Почему периметра больше нет, а данные — везде.

Еще 10–15 лет назад парадигма информационной безопасности строилась вокруг защиты периметра. Мы возводили высокие «цифровые стены», настраивали межсетевые экраны и полагали, что всё, что внутри — в безопасности. Но цифровая трансформация, удаленная работа и взрывной рост объемов данных разрушили эту иллюзию.

Сегодня данные — это «новая нефть», которая течет везде: в локальных файловых шарах, в базах данных, в системах документооборота и на ноутбуках сотрудников. Согласно нашей статистике аудитов, до 80% корпоративной информации — это неструктурированные данные. Это «темная материя» инфраструктуры хранения: тысячи забытых отчетов, выгрузок из CRM, скан-копий паспортов в папках «Для сканирования» и исходных кодов в публичных репозиториях.

Раньше для защиты разных сред мы использовали разные классы решений:

•  для файлов — DCAP/DAG;
•  для баз данных — DAM;
•  для предотвращения утечек — DLP;
•  для управления правами — IdM.

Это породило «зоопарк» решений: разные консоли, несовместимые агенты, отсутствие единой корреляции инцидентов и колоссальная нагрузка на специалистов ИБ, отсутствие единой логики работы СЗИ, огромные затраты на содержание мультивендорной защитной инфраструктуры. Рынок и аналитики (включая Gartner) пришли к единственно верному эволюционному витку — концепции DSP (Data Security Platform).

В «Сайберпик» мы не просто следуем этому тренду, мы создали его российскую реализацию. Платформа защиты данных «Спектр» — это конвергентная экосистема, обеспечивающая защиту данных на всех этапах их жизненного цикла. В этой статье мы подробно разберем архитектуру платформы, функционал каждого модуля и реальные сценарии их применения.

 

Фундамент платформы: Спектр | DCAP

Сердце нашей платформы — система DCAP. Она отвечает за наведение порядка в файловых хранилищах. Но «Спектр» давно вышел за рамки простого аудита прав и действий с файлами.

✅Технологический суверенитет и всеядность

В текущих реалиях поддержка отечественного инфраструктурного и платформенного стека — это не опция, а необходимость. Мы обеспечили нативную поддержку широчайшего спектра систем:

 

✅Аудит и классификация: найти иголку в стоге терабайт

Главная проблема систем хранения данных — мы в реальности не знаем, что там лежит. Модуль классификации «Спектра» анализирует контент файлов позволяет находить чувствительный контент, используя внушительный набор категорий данных, как при помощи полнотекстового поиска, так и с использованием кастомизированного OCR и встроенных предобученных нейросетей:

✅Активная реакция: больше, чем просто наблюдение

Многие DCAP-системы работают исключительно в режиме «наблюдателя». «Спектр» же умеет ещё и действовать — мы реализовали мощный механизм активных реакций на инциденты:

Система через поведенческую аналитику (UEBA) или настроенную корреляцию цепочки событий детектирует, что учетная запись сотрудника начала массовые операции с файлами, похожие на работу вредоносного ПО, или аномальную выгрузку данных.

Реакция «Спектра»:

1. Агент DCAP на файловом сервере блокирует доступ конкретного пользователя к файловым операциям или запускается специально созданный скрипт с более сложной реакцией.
2. В то же время, отправляется обогащенное событие в SIEM, мессенджер и/или почту команды ИБ.
3. Администраторы СЗИ видят в интерфейсе «Спектра» развернутый лог по данному событию и приступают к анализу.
4. По окончанию времени действия активной реакции или по запросу администратора СЗИ, блокировка снимается.

✅Гигиена данных: работа с устаревшими, дублированными файлами (ROT)

Данные ROT (Redundant, Obsolete, Trivial) — это мусор, который стоит денег: места на СХД, времени бэкапа, затрат на администрирование.

«Спектр» позволяет различными механизмами определять (находить) варианты этих данных и далее работать с ними, в том числе автоматизированно.

Например:

— отчет по дубликатам или неиспользуемым файлам позволяет определить объем, количество и месторасположение таких данных;

— модуль переноса/удаления данных позволяет настраивать автоматические правила по поиску «ненужных» данных (с учетом месторасположения, типа, объема, контента, статуса работы с файлом и т. д.) и их удалению или перемещению на холодное хранилище для архивации.

