Обзор Solar DAG 1.1, системы контроля доступа к неструктурированным данным

1. Введение
2. Какие данные можно считать неструктурированными
3. Риски при использовании и хранении неструктурированных данных
4. Solar DAG
5. Архитектура Solar DAG
   
   1. 5.1. Разграничение доступа
6. Основные возможности платформы
   
   1. 6.1. Выявление и классификация конфиденциальной информации
   2. 6.2. Оперативный центр
   3. 6.3. Ведение информации о ресурсах и правилах работы системы
   4. 6.4. Ведение источников данных
   5. 6.5. Ведение правил классификации
   6. 6.6. Ведение политик доступа
   7. 6.7. Аудит прав доступа
   8. 6.8. Отчёт «Ресурсы»
   9. 6.9. Отчёт «Учётные записи»
   10. 6.10. Контроль изменений прав доступа
   11. 6.11. Аудит событий
   12. 6.12. Администрирование
7. Возможности интеграции
8. Функциональные подсистемы и лицензирование
9. Технические требования
10. Выводы

Введение

Неструктурированные данные — это информация в различных формах, которая не соответствует определённым моделям и структурам, что затрудняет её хранение, управление ею и контроль её перемещения. 

Быстрый рост неструктурированных данных открывает множество возможностей, но наряду с этим приносит и множество проблем, потому что этим огромным объёмом информации крайне трудно управлять. По оценке международного аналитического агентства Gartner, неструктурированные данные составляют примерно 80—90 процентов всей новой корпоративной информации. Более того, они растут в три раза быстрее, чем структурированные. По прогнозам исследовательской компании ITC, которая собирает сведения по разным регионам мира, объём неструктурированных данных вырастет к 2025 году до 175 зеттабайт (1021 байт) и превзойдёт количество структурированной информации. 

Конечно, такие цифры впечатляют и обескураживают. Особенно это волнительно с точки зрения тех организаций, которые постоянно работают с данными на разных направлениях (от нормативных целей до аналитических): они должны принимать решения основываясь на их использовании, что крайне существенно. Несомненно, что все эти потоки неструктурированных данных в будущем станут основой для автоматизированной аналитики и машинного обучения. Но нужно определить правильные подходы к работе с ними, чтобы в максимальной степени избежать негативных последствий. 

Каждая компания уже сейчас понимает, что многие данные внутри неё не структурированы и при этом постоянно увеличиваются в объёме, но вряд ли хоть одна из организаций сможет с точностью определить, где и как хранятся её данные, кем они используются и насколько быстро растут.

Какие данные можно считать неструктурированными

Данные такого типа невозможно хранить в аккуратных столбцах таблицы, поэтому возникают сложности при поиске и анализе информации. Самый распространённый вид неструктурированных данных — это текст. Он может быть представлен в самых разных формах: документы Word, сообщения электронной почты, презентации, заметки и прочее. Также к неструктурированным данным можно отнести изображения или видеозаписи. 

Любые неструктурированные данные могут быть созданы человеком или машиной. В современных цифровых ландшафтах организаций они появляются и распространяются постоянно. Это новые и изменённые файлы, потоки машинно генерируемой информации, данные веб-приложений, огромные объёмы изображений, включая снимки экранов, и многое другое.

Риски при использовании и хранении неструктурированных данных

Использование и хранение неструктурированных данных сопряжено с различными рисками. Необходимо всегда помнить о них и принимать меры для их снижения. 

1. Нарушения кибербезопасности. Неструктурированные данные не имеют предопределённой структуры и трудны для анализа, отсутствие контроля за ними может привести к тому, что они попадут в «неправильные» руки, что, в свою очередь, ведёт к финансовым потерям или ущербу для репутации. Отсутствие информации о том, кто получил доступ к данным или внёс в них изменения, увеличивает риск злоупотреблений или инсайдерских операций.
2. Нарушение регуляторных правил. Часто в неструктурированных данных содержится персональная информация о клиентах или сотрудниках, которая должна подчиняться строгим правилам защиты, например на основании закона № 152-ФЗ. Также в неструктурированные данные может попасть информация об электронных платежах или картах, которая должна быть защищена на основании международного стандарта PCI DSS. Неспособность должным образом обеспечить защиту и контроль этих данных влечёт за собой наложение штрафов и может приводить к печальным юридическим последствиям для компании.
3. Отсутствие подотчётности и потеря данных. Неструктурированные данные могут быть подвержены случайному удалению или изменению. Децентрализованное хранение таких данных приводит к невозможности определить, кто отвечает за них, а значит, ведёт к потенциальным инцидентам и потере конфиденциальных сведений.
4. Неэффективное использование. Если данные не классифицированы и их хранение не организовано, то их очень трудно использовать. Они могут быть фрагментированы и рассредоточены по разным местам хранения. Это может препятствовать правильному принятию решений и взаимодействию между подразделениями. Кроме того, это резко снижает операционную эффективность, т. к. найти нужную информацию в нужный момент очень трудно и времязатратно. 
5. Большие объёмы хранения. Многие подразделения ИТ предпочитают увеличивать ёмкость своих систем хранения вместо того, чтобы организовать правильное управление данными. Многое из хранимого годами не используется, но занимает место, которого начинает не хватать по мере роста объёмов неструктурированных данных. Кроме того, ПО для системного хранения, резервирования и репликации может лицензироваться или оформляться по подписке, что требует постоянных финансовых вложений. Если же хранилище данных подлежит замене, то требуется перенести огромные объёмы файлов в новую систему хранения, на что также нужно много времени и усилий. 

