Обзор Спектр | DCAP 3.9, системы контроля и управления правами доступа и данными

1. Введение
2. Функциональные возможности «Спектр | DCAP 3.9»
   1. 2.1. Модуль аудита и анализа прав доступа
   2. 2.2. Модуль классификации данных защищаемых серверов
   3. 2.3. Модуль инцидентов, оповещений и отчётов
   4. 2.4. Модуль поиска по содержимому файла
   5. 2.5. Модуль переноса / удаления данных
   6. 2.6. Модуль аудита доменов
   7. 2.7. Модуль контроля активности баз данных
   8. 2.8. Функция моделирования изменений прав доступа и членства в группе
3. Архитектура «Спектр | DCAP 3.9»
4. Системные требования «Спектр | DCAP 3.9»
5. Лицензирование «Спектр | DCAP 3.9»
6. Применение «Спектр | DCAP 3.9»
   1. 6.1. Анализ содержимого файловых хранилищ
   2. 6.2. Аудит файловых хранилищ и расследование инцидентов
   3. 6.3. Анализ использования файловых хранилищ, прогнозирование их наполняемости
   4. 6.4. Поиск и классификация конфиденциальной информации
   5. 6.5. Анализ прав доступа сотрудников на соответствие принципу минимальной достаточности
7. Выводы

Введение

Неструктурированные данные составляют 80% от всех генерируемых данных и растут в четыре раза быстрее, чем структурированные и частично структурированные. Они появляются в разных формах, не соответствуют заранее определённой схеме или модели.

Рисунок 1. Объём неструктурированных данных по годам согласно Edge Delta

Управление такими данными сопровождается рядом технических и бизнес-проблем. В ходе своего исследования компания Komprise установила, что главная техническая сложность у предприятий (54%) — это перемещение данных без нарушения работы пользователей и приложений. Данные могут теряться, перемещаться или становиться недоступными, что ставит под угрозу стабильность работы систем. 

Вторая значимая проблема (48%) — применение искусственного интеллекта (ИИ) для классификации и сегментации данных. Вопросы безопасности, конфиденциальности, этики и правового регулирования делают подготовку к использованию ИИ ключевой бизнес-задачей. 

Также 44% компаний сталкиваются с вызовами, связанными с соблюдением отраслевых норм и корпоративных политик. 

По данным компании «Сайберпик», 65% атак на корпоративную среду нацелены на получение коммерчески значимой информации из неструктурированных данных. Последствия, риски и угрозы при недостаточной защите таких данных мы уже подробно обсуждали в одном из эфиров AM Live. 

Экспоненциальный рост объёма неструктурированных данных, внимание хакеров к ним потребовали усовершенствование многозадачных и модульных систем контроля и управления правами доступа. Поэтому команда «Сайберпик» представила на рынке обновлённую версию «Спектр | DCAP» — 3.9. Несколько лет назад мы делали обзор версии 2.7. Конечно, за это время продукт значительно эволюционировал. Новые функции, улучшенные механизмы контроля и интеграции с современными ИТ-экосистемами позволяют более гибко адаптировать систему под конкретные бизнес-задачи и значительно повышать уровень защиты данных. 

Продукт входит в реестр отечественного ПО (запись №7143 от 03.11.2020), сертифицирован ФСТЭК России (№4668).

Функциональные возможности «Спектр | DCAP 3.9»

«Спектр | DCAP 3.9» — система для контроля и управления правами доступа, которая обеспечивает полный контроль над файлами, хранящимися в корпоративной среде. Решение позволяет классифицировать информацию, анализировать права доступа, выстраивать жизненный цикл работы с данными и оптимизировать их хранение. Главной его задачей является защита файловых хранилищ, неструктурированных данных и контроллеров домена, что важно для предотвращения инцидентов и соответствия нормативным требованиям.

Система предоставляет широкий спектр возможностей — от аудита действий пользователей и анализа их прав до автоматического выявления аномалий и активного реагирования на угрозы. В зависимости от выбранной конфигурации «Спектр | DCAP 3.9» может выполнять разные функции.

Решение обрабатывает миллионы событий в минуту, каждое из которых фиксируется в системе. Информация о всех действиях доступна в едином интерфейсе продукта.

