Сертификат AM Test Lab
Номер сертификата: 345
Дата выдачи: 01.08.2021
Срок действия: 01.08.2026
- Введение
- Новые функциональные возможности Makves DCAP
- Архитектура Makves DCAP
- Системные требования Makves DCAP
- Сценарии использования Makves DCAP
- 5.1. Контроль действий пользователя в системе
- 5.2. Детализация статистики
- 5.3. Отображение папок с ненаследуемыми правами
- 5.4. Тонкие настройки политик безопасности
- 5.5. Отправка отчётов администратору по расписанию
- 5.6. Пометка удалённых файлов в системе
- 5.7. Отображение содержимого доступных файлов в консоли Makves DCAP
- 5.8. Редактирование стандартов
- 5.9. Возможность удаления файлов из консоли Makves DCAP
- 5.10. Защита персональных данных сотрудников и клиентов
- 5.11. Индекс атипичности параметров пользователей
- Выводы
Введение
Каждый день в рамках бизнес-процессов генерируются гигабайты информации, хранящиеся на почтовых серверах, в облаках, на рабочих местах сотрудников и их личных устройствах. Большой объём этих данных представляет для организации ценную, а порой и критическую информацию, утечка которой может нанести бизнесу репутационный или финансовый ущерб. Очень часто пользователи копируют информацию из источников с ограниченными правами и распространяют её в открытом доступе; в результате создаются новые объекты информационной системы с новыми правами, отличными от установленных ранее.
DCAP-системы (Data-Centric Audit and Protection) предназначены для обеспечения безопасности ценных сведений, хранящихся в информационной системе предприятия. DCAP-системы непрерывно анализируют состояние объектов корпоративной инфраструктуры, осуществляют аудит данных и контроль доступа пользователей к ним. Это позволяет своевременно выявить нарушения прав доступа и предотвратить потерю или раскрытие важной информации.
Продукты класса DCAP характеризуются поисковыми алгоритмами, реализуемыми в решении, их количеством и выполняемыми функциями. В большинстве своём это:
- поиск и классификация объектов информационной системы, выявление потенциальных утечек данных (например, фрагменты или копии файлов с ограниченным доступом);
- управление политиками безопасности и контроль доступа пользователей к данным;
- аудит информационных ресурсов предприятия;
- ведение отчётности и журналов событий.
Важным аспектом DCAP-системы является поддержка поведенческого анализа, UEBA (User and Entity Behavior Analytics). Он позволяет своевременно выявить отклонения от обычного поведения пользователей и сущностей и пресечь их доступ к важной информации до завершения расследования администратором безопасности.
Система аудита и управления информационными активами Makves DCAP является классическим DCAP-решением. Makves DCAP делает упор именно на защиту доступа — формирует матрицу доступа для каждого объекта, зарегистрированного в информационной системе организации независимо от его физического расположения (серверы, рабочие места сотрудников), и для каждого пользователя, имеющего доступ к ИС. Система анализирует содержимое файлов, тем самым выявляя информацию, которая подпадает под действие отечественных и зарубежных регламентов (ФЗ-152, GDPR, PII, банковская тайна, коммерческая тайна и т. д.). По результатам анализа Makves DCAP указывает на конфликты доступа, объекты с повышенным риском, возможные пути утечки данных и формирует рекомендации по их устранению. Таким образом специалисты ИБ получают подробный план работ по ликвидации выявленных для организации рисков.
Makves DCAP — это первая система аудита и управления информационными активами, зарегистрированная в реестре российских программ для электронных вычислительных машин и баз данных (Приказ Минкомсвязи России от 07.04.2020 № 162).
Внедрение Makves DCAP даёт ряд преимуществ как для бизнеса в целом, так и для ИБ-специалистов, взаимодействующих с системой. Как уже было сказано выше, прежде всего это — соответствие ключевым требованиям и стандартам, предотвращение возможных утечек информации, анализ рисков и рекомендации по их устранению, централизованное разграничение прав доступа и мониторинг применения политик ИБ.