Внедрение эффективного подхода к классификации и контролю неструктурированных данных поможет обеспечить безопасное и эффективное управление ими, а также смягчить перечисленные риски.

Solar DAG

Решение Solar DAG от ГК «Солар» предназначено для контроля доступа к данным, которые хранятся и обрабатываются в неструктурированном виде в различных системах хранения, и для управления такими данными. 

Использование продукта позволит ответить на ряд вопросов: 

• Где хранится критически важная информация компании?
• Кто имеет доступ к этой информации и как получил его?
• Соответствует ли этот доступ действующим политикам информационной безопасности?
• Кто и в какой момент внёс изменения в структуру доступа ко критически важным данным, хранящимся на файловых серверах? 

Первая версия продукта позволяет выделить важную конфиденциальную информацию в массиве хранимых неструктурированных данных, получить полные исчерпывающие сведения о доступе к данным в файловых структурах, обеспечить непрерывный контроль над всеми действиями, которые несут риск неправомерного использования данных, и настроить оповещение ключевых специалистов об определённых событиях, требующих внимания.

Архитектура Solar DAG

Архитектура Solar DAG предполагает установку агентских приложений на каждый информационный источник данных — конечный наблюдаемый сервер, за которым осуществляется контроль. Агенты собирают информацию о структуре и обо всех изменениях структуры данных. Информация журналируется и передаётся на сервер системы, где обрабатывается и анализируется для формирования соответствующих представлений о доступе к данным на файловых серверах.

Рисунок 1. Схема работы Solar DAG

Разграничение доступа

Доступ к представлениям данных может быть получен на основании внутренней ролевой модели Solar DAG. В настоящее время выделены три основные роли для работы с системой:

• Внутренний администратор с полным доступом для настройки и управления.
• Офицер информационной безопасности с полномочиями для контентного анализа и получения сведений о субъектах и объектах доступа.
• Аналитик с набором прав для отслеживания текущего состояния доступа на конкретном ресурсе.

Основные возможности платформы

Работа с системой Solar DAG начинается со стандартного процесса ввода учётных данных для авторизации. Используется внутрисистемная аутентификация.

Рисунок 2. Ввод учётных данных для входа в систему Solar DAG

Выявление и классификация конфиденциальной информации

В системе контроля доступа к неструктурированным данным Solar DAG выявление и классификация данных осуществляются с использованием следующих методов и процессов:

• Обнаружение. Система сканирует и анализирует источники информации, чтобы идентифицировать и классифицировать данные. Этот шаг включает в себя сканирование файлов инструментами контентного анализа с поддержкой алгоритмов графического распознавания текста (OCR).
• Сопоставление ключевых слов и шаблонов. Система Solar DAG использует усовершенствованные алгоритмы сопоставления для идентификации конкретного контента или шаблонов, которые могут указывать на наличие конфиденциальных данных. Среди примеров — поиск номеров кредитных карт, идентификаторов социального страхования, копий паспортов.
• Классификация данных. Обнаружив информацию, система Solar DAG применяет предопределённые правила классификации и алгоритмы для категоризации данных на основе их значимости или уровня конфиденциальности. Эта классификация основывается на критериях защиты персональных и финансовых сведений, интеллектуальной собственности и др. При этом выявленные данные могут быть отнесены сразу к нескольким категориям.
• Присвоение меток конфиденциальности. После классификации система Solar DAG присваивает данным метки конфиденциальности, или теги, основанные на уровне их значимости. Эта маркировка помогает эффективно управлять данными и обеспечивать их безопасность на протяжении всего жизненного цикла.

При первичном запуске сканирования производится анализ полного объёма данных в подключённых системах хранения. Далее сканирование выполняется при регистрации определённых заданных событий, таких как создание нового файла и другие подобные. Результаты поиска и классификации сохраняются в отчётах «Ресурсы» и «Учётные записи». 

