Обзор Varonis DatAdvantage Cloud, сервиса для защиты данных в SaaS / IaaS


Обзор Varonis DatAdvantage Cloud, сервиса для защиты данных в SaaS / IaaS

Varonis DatAdvantage Cloud — это сервис для контроля доступа пользователей к публичным облачным сервисам (SaaS) и инфраструктурам (IaaS) и работы с критически важными данными в них. Он облегчает аудит полномочий пользователей и предоставленных прав доступа к данным, выявляет применение некорпоративных учётных записей. Наличие встроенных моделей угроз и возможность настроить свои собственные позволяет своевременно отслеживать и предотвращать атаки на корпоративные ресурсы.

Сертификат AM Test Lab

Номер сертификата: 355

Дата выдачи: 23.10.2021

Срок действия: 23.10.2026

Реестр сертифицированных продуктов »

  1. Введение
  2. Функциональные возможности Varonis DatAdvantage Cloud
  3. Архитектура Varonis DatAdvantage Cloud
    1. 3.1. Дашборды Varonis DatAdvantage Cloud
    2. 3.2. Compliance в Varonis DatAdvantage Cloud
    3. 3.3. Политики (модели угроз) Varonis DatAdvantage Cloud
    4. 3.4. Оповещения в Varonis DatAdvantage Cloud
    5. 3.5. Расследования в Varonis DatAdvantage Cloud
    6. 3.6. Отчёты в Varonis DatAdvantage Cloud
  4. Подключение Varonis DatAdvantage Cloud к облачной инфраструктуре компании
  5. Сценарии использования Varonis DatAdvantage Cloud
    1. 5.1. Анализ предоставленных прав доступа к файлам
    2. 5.2. ­Анализ учётных записей пользователей
    3. 5.3. Предотвращение действий киберпреступников
  6. Выводы

Введение

По данным Gartner, мировой сегмент облачных решений из года в год показывает устойчивый рост. Так, если в 2020 г. сегмент SaaS набрал почти 103 млрд долларов, то в 2021-м прогнозируется его прогресс на 20 % — до 123 млрд долларов. Прогнозируемый рост рынка IaaS по сравнению с 2020 годом — почти в 2 раза, с 64 до 123 млрд долларов. Эти цифры наглядно показывают тенденции как в мире, так и в России.

Какие преимущества есть у подобных решений? В первую очередь это отсутствие капитальных затрат и скорость внедрения новых сервисов — нет необходимости ожидать закупки серверных мощностей. Также это оптимизация организации доступа и возможность более гибко выстраивать бизнес-процессы. Облака — это возможность работать удалённо из любой точки мира в составе любой команды, где бы ни находились её члены.

Каковы недостатки облачных сервисов? Прежде всего — они принадлежат сторонней компании и утечка данных из неё может обернуться большими проблемами для бизнеса. Другая проблема — сервисы, располагаемые в облаках, могут стать доступными для злоумышленников (в случае применения социальной инженерии и других техник), которые используют корпоративную информацию в корыстных целях, таких как продажа конкурентам, публикация в СМИ, шантаж сотрудников компании. Не стоит исключать и сценарий, когда злоумышленники делают невозможной работу с конкретным сервисом через запуск одного или нескольких запросов к их API, предварительно получив необходимую информацию о среде (потоковое отключение пользователей и удаление объектов, запрет доступа с определённой территории / из адресного пространства и т. д.).

Даже если все эти риски будут приняты руководством, остаётся ряд проблем, с которыми сталкиваются все специалисты по информационной безопасности и системные администраторы. Первая такая проблема связана с актуальностью предоставляемых сотрудникам доступов и прав в целевых системах. Сколь бы ни был аккуратен и ответственен сотрудник, занимающийся предоставлением прав, всегда есть место человеческому фактору. Если же доступ предоставлялся не только корпоративным учётным записям, но и личным (и не только администраторами), то возникает проблема идентификации подобных аккаунтов и их отключения от корпоративных ресурсов с последующей чисткой прав доступа.

Следующая проблема — отсутствует полноценное журналирование активности пользователей на облачных ресурсах. Кто получил доступ к конфиденциальным материалам и что он с ними делал? Кто их скачивал? Кто, когда и как получил несанкционированный доступ к данным? Подобная информация будет очень полезна для расследования инцидентов и проведения анализа, а в облачных сервисах такой аналитики либо попросту нет, либо недостаточно.

