862984d560dc9
3ac196cc02d9bbca79b591ba6cf77462
8106feb23204cca037c5e1d381eab903
792dee32e32ada4efcb414284af949a7

Интеграция со сторонними решениями

Система Spectr имеет возможность интеграции практически с любым сторонним решением:

d593b02b8a15760e65bb0055006a617e

Обычно системы класса DAG интегрируются с системами SIEM, IdM и DLP.

Заключение

Системы класса Data Access Governance предназначены не только для обеспечения безопасности, но и для оптимизации ИТ-инфраструктуры организации. «Спектр» в полной мере демонстрирует эту особенность.

В апреле 2023 года решение успешно прошло испытания на соответствие требованиям безопасности: Документы T DOV 4 уровня доверия и технические условия.

Вы можете протестировать Спектрум здесь

Автор статьи: Дмитрий Лебедев, инженер по информационной безопасности

Source

От admin