
Лишние права доступа, забытые документы и неучтённые файловые хранилища годами остаются вне поля зрения службы ИБ. До тех пор, пока не происходит инцидент. Разберём, как выявить эти проблемы и устранить их с помощью решений класса DCAP на примере «Спектр | DCAP».
- 1. Введение
- 2. Где живут данные, которые никто не контролирует?
- 3. Почему привычные средства защиты этого не видят?
- 4. DCAP и его возможности на примере «Спектр | DCAP»
- 5. Выводы
Введение
Представьте, что завтра нужно срочно найти договор, техническое заключение или переписку по проекту. Один документ лежит на сетевом ресурсе, второй — в почте, третий сохранили на рабочем столе, четвёртый существует только в виде скриншота в корпоративном мессенджере. За несколько лет таких файлов накапливаются миллионы. Никто уже не знает, где находится актуальная версия, сколько создано копий и кто имеет к ним доступ. В результате организация постепенно теряет контроль над значительной частью своих информационных активов.
Для злоумышленников данные представляют особую ценность. Утечка в таких условиях редко остаётся единичным событием и быстро становится точкой входа для дальнейшего использования информации. Злоумышленники нередко начинают работать с полученными данными практически сразу после их появления в открытом доступе.
При этом в теневом сегменте интернета сформировалась и продолжает развиваться устойчивая экономика, где данные из утечек прошлых лет сохраняют ценность и продолжают продаваться. В результате разрозненные сведения объединяются и используются для восстановления доступа к учётным записям, корпоративным сервисам и иной конфиденциальной информации.
По опыту экспертов «Кросстеха» и «Сайберпик», описанная проблема есть и в небольших компаниях, и в зрелом бизнесе с выстроенной информационной безопасностью (ИБ). Они сообщают, что компании часто недооценивают масштаб этой проблемы и воспринимают её как теоретическую, хотя на деле она уже давно является зоной реального риска.
Где живут данные, которые никто не контролирует?
По статистике, до 80 % всех данных — это «тёмная материя»: сканы документов, забытые выгрузки из CRM, финансовые отчёты и исходные коды, разбросанные по разным местам. Они постепенно распределяются по всей инфраструктуре, где работают сотрудники, и продолжают жить своей жизнью уже без участия компании. К ним относятся:
- сетевые папки с множеством версий одного и того же документа и разными уровнями доступа;
- корпоративная почта, где вложения остаются на серверах даже после того, как о них забыли;
- облачные хранилища с неконтролируемыми копиями файлов;
- локальные диски ноутбуков, включая устройства уволенных сотрудников;
- переписка в мессенджерах, где по привычке передаются договоры и чувствительные документы.
Рисунок 1. Возможные места обитания неструктурированной информации
В результате формируются слепые зоны для средств защиты информации (СЗИ) — участки инфраструктуры, где данные фактически есть, но с точки зрения контроля и мониторинга остаются невидимыми.
Почему привычные средства защиты этого не видят?
Если посмотреть на типичный набор средств защиты в зрелой инфраструктуре, то каждое из них решает свою задачу:
- Система предотвращения утечек данных (Data Leak Prevention, DLP) контролирует каналы передачи информации и реагирует на попытки вывести данные за пределы инфраструктуры.
- Система управления событиями и информацией безопасности (Security Information and Event Management, SIEM) аккумулирует события из разных систем и анализирует их на наличие аномального поведения.
- Система управления учётными записями и доступом (Identity and Access Management, IAM) и система управления привилегированным доступом (Privileged Access Management, PAM) управляют учётными записями и теми правами, которыми они наделены.
Все эти решения выполняют свои функции, однако область их контроля ограничена определёнными каналами передачи данных, событиями и потоками информации. Здесь и возникает слепая зона: рассредоточенные по множеству хранилищ данные, которые почти не перемещаются, а только аккумулируются, оказываются вне поля зрения этих инструментов.
DCAP и его возможности на примере «Спектр | DCAP»
К основным механизмам защиты неструктурированных данных относят мониторинг, анализ, классификацию, разработку политик безопасности и обучение персонала, управление доступом, шифрование, резервное копирование и восстановление. Для реализации части перечисленных механизмов используются системы класса DCAP (Data-Centric Audit and Protection). Рассмотрим применение такого подхода на примере первого отечественного продукта, сертифицированного ФСТЭК России (№ 4668), — «Спектр | DCAP» от «Сайберпик».
Помимо базовых возможностей система поддерживает активное реагирование: при обнаружении аномальной активности, характерной для программ-шифровальщиков, она способна автоматически заблокировать пользователя или хранилище до того, как инцидент приведёт к масштабному ущербу.
