Обзор Спектра 2.7, системы управления неструктурированными данными (DAG / DCAP)

Обзор Спектра 2.7, системы управления неструктурированными данными (DAG/DCAP)


Обзор Спектра 2.7, системы управления неструктурированными данными (DAG/DCAP)

«Спектр» — российская система классов DAG / DCAP, разработанная для комплексной защиты хранилищ неструктурированных данных. Продукт предназначен для выявления и предотвращения угроз в таких областях, как действия пользователей, места хранения конфиденциальных данных и права доступа сотрудников. «Спектр» не только выявляет инциденты связанные с неоптимально настроенными правами доступа, но и определяет факты проникновения вирусов-шифровальщиков с возможностью блокировки.

Сертификат AM Test Lab

Номер сертификата: 374

Дата выдачи: 27.03.2022

Срок действия: 27.03.2027

Реестр сертифицированных продуктов »

  1. Введение
  2. Функциональные возможности системы «Спектр»
  3. Архитектура системы «Спектр»
  4. Системные требования комплекса «Спектр»
  5. Как работает система «Спектр»
    1. 5.1. Анализ структуры и прав доступа к данным
    2. 5.2. Классификация данных
    3. 5.3. Аудит действий пользователей
    4. 5.4. Выявление инцидентов и реагирование на них
    5. 5.5. Поведенческая аналитика
    6. 5.6. Моделирование изменения прав доступа
    7. 5.7. Работа с отчётами
    8. 5.8. Корпоративный поиск
  6. Выводы

Введение

По оценке Gartner 80 % корпоративных данных являются неструктурированными. В основном это — файловые ресурсы, предназначенные для совместной работы сотрудников различных подразделений. Объём этих данных ежегодно растёт на 30 %. Среди неструктурированных данных находятся как важные коммерческие сведения, требующие ограниченного доступа со стороны сотрудников, так и информация, которая не используется в бизнес-процессах, но занимает место в хранилищах, снижая производительность файловых серверов. Доля последней может составлять до 60 % от общего объёма данных на файловых серверах.

Рост объёмов неструктурированной информации влечёт за собой и рост количества уязвимостей. Итоги 2020 и 2021 годов показали, что неструктурированная информация, в частности конфиденциальные сведения, которые хранятся в общем массиве данных, чаще всего становятся целью атак вирусов-шифровальщиков. В 2020 году 45 % атак на организации происходили с применением именно этих вредоносных программ.

Увеличение числа уязвимостей приводит к тому, что решения класса DAG, которые предназначены для управления неструктурированными данными и контроля операций с ними, входят в список важных инфраструктурных элементов систем ИБ.

 «Спектр» версии 2.7 — отечественная разработка для контроля неструктурированных массивов данных (файловые серверы на базе как Windows Server, так и Linux, включая сертифицированные операционные системы, порталы SharePoint, Exchange, облачные хранилища, контроллеры домена и др.) и управления ими. Система решает много задач, начиная от аудита прав доступа и классификации данных в соответствии с предустановленными и настраиваемыми категориями и заканчивая поведенческим анализом действий сотрудников для выявления аномальной активности. Система входит в реестр отечественного ПО и проходит сертификацию во ФСТЭК России.

Функциональные возможности системы «Спектр»

Функциональные возможности системы «Спектр» позволяют решать задачи информационной безопасности и ИТ в широком диапазоне:

  • аудит действий пользователей,
  • аудит событий контроллеров домена,
  • контентная классификация документов, расположенных в защищаемых хранилищах,
  • двунаправленный анализ прав доступа сотрудников,
  • выявление фактов неоптимального использования файловых хранилищ,
  • моделирование изменения прав доступа,
  • автоматизация реагирования на инциденты с целью предотвращения потенциальных хакерских атак,
  • блокировка действий вирусов-шифровальщиков и многое другое.

Система «Спектр» является российской разработкой, обладающей полным функциональным паритетом с зарубежными решениями класса DAG / DCAP. При этом система имеет ряд серьезных преимуществ. Например, она включает в себя модуль детектирования скан-копий документов, построенный на основе нейронных сетей, а также модуль поведенческой аналитики, который позволяет выявлять всплески активности, связанные с нетипичными действиями сотрудников, в режиме приближенном к реальному времени. Архитектура продукта, в том числе внутренняя подсистема хранения данных, построена на основе баз данных NoSQL, что позволяет анализировать сотни миллиардов событий аудита и строить по ним различные отчёты в интерактивном режиме.