Рисунок 2. Интерфейс «Спектр | DCAP 3.9»

Веб-интерфейс «Спектр | DCAP 3.9» разработан как веб-приложение, включающее возможности для администрирования и управления функциональными ролями. Доступность функций зависит от прав пользователя, что позволяет настраивать доступ к различным сервисам и настройкам. Реализована поддержка доменной авторизации и интеграция сквозного входа (Single Sign-On, SSO), что обеспечивает удобную и безопасную аутентификацию в рамках корпоративной инфраструктуры.

Модуль аудита и анализа прав доступа

Модуль аудита и анализа прав доступа — базовый модуль, позволяющий определить, кто имеет доступ к важной информации, и обезопасить себя от потерь. Агенты системы непрерывно мониторят доступ к данным. Входящая в состав решения система хранения данных построена на принципах Big Data, что обеспечивает масштабируемость и эффективность работы с большими объёмами информации.

В разделе «Хранилища» при нажатии на «Тип хранилища» можно увидеть список поддерживаемых системой хранилищ неструктурированных данных. С каждым релизом продукта вендор расширяет этот перечень.

Рисунок 3. Поддерживаемые хранилища 

Для контроля действий необходимо установить агент на хранилище или добавить новое хранилище вручную. После этого в разделе «Хранилища» появится информация о добавленном хранилище: хост, IP-адрес, тип хранилища и операционная система (ОС).

Рисунок 4. Информация о хранилищах в «Спектр | DCAP 3.9»

После поступления информации о хранилище необходимо настроить параметры сканирования. В базовой функциональности доступно сканирование только структуры и прав доступа.

Рисунок 5. Параметры сканирования в «Спектр | DCAP 3.9»

После сканирования пользователь платформы увидит структуру хранилища до файлов. Любую директорию можно развернуть и посмотреть права доступа к ней. 

Рисунок 6. Структура хранилища в «Спектр | DCAP 3.9»

Для автоматизации управления процессами сканирования в платформе реализован инструмент «Задания». Он позволяет с учётом заданных параметров автоматически распределять нагрузку между узлами, управлять очередностью выполнения сканирований и контролировать ход выполнения задач. 

Рисунок 7. Задания в разделе «Хранилища»

Рисунок 8. Создание задания в «Спектр | DCAP 3.9»

Использование этого механизма эффективно в сценариях, предполагающих интеграцию с большим числом хранилищ и развёртывание платформы на множестве узлов в составе кластера «Спектр».

Когда в домене имеется множество групп безопасности, каждая из которых может включать другие группы, администраторам становится сложно точно ответить на вопрос, какие учётные записи имеют доступ к данным. Поэтому в системе предусмотрена вкладка «Эффективные права», выбрав которые можно получить ответ на указанный выше вопрос. 

Рисунок 9. Эффективные права в «Спектр | DCAP 3.9»

Решение работает в двух направлениях. Оно позволяет узнать, кто имеет права доступа к данным и, наоборот, к каким ещё данным имеет доступ тот или иной сотрудник. 

Рисунок 10. Данные, к которым имеет доступ сотрудник

 «Спектр | DCAP 3.9» позволяет узнать информацию о происхождении прав сотрудника — необходимо нажать на «Права доступа» и выбрать «Источник прав».

Рисунок 11. Источник прав доступа

Рядом с папками и файлами хранилища отображаются иконки — красные пиктограммы, указывающие на наличие нарушений в правах, обнаруженных системой на основе преднастроенных и кастомизированных правил.

Рисунок 12. Предустановленные риски в «Спектр | DCAP 3.9»

Для каждого риска в системе можно получить описание.

Рисунок 13. Описание риска в «Спектр | DCAP 3.9»

Обнаруженные риски можно устранить. Рассмотрим на примере папки с риском «Общедоступные папки/файлы». Следует справа нажать «Параметры безопасности», выбрать «Управление правами» и убрать доступ для всех (Everyone) к выбранной папке. Платформа запросит привилегированную учётную запись, через которую можно выполнить это действие. 

Рисунок 14. Изменение прав доступа

Продукт способен обрабатывать миллионы событий в минуту, каждое из которых фиксируется в системе. Все события доступны к просмотру в разделе «Аудит». Перед сохранением в базу данных и обогащением данные сжимаются. Например, 100 миллионов событий занимают до 10 ГБ на жёстком диске, что обеспечивает эффективное хранение и минимизирует нагрузку на ресурсы.

Рисунок 15. Аудит хранилища в «Спектр | DCAP 3.9»

Рассмотрим ситуацию, когда нужно узнать, кто удалил определённый файл. Для поиска ответа необходимо воспользоваться системой фильтров в разделе «Аудит».