 

Защита самого важного: «Спектр |

Структурированные данные в СУБД — самая лакомая цель для злоумышленников. В отличие от файлов, здесь важен каждый SQL-запрос и ответ на него.

✅Архитектура без потери производительности

Классический вопрос заказчиков: «Не замедлит ли DAM нашу базу?

Мы используем агентский подход или режим проксирования на выбор заказчика.

Легковесный агент устанавливается на инстанс СУБД. Агент забирает локальную копию трафика и передает её на сервер анализа «Спектр». Это гарантирует, что мы не работаем «в разрыв» и не создаем точку отказа или задержки для критических бизнес-процессов.

Режим прокси удобно использовать для снятия нагрузки с сервера СУБД, терминирования шифрованного трафика и построения защищённого периметра в будущем.

✅Проактивная защита и выявление подозрительных операций

Модуль DAM решает задачи:

1. Непрерывный аудит: кто, когда и какой запрос выполнил. Мы разбираем трафик до уровня SQL-команд, таблиц и полей.
2. Система позволяет определять матрицу прав и ролей пользователей СУБД для выявления рисков излишнего доступа к данным.
3. Классификация внутри БД. «Спектр» сканирует содержимое таблиц и подсвечивает такие сценарии, как «В таблице «clients» в столбце «comment» хранятся паспортные данные в немаскируемом виде».
4. Модуль инцидентного анализа позволяет создать и настроить массу цепочек корреляции событий для выявления определенных критичных, аномальных действий, а также уведомить о наступлении события и запустить необходимую скриптовую реакцию.

Примечание: в настоящий момент мы развиваем продукт в сторону активной блокировки вредоносных запросов (DBF) в режиме проксирования трафика.

 

Вовлечение пользователей в процесс защиты данных: «Спектр | Маркер» (Data Classification & IRM)

Использование только технических средств защиты от атак – недостаточно на практике. Необходимо также повышать культуру работы с данными самих пользователей. Модуль «Маркер» позволяет переложить часть ответственности за классификацию данных на самих авторов документов и при этом явно отображать данные метки конфиденциальности другим пользователям, чтобы они осознавали, с каким уровнем важности контента работают.

✅Визуальная и мета-маркировка

При сохранении или создании документа пользователю предлагается (или форсируется политикой) выбрать уровень конфиденциальности. Данная метка:

— ставится в видимые колонтитулы («Конфиденциально», «ДСП») в самом контенте документа (визуализация);

— прописывается в свойства файла (метаданные), что критически важно для других ИБ-систем – например, DLP в этом случае сразу видит метку от «Спектра» и применяет нужную политику блокировки без дополнительного контентного анализа;

—  учитывается в «Спектр | DCAP» при классификации контента, что позволяет дополнительно обогащать информацию о файле и работе пользователей с ним, создавать и настраивать различные политики по хранению и обработке промаркированных документов, определять аномальную активность.

✅Автоматизация и Криптоконтейнеры

Мы понимаем, что люди ошибаются или ленятся, поэтому предусмотрели несколько специальных механизмов по облегчению маркировки:

— авто-маркировка по месту: если файл попадает в папку «Финансовый департамент», он автоматически получает метку «Коммерческая тайна»;

— авто-маркировка в зависимости от контента: система на основе классификации содержимого документа предложит соответствующую метку, проверив файл по базе встроенных категорий;

— авто-шифрование (криптоконтейнеры): файл помещается в прозрачный для авторизованного пользователя криптоконтейнер, недоступный для прочтения за пределами организации или неавторизованным сотрудником.

Сценарий: Вы создаете строго конфиденциальный документ, присваиваете ему соответствующую метку и далее можете как вручную, так и автоматически поместить файл в криптоконтейнер, указав гранулярные права доступа к нему (только чтение, запрет снятия снимков экрана, копирования в буфер обмена, печати и пр.) для любого пользователя или группы безопасности. Это позволяет гарантировать отсутствие неавторизованного доступа к данным вне зависимости от того, где находится сам файл – сотрудники с доступом работают с документом обычным образом и ничего нигде дополнительно не указывают для открытия шифрованного документа, а лица без доступа открыть его просто не смогут.