Архитектура системы «Спектр»

Реализация функциональных возможностей в части аудита доступа к защищаемым хранилищам достигается в системе «Спектр» за счёт установки агентов на аудируемые серверы. Агенты не требуют интеграции со штатными средствами логирования, что позволяет не зависеть от уровня протоколирования, включённого на серверах.

Коллекторы (агрегаторы) являются единым серверным модулем продукта. Они собирают события аудита с агентов, анализируют структуру файловых серверов либо контроллеров домена, сканируют и классифицируют содержимое документов. Также коллекторы отвечают за поведенческий анализ, построение отчётов, интеграцию со внешними системами. В сети может быть развёрнуто несколько коллекторов, что позволяет добиться повышения производительности системы, отказоустойчивости и масштабирования «Спектра» на филиалы компании.

Единый центр управления представляет собой веб-консоль, из которой можно осуществлять как работы по администрированию системы, так и пользовательские операции с использованием её функциональных возможностей и накопленных данных.

 

Рисунок 1. Архитектура системы «Спектр»

Архитектура системы «Спектр»

 

«Спектр» лицензируется по модульному принципу, в зависимости от количества учётных записей и типов защищаемых хранилищ.

В базовый набор входит модуль аудита и анализа прав доступа.

Отдельно приобретаются следующие модули:

  • Модуль аудита Microsoft Active Directory.
  • Модуль классификации данных защищаемых серверов.
  • Модуль поведенческой аналитики, оповещений и отчётности.
  • Модуль поиска по содержимому файлов.

Перечень модулей и их предназначение указаны в таблице 1.

 

Таблица 1. Перечень модулей системы «Спектр»

Модуль

Назначение модуля

Базовая поставка

Модуль аудита и анализа прав доступа

Позволяет осуществлять фиксацию всех операций с данными на защищаемых серверах (чтение, удаление, переименование, копирование и др.), а также, в ряде случаев, выполнять активные действия для предотвращения развития потенциальных инцидентов в информационной безопасности. Модуль даёт возможность получать и представлять пользователям системы двунаправленную матрицу доступа к данным, включая анализ структуры каталогов — файлов защищаемых серверов, структуры организации, полученной посредством интеграции с контроллером домена, и прав доступа, извлечённых из ACL.

Дополнительные функции

Модуль аудита Microsoft Active Directory

Осуществляет фиксацию событий связанных с функционированием Active Directory: создание / изменение / удаление учётных записей и других объектов, факты успешной и неуспешной авторизации, блокировки, активации, отключения учётных записей и др.

Модуль классификации данных защищаемых серверов

Позволяет получать информацию о наличии в файлах на защищаемых серверах той или иной критически важной информации, такой как кредитные карты, ПДн, финансовая информация и другое (более 230 категорий). Модуль включает в себя возможность распознавания изображений на базе технологий OCR, а также распознавания шаблонов изображений на основе предварительно обученных нейронных сетей.

Модуль поведенческой аналитики, оповещений и отчётности

Позволяет строить модель типичного поведения пользователей, обращающихся к защищаемой информации, а также выявлять отклонения от их стандартного поведения. В графическом виде предоставляет различные срезы информации (результаты аудита), такие как: перечень самых востребованных ресурсов (файлов), список пользователей, которые осуществляют с данными больше всего операций того или иного характера, определение бизнес-владельцев документов и т. д. Также модуль позволяет отправлять результаты аудита в SIEM-системы и уведомлять сотрудников компании о потенциальных инцидентах по электронной почте.

Модуль поиска по содержимому файлов

Обеспечивает полнотекстовое индексирование и быстрый поиск по содержимому файловых ресурсов.

 

«Спектр» осуществляет аудит, классификацию и анализ прав доступа для большого числа различных хранилищ неструктурированных данных, в т. ч. уникальных для решений класса DAG / DCAP. Среди них присутствуют:

  • файловые серверы под управлением ОС Microsoft Windows Server, включая DFS;
  • почтовые серверы Microsoft Exchange, включая Exchange 365;
  • серверы контроллера домена Microsoft Active Directory, включая Azure AD, Novell eDirectory;
  • порталы Microsoft SharePoint, включая SharePoint 365;
  • файловые хранилища DELL EMC, NetApp, Synology;
  • облачные файловые хранилища Nextcloud;
  • файловые хранилища на основе ОС семейства Linux: Ubuntu, Debian, CentOS, RedHat, Fedora и их производных, а также Astra Linux и РЕД ОС;
  • внутренние системы базы знаний Atlassian Confluence;
  • система отслеживания ошибок Atlassian Jira;
  • системы хостинга проектов и совместной разработки BitBucket.