Рисунок 16. Поиск сотрудника, который удалил файл с определённым названием

Все действия пользователей с элементами управления системы также регистрируются в специальных журналах, которые можно посмотреть в разделе «Журналы».

Рисунок 17. Журнал действий пользователей в «Спектр | DCAP 3.9»

Системные события регистрируются в журнале. Можно настроить различные оповещения для поддержания бесперебойной работоспособности комплекса.

Рисунок 18. Журнал системных событий в «Спектр | DCAP 3.9»

Модуль классификации данных защищаемых серверов

Система анализирует и классифицирует файлы любых форматов, независимо от их местоположения: фотографии, сканы, вложения, комментарии и другие. Настройка сканирования осуществляется через блок «Шаблоны сканирования», позволяя пользователю управлять процессом анализа.

Рисунок 19. Шаблоны сканирования в «Спектр | DCAP 3.9»

При сканировании файлы не сохраняются, что гарантирует безопасность из-за отсутствия единой точки скопления критической информации в базе данных системы. 

Анализ контента выполняется по заданным правилам, управляемым в разделе «Категории». Из коробки доступно более 250 предустановленных правил, которые делятся на два типа. Первый — это классический валидатор. Используется для поиска определённых текстовых последовательностей, регулярных выражений, фраз, расстояний и других характеристик. Валидатор проверяет корректность найденных файлов, чтобы удостовериться, соответствуют ли они заданным критериям.

Второй тип правил — классификация графических изображений, таких как сканы, фотографии и другие визуальные данные. Проблемы, с которыми приходится сталкиваться при работе с ними, могут быть разнообразными. Во-первых, они могут быть низкого качества из-за недостаточной разрешающей способности, что затрудняет точную идентификацию или анализ. Во-вторых, файлы могут быть загружены с ошибками, например, с перекосами или с неравномерной ориентацией, что делает их трудными для обработки и анализа.

Иногда рисунки могут быть частично или полностью размыты, что ограничивает возможности распознавания деталей. Эти проблемы требуют применения усовершенствованных алгоритмов обработки изображений для повышения точности классификации и извлечения информации — использование нейронных сетей.

В «Спектр | DCAP 3.9» имеются предустановленные модели распознавания таких файлов, уже обученных — они отображены в разделе «Предустановленные сканы документов» («Скан-Водительское удостоверение», «Скан-Паспорт РФ» и так далее). 

Рисунок 20. Категории в «Спектр | DCAP 3.9»

У пользователей системы есть возможность загружать и создавать собственные правила классификации. Для этого следует перейти в раздел «Категории» и нажать «Создать категорию». По желанию пользователя вендор готов помочь с формированием корректных регулярных выражений.

Если у пользователя есть чёткое представление о том, как должен работать модуль классификации графических изображений, вендор может предложить доработку нейросетевой модели на основе предоставленного набора примеров документов. В результате клиенту будет предоставлен уже обученный вариант системы, оптимизированный для специфических требований, что позволит минимизировать ложные срабатывания и повысить точность работы модуля.

Рисунок 21. Создание категории в «Спектр | DCAP 3.9»

Рассмотрим работу модуля классификации на примере. В разделе «Хранилища» становятся доступными результаты сканирования содержимого. После анализа рядом с файлами отображаются метки, которые показывают, какие данные были найдены в каждом документе, предоставляя пользователю чёткое представление о содержимом.

Рисунок 22. Классификация данных в «Спектр | DCAP 3.9»

Из интерфейса пользователь может открыть выбранный документ и ознакомиться с ним. Функция доступна только при наличии у сотрудника определённых прав. 

Рисунок 23. Детальная информация о найденном документе

В системе можно настроить поиск документов через фильтрацию.

Рисунок 24. Фильтр поиска по результатам сканирования

Нейронные сети сканируют файлы и определяют принадлежность к той или иной категории изображения даже плохого качества. Например, засвеченное фото паспорта система смогла определить как «Паспорт РФ».

Рисунок 25. Результаты сканирования засвеченного документа

В этом же разделе можно сразу узнать, выполняет ли организация требования Федерального закона от 27.07.2006 г. № 152-ФЗ — находятся ли паспортные данные (персональные данные) в папках общего доступа. 

Рисунок 26. Проверка, находятся ли паспортные данные в папках общего доступа

В параметрах безопасности можно увидеть, что файл с паспортными данными доступен всем, что является нарушением. 