Не менее важная проблема — потребность в мониторинге нестандартных действий пользователей и администраторов: доступ из нетипичных мест, создание новых привилегированных учётных записей и др.

Для решения обозначенных проблем известная международная компания Varonis Systems выпустила решение DatAdvantage Cloud.

Это направление было выбрано неслучайно. Начиная с 2005 г. компания целенаправленно развивала продукты связанные с аудитом активности пользователей в различных приложениях, хранилищах данных и платформах, а также анализом прав доступа, что позволило ей стать лидером в классе продуктов типа DAG (Data Access Governance, управление доступом к данным). В 2006 году компания разработала модуль контетного анализа данных (классикатор), а затем и модуль поведенческой аналитики. Постоянная работа над правилами классификации и моделями угроз способствовала становлению нового класса решений - DCAP (Data Centric Audit and Protection).

В 4-м квартале 2020 г. Varonis приобрела израильский стартап Polyrize, чей одноимённый продукт анализирует связи между пользователями и данными в различных облачных приложениях и сервисах. Интеграция возможностей Polyrize и опыта Varonis в области DCAP позволила создать продукт ориентированный на обеспечение безопасной работы с данными в публичных облачных приложениях и хранилищах.

Функциональные возможности Varonis DatAdvantage Cloud

Как уже было отмечено, DatAdvantage Cloud решает ряд проблем связанных с предоставлением доступа к конфиденциальным данным. DatAdvantage Cloud сопоставляет и преобразует права доступа в простую модель CRUDS, где C — возможность создания или загрузки документов или создания объектов, R — права на чтение или скачивание, U — права на обновление или внесение изменений, D — возможность удалять данные или объекты, S — предоставление прав доступа другим пользователям.

Ещё одна возможность системы — кросс-облачный анализ и расследование инцидентов в информационной безопасности. Для этого из анализируемых систем собираются события, которые затем унифицируются и обогащаются дополнительным контекстом. В итоге можно получить информацию по тому, каким внешним пользователям был предоставлен доступ в SaaS-приложение, используется ли многофакторная аутентификация (MFA) при доступе к облачным приложениям и хранилищам данных, какие изменения в конфигурации были совершены пользователями из списка наблюдения и т. д.

Varonis DatAdvantage Cloud производит мониторинг активности и оповещает об этом уполномоченных сотрудников в случае аномального поведения пользователя или подозрений на действия вредоносной программы. В системе есть ряд встроенных политик оповещения — скажем, в случае входа администратора без многофакторной аутентификации, авторизации пользователя после долгого перерыва, попытки XSS-атаки. Пользователи продукта могут также создать собственные политики оповещения.

Немаловажная возможность платформы — корреляция учётных записей сотрудников пользующихся корпоративными облачными сервисами. Собирая данные о пользователях сервисов, Varonis DatAdvantage Cloud коррелирует их в соответствии с определёнными принципами и, выявив те, которые с высокой вероятностью используются одним человеком, объединяет подобные аккаунты в одну «цифровую личность». Что примечательно, это касается не только корпоративных учётных записей, но и личных (или аккаунтов в иных организациях) — в случае если пользователь применял их при входе в корпоративные сервисы, находящиеся под контролем Varonis DatAdvantage Cloud.

Varonis DatAdvantage Cloud имеет встроенный инструмент для классификации загруженных в облачные системы данных — Compliance. Его модуль классификации, используя в т. ч. и функциональность оптического распознавания символов (например, в скан-копиях), анализирует документы и автоматически проставляет теги категорий данных. Также эти теги можно проставить и вручную.

В платформе есть в том числе и типовые шаблоны российских документов — паспорта, СНИЛС, заграничного паспорта.

 

Рисунок 1. Шаблоны российских документов в Varonis DatAdvantage Cloud

Шаблоны российских документов в Varonis DatAdvantage Cloud

 

На данный момент возможно применение только тех правил, которые идут «из коробки» и касаются небольшой области данных, что несколько ограничивает функциональность системы. Однако в дальнейшем планируется добавить разработку собственных правил, как и в традиционном продукте для мониторинга внутренней инфраструктуры заказчика и гибридных / облачных сред Microsoft.

