Защита периметра корпоративной сети обычно находится в центре внимания специалистов по ИБ и занимает большую часть их времени. При этом статистика IBM свидетельствует, что на обнаружение и устранение утечки данных компании уходит в среднем 280 дней. На протяжении 8 месяцев злоумышленники могут безнаказанно красть информацию, пока брешь не будет закрыта. Значительно усложнить им эту задачу помогают решения класса DCAP.
- Введение
- Зачем нужен DCAP
- Как работает DCAP
- На какие события реагирует DCAP
- Будущее систем DCAP
- Выводы
Введение
По мере усложнения ИТ-инфраструктур и увеличения количества способов хранения данных защита от утечек становилась всё более трудоёмкой. Огромные массивы неструктурированной информации, используемой и изменяемой множеством пользователей, постоянно растущая сложность атак — всё это приводит к тому, что привычные средства защиты периметра корпоративной сети перестают отвечать актуальным требованиям по ИБ.
Проблему в 2014 году сформулировала консалтинговая компания Gartner. Поскольку именно данные являются целью абсолютного большинства атак, компаниям и организациям нужно сфокусироваться на непосредственной защите конфиденциальной информации, где бы она ни находилась. Аналитики Gartner придумали для этого класса решений специальный термин – DCAP (Data-Centric Audit and Protection). Под ним подразумевались новые комплексные системы анализа и защиты, в фокусе внимания которых располагались бы сами данные, механизмы управления доступом к ним и возможные пути передачи.
Информация склонна распространяться со скоростью пропорциональной количеству пользователей. Они могут по простому неведению выложить секретный документ в папку с широким доступом, запросить себе ненужные привилегии по работе с файлами, хранить на локальном компьютере персональные данные клиентов и т. д.
Даже самые совершенные системы защиты, например, корпоративной СУБД не могут предотвратить сценарий, при котором пользователь снимает скриншот с конфиденциальной таблицы, а потом отправляет его по электронной почте неавторизованному получателю. Все эти и многие другие потенциальные угрозы и должны были устранить решения класса DCAP.
Зачем нужен DCAP
Термин, предложенный Gartner, во многом представляет собой концепцию подхода к построению корпоративной защиты, на базе которой затем внедряются те или иные инструменты. В практическом же плане DCAP базируется на системе контроля и управления доступом к неструктурированным данным — DAG (Data Access Governance), дополненной инструментами классификации этих данных и поведенческого анализа активности пользователей.
От прочих защитных средств, вроде бы выполняющих похожие задачи, DCAP отличает целый ряд свойств. Например, встроенные в операционную систему классификаторы данных не имеют достаточного контекста, который позволил бы им приоритизировать проверку недавно изменённых файлов или данных появившихся в папках с открытым доступом. К тому же встроенные средства не дают понимания, кто является бизнес-владельцем ресурса и как ограничение доступа к нему скажется на работе организации.
Аналогичные проблемы испытывают и распространённые сейчас системы предотвращения утечек данных — DLP (Data Leak Prevention). Они сосредоточены в первую очередь на проверке данных пересекающих защищаемый периметр, внутри которого может твориться что угодно.
Даже модные и очень дорогие системы управления событиями безопасности — SIEM (Security Information and Event Management) — обладают своими ограничениями и недостатками. В частности, они не располагают информацией о реальных правах доступа к данным или о присутствии в документах конфиденциальной информации, а так же не представляют, кто является бизнес-владельцем. Всё это приводит к недостаточной защите файловых ресурсов и к инцидентам в сфере ИБ.
В то же время системы DCAP, имеющие свои программные агенты на всех защищаемых хостах, обладают целым рядом преимуществ. Благодаря наличию агентов они существенно меньше нагружают систему, чем встроенный аудит активности самой ОС. При этом конфликты агентов с другим ПО в системе крайне редки и, как правило, вызваны неправильными настройками других средств обеспечения ИБ.
Системы DCAP (и DAG) также собирают права доступа к объектам для выявления излишнего уровня доступа у пользователей, классифицируют документы с целью нахождения критически важной информации, анализируют поведение сотрудников для выявления любых отклонений, а также предлагают инструменты по визуализации текущих рисков и готовую методологию по их сокращению.
Как работает DCAP
В системах DCAP защита пользовательских данных становится основной целью и задачей наивысшего приоритета. Для этого в первую очередь необходимо уметь разделять данные на конфиденциальные и открытые, определять их местонахождение и правила доступа к ним. Всё это определяет концепцию защиты.