Рисунок 2. Автоматическая блокировка пользователя в «Спектр | DCAP»
Также «Спектр | DCAP» позволяет решить другие задачи:
- выявлять и устранять избыточные права доступа;
- упрощать и оптимизировать матрицы доступа;
- структурировать информацию по классам с выделением специализированных мест хранения;
- частично брать на себя функции SIEM, фиксируя аномальную активность пользователей.
Рисунок 3. Выявление избыточных прав
Рисунок 4. Оптимизация матрицы доступа
Рисунок 5. Структурирование информации по классам
Рисунок 6. Фиксация «Спектр | DCAP» аномальной активности пользователя
Область применения DCAP не ограничивается папками общего доступа в операционных системах Windows и Linux. Продукт «Сайберпик» работает с различными типами систем хранения данных (СХД), сетевых хранилищ (Network Attached Storage, NAS), порталов совместной работы, почтовых серверов, облачных хранилищ, прикладных систем, включая «1C», а также служб каталогов доменов.
Такой охват важен при расследовании сложных инцидентов, когда необходимо получить полную картину действий конкретного пользователя из единого интерфейса без переключения между консолями различных СЗИ.
Не так давно мы разбирали функциональные возможности Спектр | DCAP 3.9 в подробном обзоре.
Как DCAP встраивается в архитектуру защиты от утечек?
«Спектр | DCAP 4.2» — это многомодульное программное обеспечение, которое предоставляет гибкость в развёртывании: оно может работать как на одном сервере или ВМ, так и быть кластеризовано для работы в масштабных инфраструктурах. Но само по себе, как и любое СЗИ, оно не может существовать изолированно и полностью закрывать задачу защиты от утечек. Необходима комплексная архитектура, поэтому рассмотрим связи DCAP с другими классами СЗИ.
DLP. DCAP вместе с DLP становятся центральной связкой на этапе фиксирования утечки. Как мы говорили выше, DLP фиксирует попытки вывести данные за пределы инфраструктуры, в то время как DCAP не только контролирует данные в покое, но и помогает навести порядок на всех ресурсах с неструктурированной информацией. Другими словами, действует следующий принцип: если у пользователя изначально нет доступа к критичным данным, то и вывести их за пределы организации у него не получится. DCAP здесь выступает превентивным решением, защищая информацию в местах её хранения.
IAM / PAM. Для них DCAP предоставляет важные данные о слишком широких правах доступа у конкретных учётных записей, что позволяет их скорректировать и повысить эффективность инструментов по контролю доступа.
SIEM. События вокруг данных уходят в SIEM и системы поведенческого анализа, обогащая их контекстом, которого раньше не было, что повышает точность срабатываний и снижает alert fatigue (усталость от сигналов предупреждений).
При совместном использовании средства защиты информации дополняют друг друга. Очистка хранилищ от лишних файлов уменьшает объём данных, классификация позволяет определить, что действительно нуждается в контроле, а мониторинг становится более точным и менее ресурсоёмким.
Необходимость пересмотра некоторых процессов
Внедрение систем класса DCAP должно сопровождаться пересмотром организационных процессов:
- Введение или пересмотр политики управления данными. Необходимо определить, что хранится, как долго, кто отвечает за конкретные массивы.
- Регулярный пересмотр прав доступа, так как сотрудники меняются, переходят из одного департамента в другой и так далее.
- Назначение владельцев данных внутри бизнес-подразделений, потому что ИБ-служба не может в одиночку решать, кому нужен доступ к документам, например, финансового отдела.
Даже при наличии технических средств защиты сотрудники должны понимать, как работать с данными в рамках своих должностных обязанностей. Поэтому ещё один важный этап — обучение. Его целесообразно строить на практических сценариях, характерных для каждого подразделения, сферы деятельности.
Для решения подобных задач можно привлечь компании, которые проводят анализ файловой инфраструктуры, помогают выявить избыточные права доступа и демонстрируют работу решений класса DCAP на реальных данных. Например, о практическом применении «Спектр | DCAP» может подробно рассказать «КроссТех».
Выводы
Защита неструктурированных данных — это непрерывный процесс, а не разовое внедрение программного обеспечения. Со временем меняются сотрудники, появляются новые информационные ресурсы, пересматриваются бизнес-процессы, а вместе с ними растёт объём данных и число предоставленных прав доступа. Если эти изменения не контролировать, файловые хранилища постепенно превращаются в источник трудно выявляемых рисков.
Поэтому инвентаризация данных, регулярный пересмотр прав доступа и мониторинг должны стать частью повседневной работы службы информационной безопасности. Когда известно, где находятся данные, кто ими пользуется и зачем, защита перестаёт строиться на предположениях и начинает опираться на объективную информацию.
Статья подготовлена при участии директора по развитию продуктов компании «Сайберпик» Сергея Добрушского.