Системные требования комплекса «Спектр»

«Спектр» может функционировать как на физических серверах, так и на виртуальных ресурсах. Минимальные системные требования для компонентов системы приведены в таблице 2.

 

Таблица 2. Минимальные системные требования для компонентов «Спектра»

Компонент

Системные требования

Совмещённое решение

Количество ядер ЦП

8, частота не менее 2 ГГц

Объём оперативной памяти, ГБ

16

Объём жёсткого диска, ГБ

200

Все компоненты

Операционная система

Ubuntu Server 18.04, 20.04

CentOS 7.4–7.9

Red Hat Enterprise Linux 7.4–7.9

Astra Linux, релиз Orel 2.12

РЕД ОС 7.3 и выше

Агент

Операционная система

Microsoft Windows Server 2008 и новее

Microsoft Windows XP и новее

Ubuntu Server 18.x и выше

RHEL / CentOS 7.x

Astra Linux, релиз Orel 2.12

РЕД ОС 7.3

АРМ оператора

Веб-браузер

Google Chrome версии 60.0.3112 и выше

Mozilla Firefox версии 52 и выше

Microsoft Edge

«Яндекс.Браузер» версии 17.6.1 и выше

 

«Спектр» — это готовое «коробочное» решение, которое можно быстро интегрировать в любую, даже сложную, инфраструктуру.

После установки становятся доступны более 300 правил, отчётов и категорий, разработанных на основе лучших практик в области информационной безопасности. Они позволяют закрыть актуальные проблемы ИТ- и ИБ-департаментов.

Как работает система «Спектр»

Система обеспечивает решение комплекса задач по безопасности неструктурированных данных и прав доступа к ним. Рассмотрим, какие этапы включает в себя этот комплекс:

  • Классификация данных.
  • Определение имеющихся прав доступа и выявление рисков.
  • Использование аудита доступа к данным для расследования инцидентов.
  • Настройка инцидентов и выявление аномальной активности.
  • Реагирование на выявленные нарушения.
  • Оптимизация использования файловых хранилищ.
  • Цикличность поддержания безопасности файловых хранилищ.

Разберём далее функциональные возможности модулей системы «Спектр», задействованные на каждом этапе. Необходимо сразу отметить, что поскольку функциональные возможности системы весьма разнообразны, охватить их все в одном обзоре не получится.

Анализ структуры и прав доступа к данным

Модуль аудита и анализа прав доступа является ядром системы «Спектр». На основе данных о структуре защищаемых хранилищ, прав доступа к ним и действий сотрудников строятся остальные возможности продукта.

Система «Спектр» собирает информацию о структуре каждого защищаемого хранилища, а также контроллеров домена, входящих в инфраструктуру организации.

Для интеграции с защищаемыми хранилищами требуется технологическая учётная запись с привилегиями только на чтение структуры и содержимого. При этом «Спектр» обладает возможностью инкрементального сканирования: процедура анализа структуры и содержимого файловых серверов запускается с заданной периодичностью и при каждом последующем сканировании анализируются только новые и изменённые файлы, что снижает нагрузку и повышает скорость реакции.

Первичная настройка подключённых хранилищ производится в разделе «Хранилища».

 

Рисунок 2. Информация о хранилищах, подключённых к системе «Спектр»

Информация о хранилищах, подключённых к системе «Спектр»

 

Из этого же раздела можно перейти ко структуре подключённого хранилища с целью анализа содержимого и прав доступа.

 

Рисунок 3. Информация о структуре хранилища, подключённого к системе «Спектр»

Информация о структуре хранилища, подключённого к системе «Спектр»

 

 

Анализ прав доступа осуществляется в этом же разделе. Рядом с пользователями описаны предоставленные им доступы к указанной папке или файлу. Система «Спектр» оперирует «эффективными» правами доступа, детализация которых отображается при нажатии на их обозначения.