 

«Корпоративный Google»: Спектр | Поиск

Когда происходит инцидент или нужно найти старый договор, стандартный поиск файлового менеджера ОС бессилен. Особенно, если искомый файл – это pdf, архив или скан. Мы используем иной, более функциональный подход, лучше всего раскрываемый через два сценария использования:

1. Инструмент офицера ИБ: мгновенный поиск по всему массиву данных с распознаванием картинок, сложных документов, архивов. Поиск по регулярным выражениям, по хешам файлов, по сочетанию слов (например, «Договор» + «Омега» на расстоянии не более 5 слов), образцам файлов. Это незаменимо для eDiscovery и расследований, а также проверки соблюдения НПА в части хранения ПДн.
2. Поисковик для сотрудников: мы можем развернуть «Спектр | Поиск» как сервис для бизнеса. Сотрудники получают удобный интерфейс поиска рабочих документов по всем подключенным к Спектру хранилища, при этом сотрудник увидит в поисковой выдаче только те документы, к которым у него есть права доступа на файловом сервере. Если доступа нет — файл даже не появится в результатах.

 

Простая IdM: «Спектр | Портал»

Главная боль ИБ — бесконечные заявки на доступ, особенно если это происходит через личную переписку, почту, таблицы в общем доступе. «Дайте доступ Иванову к папке Маркетинг». Офицер безопасности не знает, нужен ли Иванову этот доступ. Это знает только владелец ресурса, поэтому логично именно его и вовлечь в данный процесс.

✅Самообслуживание и Владельцы данных

«Спектр | Портал» реализует на практике концепцию владельцев ресурсов и позволяет сохранить наведенный ранее при помощи «Спектр | DCAP» порядок в правах доступа к ресурсам. Принцип работы достаточно прост:

1. Назначается «Владелец» ресурса (например, Руководитель отдела продаж для папки Sales).
2. Сотрудник запрашивает доступ через веб-портал (как в интернет-магазине).
3. Владелец (или другое согласующее лицо согласно маршруту согласования) получает уведомление и нажимает «Согласовать» или «Отклонить».
4. При согласовании системой автоматически выдаются права доступа к запрошенному ресурсу.
5. ИТ/ИБ получает прозрачный инструмент для согласования, аудита, пересмотра заявок, систему отчетности.

✅Временные права и Ресертификация

Доступы больше не выдаются «навечно». Возможно запросить или согласовать доступ только на определенный срок – по истечении срока «Спектр» автоматически отзовет права.

Также реализован процесс аттестации прав: владелец данных может в любой момент посмотреть список лиц, имеющих доступ к его папке, и исключить лишних или добавить недостающих, без участия администраторов.

 

Заключение. Сила платформенного подхода

Почему мы в «Сайберпик» утверждаем, что будущее за DSP, а не за точечными решениями?

Единое окно: Вы видите картину целиком. Инцидент в базе данных, странная активность в файловой папке и попытка выгрузки через облако — теперь это звенья одной цепи, доступные в едином дашборде. Сквозной функционал, вне зависимости от типов данных и поддерживаемых системой платформ (структурированные, неструктурированные) и их состояния (в покое, обработке или в движении), связанные единой логикой, отчетами, правилами и инцидентами – все это позволяет видеть картину целиком с минимальными затратами со стороны ИБ- или ИТ-специалистов.

Модульное лицензирование: Вы не обязаны покупать «звездолет» целиком. Начните с базовой комплектации – модуля аудита и анализа прав доступа, а затем добавьте модуль классификации, аналитики и DAM, когда будете готовы. Платформа растет вместе с вашей зрелостью.

Синергия модулей и решений в рамках платформы «Спектр»:

• «Маркер» позволяет назначить метку на документ или файл.
• DCAP видит эту метку и позволяет выстраивать различные срезы по активности с этим чувствительным документом или создавать кастомные цепочки корреляции событий с активной реакцией (при необходимости).
• Поиск позволяет найти все копии этого файла.
• DAM защищает данные, из которых этот файл был выгружен.
• Портал позволяет контролировать матрицу доступа пользователей и учетных записей, во избежание излишнего доступа к данным.

И это лишь самые общие принципы работы и возможности платформы. Всегда можно идти «глубже» и формировать правила, политики, инциденты и реакции с учетом реальной инфраструктуры, задач и правил организации, НПА.

Переход к платформе «Спектр» — это переход от реактивного «латания дыр» к прозрачному, управляемому процессу защиты данных. Данные — это актив, который необходимо брать под полный контроль.

Антон Здоров, инженер технического сопровождения продаж компании «Сайберпик»