Оперативный центр

После ввода учётных данных и авторизации пользователь попадает на первоначальную страницу системы — в раздел «Оперативный центр», который является информационной панелью системы Solar DAG.

Рисунок 3. Информационная панель системы Solar DAG

На интерактивной информационной панели можно получить в удобной форме свод показателей работы системы по источникам данных, ресурсам, учётным записям, политикам и правилам классификации, а также увидеть динамику изменения ключевых показателей в рамках использования конфиденциальной информации. 

Интерактивная информационная панель оперативного центра позволяет перейти в соответствующие отчёты системы для получения более подробной информации.

Данные на информационной панели помогают проводить быстрый анализ по количеству объектов системы для принятия решений, вести мониторинг исполнения политик ИБ для их оценки, изменения и улучшения, а также планировать работу с ресурсами подразделений компании.

Ведение информации о ресурсах и правилах работы системы

Solar DAG использует объектную модель. Присутствует разделение ресурсов на три основные подкатегории: источники данных, правила классификации и политики доступа.

Рисунок 4. Ресурсы

Ведение источников данных

Для перехода к информации об источниках данных раскрываем соответствующую подкатегорию и получаем список всех подключённых источников.

Рисунок 5. Источники данных

В таблице отображается следующая информация:

• статус источника данных (активен, неактивен, ошибка);
• название источника в системе;
• информационная система, к которой относится источник;
• тип источника данных (каталог Active Directory, файловый сервер Windows);
• область видимости, предусмотренная для источника;
• версия источника данных.

Доступна сортировка по каждому из столбцов. Список источников можно отфильтровать по статусу и по типу. Имеется функция простого поиска по наименованию.

В разделе «Источники данных» доступны следующие действия: создание нового источника, редактирование и удаление существующего, управление заданиями агента. Для регистрации нового источника требуется нажать кнопку «Создать» и в открывшейся форме заполнить все необходимые поля, а затем выполнить сохранение данных.

Рисунок 6. Создание нового источника данных

Форма редактирования данных о текущем источнике открывается по нажатию на его наименование. При необходимости удаления источника используется кнопка корзины в конце строки. Удаление производится через проверочную форму подтверждения действия. 

В зависимости от типа источника данных доступен выбор активных заданий для агента: 

• для каталогов Active Directory — запуск сканирования иерархии с полным исследованием контролируемых ресурсов;
• для файлового сервера — запуск сканирования иерархии и контентного анализа всех контролируемых ресурсов с типом «файл».

Рисунок 7. Запуск анализа контента

Ведение правил классификации

В системе предусмотрена возможность классифицировать данные по типам на основе правил. 

В списке правил отражается следующая информация:

• название правила в системе;
• важность классифицируемой информации;
• краткое описание правила;
• условия применения;
• область видимости, назначенная правилам классификации;
• статус правила (активировано / деактивировано).

Список правил можно отсортировать по каждому из перечисленных параметров. Для быстрого поиска правила по наименованию есть поисковая строка.

Рисунок 8. Правила классификации

Для регистрации нового правила требуется нажать кнопку «Создать». Правило может быть создано на основе предустановленных шаблонов или без использования таковых.

Рисунок 9. Создание нового правила классификации

При создании правила необходимо добавить условия для классификации данных. На выбор предоставляется возможность определить слова и фразы или указать регулярное выражение.

Ведение политик доступа

Политики доступа играют жизненно важную роль в обеспечении безопасности, т. к. на их основе создаются оповещения об отклонениях от действующих параметров и ограничений в адрес ответственных сотрудников, а также разрабатываются сценарии реагирования на определённые события в отношении конфиденциальных данных.

Список зарегистрированных политик размещён в подкатегории «Политики доступа» раздела «Ресурсы». 

Рисунок 10. Ведение политик доступа

В таблице отображается следующая информация о политиках:

• наименование политики доступа в системе;
• тип политики;
• область видимости, назначенная для политики доступа;
• реакция системы в соответствии с политикой;
• признак активности / неактивности политики.

Список политик доступа можно отсортировать по каждому из перечисленных параметров, отфильтровать по типу или статусу. Доступен быстрый поиск по названию.

Через функциональную кнопку «Создать политику» возможна регистрация новой политики. Для этого нужно заполнить поля открывшейся формы с наименованием, областью видимости, статусом, типом политики и областью применения. 

Рисунок 11. Регистрация новой политики доступа

Текущая версия продукта поддерживает следующие типы событий: включение учётной записи в группу и её исключение оттуда, изменение прав доступа к ресурсу и отслеживание событий такого доступа.