Возможности Varonis DatAdvantage Cloud позволяют создавать собственные модели угроз, на основании которых будут коррелироваться события в подключённых облачных сервисах. Например, можно задать тип событий и определить конкретные параметры, в соответствии с которыми будет производиться оповещение: действие, учётная запись пользователя, изменения с точки зрения матрицы CRUDS. Можно задать пользователей, действия которых приведут к срабатыванию оповещения, тип объекта, с которым производятся действия, дни недели и время событий, IP-адреса пользователей и т. д.

В случае срабатывания по угрозе DatAdvantage Cloud оповещает заинтересованных лиц путём отправки сообщений на электронную почту, на телефон (SMS) и в Slack, а также на webhook. Платформа позволяет настроить многофакторную аутентификацию с отправкой письма на электронную почту либо звонком на телефон.

 

Рисунок 2. Пример настройки политики реагирования на действия внешних пользователей с персональными данными в Varonis DatAdvantage Cloud

Пример настройки политики реагирования на действия внешних пользователей с персональными данными в Varonis DatAdvantage Cloud

 

Ещё одна функция продукта, которая может сильно помочь при расследовании инцидентов в информационной безопасности, — отображение всех действий пользователя над контролируемыми объектами во время сессии. Таким образом фиксируется не отдельное действие, а целый их ряд.

 

Рисунок 3. Просмотр действий во время сессии пользователя

Просмотр действий во время сессии пользователя

 

Varonis DatAdvantage Cloud способен контролировать доступ к облачным сервисам, но пока не позволяет управлять учётными записями. Например, при увольнении сотрудника невозможно настроить блокировку его аккаунтов в контролируемых сервисах, но есть возможность построить отчёт обо всех связанных с отключёнными учётными записями сущностях и исправить ситуацию вручную.

На момент написания статьи Varonis DatAdvantage Cloud может работать со следующими публичными облачными сервисами: Zoom — платформа для организации веб-конференций; Slack — корпоративный мессенджер; Google Drive — облачный сервис хранения данных; Okta — решение для хранения и защиты аутентификационных данных для упрощения доступа к иным сервисам; Box — облачное хранилище данных; Jira — система управления проектами и реализации поставленных задач; GitHub — сервис хостинга проектов; AWS — облачная инфраструктура от Amazon; SalesForce — CRM-система.

Архитектура Varonis DatAdvantage Cloud

Веб-интерфейс Varonis DatAdvantage Cloud состоит из следующих компонентов: модуль панелей мониторинга (дашбордов), модуль политик (моделей угроз), модуль оповещений, модуль расследования инцидентов, модуль анализа соответствия требованиям, модуль отчётов.

Дашборды Varonis DatAdvantage Cloud

Панель мониторинга системы, наглядно показывающая информацию о защищаемых сервисах и платформах, открывается сразу при входе в Varonis DatAdvantage Cloud. 

В левой части дашборда содержится информация о тех событиях по информационной безопасности, которые до сих пор не обработаны.

В верхней части выводятся данные об активности пользователей в подключённых сервисах. Для удобства графики активности обычных и привилегированных сотрудников окрашены в разные цвета. Всплески активности пользователей, в особенности — привилегированных, должны стать объектом внимания со стороны ответственного сотрудника.

В центральной части содержится информация по двум показателям: неактивные пользователи (раздел «Identities») и критически важные ресурсы, к которым возможен доступ извне организации (раздел «Resources»). Первый показатель полезен тем, что позволяет находить «забытые» учётные записи и блокировать их доступ к подключённым системам. Секция «Resources», в свою очередь, разделена на два показателя: критически важные документы, доступные определённым внешним пользователям (Sensitive and Shared Externally), и документы доступные неопределённому кругу лиц (Public Files).

В нижней части дашборда видны срабатывания по настроенным и активным политикам (Triggered Policies), а также облачные сервисы, которые подключены к платформе.

Дашборды являются настраиваемыми: можно выбрать те, которые интересны для оперативного анализа. Также все панели кликабельны, позволяя «провалиться» в интересующую оператора статистику без перехода в другие разделы сервиса.