В мае 2021 года была анонсирована новая версия Makves DCAP. Мы изучили и протестировали новые функции системы.
Новые функциональные возможности Makves DCAP
Помимо основных функциональных возможностей системы, о которых мы рассказывали в предыдущем обзоре, в последней версии Makves DCAP существенно переработаны механизмы контроля событий и объектов, сбора статистической информации, управления политиками безопасности. Кроме того, увеличена скорость анализа файлов, генерации отчётов и построения графиков, что существенно облегчает работу специалистов по ИБ.
В новой версии Makves DCAP реализованы следующие функциональные возможности:
- непрерывный контроль над событиями системы, инициированными пользователями (чтение, модификация, копирование, удаление), без применения EventLog;
- детализация статистики событий и аномалий;
- отображение папок с ненаследуемыми правами;
- тонкие настройки политик безопасности;
- отправка отчётов администратору по расписанию;
- пометка удалённых файлов в системе;
- отображение содержимого доступных файлов в консоли;
- редактирование стандартов;
- возможность удаления файлов из консоли при наличии доступа у оператора;
- распознавание графических объектов и скан-копий паспортов;
- выявление атипичного поведения и параметров пользователей.
Кроме перечисленного Makves DCAP выполняет:
- сбор данных о событиях, в том числе по настроенному заданию для определённого типа событий;
- управление инцидентами, сбор и хранение данных о них;
- автоматизированный сбор информации об объектах с помощью программных агентов;
- отображение статистики по объектам и событиям по заданным фильтрам;
- анализ зависимостей пар объектов («приложения — компьютер»), пар субъектов и объектов («пользователи — файлы», «пользователи — почтовые ящики», «пользователи — директории»);
- аудит структуры данных и прав доступа к ним;
- анализ и сводную оценку рисков в разрезе объектов информационной системы;
- анализ текстовых файлов для определения документов регулируемых стандартами;
- поведенческий анализ действий пользователей и детектирование аномалий;
- автоматизацию реагирования на риск-факторы с применением заданных процедур;
- моделирование последствий изменения прав пользователей.
Демонстрация новых функциональных возможностей системы приведена далее в разделе «Сценарии использования Makves DCAP».
Архитектура Makves DCAP
По сравнению с предыдущей версией Makves DCAP не претерпела существенных изменений. Система включает в себя консоль управления, аналитический модуль, хранилище и агенты.
Рисунок 1. Взаимодействие компонентов Makves DCAP
Агенты могут устанавливаться локально на конечные устройства и осуществлять сбор информации удалённо с одного или нескольких выделенных серверов. Агенты собирают и обогащают информацию из Active Directory, EventLog, журналов SIEM-продуктов, почтового сервера Exchange, а также сканируют файловые хранилища и собирают сведения об их содержимом. Один агент может контролировать несколько устройств.
Хранилище представляет собой базу данных PostgreSQL, в которую записываются все собранные Makves DCAP сведения.
Консоль Makves DCAP является центральным элементом пользовательского интерфейса, отвечающим за представление информации из БД, и обеспечивает веб-интерфейс для взаимодействия с администратором безопасности. В консоли формируются отчёты, проводится поведенческий анализ, выполняется управление рисками и инцидентами.
Системные требования Makves DCAP
Аппаратные требования Makves DCAP:
- процессор Intel Core i5;
- 8 ГБ оперативной памяти;
- объём свободного дискового пространства не менее 10 ГБ.
Программные требования Makves DCAP:
- поддерживаемые операционные системы:
- Microsoft Windows 10,
- Microsoft Windows Server 2016 / 2019,
- OS X 10.9–10.11,
- macOS 10.14 и выше,
- Ubuntu 16 LTS / 18 LTS;
- поддержка Docker-контейнеров:
- Desktop 18,
- Enterprise,
- 18.*,
- Docker-compose 3.6 или выше;
- дополнительное программное обеспечение:
- браузер Chrome,
- СУБД PostgreSQL 9.6 х64 или выше.