Далее нужно настроить реакцию системы при срабатывании политики. Для этого нажимаем функциональную кнопку «Добавить реакцию» и указываем необходимые параметры реагирования: адрес(а) электронной почты получателя уведомления, тему письма, текст уведомления (не более 2000 символов) и список атрибутов. В системе есть возможность добавить в текст уведомления определённые системные переменные, отражающие параметры зарегистрированного события. 

Кроме того, Solar DAG поддерживает возможность редактировать или удалять уже зарегистрированные политики.

Таким образом можно создать систему безопасного доступа, определив, кто может получать доступ к определённым ресурсам, при каких условиях и с какими уровнями привилегий, а что является подозрительным и требует реакции и анализа. Это даст гарантию того, что только авторизованные лица будут иметь необходимые права и доступ будет предоставляться на основе принципа наименьших привилегий. Фиксируя события доступа, нарушения политик и исключения, компании могут выполнять требования внутренних стандартов организации и предписания внешних регуляторов.

Аудит прав доступа

Информацию о правах доступа можно получить в разделе «Отчёты системы». 

Отчёты системы контроля неструктурированных данных содержат информацию о правах доступа для конкретных ресурсов или отдельных пользователей. Они помогают в периодических проверках, позволяя выявлять любые чрезмерные привилегии или несанкционированные права. Тем самым можно убедиться, что права доступа соответствуют бизнес-требованиям и регулярно пересматриваются. 

Предусмотрена возможность формирования отчётов для просмотра:

• текущего состояния ресурсов и учётных записей, 
• истории изменения доступов к ресурсу или прав учётной записи, 
• неиспользуемых ресурсов, дубликатов и ресурсов с уникальными правами.

Рисунок 12. Раздел «Отчёты системы»

Аудит прав доступа обеспечивается за счёт двунаправленного представления о текущем состоянии или изменении доступных полномочий: с одной стороны — по конкретной папке или файлу (в отчётах «Ресурсы» и «История изменений доступа к ресурсу»), с другой стороны — по конкретному пользователю (в отчётах «Учётные записи» и «История изменений доступа учётной записи»), в обоих случаях — с указанием уровня доступа.

Отчёт «Ресурсы» 

Позволяет получить информацию о текущих правах доступа как ко всей структуре системы хранения данных, так и к конкретному каталогу либо файлу. Директория для построения отчёта выбирается в общей иерархии контролируемых ресурсов. Для каждого ресурса отображаются результаты контентного анализа.

Для построения необходимой выборки заходим в раздел «Отчёты» и выбираем блок «Ресурсы». Через фильтр находим требуемый ресурс.

Рисунок 13. Выбор ресурса

Далее есть возможность воспользоваться дополнительными фильтрами, такими как:

• Учётная запись / группа учётных записей, если присутствует необходимость проанализировать данные, доступ к которым имеют конкретные аккаунты.

Рисунок 14. Выбор учётной записи

• Тип / категория данных (по результатам контентного анализа), если присутствует необходимость проанализировать конкретные категории.

Рисунок 15. Выбор типа данных

Сформированный отчёт содержит следующую информацию: наименование ресурса с указанием полного пути места его хранения, тип (например, файл или каталог), наименование информационной системы / агента, система хранения заданного ресурса (сервер), тип данных по результатам контентного анализа, а также количество учётных записей, которые имеют доступ к ресурсу.

Рисунок 16. Сформированный отчёт «Ресурсы»

Столбцы можно отсортировать по необходимому параметру.

Нажатие на количество субъектов доступа позволяет перейти к просмотру списка учётных записей, которые допущены к выбранному ресурсу или которым доступ к нему явно запрещён.

Рисунок 17. Информация об учётных записях и уровне доступа к ресурсу

Отчет представляет атрибуты учётных записей и пользователей-владельцев с возможностью сортировки и быстрого поиска.

В полях «Разрешённый доступ» и «Запрещённый доступ» используются следующие индикаторы (уровни): F — полный доступ, M — изменение, RE — чтение и выполнение, L — список содержимого папки, R — чтение, W — запись, S — специальный доступ.

Далее, нажав на индикатор доступа, можно достичь ещё более глубокой детализации и посмотреть расширенное представление о правах доступа конкретной учётной записи и о том, как эти права были предоставлены. Тем самым выстраивается иерархия связей пользователей и групп, предоставляющих права доступа к выбранному ресурсу.

Рисунок 18. Расширенная информация о правах доступа для выбранной учётной записи

Доступна выгрузка отчёта «Ресурсы» в формат CSV с учётом установленных фильтров и правил сортировки.

Отчёт «Учётные записи» 

Позволяет получить информацию об аккаунтах и объектах, к которым они имеют доступ, в конкретной системе хранения данных или по отношению к конкретному каталогу, включая типы данных по результатам контентного анализа. Для каждой учётной записи отображается иерархия прав доступа.