Compliance в Varonis DatAdvantage Cloud

Модуль Compliance необходим для классификации данных, расположенных на контролируемых облачных ресурсах, в соответствии с которой в дальнейшем можно также строить модели угроз и проводить анализ данных либо расследования. 

Политики (модели угроз) Varonis DatAdvantage Cloud

Для каждой подключённой к платформе системы «из коробки» подготовлены модели угроз, в соответствии с которыми происходит срабатывание и оповещение ответственного сотрудника о потенциальном инциденте в информационной безопасности. Администратор Varonis DatAdvantage Cloud определяет модели угроз, актуальные для подключённой системы или сервиса, и активирует те из них, которые соответствуют его задачам. У пользователей нет возможности просмотреть, какие правила корреляции применены по отношению ко встроенным моделям угроз. Однако есть возможность создать собственные и настроить их в соответствии с потребностями.

Оповещения в Varonis DatAdvantage Cloud

В Varonis DatAdvantage Cloud присутствует особый раздел для работы с событиями по информационной безопасности. 

Каждое событие имеет краткое описание и список, в соответствии с которым сработали модели угроз Varonis DatAdvantage Cloud. Например, в выбранном кейсе сотрудник скачал реестр сотрудников организации, который может содержать конфиденциальные данные.

По событиям можно пройти ещё дальше и посмотреть подробности тех или иных действий — например, увидеть технические детали подключения сотрудника или раскрыть тот фрагмент лога, который система посчитала подозрительным.

 

Рисунок 4. Анализ события по информационной безопасности и лога из подключённой системы в Varonis DatAdvantage Cloud

Анализ события по информационной безопасности и лога из подключённой системы в Varonis DatAdvantage Cloud

 

Инцидент считается отработанным только тогда, когда будет нажата кнопка «Close» в его карточке.

Кроме того, по анализируемым событиям из области информационной безопасности, попавшим в этот раздел, можно произвести поиск похожих записей с целью получить сведения о том, какие действия совершались ранее, до событий вызвавших реакцию конкретной политики.

Расследования в Varonis DatAdvantage Cloud

Раздел «Investigations» позволяет проанализировать данные, получаемые из подключённых сервисов, в разных разрезах: по формам активности, по используемым учётным записям, по размещённым активам. Также можно провести анализ соответствия выложенных активов каким-либо требованиям.

Пример подобного анализа представлен на рисунке 9. В разделе «Identities» показаны сведения о геолокации пользователей, типах учётных записей (внутренние, внешние, с правами администратора и т. д.). На этой же странице выводится информация в соответствии с заданными фильтрами.

 

Рисунок 5. Анализ учётных записей пользователей в Varonis DatAdvantage Cloud

Анализ учётных записей пользователей в Varonis DatAdvantage Cloud

 

Отчёты в Varonis DatAdvantage Cloud

Varonis DatAdvantage Cloud включает в себя ряд предварительно настроенных отчётов, позволяющих оперативно сделать выборку в соответствии с необходимыми критериями — например, по общедоступным файлам, как это показано на рисунке.

 

Рисунок 6. Раздел «Отчёты» в Varonis DatAdvantage Cloud

Раздел «Отчёты» в Varonis DatAdvantage Cloud

 

Подключение Varonis DatAdvantage Cloud к облачной инфраструктуре компании

Varonis DatAdvantage Cloud — это облачный сервис, поэтому его подключение к инфраструктуре не занимает много времени и усилий. Перед внедрением решения в компании проводятся полноценная демонстрация и тестирование с технической поддержкой вендора, во время которой инженеры Varonis помогают подключить и настроить все необходимые сервисы. Все необходимые действия по подключению Varonis DatAdvantage Cloud расписаны по шагам.

 

Рисунок 7. Инструкция по подключению облачных сервисов компании к Varonis DatAdvantage Cloud

Инструкция по подключению облачных сервисов компании к Varonis DatAdvantage Cloud

 

Сценарии использования Varonis DatAdvantage Cloud

Анализ предоставленных прав доступа к файлам

В разделе «Investigations» Varonis DatAdvantage Cloud агрегирует информацию по размещённым в облаке файлам и доступам к ним, а также визуализирует её в удобном для администратора виде.

