Основной функцией любой DAG/DCAP системы является отслеживание активности пользователей на файловых ресурсах и анализ текущих привилегий с целью выявления и сокращения существующих рисков, связанных с некорректной настройкой прав доступа. Данные возможности позволяют эффективно контролировать привилегии к ресурсам, снижать площадь потенциальной атаки, расследовать инциденты и реагировать на аномалии в поведении пользователей.
Конечно же не стоит забывать о возможности системы классифицировать данные для выявления местонахождения критичных и конфиденциальных документов с последующей настройкой политик их размещения. С данным функционалом вы можете ознакомиться в нашей предыдущей статье.
Механизм сбора событий зависит от платформы, за которой производится наблюдение. Любая современная DCAP-система должна, как минимум, обладать возможностью работы с самыми популярными платформами Windows и Linux через собственные низкоуровневые агенты, так как использование встроенного механизма аудита крайне негативно влияет на производительность файлового сервера. К тому же настройки встроенного аудита требуют постоянного контроля на уровне каждой общей папки, коих может быть несколько сотен и даже тысяч в крупных организациях. При этом для новых папок нужно каждый раз не забывать настаивать всё с нуля. В результате это превращается в настоящий кошмар администратора с высоким шансом на ошибку и, как результат, вероятность отсутствия аудита части папок именно в момент, когда произошёл какой-либо инцидент.
В противоположность этому агентский сбор позволяет перехватывать абсолютно все события операций ввода-вывода, что позволяет защищаться от вирусов-шифровальщиков, в том числе работающих на уровне операционной системы, а не из-под учётной записи какого-либо пользователя. Требования к ресурсам у агента достаточно скромные: около 50-80 МБ RAM, менее 2% CPU (при мощности ядра ~2.2 ГГц) и до 100 МБ на жестком диске (по умолчанию) для локального буфера событий на случай потери связи с основным сервером системы. В результате мы получаем идеальный вариант аудита событий вне зависимости от объёма файлового сервера или количества работающих на нём пользователей.
Сам по себе факт сбора и хранения данных об активности пользователей несильно интересен для решения насущных задач со стороны ИБ. Да, он позволяет технической поддержке или сотрудникам ИТ при необходимости быстро отвечать на вопросы уровня «куда делся мой файл/папка» через соответствующий поиск по частичному совпадению имени файла и операциям удаления, переименования или перемещения. Да, всегда можно поднять старый лог действий в случае, если у нас была выявлена утечка данных и нам необходимо понимать, каким образом это произошло.
Но первичная цель системы – это выявление нелигитимной или аномальной активности сотрудников, сервисных или административных УЗ ещё до того, как произойдёт утечка, и оперативного реагировать на такие инциденты. Важно не ждать самой утечки, когда уже поздно что-либо предпринимать (за исключением проведения расследования), а превентивно реагировать на любую подозрительную активность и методично снижать площадь атаки путём последовательного сокращения матрицы доступа до уровня минимально необходимых привилегий.
С помощью аудита действий можно выявлять попытки сотрудников перед увольнением копировать критичные данные, удалять или модифицировать (портить) чувствительную информацию, и блокировать вирусов-шифровальщиков. А в качестве превентивных мер следует заранее проанализировать все существующие риски, связанные с некорректно настроенными или излишними привилегиями на файловых ресурсах, т. е. провести аудит прав доступа.
С технической точки зрения сбор данной информации проводится путём регулярного сканирования структуры и метаданных каталогов и файлов по расписанию на различных файловых ресурсах. Сканирование осуществляется по выбранному протоколу – чаще всего это CIFS/SMB, но любая зрелая DCAP система также должна также поддерживать и альтернативные протоколы, такие как NFS, SFTP, SSH и другие. Результаты сканирования загружаются в базу данных и на их основе можно строить как различные динамические срезы объект (папка / файл) – субъект (пользователь / группа / сущность) или субъект – объект (матрица доступа сотрудника или группы), так и аналогичные отчёты и подписки в зависимости от интересующих задач.
Сканирование с точки зрения нагрузки сопоставимо с действиями обычного пользователя на файловом ресурсе в режиме чтения и не оказывает какого-либо существенного влияния на производительность самого сервера. Поэтому его можно запускать даже днём во время активной работы пользователей на файловых ресурсах.
Современная DAG/DCAP система должна подсвечивать все проблемные места, с точки зрения рисков утечки данных, таких как: полные привилегии у обычных сотрудников, общедоступные каталоги или данные, глубоко расположенные объекты с уникальными правами, прямые разрешения в обход групп безопасности, наличие создателей-владельцев, несоответствие фактических прав доступа наименованию групп и т. д. Такую информацию по анализу разрешений почти невозможно получить встроенными средствами из-за их крайне ограниченных возможностей, что зачастую и являются первоисточником многих проблем – никто не понимает реальных разрешений, не знает места хранения критичных данных и не до конца понимает все особенности системы прав доступа.
Именно поэтому решения класса DCAP должны не только представлять данные риски в виде настраиваемых метрик с возможностью кастомизации под особенности инфраструктуры организации, но и в виде отчётов и подписок для отслеживания трендов и оценки объёма предстоящих работ по «наведению порядка». В итоге это позволяет расставлять приоритеты в зависимости от степени негативного влияния на общую безопасность и отслеживать прогресс оптимизации структуры прав.
Система «Спектр» позволяет решать следующие ИТ и ИБ задачи:
Иван Дудоров, руководитель группы поддержки продаж компании «Сайберпик»