Для построения необходимой выборки заходим в раздел «Отчёты» и выбираем блок «Учётные записи». Через фильтр находим нужные аккаунты.

Рисунок 19. Выбор учётных записей

Через расширенный фильтр возможна установка дополнительных параметров по выбору ресурсов и типов данных, по аналогии с отчётом «Ресурсы».

Сформированный отчёт содержит следующую информацию:

• имя учётной записи;
• принадлежность учётной записи к конкретной контролируемой системе хранения (серверу, с которого получены данные);
• уникальный идентификатор учётной записи (SID);
• статус учётной записи (активна или заблокирована);
• имя пользователя (Ф. И. О. владельца учётной записи);
• номер телефона пользователя (при наличии);
• количество ресурсов, к которым имеет доступ учётная запись.

Рисунок 20. Сформированный отчёт «Учётные записи»

Столбцы можно отсортировать по необходимому параметру.

Нажатие на количество объектов в столбце «Объекты доступа» позволяет перейти к списку ресурсов, доступ к которым предоставлен конкретной учётной записи.

Рисунок 21. Подробная информация об объектах доступа конкретной учётной записи

Для каждого объекта отображаются дополнительная информация и параметры доступа к ресурсу. Нажав на параметр в столбце «Разрешённый доступ» / «Запрещённый доступ», можно пройти ещё глубже и получить расширенную информацию о правах доступа и о том, как они были получены.

Рисунок 22. Расширенная информация о правах доступа к ресурсу

На вкладке «Иерархия доступа» отображена совокупность связей пользователей и групп, предоставляющих права доступа к выбранному ресурсу.

Доступна выгрузка отчёта в формат CSV с учётом установленных фильтров и правил сортировки.

Контроль изменений прав доступа

Контроль изменений в системе Solar DAG помогает обнаруживать потенциальные нарушения безопасности или внутренние угрозы, а также обеспечивать соответствие требованиям и политикам компании и снижать риски связанные с несанкционированным доступом. Процессы контроля помогают своевременно реагировать на инциденты и проводить расследования, предоставляют хронологию событий доступа, позволяют определить масштабы инцидента и / или потенциальные уязвимости.

Дополнительный контроль обеспечивается за счёт регистрации событий об изменениях полномочий / прав доступа на уровне файловой системы путём двунаправленного представления — со стороны объекта (ресурса) и субъекта (учётной записи).

Представление обеспечивается посредством встроенных отчётов — «История изменения доступа к ресурсу» и «История изменения прав доступа учётной записи».

Отчёт «История изменения доступа к ресурсу» 

Предназначен для отображения динамики прав доступа к конкретному ресурсу (файлу, каталогу) за определённый интервал времени. Позволяет выбрать ресурс из иерархии, отследить которую можно по навигационной цепочке сверху; при выборе вышестоящего ресурса выбираются все дочерние. Есть функция быстрого поиска по названию.

Рисунок 23. Окно выбора ресурса

Далее задаём интервал времени и запускаем формирование отчёта.

Полученный отчёт содержит следующую информацию:

• имя учётной записи;
• уникальный идентификатор учётной записи (SID);
• статус учётной записи;
• разрешительные и запретительные права доступа на начало и конец заданного периода.

Рисунок 24. Сформированный отчёт «История изменения доступа к ресурсу»

Столбцы можно отсортировать по необходимому параметру.  

Для каждого аккаунта доступно представление истории изменения прав доступа с учётом всех событий за заданный период. Для получения этой информации следует нажать на название УЗ.

Рисунок 25. История изменения прав доступа для конкретной учётной записи

Представление содержит информацию о дате и времени регистрации изменений, выданных и отозванных разрешительных и запретительных правах доступа, инициаторе изменений.

Нажав на параметры в столбцах «Разрешительные права доступа» / «Запретительные права доступа», можно пройти ещё глубже и получить расширенную информацию о правах.

Рисунок 26. Расширенная информация о правах доступа

Доступна выгрузка отчёта в формат CSV с учётом установленных фильтров и правил сортировки.

Отчёт «История изменения прав доступа учётной записи»

Предназначен для отображения динамики прав доступа конкретной учётной записи за определённый интервал времени.

Рисунок 27. Выбор учётных записей

Сформированный отчёт содержит следующую информацию:

• наименование ресурса с указанием полного пути места его хранения;
• тип (например, файл или каталог);
• наименование информационной системы / агента;
• разрешительные и запретительные права доступа на начало и конец заданного периода.

Рисунок 28. Сформированный отчёт «История изменения прав доступа учётной записи»

Для каждого объекта (ресурса) доступно представление истории изменения прав конкретного аккаунта с учётом всех событий за заданный период. Представление содержит информацию о дате и времени регистрации изменений, выданных и отозванных разрешительных и запретительных правах доступа, инициаторе изменений. Также доступна функция получения расширенной информации о правах доступа.