Сценарии использования Makves DCAP
Контроль действий пользователя в системе
В новой версии реализован непрерывный контроль событий системы, инициированных пользователями, в обход стандартного механизма EventLog. Это сделано для того, чтобы предотвратить очистку или изменение истории журнала событий операционной системы привилегированным пользователем (администратором). В случае несанкционированных действий со стороны администратора оператор Makves DCAP получит соответствующее уведомление в консоли.
Рисунок 2. Консоль Makves DCAP, вкладка «События». Отображены все действия пользователей над файлами, в том числе над сетевыми
В новом Makves DCAP реализованы оповещения о массовых действиях пользователей с файлами. В случае массового удаления, изменения или копирования оператор получит уведомление в консоли и на электронную почту. При обнаружении таких несанкционированных действий можно настроить автоматическую блокировку пользователя.
Рисунок 3. Уведомление на электронную почту о массовых операциях пользователей
Рисунок 4. Детальная информация о событии, связанном с попыткой получения доступа к объекту (запись атрибутов), отображённая в консоли Makves DCAP
Детализация статистики
В Makves DCAP добавлена детализация статистики зарегистрированных событий и аномалий для оперативного обнаружения угроз. Все события классифицируются по одному из типов — Active Directory, операции с файлами, авторизация пользователей, почта.
Рисунок 5. Консоль Makves DCAP, общая статистика по событиям
Рисунок 6. Консоль Makves DCAP, детализация статистики по Logon
Выявление отклонений от нормы поведения пользователя становится поводом для дальнейшего расследования. К аномальному поведению можно отнести подключение к сети в неурочное время (выходные, ночь), попытки подключения к сегментам сети, к которым пользователь не допущен по трудовым обязанностям (1С, SVN), массовое скачивание / удаление / изменение файлов. В новой версии Makves DCAP реализована детализация аномалий по действиям, рискам и категориям.
Рисунок 7. Консоль Makves DCAP, вкладка «Аномалии». Администратору ИБ отображены аномалии по времени, месту и файлам
Рисунок 8. Детализация аномалии, зафиксированной Makves DCAP, по типу для компьютера за час. График зарегистрированных событий для хоста 192.168.3.3
Отображение папок с ненаследуемыми правами
Файлы и папки, созданные в некой директории, как правило, наследуют настроенные для неё права пользователей. Наследуемость может быть нарушена в случае копирования или перемещения файлов, назначения дополнительных прав доступа. Тогда неуполномоченные пользователи могут ознакомиться с закрытой информацией, исказить её или воспользоваться ею в корыстных целях.
Чтобы этого не произошло, Makves DCAP выявляет ненаследуемые файлы и папки и собирает по ним подробную информацию и статистику. Система позволяет администратору ИБ отправить команду на удаление файла и предотвратить его дальнейшее распространение.
Рисунок 9. Консоль Makves DCAP, вкладка «Файлы», вывод файлов с ненаследуемыми правами
Рисунок 10. Детальная информация о ненаследуемом файле «028144.PDF»: размер, риск-фактор, расположение, владелец, дата создания и изменения
Рисунок 11. В Makves DCAP появилась возможность удаления файла
Информация из консоли Makves DCAP может быть экспортирована в удобные для администратора форматы.
Рисунок 12. Экспортированный из консоли Makves DCAP отчёт о правах доступа к ненаследуемому файлу «028144.PDF»
Тонкие настройки политик безопасности
В новой версии Makves DCAP реализованы тонкие настройки политик безопасности для директорий. Они помогают оперативно реагировать на инциденты и снижать риск-фактор (запрет на общий доступ, соответствие требованиям и т. д.).
Рисунок 13. Консоль Makves DCAP, вкладка «Файлы», статистика по отфильтрованным директориям
Рисунок 14. Тонкие настройки политик безопасности для директории в консоли Makves DCAP
Отправка отчётов администратору по расписанию
Makves DCAP формирует подробные отчёты по компьютерам, файлам, событиям и почтовым ящикам. Изначально конкретный отчёт можно было экспортировать в файл или переслать по почте. В новой версии Makves DCAP можно задать параметры отчёта и настроить его автоматическую отправку.