Рисунок 27. Доступ к паспортным данным

Модуль классификации данных обогащает другие модули «Спектр | DCAP 3.9» результатами анализа. Например, модуль аудита и анализа. В этом случае у пользователя есть возможность посмотреть, кто работал с паспортными данными или другими категориями.

Рисунок 28. Список сотрудников, работающих с паспортными данными

При желании можно сгруппировать список сотрудников, нажав на троеточие перед кнопкой «Сотрудники» и посмотреть перечень людей, работающих с паспортом РФ. В нашем случае — только один.

Рисунок 29. Группировка сотрудников, работающих с той или иной категорией

При первом запуске система выполняет полное сканирование всех файлов, расположенных в хранилищах. При последующих проверках анализируются только новые или измененные файлы, что оптимизирует производительность и снижает нагрузку на инфраструктуру. Для ускорения процессов используется распределённое многопоточное сканирование — обработка данных выполняется несколькими потоками параллельно и в непосредственной близости от контролируемых узлов, что повышает эффективность работы.

Модуль инцидентов, оповещений и отчётов

Анализирует активность в хранилищах, отслеживая работу системы в целом, действия каждого сотрудника и доступ к определённым категориям данных. На основе собранных данных формируются профили стандартного поведения. При обнаружении аномальной активности система автоматически оповещает администраторов и принимает меры для нейтрализации угрозы.  

Раздел «Инциденты» позволяет настроить «Спектр | DCAP 3.9» для автоматического поиска инцидентов, таких как массовое удаление файлов, массовые чтения документов, последовательность действий вирусов-шифровальщиков и другие аномалии. В этом же разделе будут фиксироваться аномальные события. Пользователь увидит, кто, где, когда и с каким документом совершил то или иное действие. 

Рисунок 30. Раздел «Инциденты» в «Спектр | DCAP 3.9»

В системе имеется встроенный список правил, которые изменяются под запросы заказчика. Собственное правило можно создать самостоятельно, нажав вверху справа на «Новое правило». Этапы создания правил:

1. Выбор типа инцидента.
2. Настройка фильтров.
3. Настройка каналов интеграции.
4. Настройка реакции.
5. Подтверждение созданного правила. 

Настройки позволяют автоматизировать реагирование на инциденты.

Просмотр детальной информации по любому событию доступен после нажатия на «Перейти к событиям» напротив инцидента.

Рисунок 31. Детальная информация по инциденту

Если для инцидента была настроена реакция, то на странице «Активная реакция» мы её увидим.

Рисунок 32. Реакция на инцидент

Бывают ситуации, когда крайне сложно вычислить аномальное поведение сотрудников. Для решения таких случаев вендор внедрил модуль аналитики поведения. Он базируется на нейронных сетях с обучением без учителя (unsupervised learning). Система не просто анализирует логи, она «живёт в среде», постоянно обучаясь и адаптируясь. Нейронная сеть, работающая по нескольким заранее настроенным профилям, не ограничивается статичными правилами. Она находится в непрерывном режиме обучения, следя за поведенческими паттернами сотрудников, изучая их привычки, стиль работы, график активности и способы взаимодействия с системами. 

Сеть способна замечать нетипичные отклонения, сигнализируя о потенциальных угрозах или аномалиях. Она может, например, предупредить о необычно долгом доступе к критически важным ресурсам, массовом удалении документов и так далее. Таким образом, безопасность становится проактивной. Вместо того чтобы «ждать инцидент», система сама подскажет, когда что-то идёт не так. Узнать о таких ситуациях можно в разделе «Аномалии»:

• аномальная активность на хранилищах;
• аномальная активность сотрудников;
• аномальная активность по категориям.

Рисунок 33. Аномальная активность сотрудников в «Спектр | DCAP 3.9»

Раздел «Отчёты» содержит предустановленные отчёты, сгруппированные согласно их предназначению.

Рисунок 34. Предустановленные отчёты в «Спектр | DCAP 3.9»

Рисунок 35. Пример отчёта по дублирующимся файлам

Рисунок 36. Пример отчёта распределения файлов по расширениям в графическом виде

Система позволяет собрать информацию по всем файлам хранилищ с возможностью задать условия.

Рисунок 37. Задание условия для построения отчёта в «Спектр | DCAP 3.9»

Любой отчёт можно сохранить, экспортировать или настроить его рассылку по заданному расписанию. 