 

Рисунок 4. Информация о правах доступа пользователей к выбранному файлу, полученная из системы «Спектр»

Информация о правах доступа пользователей к выбранному файлу, полученная из системы «Спектр»

 

Рисунок 5. Детализация прав доступа

Детализация прав доступа

 

Отчёт по правам можно сформировать во двустороннем порядке, выбрав интересующего нас сотрудника или группу безопасности. В этом случае система отобразит все доступные ресурсы с указанием детализированных прав доступа к каждому из них.

 

Рисунок 6. Двунаправленная матрица доступа

Двунаправленная матрица доступа

 

Классификация данных

Модуль классификации данных позволит увидеть места хранения критически важной для компании информации с уже определёнными правами доступа к ним.

В «Спектре» есть более 230 предустановленных категорий для выявления персональных данных, документов подпадающих под стандарты, такие как GDPR, PCI DSS и др., и под требования российских регуляторов, а также для обнаружения информации из конфигурационных файлов, баз паролей, токенов и многого другого.

Поиск конфигурационной информации, реализованный в системе, нетипичен для решений этого класса и позволяет анализировать содержимое различных репозиториев и других мест хранения исходного кода.

Пользователь может создавать свои категории для последующей классификации документов в зависимости от решаемых задач. При этом документы и изображения анализируются независимо от уровня вложенности, а для архивов с паролями есть возможность автоматизированного подбора последних. Использование встроенного модуля OCR позволяет распознавать текстовое содержимое в изображениях с точностью до 95 %, даже если изображение перевёрнуто.

 

Таблица 3. Перечень поддерживаемых модулем классификации форматов

Тип файла

Формат


Офисные файлы

Текстовые файлы, форматы документов Microsoft Office, OLE 2 Compound Document (Microsoft Office 97), Office Open XML (OOXML) (Microsoft Office 2007 и выше), OpenDocument — формат документов OpenOffice / LibreOffice, RTF (Rich Text Format), XML (Extensible Markup Language) и производные от него, PDF (Portable Document Format)

Архивы 

TAR, RAR, AR, CPIO, ZIP, 7-ZIP, GZIP, BZIP2, XZ, Pack200

Файлы с исходными кодами на языках программирования


С, С++, Java, Groovy

Форматы CAD-систем

DWG

Графические файлы (при включённой функциональности OCR)


BMP, JPEG, PNG, TIFF

Иные форматы

HTML (HyperText Markup Language), EPUB (Electronic Publication Format), iWorks

 

В «Спектре» присутствует особый механизм детектирования скан-копий документов, основанный на нейронных сетях. Решение может выявлять изображения паспортов, водительских удостоверений, кредитных карт, СНИЛС и других документов, при этом их определение проходит в несколько раз быстрее, чем с использованием модуля OCR.

 

Рисунок 7. Детектирование скан-копий документов

Детектирование скан-копий документов

 

Система также автоматически выявляет риски, связанные с найденными конфиденциальными документами:

  • Файлы и папки с выключенным наследованием, с прямыми разрешениями, с уникальными правами и со «сломанным» ACL.
  • Общедоступные файлы и папки.
  • Уникальные права.
  • Неуправляемые файлы и папки.
  • Неизвестные SID.
  • Разрешения из других доменов.

Совместная работа модулей выявления рисков и классификации данных позволяет автоматически формировать рекомендации по минимизации прав доступа. По результатам анализа прав доступа и мест хранения конфиденциальных документов система «Спектр» даёт возможность разметить выявленные несоответствия с помощью специальных «флагов». Так, например, для каталогов, в которых разрешено размещение персональных данных, можно поставить соответствующую метку и сделать то же самое для пользователей, которым доступно управление определёнными папками.

 

Рисунок 8. Пользовательские флаги для каталогов и прав

Пользовательские флаги для каталогов и прав

 

Метки можно использовать во всевозможных отчётах и результатах аудита, а также в инцидентных моделях, чтобы концентрировать внимание сотрудников, работающих с системой «Спектр», только на важных событиях.

Аудит действий пользователей

«Спектр» обладает широким диапазоном возможностей по аудиту действий с файлами на ресурсах компании, что может помочь в расследовании инцидентов, связанных с неправомерным копированием, удалением файлов, утечкой информации и т. д.