Отчёт можно выгрузить в формат CSV с учётом установленных фильтров и правил сортировки.

Отчёт «Неиспользуемые ресурсы»

Предназначен для поиска неиспользуемых ресурсов за определённый интервал времени. Это важно по ряду причин:

• Уменьшаются расходы на хранение, на лицензионные сборы и на поддержание инфраструктуры.
• Неиспользуемые ресурсы могут представлять угрозу безопасности вследствие наличия конфиденциальных данных, которые не подвергаются активному мониторингу или защите.
• Ресурсы, к которым подолгу никто не обращается, могут просто загромождать систему и затруднять поиск реально необходимой информации.

Для построения необходимой выборки заходим в раздел «Отчёты» и выбираем блок «Неиспользуемые ресурсы». Через фильтры определяем необходимые параметры отчёта: ресурсы, период неактивности, класс данных. 

Рисунок 29. Выборка для отчёта по неиспользуемым ресурсам

Также есть возможность задать фильтр по размеру, чтобы выявить большие неиспользуемые файлы.

Сформированный отчёт содержит следующую информацию: наименование файла (ресурса), путь к его расположению, источник и класс данных, размер, дата последнего события, субъекты доступа.

Рисунок 30. Отчёт «Неиспользуемые ресурсы»

В отчёте по неиспользуемым ресурсам для каждого объекта доступно представление прав доступа конкретной учётной записи с указанием её атрибутов, а также получение расширенной информации о правах.

Рисунок 31. Учётные записи, имеющие доступ к ресурсу

Рисунок 32. Расширенная информация о правах доступа учётной записи

Доступна выгрузка отчёта в формат CSV с учётом установленных фильтров и правил сортировки.

Отчёт «Отключённое наследование»

Предназначен для выявления каталогов с уникальными правами доступа, полученными путём прямого предоставления без учёта иерархической структуры, наследования прав и предоставления разрешений через определённые политиками группы доступа. Фиксация ресурсов с нарушенным наследованием (Broken Access Control) даёт возможность держать уникально выданные права под контролем и снижать риски, т. к. выданные в обход политик полномочия входят в число самых распространённых векторов атак.

Рисунок 33. Выборка для отчёта по отключённому наследованию

Есть возможность задать фильтр по размеру, чтобы выявить большие файлы.

Сформированный отчёт содержит следующую информацию: наименование файла / ресурса, путь к его расположению, тип ресурса, источник и класс данных, размер, субъекты доступа.

Рисунок 34. Сформированный отчёт «Отключённое наследование»

В отчёте по отключённому наследованию для каждого объекта доступно представление прав доступа конкретной учётной записи с указанием её атрибутов, а также получение расширенной информации о правах.

Рисунок 35. Учётные записи, имеющие доступ к ресурсу

Рисунок 36. Расширенная информация о правах доступа учётной записи

Отчёт «Топ дубликатов»

Дубликаты файлов занимают лишнее пространство в системе, что приводит к увеличению затрат на хранение. Кроме того, наличие нескольких версий одного и того же файла может привести к несоответствиям в данных организации, затруднив поиск необходимой корректной и актуальной информации.

Своевременное выявление дубликатов хранимых файлов, актуализация и удаление излишней информации помогают оптимизировать ресурсы хранения, повышают согласованность и качество управления данными компании.

Для построения необходимой выборки заходим в раздел «Отчёты» и выбираем блок «Топ дубликатов». Через фильтры определяем необходимые параметры отчёта: ресурсы, класс данных. 

Рисунок 37. Выборка для отчёта по дубликатам

Также есть возможность задать фильтр по размеру, чтобы выявить дубликаты большого размера.

Сформированный отчёт содержит следующую информацию: наименование файла / ресурса, путь к его расположению, сетевой путь, источник и класс данных, количество файлов, общий размер.

Рисунок 38. Сформированный отчёт «Топ дубликатов»

Аудит событий

В системе Solar DAG регистрируются любые изменения структуры доступа и все действия пользователей в системе.

Раздел «Журналы событий» подразделяется на журнал событий информационных систем и журнал действий пользователей.

Журнал событий информационных систем

Из изменений на целевых ресурсах формируется журнал информационной системы, где события классифицируются и тегируются, чтобы впоследствии была возможность чётко определять, к чему относится то или иное произошедшее изменение. Это позволяет отследить всю историю, связанную с конкретным объектом / действием.

Для просмотра перечня событий необходимо зайти в раздел «Журналы событий» и выбрать блок «Журнал событий информационных систем».