Модуль поиска по содержимому файла

Модуль поиска работает только при приобретении модуля классификации. Система выполняет полную индексацию данных, анализируя содержимое документов на этапе сканирования защищаемых хранилищ.  Индексация охватывает все форматы файлов, поддерживаемые системой. 

Поиск в интерфейсе доступен по фразе, регулярному выражению, файлу, автору контента. Имеется возможность фильтровать поиск по категориям, размеру и другим параметрам. 

Рисунок 38. Результаты поиска в «Спектр | DCAP 3.9»

Здесь пользователь может сразу посмотреть информацию о файле, найденном в поиске.

Рисунок 39. Детальная информация о найденном документе

Некоторые типы файлов система не поддерживает для предпросмотра, однако в этом случае их можно скачать.

Рисунок 40. Файл не поддерживается

Модуль переноса / удаления данных

Контролирует процессы перемещения и удаления данных. Для всех файлов системы предусмотрена возможность настройки правил переноса, перемещения данных, которые могут работать единожды, с запуском системы, так и по расписанию. 

Настройка правила перемещения включает:

• выбор типа данных для переноса (произвольные, дубликаты, неиспользуемые);
• настройку фильтров (путь, форматы, пользовательские флаги и прочее);
• тип запуска и параметры действия (переместить, удалить, единожды или по расписанию и другое);
• подтверждение созданного правила. 

Рисунок 41. Настройка правила перемещения в «Спектр | DCAP 3.9»

Модуль аудита доменов

Анализирует настройки Active Directory, включая списки пользователей с постоянными паролями, отключённые учётные записи, членство в группах безопасности и прочие параметры, фиксируя все события в системе. Помимо работы с Active Directory продукт поддерживает и работу с другими каталогами — ALD Pro и FreeIPA. В ближайшем релизе производитель обещает добавить поддержку РЕД АДМ.

В большинстве компаний вся экосистема — хранилища, доступы, учётные записи — завязана на корпоративный домен, а управление правами строится через группы, в которых пользователи получают или теряют доступ в зависимости от членства. Чтобы эффективно управлять доступами, необходимо разбираться в структуре домена: какие учётные записи в нём присутствуют, как устроены группы, какие права к ним привязаны и так далее. Вендор развивает эту функциональность в двух направлениях:  

1. Анализ состояния — позволяет оценить текущую конфигурацию домена (число групп в системе, количество пользователей, наличие пустых групп и другое). Это помогает понять, стоит ли тратить время на её оптимизацию или же текущее состояние не требует срочного вмешательства. 
2. Выявление скрытых рисков — автоматизированный анализ детектирует уязвимости внутри конфигурации домена (наличие избыточных привилегий, заброшенные учётные записи и прочее).

Результаты анализа — кликабельные, с переходом в структуру домена и наглядным отображением каждой отдельной сущности. Такой подход делает работу с доменами прозрачной и управляемой: сначала анализ, затем — выявление проблем, а уже после — оптимизация и снижение рисков.

Рисунок 42. Работа с доменами в «Спектр | DCAP 3.9»

Вендор предоставляет возможность получить графический анализ связей внутри домена, который позволяет визуализировать взаимосвязи между объектами. Для этого на странице «Домены» достаточно нажать «Анализ связей». 

Этот инструмент аналогичен функциональности BloodHound, которая используется злоумышленниками для картирования и эксплуатации уязвимостей в инфраструктуре. Хакеры могут с помощью указанного инструмента выявить критические точки, такие как учётные записи с правами администратора или сущности с высокими привилегиями. Далее они используют этот доступ для перемещения по сети, находя новые узлы и выстраивая стратегии для повышения привилегий.

Графический анализ помогает наглядно увидеть эти «узлы» и пути, по которым можно добраться до целевых объектов, что особенно важно для оценки и предотвращения угроз безопасности.

Рисунок 43. Анализ связей в «Спектр | DCAP 3.9»

Рисунок 44. Детализация узлов при анализе связей

«Спектр | DCAP 3.9» также позволяет определить факты делегирования полномочий в Microsoft Active Directory в виде рисковой метрики и отобразить отдельным блоком в параметрах безопасности элементов AD.

Рисунок 45. Делегирование полномочий в «Спектр | DCAP 3.9»

Пользователям доступен аудит происходящего в домене, что позволяет проводить классическую проверку действий, происходящих в сети. Однако действия здесь отличаются от контроля файловых ресурсов: отслеживаются такие события, как блокировка учётной записи, сброс пароля, изменение GPO-политик и другие важные действия внутри домена. 