Сбор информации об операциях с файлами, папками, почтовыми ящиками не требует включения штатного аудита операционных систем (Windows, Linux). Для этой задачи используются специальные легковесные агентские модули, которые не создают дополнительной нагрузки на процессор и на оперативную память и не влияют на скорость бизнес-процессов компании.

Система «Спектр» фиксирует все действия пользователей и отображает их в интерфейсе системы в режиме приближенном к реальному времени (с задержкой не более 30 секунд). В интерфейсе также реализована возможность фильтрации и сортировки событий по всем доступным полям.

Отдельно стоит отметить работу с операциями переименования, перемещения и изменения прав доступа к файлам. Для них система фиксирует состояния «до» и «после», включая название и местоположение файла и права доступа к нему.

 

Рисунок 9. Результаты аудита действий с определённым файлом в системе «Спектр»

Результаты аудита действий с определённым файлом в системе «Спектр»

 

Полученные результаты аудита можно анализировать не только в табличном виде, но и в графическом, выводя на экран агрегацию по сотрудникам, файлам и другим параметрам. Также их можно экспортировать в форматы CSV, Excel, PDF, HTML.

 

Рисунок 10. Отчёт по типам операций, сформированный в системе «Спектр» в графическом виде

Отчёт по типам операций, сформированный в системе «Спектр» в графическом виде

 

Система «Спектр» предоставляет статистику по действиям выбранного сотрудника как в детализированном виде, так и в части распределения по файлам, в адрес которых были зафиксированы обращения.

 

Рисунок 11. Отчёт по действиям конкретного сотрудника, сформированный в системе «Спектр»

Отчёт по действиям конкретного сотрудника, сформированный в системе «Спектр»

 

Благодаря архитектуре подсистемы хранения, которая используется в «Спектре», события аудита могут храниться в течение длительного срока без влияния на производительность.

Выявление инцидентов и реагирование на них

Модуль оповещения, поведенческой аналитики и отчётности включает в себя набор инструментов для выявления инцидентов и реагирования на них.

В первую очередь это — возможность выявления нарушений предварительно настроенных политик безопасности. В терминологии системы «Спектр» такие события называются инцидентами. К ним относятся нарушения правил размещения конфиденциальной информации и предоставления доступа к ней, а также обнаруженные факты наличия расширенных прав доступа у сотрудников.

«Спектр» содержит ряд предустановленных правил, позволяющих выявлять инциденты в наблюдаемых хранилищах. В модуле реализован специализированный конструктор сценариев реагирования на актуальные для департамента информационной безопасности события.

 

Рисунок 12. Создание правила для выявления инцидентов в системе «Спектр»

Создание правила для выявления инцидентов в системе «Спектр»

 

Большая часть инцидентов у любой компании связана с событиями в контроллере домена. «Спектр» фиксирует все операции Active Directory, которые относятся к авторизациям сотрудников, действиям над группами безопасности, объектам AD и др. При помощи этих данных система позволяет оперативно реагировать на такие угрозы, как:

  • наличие пользователей с постоянными паролями,
  • массовые неуспешные авторизации сотрудников,
  • большое количество блокировок учётных записей,
  • перенос сотрудника в группу с административными привилегиями и др.

Для любого инцидентного правила можно настроить несколько каналов одновременных оповещений: электронная почта, Slack, SIEM, Telegram, Splunk, Elasticsearch, отправка события в формате JSON по протоколу HTTP.

 

Рисунок 13. Настройка каналов интеграции при выявлении инцидентов в системе «Спектр»

Настройка каналов интеграции при выявлении инцидентов в системе «Спектр»

 

Система предоставляет возможность активного реагирования в виде блокировок. Это могут быть как блокировки при помощи агентов, установленных на файловых хранилищах, для чего реализован список предустановленных сценариев реагирования, так и автоматические запуски предустановленных и настраиваемых скриптов.

Такая функциональность будет полезна для выявления и предотвращения действий вредоносных программ, например вируса-шифровальщика. При необходимости через систему можно выключить заражённый сервер или блокировать все операции на нём. Это позволит остановить распространение заражения и оперативно уведомить ответственных сотрудников.

 

Рисунок 14. Настройка реакции при выявлении инцидента в системе «Спектр»

Настройка реакции при выявлении инцидента в системе «Спектр»

 

По каждому инциденту можно получить детальную информацию для проведения расследования. Например, массовое изменение файлов за короткий промежуток времени из-под одной учётной записи может свидетельствовать о её компрометации и использовании для вредоносных целей.