Рисунок 39. Просмотр журнала событий информационных систем

Система позволяет отслеживать события следующих типов: 

• создание, удаление, включение и отключение, перемещение, переименование, потеря и возобновление контроля, изменение свойств учётной записи, смена и сброс пароля пользователем;
• создание, удаление, перемещение, переименование, потеря и возобновление контроля, изменение свойств учётной записи группы, включение аккаунта в группу и исключение из неё;
• создание, удаление, перемещение, переименование, потеря и возобновление контроля, изменение свойств каталога учётных записей;
• создание и удаление ресурса, изменение прав доступа к нему, доступ на чтение и на запись, переименование и изменение свойств ресурса.

Для формирования журнала по необходимым критериям нужно последовательно в соответствующих открывающихся формах выбрать тип события, источник данных и инициатора, параметры события.

Рисунок 40. Пример формы для выбора инициатора

Затем необходимо установить интервал времени.

Рисунок 41. Выбор периода

Выбор периода является единственным обязательным параметром для формирования журнала.

В сформированном журнале будет отражена следующая информация: дата и время, тип и источник, инициатор, результат и параметры события. Цветом отмечается статус: успешно — зелёный, неуспешно — красный.

Рисунок 42. Журнал событий информационных систем

Журнал действий пользователей 

Предназначен для регистрации изменений по пользователям, которые работают с системой, поэтому типы событий определены на уровне конфигурирования Solar DAG.

Рисунок 43. Просмотр журнала действий пользователя внутри системы

Система позволяет отслеживать события следующих типов: 

• успешная аутентификация, ошибка аутентификации;
• создание, включение и отключение, удаление, изменение свойства пользователя, смена и сброс пароля пользователем;
• создание, изменение свойства, удаление области видимости / источника данных / правила классификации;
• формирование отчёта.

Для формирования журнала по заданным критериям нужно последовательно в соответствующих открывающихся формах выбрать тип события, уровень критической значимости (критические изменения / информация / предупреждение), инициатора, параметры события.

Рисунок 44. Выбор уровня критической значимости события

Далее необходимо установить интервал времени. Как и в предыдущем случае, выбор периода является единственным обязательным параметром для формирования журнала.

Сформированный журнал содержит следующую информацию: дата и время, тип, важность, инициатор, параметры события. Список событий можно отсортировать по каждому из перечисленных параметров.

Инициаторами изменений по действиям пользователей могут являться только те, кто зарегистрирован в системе Solar DAG.

Доступна выгрузка отчётов об изменениях в структуре доступа в формат CSV с учётом установленных фильтров и правил сортировки.

Администрирование 

Управление пользователями

Для поддержания конфиденциальности, целостности и доступности систем безопасности, а также снижения риска несанкционированного использования прав важно соблюдать принципы разграничения доступа в самой системе. Контроль пользователей Solar DAG обеспечивает возможность отслеживать их работу и проводить аудит доступа. Распределение ролей внутри системы снижает риск случайного или преднамеренного злоупотребления правами, т. к. конкретные работники имеют ограниченный доступ и несут ответственность за свои сферы деятельности.

Управление пользователями Solar DAG осуществляется в разделе «Параметры».

Рисунок 45. Список пользователей системы Solar DAG

Здесь отображается информация обо всех зарегистрированных в системе пользователях с указанием следующих параметров: 

• наименование учётной записи пользователя в системе;
• роль пользователя в системе;
• область видимости, назначенная пользователю;
• признак активности пользователя (активен / неактивен).

Список можно отсортировать по каждому из параметров. Имеется также поисковая строка. 

Система поддерживает функции создания нового пользователя, редактирования и удаления имеющихся.

Рисунок 46. Редактирование информации о пользователе

Настройка области видимости

Для защиты ресурсов системы и контроля доступа в Solar DAG настраивается область видимости объектов. Она может быть определена и сконфигурирована на основе конкретных потребностей работников и организации. 

Область видимости (ОВ) — это универсальный идентификатор в системе Solar DAG, который позволит в будущем разграничить доступ к данным для пользователей с одинаковыми полномочиями.

Рисунок 47. Области видимости

В списке существующих областей видимости отображается следующая информация: наименование, вышестоящая область и описание. Возможны состыковка по выбранным параметрам и быстрый поиск.

Доступны функции создания новой области видимости, редактирования и удаления имеющихся.

Рисунок 48. Создание новой области видимости

Настройка отправки уведомлений

В системе Solar DAG предусмотрена настройка подключения к SMTP-серверу для отправки почтовых уведомлений. Для этого необходимо в главном меню выбрать раздел «Параметры» и блок «SMTP-сервер».

Рисунок 49. Настройка подключения к SMTP-серверу

Заполнив необходимые поля, следует произвести проверку соединения.