Рисунок 46. Аудит домена в «Спектр | DCAP 3.9»

Рисунок 47. Детализация события в домене

На каждое событие или цепочку событий можно настраивать собственные инциденты с уведомлением в реальном времени и запуском кастомизированных скриптов, что позволяет автоматизировать некоторые рутинные операции администраторов ИТ. Например, при создании нового пользователя система может автоматически добавлять его в стандартный набор групп безопасности, а затем перемещать в нужный контейнер OU в зависимости от поля департамента сотрудника.

Модуль контроля активности баз данных

Модуль осуществляет автоматический сбор и анализ прав пользователей в СУБД, выявляет избыточные или нестандартные привилегии, а также выполняет классификацию обрабатываемых данных. Поддерживаются СУБД: PostgreSQL, Postgres Pro, Platform V Pangolin, Jatoba, MySQL, Microsoft SQL Server (MSSQL), Oracle.

Рисунок 48. Анализ баз данных в «Спектр | DCAP 3.9»

В системе реализован механизм регистрации активности в СУБД, включая содержание выполненных SQL-запросов и ответов на них. Это позволяет получать полную картину происходящего в базах данных и фиксировать как допустимые, так и потенциально нежелательные действия. Аудит поддерживается для СУБД: PostgreSQL, Postgres Pro, Platform V Pangolin, Jatoba и MSSQL.

По аналогии с аудитом файловых ресурсов и домена, на события СУБД можно также настраивать собственные инцидентные правила.

Рисунок 49. Аудит действий в «Спектр | DCAP 3.9»

Сводную информацию о состоянии защищаемых СУБД, активности пользователей и зафиксированных событиях можно просматривать в интерфейсе платформы на странице «Сводная информация».

Рисунок 50. Сводная информация о состоянии СУБД

Модуль защиты баз данных может являться составной частью платформы защиты данных «Спектр», позволяя в едином интерфейсе защищать как файловые хранилища, так и СУБД, а может внедряться как самостоятельное решение. Полное описание данного продукта не входит в этот обзор, поскольку выходит за рамки традиционных DCAP-систем.

Функция моделирования изменений прав доступа и членства в группе

Функция моделирования позволяет предсказать последствия изменений в инфраструктуре безопасности до их реализации, минимизируя риски. 

Рисунок 51. Моделирование изменений в «Спектр | DCAP 3.9»

Для этого необходимо на странице «Моделирование» пошагово проработать нужный сценарий. Система расскажет, к каким изменениям приведут те или иные действия. Например, при отзыве прав доступа у сотрудника к папке, с которой он регулярно работает, система сообщит, что при применении таких изменений на боевую среду данный сотрудник потеряет доступ к информации и вероятнее всего обратится в техническую поддержку. А вот если у сотрудника был доступ, но он им не пользовался, предупреждений от системы моделирования не будет. 

Другими словами, раздел моделирования — это инструмент по безопасному сокращению излишних и исторических прав доступа сотрудников без негативных последствий для бизнеса. 

Рисунок 52. Результаты моделирования в «Спектр | DCAP 3.9»

Архитектура «Спектр | DCAP 3.9»

«Спектр | DCAP 3.9» — это многомодульное ПО, которое предоставляет гибкость в развёртывании: оно может работать как на одном сервере или ВМ, так и быть кластеризовано для работы на масштабных инфраструктурах. 

Вендор рассказывает об инсталляциях, включающих 30–35 узлов, что говорит о том, что система может эффективно масштабироваться на десятки петабайт данных и поддерживать требуемую производительность при высоких нагрузках. Продукт масштабируется горизонтально (путём увеличения числа узлов), вертикально (увеличение мощности отдельного узла) и территориально (с распределением компонентов по различным площадкам).

Основные компоненты архитектуры:

1. Центр управления (он же мастер-узел) — единая точка для взаимодействия с системой и получения аналитики по безопасности. Отвечает за настройки, мониторинг и управление всеми аспектами системы. Здесь администраторы могут видеть информацию о текущем состоянии системы, настраивать оповещения, управлять отчётами и сценариями реагирования на инциденты.
2. Коллекторы собирают данные с разных источников. Они интегрируются с хранилищем данных и используют протокол, реализованный в самом хранилище, для мониторинга и сбора информации. Это позволяет сохранять независимость от локальных настроек и минимизировать влияние на работу серверов.
3. Агенты непрерывно отслеживают действия пользователей, фиксируют операции с данными и отправляют информацию в центральную систему для дальнейшего анализа.
4. Узлы сканирования выполняют анализ данных, пользовательские файлы не хранят. Они обеспечивают высокую степень безопасности, минимизируя риски, связанные с хранением конфиденциальной информации.
5. Подключаемые источники данных — файловые хранилища Windows, почтовые серверы Exchange, серверы SharePoint, решения для хранения данных Dell EMC и NetApp, Active Directory, файловые хранилища, UNIX/Linux.