 

Рисунок 15. Инцидент, связанный с массовым изменением файлов, в системе «Спектр»

Инцидент, связанный с массовым изменением файлов, в системе «Спектр»

 

Поведенческая аналитика

Модуль поведенческой аналитики предусматривает построение персональной модели работы сотрудников, файловых хранилищ и других защищаемых систем. Его задача — выявлять различные всплески нетипичной активности в системе и уведомлять о них.

Модуль работает на основе обучаемых нейронных сетей и позволяет увидеть угрозы, которые невозможно отследить при помощи политик безопасности. Аномалии выявляются на основе временных, количественных и контентных показателей операций со хранилищами неструктурированных данных.

Так, если модуль определит большее количество операций с конфиденциальным документом, чем зафиксировано в модели поведения, то он уведомит об аномалии и предоставит детализированное описание всей цепочки событий.

 

Рисунок 16. Аномальный доступ к конфиденциальным данным

Аномальный доступ к конфиденциальным данным

 

Моделирование изменения прав доступа

Отдельно стоит отметить возможности в части анализа и моделирования неиспользуемых прав доступа сотрудников. Система «Спектр» позволяет решить проблемы неиспользуемых прав доступа с помощью специализированной песочницы. Часто проблема расширенных привилегий учётных записей связана с непониманием того, какие именно ресурсы будут необходимы сотруднику, и выдачей прав «с запасом». Модуль моделирования позволяет ещё до фактического изменения прав составить список сотрудников, регулярно обращавшихся к тем ресурсам, права на которые планируется отозвать.

 

Рисунок 17. Результаты моделирования изменения прав доступа

Результаты моделирования изменения прав доступа

 

Моделировать изменение можно не только на уровне прав доступа к конкретным файловым ресурсам, но и на уровне членства в группах безопасности. С учётом того что Active Directory является своеобразным ядром инфраструктуры любой компании, накопленная системой «Спектр» статистика может стать незаменимым инструментом для минимизации последствий исключения сотрудников из групп безопасности.

Работа с отчётами

Отчёты системы «Спектр» предназначены для решения задач сотрудников отделов информационной безопасности и ИТ-департаментов. Модуль содержит более 50 шаблонов для таких сущностей, как работа с файлами, рисками, сотрудниками, хранилищами и т. д. Модуль отчётов позволяет оптимизировать ИТ-инфраструктуру, выявив:

  • дубликаты файлов,
  • файлы, к которым не было обращений,
  • неиспользуемые ресурсы (без изменений),
  • самые быстрорастущие папки,
  • динамику заполнения свободного места в хранилищах.

Эти и другие отчёты «Спектра» могут строиться в интерактивном режиме, «по запросу», и автоматически по расписанию, с возможностью отправки на электронную почту либо с сохранением в одно из файловых хранилищ (для этого в системе можно задать соответствующие каталоги и учётную запись для авторизации).

 

Рисунок 18. Модуль отчётов системы «Спектр»

Модуль отчётов системы «Спектр»

 

При этом модуль отчётов является важным дополнением к остальным разделам системы. Так, например, можно в графическом виде посмотреть на распределение файлов различных категорий по хранилищам.

 

Рисунок 19. Отчёты по результатам классификации хранилищ

Отчёты по результатам классификации хранилищ

 

Графическое представление данных упрощает процесс анализа для сотрудников информационной безопасности и позволяет оперативно выявить места нецелевого хранения конфиденциальных данных.

Система отчётов даёт возможность изучить информацию по всем выявленным рискам в просканированных хранилищах. Для каждой защищаемой системы предоставляется информация по папкам с выключенным наследованием, общедоступным файлам, объектам с прямыми разрешениями, папкам со «сломанными» ACL, неуправляемым папкам, неизвестным SID, разрешениям из других доменов, а также сводный отчёт по всем рискам и динамике их изменения. Таким образом можно оперативно получать результаты выстроенного процесса по закрытию уязвимостей файловых хранилищ и сосредоточиться только на требующих внимания защищаемых системах.

 

Рисунок 20. Отчёт по всем рискам и всем хранилищам, построенный в системе «Спектр»

Отчёт по всем рискам и всем хранилищам, построенный в системе «Спектр»

 

Отдельный блок отчётов системы «Спектр» помогает осуществить безопасную настройку и закрыть выявленные угрозы для Active Directory.