Рисунок 15. Консоль Makves DCAP, вкладка «Отчёты»
Рисунок 16. Параметры автоматической отправки отчёта из консоли Makves DCAP на почту администратора
Пометка удалённых файлов в системе
Маркировка удалённых файлов позволяет проанализировать поведение пользователя (не выполняет ли он умышленно деструктивные действия в сети), предотвратить потерю критически важной информации и оперативно восстановить удалённый файл.
Рисунок 17. Удалённые файлы, помеченные в консоли Makves DCAP
Отображение содержимого доступных файлов в консоли Makves DCAP
При наличии соответствующих прав администратор получает возможность просматривать доступные файлы в консоли Makves DCAP.
Рисунок 18. Просмотр текстового файла в консоли Makves DCAP
Редактирование стандартов
В новой версии Makves DCAP добавлен редактор стандартов. Для каждого стандарта задаются гибкие параметры поиска и классификации критически важных данных в соответствии со спецификой организации.
Рисунок 19. Консоль Makves DCAP, вкладка «Конструктор стандартов»
Возможность удаления файлов из консоли Makves DCAP
Как было сказано выше, при наличии соответствующих прав администратор может удалить конкретный файл прямо из консоли. Данная функция добавлена в Makves DCAP для того, чтобы пресечь неконтролируемое распространение важной информации, вовремя принять меры при выявлении реальной угрозы ИБ и при предотвращении атаки.
Защита персональных данных сотрудников и клиентов
Makves DCAP позволяет обнаружить в открытом доступе файлы, которые содержат скан-копии документов удостоверяющих личность, в частности сканы паспортов. Такая информация относится к персональным данным и накладывает требования по её обработке. ИСПДн, которые не отвечают требованиям законодательства Российской Федерации, не должны выполнять операции по обработке ПДн.
Рисунок 20. Консоль Makves DCAP, на устройстве обнаружена скан-копия паспорта гражданина РФ
Индекс атипичности параметров пользователей
Makves DCAP анализирует заданные параметры пользователей, чтобы выявить нетипичные значения и вызвать правильную и своевременную реакцию администратора. Система контролирует такие параметры, как устройства, файлы, почтовые ящики и действия пользователей. На основе полученных данных при помощи алгоритмов выявления аномалий строится индекс атипичности для каждого пользователя.
Рисунок 21. Консоль Makves DCAP, индекс атипичности параметров пользователей
Рисунок 22. Консоль Makves DCAP, карта параметров и поведения пользователей
Выводы
Новая версия Makves DCAP стала значительно эффективнее в части защиты доступа ко критически важным для организации сведениям. Сделан упор на контроль пользователей информационной системы — выявление удалённых файлов и ненаследуемых прав, поведенческий анализ, запуск скриптов на устройствах.
Положительным фактором является то, что разработчик анализирует возможности DCAP-систем, требования и пожелания потребителей и улучшает качество своего, заметим, отечественного продукта. Благодаря этому появились новые функции отображения статистики и редактор стандартов, который помогает настроить поиск критически важной информации под конкретного потребителя.
Немаловажно, что появилась автоматическая рассылка отчётов администраторам безопасности по электронной почте. В целом генерация отчётов при постоянном росте объёмов обрабатываемой информации стала занимать меньше времени.
Достоинства:
- Значительно увеличена скорость обработки файловых массивов — до 2 ТБ/ч.
- Сокращено время генерации отчётов и статистики.
- Расширены полномочия администраторов безопасности (просмотр содержимого файлов, удаление файлов с компьютеров пользователей, контроль над наследуемыми правами).
- Расширена функциональность поведенческого анализа.
- Появилась светлая тема консоли Makves DCAP.
- Добавлена функциональность «песочницы», с помощью которой можно смоделировать последствия изменения прав пользователей и избежать негативных последствий для бизнес-процессов заказчика.
Недостатки:
- Makves DCAP поставляется комплексно и не делится на модули, что может быть значимо для некоторых заказчиков.
- Отсутствие гибкой индивидуализации дашбордов, содержащих статистическую информацию.