Классификация данных, а также получение структуры хранилищ и прав доступа, происходят удалённо, что позволяет системе быть независимой от локальных настроек и снижать нагрузку на серверы.

Рисунок 53. Архитектура «Спектр | DCAP 3.9»

Продукт предлагает гибкие возможности для интеграции с другими решениями по информационной безопасности, чтобы обеспечить комплексную защиту данных и процессов в организации. Он включает полностью описанный REST API, благодаря чему можно наладить взаимодействие с решениями:

• по защите данных (DLP);
• управлению идентификацией и доступом (IDM),
• реагированию на инциденты (IRP) и другими инструментами. 

Продукт также включает готовые коннекторы для интеграции с популярными системами и платформами — Slack, Telegram, комплексами класса Security Information and Event Management (SIEM), ElasticSearch и Splunk.

Рисунок 54. Интеграции в «Спектр | DCAP 3.9»

Такая интеграция помогает работать решению в единой экосистеме с другими продуктами, улучшая координацию и ускоряя реагирование на инциденты, что в свою очередь повышает уровень общей безопасности в организации.

Системные требования «Спектр | DCAP 3.9»

Решение «Сайберпика» работает как на физических серверах, так и на виртуальных машинах. Минимальные требования к ресурсам без установки модуля поиска:

• число ядер ЦП — 8 с тактовой частотой не менее 2,0 ГГц;
• процессор должен поддерживать инструкции SSE, SSE2, SSE4_2, AVX;
• объём оперативной памяти — 16 ГБ;
• объём жёсткого диска — 200 ГБ.

В случае установки модуля поиска, который размещается вместе с другими серверными компонентами системы, требования к ресурсам возрастают:

• 10 ядер процессора с тактовой частотой не менее 2,0 ГГц;
• процессор должен поддерживать инструкции SSE, SSE2, SSE4_2, AVX;
• объем оперативной памяти — 20 ГБ;
• объём жёсткого диска — 200 ГБ.

В целом требования к системе рассчитываются на основании объёма используемых данных, численности сотрудников организации и заказанного набора модулей.

Графический интерфейс системы выполнен в виде веб-приложения. Доступ к нему возможен при использовании любого современного браузера.

Лицензирование «Спектр | DCAP 3.9»

Система лицензируется по модульному принципу. Базовый модуль — модуль аудита и анализа прав доступа. В дополнение к основному модулю можно взять специализированные модули:

1. Модуль аудита Microsoft Active Directory. 
2. Модуль классификации данных на защищаемых серверах.
3. Модуль инцидентов, оповещений и отчётов. 
4. Модуль поиска по содержимому файла. 
5. Модуль переноса / удаления данных. 

Модуль поиска по содержимому файла работает при приобретении модуля классификации данных защищаемых серверов.

Модульное лицензирование позволяет гибко настроить решение в зависимости от потребностей организации. По запросу клиента может быть предоставлена возможность кастомизации решения, чтобы оно максимально соответствовало специфическим требованиям и бизнес-процессам.

Применение «Спектр | DCAP 3.9»

«Спектр | DCAP» полезен компаниям из различных отраслей, где важны защита данных, соответствие требованиям и контроль утечек. Продукт решает широкий спектр задач, связанных с анализом и классификацией данных. Он выявляет конфиденциальную информацию, контролирует соответствие требованиям и обеспечивает безопасность без хранения файлов. Гибкие настройки и предустановленные правила позволяют адаптировать систему под различные сценарии использования. 

Анализ содержимого файловых хранилищ

Проблема: отсутствие понимания того, какая информация хранится на файловых серверах организации, что повышает риски утечек и затрудняет управление данными.

Задачи, поставленные перед «Сайберпиком»:

• провести анализ содержимого файловых хранилищ;
• выявить критическую и важную информацию;
• оптимизировать структуру хранения данных.

«Спектр | DCAP» установит, какие данные хранятся на файловых серверах: критически важную информацию, коммерческие данные, дубликаты и устаревшие файлы без обращений. Это позволит не только усилить защиту конфиденциальной информации, но и оптимизировать файловую инфраструктуру, освободив ресурсы и снизив издержки на хранение.