 

Рисунок 8. Информация по конфиденциальным данным в Varonis DatAdvantage Cloud

Информация по конфиденциальным данным в Varonis DatAdvantage Cloud

 

Как видно из рисунка, в панели сведена статистика по выложенным материалам в соответствии с тегами: конфиденциальные, с предоставленным внешним доступом и другие. Информация о тегах может проставляться как вручную, так и автоматически по признаку расположения в определённой папке, на основании данных от классификатора и т. д.

Также на панели выведена информация о предоставлении доступа к подобным материалам: кем предоставлен доступ, кому, когда, откуда и к какому файлу.

Например, видно, что пользователь Josh Hammond предоставил сотруднику Allan Carey доступ к файлу «RMBudget». По нажатию на название файла система предоставляет информацию обо всех, кто имеет доступ к нему (внешние или внутренние пользователи) и с какими правами (модель CRUDS), а также показывает структуру папки, в которой находится исследуемый файл.

Одна из главных особенностей Varonis DatAdvantage Cloud — анализ и нормализация информации о том, кто имеет доступ и каким образом наследуются права доступа: от группы, роли, домена или по ссылке.

 

Рисунок 9. Анализ предоставленных доступов к файлу «RMBudget» в интерфейсе Varonis DatAdvantage Cloud

Анализ предоставленных доступов к файлу «RMBudget» в интерфейсе Varonis DatAdvantage Cloud

 

Переключив представление вида панели, можно увидеть список пользователей и групп, имеющих доступ к файлу.

 

Рисунок 10. Визуализация доступов к файлу «RMBudget» в Varonis DatAdvantage Cloud

Визуализация доступов к файлу «RMBudget» в Varonis DatAdvantage Cloud

 

Как видно, доступ к файлу имеют ряд внутренних сотрудников, целая группа учётных записей «polyrizelab.com» и даже группа «gsuite_anyone», которая, по сути, предоставляет доступ всем пользователям Google Drive (то есть любому пользователю интернета, использующему поисковую систему Google). С точки зрения информационной безопасности это — очень большой риск, т. к. файл является конфиденциальным и нелегитимный доступ к нему может привести к негативным последствиям.

­Анализ учётных записей пользователей

Varonis DatAdvantage Cloud имеет передовые аналитические инструменты для обработки сведений по пользователям подключённых систем. Прежде всего это касается информации о доступах. Платформа позволяет просмотреть, к каким ресурсам пользователь имеет доступ и с какими правами (по модели CRUDS).

 

Рисунок 11. Информация о доступах пользователя Allen Carey в Varonis DatAdvantage Cloud

Информация о доступах пользователя Allen Carey в Varonis DatAdvantage Cloud

 

Другая «фишка» платформы в части анализа пользователей состоит в возможности изучить все способы их доступа к системам (с использованием корпоративных и личных учётных записей) и свести эти данные в одну «цифровую личность», о чём мы упоминали выше.

 

Рисунок 12. Цифровая личность пользователя Allen Carey в Varonis DatAdvantage Cloud

Цифровая личность пользователя Allen Carey в Varonis DatAdvantage Cloud

 

Благодаря Varonis DatAdvantage Cloud офицер безопасности имеет информацию о том, что Allen Carey использует для доступа не только корпоративную учётную запись «acarey», но также и личную «allencarey141». Таким образом, в случае увольнения этого сотрудника и блокировки его корпоративных учётных записей существует риск, что личный аккаунт будет использоваться для получения доступа к конфиденциальным данным.

При дальнейшем исследовании оказывается, что так и есть. Учётной записи «allencarey141» предоставлен доступ к конфиденциальным данным.

 

Рисунок 13. Анализ прав доступа личной учётной записи Allen Carey в Varonis DatAdvantage Cloud

Анализ прав доступа личной учётной записи Allen Carey в Varonis DatAdvantage Cloud

 

Возможно ли узнать, использовалась ли учётная запись для реализации полученных прав доступа? Да, система способна показать и эту информацию. Как видно из рисунка ниже, Allen Carey просматривал, а затем скачал конфиденциальные документы.