Методология работы с DCAP-системой состоит из нескольких этапов, которые можно выполнять параллельно. На первом этапе она позволяет выявить текущие риски, проанализировав инциденты нарушения политик по работе с защищаемыми данными. Это помогает определить проблемные моменты, требующие внимания, и расставить правильные приоритеты.
На следующем этапе DCAP позволяет зафиксировать текущее состояние инфраструктуры путем настройки метрик, отчётов, уведомлений в режиме реального времени о каких-либо новых нарушениях, а также приступить к наведению порядка и минимизации обнаруженных рисков. Такие работы помогают сократить площадь потенциальной атаки в инфраструктуре и постепенно перейти к модели минимально необходимых привилегий. Владельцы данных начинают получать отчёты об активности на подконтрольных им ресурсах. Теперь они могут формировать запросы в отделы ИБ или ИТ для изменения прав доступа согласно текущим реалиям бизнеса. Выявляются случаи некорректного наследования прав доступа, проверяется наличие избыточных привилегий у сотрудников и пр.
Последним этапом идёт автоматизация. Настроенная служба уведомлений о потенциальных атаках или действиях инсайдеров помогает вовремя выявлять нежелательные события и автоматически реагировать путём запуска соответствующих скриптов. Пользователи начинают запрашивать доступ к ресурсам через портал самообслуживания, а заявка будет автоматически исполнена системой после прохождения цепочки согласования; тем самым удастся исключить человеческий фактор. Обнаруженные конфиденциальные данные в общедоступных каталогах будут автоматически перемещены в карантин с уведомлением сотрудников отдела ИБ.
Современные системы DCAP охватывают своей «заботой» любые источники информации: файловые и почтовые серверы, рабочие станции, корпоративные порталы, общие ресурсы и т. п. Контролируется и периметр сети: прокси-серверы, VPN и DNS, облачные решения — например, Microsoft 365 и G Suite, — а также различные сторонние онлайн-приложения.
Важным, хотя и редким пока элементом DCAP является модуль оптического распознавания текста, позволяющий выявить конфиденциальную информацию даже на скриншотах.
На какие события реагирует DCAP
В зависимости от принятых политик безопасности таких событий может быть множество. Среди наиболее распространённых можно выделить следующие:
- Конфиденциальная информация публикуется в общем доступе или ином неположенном месте.
- В группу доменных администраторов добавляются новые пользователи.
- Фиксируется нарушение поведенческого профиля — нестандартная активность со стороны пользователя, например внезапные массовые обращения к ранее не используемой конфиденциальной информации.
- Взлом перебором паролей.
- Попытка доступа к инфраструктуре из нестандартных локаций через VPN.
- Вывод информации через DNS или прокси.
- Другие, более сложные модели.
Можно настроить автоматическое реагирование на определённые события. Например, при обнаружении конфиденциальных данных в открытом виде или с нарушением политики размещения система может перенести данные в карантин, оставив вместо файла «заглушку» с описанием проблемы и контактами службы ИБ. С другой стороны, автоматизировать можно и перенос неиспользуемых данных в архив — для уменьшения площади потенциальной атаки.
Будущее систем DCAP
Системы DCAP активно развиваются в сторону всё большей автоматизации процессов. По мере повышения зрелости технологии всё меньше работы придётся делать вручную, гораздо проще будет привести инфраструктуру в соответствие лучшим отраслевым практикам.
Массовый переход сотрудников на удалённую работу и повсеместное внедрение облачных технологий тоже окажут своё влияние на развитие DCAP. Эти факторы будут стимулировать заказчиков использовать не только базовую, но и всё более специализированную функциональность DCAP.
Кроме того, граница между различными решениями для контроля доступа постепенно размывается, так что впереди нас вполне может ждать время, когда DCAP включат в себя возможности свойственные сейчас решениям классов DLP и IdM (Identity Management).
Современные решения DCAP представляют собой единые платформы кибербезопасности и не ограничиваются отдельно взятыми несвязными функциями. Они «заточены» на решение реальных бизнес-задач по управлению неструктурированными данными. Другими словами, все доступные инструменты составляют гармоничную экосистему и являются элементами общей методологии по выявлению и сокращению рисков, наведению и поддержанию порядка, а также последующей автоматизации процессов.
Выводы
Задач, стоящих перед специалистами по ИБ, не становится меньше. Количество угроз растёт, а нападения становятся всё более изощрёнными. В такой ситуации заботиться необходимо не только о предотвращении вторжений, но и о прямой защите главной цели злоумышленников — конфиденциальных данных. Решения DCAP позволяют автоматизировать этот процесс и превратить корпоративную сеть в среду препятствующую развитию атаки на каждом её шаге.