Обычно DCAP-системы рассматриваются, как решения, контролирующие “данные в покое”, при этом они способны не просто анализировать пользовательские доступы к файлам, расположенным на внутренних хранилищах компании, классифицировать сами данные и анализировать права доступа к ним, но выступать как инструмент активной защиты. Современные DCAP-системы способны управлять самим месторасположением данных, минимизировать права доступа и блокировать нежелательные операции по действию с документами, в том числе выявляя и предотвращая действие вредоносного ПО. 

В рамках данного материала Сергей Добрушский, директор по развитию продуктов компании «Сайберпик», на примере DCAP/DAG-системы “Спектр” расскажет, насколько класс решений, изначально ориентированный на защиту данных, расположенных внутри периметра компании, способен бороться с постоянно растущими внешними атаками на предприятия.

Изначально отметим, что анализ проведенных атак на предприятия говорит о 2-х их типах. Первые направлены на выведение из строя различных информационных систем компании, и как следствие частичную или полную парализацию бизнес-процессов. Вторые же направлены на получение доступа к данным, учетным записям, с целью либо получения чувствительной информации, либо ее модификации и удаления. 

Кейс №1: Проникновение в сеть компании (с использованием настроенного VPN, либо перебора портов с целью выявления уязвимостей).

Учитывая, что ядром с точки зрения хранения учетных записей и их прав доступа является домен организации, часто при проникновении в сеть компании идет взаимодействие именно с ним. С точки зрения активности на домене такие взаимодействия проявляются в виде генерации различных событий контроллеров домена и определенного количества аномальных операций.

Система «Спектр» в режиме, приближенном к реальному времени, фиксирует абсолютно все операции на контроллерах домена, а при помощи модуля инцидентов и поведенческой аналитики сможет зафиксировать подобные нетипичные операции и их аномальные последовательности. В результате “Спектр” уведомит ответственных сотрудников и при необходимости может запустить ответные реакции в виде автоматически запускаемых скриптов и сценариев, блокирующих дальнейшие действия злоумышленника.

Кейс №2: Доступ к учетной записи (компрометация).

Практически любая атака с целью доступа к критичным данным требует получение доменной учетной записи, на которую завязан доступ к внутренним системам и ресурсам компании. DCAP-система фиксирует все попытки авторизаций на уровень домена, как успешные, так и неуспешные. Предустановленные политики (инциденты) позволят в режиме реального времени выявлять факты «нетипичного» доступа к УЗ сотрудника. Это могут быть как массовые неуспешные авторизации, так и события от привилегированных УЗ в нетипичное время. Все подобные события фиксируются «Спектром» в режиме реального времени с оповещением ответственных сотрудников и возможностью блокировки нетипичных операций.

Кейс № 3: Разведка и поиск критичных документов и почтовых писем, хранящихся на ресурсах организации (рабочие станции, почтовые сервера, файловые хранилища).

DCAP позволяет заранее проклассифицировать всю информацию, расположенную на файловых серверах и рабочих станциях организации. Классификация дает представление о том, где находятся критичные данные, покажет все места хранения ПДН (сканы паспортов, инн, снилс, и.т.д) и укажет риски с точки зрения неоптимально настроенных прав доступа к ним (документы в общем доступе, факты наличия прямых прав, и.т.д).

Настраиваемые политики позволят заранее ограничить доступ к такой информации и минимизировать права. Средствами автоматического переноса и удаления такие данные можно перенести в каталоги с ограниченным доступом, серьезно снизив риски нежелательного доступа к ним.

Кейс №4: Доступ и выгрузка критичных документов, а также выгрузка документов в единое место на промежуточные сервера компании.

«Спектр» в режиме реального времени фиксирует все пользовательские операции в части доступа к документам. Открытие, копирование, перемещение документов, в т.ч. носящие массовый характер, будут подпадать под инцидентные правила, на которые система может либо оперативно уведомлять сотрудников безопасности по различным каналам (email, telegram, siem), либо блокировать доступ к данной информации. 

Отдельно стоит отметить фиксацию любых неуспешных операций доступа к данным. В случае проведения разведки, которая проходит в автоматизированном или ручном режимах, многие операции заканчиваются ошибками со стороны файловой системы (недостаточные права, неверно заданные пути и названия файлов). Все подобные операции также находятся в зоне видимости DCAP/DAG-систем, и выявление их на раннем этапе способно остановить атаку еще до нанесения вреда организации.

Кейс № 4: Перенос собранных документов в централизованное место для последующей выгрузки за периметр компании.

Результаты расследования ряда крупных атак на предприятия показал, что массовые утечки документов, вследствии внешних проникновений, как правило имеют кумулятивный этап — этап накопления данных в периметре организации, и лишь потом происходит их массовая выгрузка.

Система «Спектр» в режиме реального времени следит за операциями создания и перемещения файлов на всех подконтрольных файловых серверах и рабочих станциях организации. В случае массовых фактов создания новых файлов, либо перемещения файлов в единое место, система выявит такой инцидент в режиме, приближенном к реальному времени, и сможет заблокировать последующие операции от данной учетной записи, либо же на данном хранилище.

Кейс № 5: Воздействие на уровень контроллеров домена с целью отключения служб и выхода из строя.

Часто для «заметания» следов в процессе атаки злоумышленники выводят из строя контроллеры домена, либо же пытаются изменить конфигурации для остановки ряда служб.  «Спектр» фиксирует абсолютно все операции, проводимые на уровне контроллеров домена. В случае выявления атаки на уровень AD система оперативно уведомит ответственных сотрудников, а также в собранных событиях безопасности подсветит изменяемые параметры для возможность восстановления прежней конфигурации контроллеров домена.

Также система «Спектр» на раннем этапе, проводя сканирование домена, выявляет риски, как в части неоптимальной конфигурации, так и неоптимальной настроенные права доступа к объектам (контейнерам, объектам, группам, и другим элементам AD).

Кейс №5: Запуск и распространения вредоносного ПО (вирусы шифровальщики) для парализации или усложнения восстановления работы организации.

В данном случае DCAP, фиксируя все операции доступа к файлам и все пользовательские операции, может оперативно выявлять и блокировать активности, типичные для любого вредоносного ПО (массовое переименование, архивирование, шифрование, изменение). Таким образом вредоносное ПО будет продолжать работать, но все попытки зашифровать ресурс будут оканчиваться ошибкой, т.к. такие операции будут заблокированы на уровне агентского ПО системы. Отдельно стоит отметить, что на первый взгляд такая нетипичная задача, как противодействие вирусному ПО, является достаточно частой именно для DCAP-систем. “Спектр” в данном случае не конкурирует, а дополняет антивирусное ПО, работая не на уровне сигнатурного анализа, а на уровне анализа активности каждого исполняемого файла, приложения и учетной записи.

Подводя итоги, отметим, что в статье представлены далеко не все этапы и способы кибератак, нацеленных на доступ к данным. При этом, как мы увидели, для зрелого DCAP/DAG-решения механизмы работы как в части анализа действий внутренних сотрудников, так и проникших в сеть компании внешних злоумышленников, крайне похожи. Со всеми инцидентами система “Спектр” может бороться начиная с первых дней после внедрения. 

Конечно же для выстраивания полноценной защиты компании одной DCAP/DAG-системы недостаточно. Но учитывая, что ряд фундаментальных информационных систем любой компании (таких, как служба управления доменом, почтовые сервера и файловые хранилища) находятся именно в зоне ответственности DCAP, подобные продукты все чаще занимают свое место в ИБ ландшафте ряда организаций.