Рисунок 50. Проверка подключения к серверу

Возможности интеграции

IdM / IGA

Интеграция Solar DAG с IdM / IGA позволяет опереться на сильные стороны обоих решений, что повышает уровень безопасности компании. 

Во-первых, благодаря интеграции можно применять детализированные политики, основанные на ролях пользователей, правах доступа и значимости данных (получение сведений о категории данных, маркировка ролей содержащих ПДн, КТ и т. д.), выявлять нарушения и отклонения в параметрах доступа и поведении пользователей, своевременно реагировать. 

Во-вторых, можно контролировать доступ ко всем ресурсам и данным (структурированным и неструктурированным) на основании жизненного цикла пользователя и своевременно прекращать такой доступ. 

В-третьих, при пересмотре либо ресертификации и актуализации доступа, которые обычно инициируются через систему IdM / IGA, возможно получать из DAG-системы данные о реальном использовании файловых ресурсов. 

В-четвёртых, получая полную картину из двух источников, возможно выстраивать консолидированную отчётность для аудиторских проверок. Кроме того, в случае инцидента интеграция помогает связать события доступа, права пользователя и его активность для быстрого реагирования и детального расследования. 

SIEM

Интеграция платформ DAG и SIEM даёт такие преимущества, как своевременное обнаружение подозрительных действий, попыток несанкционированного доступа или потенциальных внутренних угроз, а также эффективное проведение расследований: сопоставление журналов DAG с данными SIEM позволяет установить время инцидента, действия пользователей и связанные с ними события по безопасности. Это повышает эффективность операционной работы по контролю ИБ, сокращает время реагирования на нарушения и укрепляет общую систему безопасности организации.

DLP

Считается, что решение DAG призвано защищать данные находящиеся в покое на файловых серверах, тогда как DLP — это защита данных в движении, а именно остановка и предотвращение утечек конфиденциальной информации. Преимущество интеграции этих продуктов — в том, что они опираются на одинаковые сведения о классификации данных и маркировке. Сопоставляя события доступа к данным из системы DAG с оповещениями и политиками DLP, можно своевременно обнаруживать и предотвращать попытки несанкционированного извлечения и перемещения конфиденциальной информации, обмена ею в режиме реального времени. Такой упреждающий подход повышает уровень безопасности за счёт выявления и пресечения потенциальных утечек данных на ранней стадии, а также помогает в исполнении регуляторных требований по хранению конфиденциальной информации и обращению с нею.

Функциональные подсистемы и лицензирование

В состав Solar DAG включены четыре функциональные подсистемы: 

• аудита файловых серверов Microsoft Windows,
• аудита событий Microsoft Active Directory,
• классификации,
• мониторинга и оповещения.

Рисунок 51. Функциональные подсистемы решения Solar DAG

Подсистемы лицензируются по количеству учётных записей. Подписка на обновления — 25 % от стоимости лицензий. Год подписки на обновления входит в лицензию.

Технические требования

Аппаратная конфигурация должна удовлетворять следующим минимальным требованиям (табл. 1).

Таблица 1. Требования к аппаратной части

Конфигурация программного обеспечения компьютеров, на которые устанавливают компоненты системы Solar DAG, должна удовлетворять следующим требованиям (табл. 2).

Таблица 2. Требования к программной части

Выводы

Система контроля неструктурированных данных Solar DAG предлагает базовый набор функций для управления неструктурированными данными и обеспечения их безопасности. Возможности по обнаружению данных, классификации, контролю доступа и мониторингу изменений помогают организациям лучше видеть неструктурированные данные, а также контролировать и защищать конфиденциальную информацию. Благодаря возможностям автоматизации и интеграции решение обеспечивает гибкость и масштабируемость для удовлетворения растущих потребностей компаний в управлении доступом.

Достоинства:

• Высокая производительность (до 100 млн событий в день, скорость контентного анализа — до 1,5 ТБ в сутки). 
• Потоковая интеграция данных от разных типов источников обеспечивает непрерывную актуализацию модели, предоставляя оперативную и достоверную аналитику и помогая в принятии решений.
• Предоставляет максимальную наглядность — возможность наиболее точно оценить и проанализировать все маршруты предоставления доступа конкретной учётной записи к конкретному информационному ресурсу. 
• Подробная расшифровка структуры доступа, включая разрешительные и запретительные полномочия, индивидуальные и групповые наследуемые права доступа, учитывая наследование через последовательность групп.

Недостатки:

• На данный момент нет интеграции с рядом систем, таких как NextCloud, файловые серверы на базе Linux, DFS-хранилища. 
• На данный момент не поддерживается выгрузка консолидированных данных в формат HTML.
• На данный момент нет формирования отчётности по расписанию.