Аудит файловых хранилищ и расследование инцидентов

Проблема: сообщение сотрудников компании о том, что из системы пропали некоторые папки, файлы. 

Задачи, поставленные перед «Сайберпиком»:

• определить, были ли папки, файлы удалены кем-либо;
• отыскать копии утерянных данных, чтобы в дальнейшем их восстановить.

«Спектр | DCAP» отыщет дубликаты утерянных папок, файлов и покажет все действия, которые были совершены с их оригиналами. 

Анализ использования файловых хранилищ, прогнозирование их наполняемости

Проблема: отсутствие контроля над использованием хранилищ данных.

Задача, поставленная перед «Сайберпиком», — рационализировать использование хранилищ, предотвратив их заполнение ненужными файлами. 

«Спектр | DCAP» проанализирует используемые хранилища данных и предоставит отчёты:

• о файлах с самым большими объёмами, о файлах мультимедиа;
• о занимаемом месте в хранилищах определёнными форматами файлов;
• о дубликатах, их количестве и объёме;
• о неиспользуемых файлах с целью их дальнейшего удаления или переноса.

Система уведомит пользователя о случаях, когда в хранилище появится файл большего размера или заданного формата.

Поиск и классификация конфиденциальной информации

Проблема: конфиденциальные данные не защищены в соответствии с требованиями регуляторов.

Задачи, поставленные перед «Сайберпиком»:

• провести анализ содержимого хранилища;
• детектировать конфиденциальные данные и показать их местоположение;
• отобразить список сотрудников, имеющих доступ к важной информации.

«Спектр | DCAP» обнаружит конфиденциальную информацию и поможет классифицировать её (персональные данные, банковская тайна и так далее). Даст рекомендации и необходимые инструменты, позволяющие защитить важные данные в соответствии с законодательством России. 

Анализ прав доступа сотрудников на соответствие принципу минимальной достаточности

Проблема: у некоторых сотрудников превышены права доступа. 

Задача, поставленная перед «Сайберпиком» — изменить права доступа к хранилищу неструктурированных данных согласно политике «Доступ к минимально необходимой информации» без влияния на процесс работы сотрудников. 

«Спектр | DCAP» проанализирует все операции сотрудников компании с папками и файлами, на основании чего предоставит отчёт с рекомендациями по безопасному и эффективному сокращению доступа к данным без ущерба для рабочих процессов.

Выводы

«Спектр | DCAP 3.9» — отечественное решение для контроля и управления правами доступа, которое эффективно анализирует, классифицирует и защищает корпоративные данные. Система обеспечивает безопасность и соответствие нормативным требованиям, что делает её важным инструментом для организаций, стремящихся к прозрачности и контролю над доступом к информации.

Вендор продолжает развивать продукт, улучшая функциональность и внедряя новые возможности, опираясь на запросы клиентов, собственные исследования и опыт коллег. В планах компании — дальнейшая оптимизация интерфейса и расширение возможностей для более точной настройки доступа и защиты данных. Ожидается, что будущие обновления будут нацелены на улучшение автоматизации процессов и расширение интеграций с другими системами безопасности, что обеспечит ещё более высокий уровень защиты данных и гибкости в управлении правами доступа.

Достоинства:

• Обрабатывает миллионы событий в минуту за считанные секунды даже при большом массиве данных.
• Фиксирует каждое событие в системе. 
• Эффективное хранение — 100 миллионов событий занимают до 10 ГБ на жёстком диске.
• Не хранит у себя файлы пользователя. 
• Классифицирует файлы любых форматов, включая сложные и низкокачественные изображения.
• Отслеживает действия вирусов-шифровальщиков. 
• Автоматизирует реагирование на инциденты. 
• Сотрудники могут видеть только ту информацию, к которой у них есть доступ.
• Упрощает управление доменом, выявляя аномалии, избыточные права и скрытые риски доступа.
• Функция моделирования изменений прав доступа и членства в группе.
• Входит в реестр отечественного ПО, сертифицирован ФСТЭК России. 

Недостатки:

• Модуль поиска по содержимому файла работает при приобретении модуля классификации данных защищаемых серверов.
• Некоторые форматы для предпросмотра результатов сканирования система не поддерживает (ZIP, XPS, DOC, WEBA и другие). 
• Описание системных событий в журнале представлено на английском языке.