 

Рисунок 21. Варианты отчётов по Active Directory в системе «Спектр»

Варианты отчётов по Active Directory в системе «Спектр»

 

Корпоративный поиск

«Спектр» также может производить полную индексацию данных, анализируя содержимое документов защищаемых хранилищ на этапе сканирования. Индексация файлов охватывает все поддерживаемые системой форматы, включая графические, и предоставляет возможность последующего контентного поиска по ним, включая поиск по словам, словосочетаниям, фразам, а также с использованием различных логических объединений поисковых запросов. Этот модуль популярен не только у прямых пользователей системы «Спектр» — сотрудников ИТ- и ИБ-департаментов организаций, — но и у рядовых работников. Модуль корпоративного поиска, как и весь продукт «Спектр», поддерживает доменную авторизацию, за счёт чего нет необходимости создавать встроенные учётные записи и заниматься детализированной настройкой прав доступа — в поисковой выборке сотрудники смогут увидеть лишь те документы, права на которые есть у их доменных учётных записей.

 

Рисунок 22. Возможности корпоративного поиска

Возможности корпоративного поиска

 

Поиск работает со всеми типами защищаемых хранилищ, включая файловые ресурсы, порталы SharePoint и др. Важно отметить, что индекс не превышает 1 % от объёма исходных документов и хранится в недоступном для обратного восстановления формате, что позволяет не создавать теневых копий документов.

Управление релевантностью выдачи результатов поиска в зависимости от статистики использования и реальной активности пользователей позволяет обращать внимание на самые актуальные документы. Дополнительные фильтры по любым свойствам и метаданным помогают уменьшить объём поисковой выборки.

Выводы

Система «Спектр» версии 2.7 является комплексным инструментом для управления неструктурированными данными, способным на равных конкурировать с зарубежными решениями класса DAG, в т. ч. учитывая тенденции импортозамещения. Она способна как навести и поддерживать порядок в хранилищах неструктурированных данных, так и минимизировать избыточные права доступа сотрудников, снижая риски неправомерного доступа к данным.

Продукт будет полезен и для решения задач ИТ-департаментов — за счёт полноценной защиты Active Directory, а также выявления фактов неоптимального использования ресурсов.

Функциональные возможности по выявлению инцидентов и автоматизации реагирования на них, построению поведенческой аналитики выводят «Спектр» за рамки привычных DAG-продуктов.

Большое количество предустановленных инцидентных моделей и риск-шаблонов, а также категорий информации, которые позволяют выявлять подпадающие под нормативные требования (152-ФЗ, PCI DSS, GDPR и др.) данные, даёт возможность закрыть большой пул задач департаментов информационной безопасности и быстро интегрировать «Спектр» в инфраструктуру и рабочие процессы подразделений компании.

Решение способно «из коробки» интегрироваться с рядом смежных продуктов, включая SIEM, IdM, IRP, DLP и др., а наличие полностью документированного API позволит создать связанную инфраструктуру ИБ-продуктов и обогащать их собранными DAG- / DCAP-системой данными.

Достоинства:

  • Высокая скорость работы системы.
  • Возможность выявления инцидентов с последующей передачей в SIEM.
  • Широкий диапазон функциональных возможностей.
  • Возможность поиска секретов и паролей в файлах и репозиториях.

Недостатки:

  • Отсутствие сертификата ФСТЭК России (запланировано на 2022 г.).
  • Нет гибкого конструктора виджетов для дашбордов.

Реестр сертифицированных продуктов »

Записаться на демонстрацию

Нажимая "Запросить", вы соглашаетесь с Политикой конфиденциальности и обработки персональных данных нашей компании

Запросить пробную версию

Нажимая "Получить", вы соглашаетесь с Политикой конфиденциальности и обработки персональных данных нашей компании

Запросить цены

Нажимая "Отправить", вы соглашаетесь с Политикой конфиденциальности и обработки персональных данных нашей компании

Задать вопрос

Нажимая "Задать", вы соглашаетесь с Политикой конфиденциальности и обработки персональных данных нашей компании

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.
Лаборатория AM Test Lab готова провести независимую экспертизу и добровольную сертификацию любого продукта или сервиса по информационной безопасности и подготовить его профессиональный обзор. Для получения дополнительной информации необходимо оформить запрос.