 

Рисунок 14. Визуализация активности учётной записи в Varonis DatAdvantage Cloud

Визуализация активности учётной записи в Varonis DatAdvantage Cloud

 

Статистика по пользователям позволяет наглядно оценить ландшафт угроз информационной безопасности в используемых облачных сервисах: можно увидеть, сколько сотрудников обладают расширенными правами (администратор и суперадминистратор), сколько человек заходит в системы без использования многофакторной аутентификации, из каких стран происходит доступ к корпоративным сервисам и т. д. Результаты выборок можно гибко фильтровать в соответствии с заданными параметрами.

 

Рисунок 15. Статистика по доступу пользователей к корпоративным ресурсам

Статистика по доступу пользователей к корпоративным ресурсам

 

Отдельное внимание необходимо уделить возможности работы с логами в Varonis DatAdvantage Cloud. Платформа собирает информацию из подключённых сервисов и визуализирует их в понятном виде, позволяя в том числе фильтровать действия по определённым условиям. Исходные логи также доступны для просмотра в платформе.

 

Рисунок 16. Журнал действий пользователей в Varonis DatAdvantage Cloud

Журнал действий пользователей в Varonis DatAdvantage Cloud

 

Предотвращение действий киберпреступников

Рассмотрим ещё один распространённый сценарий, который может стать актуальным для любой организации. Предположим, что администратор стал жертвой фишинговой атаки, в результате чего были украдены его активные сессии и аутентификационные данные. Используя учётную запись администратора, киберпреступники создают новые аккаунты в различных сервисах, предоставляют им необходимые доступы. Varonis DatAdvantage Cloud поможет отследить подобную активность.

Используя встроенные политики реагирования на те или иные события и анализируя созданные на их основе оповещения, можно заметить целую цепочку событий: подключение к платформе с использованием TOR, получение расширенных прав, отключение многофакторной аутентификации, подключение из подозрительных (по географическому признаку) стран и т. д.

Сопоставляя все эти события, можно своевременно предотвратить дальнейшее распространение атаки на облачную инфраструктуру компании и найти предпринятые злоумышленником действия. Например, это могут быть создание, удаление, активация учётных записей.

 

Рисунок 17. Действия злоумышленника, выявленные в Varonis DatAdvantage Cloud

Действия злоумышленника, выявленные в Varonis DatAdvantage Cloud

 

Выводы

Varonis DatAdvantage Cloud — перспективное решение для контроля прав доступа к облачным сервисам. Сейчас это очень важно в силу популярности этих сервисов и тенденции к переезду в «облака». Varonis DatAdvantage Cloud позволяет в удобной форме получить полную информацию о параметрах и фактах доступа к ресурсам со стороны пользователей. Возможность отслеживания личных учётных записей, имеющих доступ к корпоративным информационным активам, позволит не только снизить вероятность их использования в нелегитимных целях, но и выявить недостатки процессов предоставления доступа, которые привели к таким последствиям. Корреляция логов даёт возможность своевременно обнаруживать и предотвращать атаки на корпоративные ресурсы, а классификация данных поможет легче проходить аудиты PCI DSS, GDPR, ISO 27001 и другие.

Достоинства:

  • Классификация данных в облачных средах.
  • Информативные дашборды.
  • Возможность просмотра всей сессии пользователя.
  • Наглядное отображение журналов подключённых систем.
  • Удобство подключения сервисов.
  • Гибко настраиваемые политики корреляции событий.
  • Русскоязычная поддержка от локальной команды инженеров Varonis в России.

Недостатки:

  • Ограниченный перечень поддерживаемых облачных сервисов.
  • Невозможность блокирования доступа уволенных сотрудников напрямую из сервиса (и других операций управления подключенными сервисами).
  • Невозможность сквозной передачи журналов подключённых сервисов во внешние системы (например, в SIEM).
  • Англоязычные интерфейс и поддержка во встроенном чате.

Реестр сертифицированных продуктов »

Записаться на демонстрацию
Запросить пробную версию
Запросить цены
Задать вопрос
Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.
Лаборатория AM Test Lab готова провести независимую экспертизу и добровольную сертификацию любого продукта или сервиса по информационной безопасности и подготовить его профессиональный обзор. Для получения дополнительной информации необходимо оформить запрос.