Сертификат AM Test Lab
Номер сертификата: 355
Дата выдачи: 23.10.2021
Срок действия: 23.10.2026
- Введение
- Функциональные возможности Varonis DatAdvantage Cloud
- Архитектура Varonis DatAdvantage Cloud
- Подключение Varonis DatAdvantage Cloud к облачной инфраструктуре компании
- Сценарии использования Varonis DatAdvantage Cloud
- Выводы
Введение
По данным Gartner, мировой сегмент облачных решений из года в год показывает устойчивый рост. Так, если в 2020 г. сегмент SaaS набрал почти 103 млрд долларов, то в 2021-м прогнозируется его прогресс на 20 % — до 123 млрд долларов. Прогнозируемый рост рынка IaaS по сравнению с 2020 годом — почти в 2 раза, с 64 до 123 млрд долларов. Эти цифры наглядно показывают тенденции как в мире, так и в России.
Какие преимущества есть у подобных решений? В первую очередь это отсутствие капитальных затрат и скорость внедрения новых сервисов — нет необходимости ожидать закупки серверных мощностей. Также это оптимизация организации доступа и возможность более гибко выстраивать бизнес-процессы. Облака — это возможность работать удалённо из любой точки мира в составе любой команды, где бы ни находились её члены.
Каковы недостатки облачных сервисов? Прежде всего — они принадлежат сторонней компании и утечка данных из неё может обернуться большими проблемами для бизнеса. Другая проблема — сервисы, располагаемые в облаках, могут стать доступными для злоумышленников (в случае применения социальной инженерии и других техник), которые используют корпоративную информацию в корыстных целях, таких как продажа конкурентам, публикация в СМИ, шантаж сотрудников компании. Не стоит исключать и сценарий, когда злоумышленники делают невозможной работу с конкретным сервисом через запуск одного или нескольких запросов к их API, предварительно получив необходимую информацию о среде (потоковое отключение пользователей и удаление объектов, запрет доступа с определённой территории / из адресного пространства и т. д.).
Даже если все эти риски будут приняты руководством, остаётся ряд проблем, с которыми сталкиваются все специалисты по информационной безопасности и системные администраторы. Первая такая проблема связана с актуальностью предоставляемых сотрудникам доступов и прав в целевых системах. Сколь бы ни был аккуратен и ответственен сотрудник, занимающийся предоставлением прав, всегда есть место человеческому фактору. Если же доступ предоставлялся не только корпоративным учётным записям, но и личным (и не только администраторами), то возникает проблема идентификации подобных аккаунтов и их отключения от корпоративных ресурсов с последующей чисткой прав доступа.
Следующая проблема — отсутствует полноценное журналирование активности пользователей на облачных ресурсах. Кто получил доступ к конфиденциальным материалам и что он с ними делал? Кто их скачивал? Кто, когда и как получил несанкционированный доступ к данным? Подобная информация будет очень полезна для расследования инцидентов и проведения анализа, а в облачных сервисах такой аналитики либо попросту нет, либо недостаточно.
Не менее важная проблема — потребность в мониторинге нестандартных действий пользователей и администраторов: доступ из нетипичных мест, создание новых привилегированных учётных записей и др.
Для решения обозначенных проблем известная международная компания Varonis Systems выпустила решение DatAdvantage Cloud.
Это направление было выбрано неслучайно. Начиная с 2005 г. компания целенаправленно развивала продукты связанные с аудитом активности пользователей в различных приложениях, хранилищах данных и платформах, а также анализом прав доступа, что позволило ей стать лидером в классе продуктов типа DAG (Data Access Governance, управление доступом к данным). В 2006 году компания разработала модуль контетного анализа данных (классикатор), а затем и модуль поведенческой аналитики. Постоянная работа над правилами классификации и моделями угроз способствовала становлению нового класса решений - DCAP (Data Centric Audit and Protection).
В 4-м квартале 2020 г. Varonis приобрела израильский стартап Polyrize, чей одноимённый продукт анализирует связи между пользователями и данными в различных облачных приложениях и сервисах. Интеграция возможностей Polyrize и опыта Varonis в области DCAP позволила создать продукт ориентированный на обеспечение безопасной работы с данными в публичных облачных приложениях и хранилищах.
Функциональные возможности Varonis DatAdvantage Cloud
Как уже было отмечено, DatAdvantage Cloud решает ряд проблем связанных с предоставлением доступа к конфиденциальным данным. DatAdvantage Cloud сопоставляет и преобразует права доступа в простую модель CRUDS, где C — возможность создания или загрузки документов или создания объектов, R — права на чтение или скачивание, U — права на обновление или внесение изменений, D — возможность удалять данные или объекты, S — предоставление прав доступа другим пользователям.
Ещё одна возможность системы — кросс-облачный анализ и расследование инцидентов в информационной безопасности. Для этого из анализируемых систем собираются события, которые затем унифицируются и обогащаются дополнительным контекстом. В итоге можно получить информацию по тому, каким внешним пользователям был предоставлен доступ в SaaS-приложение, используется ли многофакторная аутентификация (MFA) при доступе к облачным приложениям и хранилищам данных, какие изменения в конфигурации были совершены пользователями из списка наблюдения и т. д.
Varonis DatAdvantage Cloud производит мониторинг активности и оповещает об этом уполномоченных сотрудников в случае аномального поведения пользователя или подозрений на действия вредоносной программы. В системе есть ряд встроенных политик оповещения — скажем, в случае входа администратора без многофакторной аутентификации, авторизации пользователя после долгого перерыва, попытки XSS-атаки. Пользователи продукта могут также создать собственные политики оповещения.
Немаловажная возможность платформы — корреляция учётных записей сотрудников пользующихся корпоративными облачными сервисами. Собирая данные о пользователях сервисов, Varonis DatAdvantage Cloud коррелирует их в соответствии с определёнными принципами и, выявив те, которые с высокой вероятностью используются одним человеком, объединяет подобные аккаунты в одну «цифровую личность». Что примечательно, это касается не только корпоративных учётных записей, но и личных (или аккаунтов в иных организациях) — в случае если пользователь применял их при входе в корпоративные сервисы, находящиеся под контролем Varonis DatAdvantage Cloud.
Varonis DatAdvantage Cloud имеет встроенный инструмент для классификации загруженных в облачные системы данных — Compliance. Его модуль классификации, используя в т. ч. и функциональность оптического распознавания символов (например, в скан-копиях), анализирует документы и автоматически проставляет теги категорий данных. Также эти теги можно проставить и вручную.
В платформе есть в том числе и типовые шаблоны российских документов — паспорта, СНИЛС, заграничного паспорта.
Рисунок 1. Шаблоны российских документов в Varonis DatAdvantage Cloud
На данный момент возможно применение только тех правил, которые идут «из коробки» и касаются небольшой области данных, что несколько ограничивает функциональность системы. Однако в дальнейшем планируется добавить разработку собственных правил, как и в традиционном продукте для мониторинга внутренней инфраструктуры заказчика и гибридных / облачных сред Microsoft.
Возможности Varonis DatAdvantage Cloud позволяют создавать собственные модели угроз, на основании которых будут коррелироваться события в подключённых облачных сервисах. Например, можно задать тип событий и определить конкретные параметры, в соответствии с которыми будет производиться оповещение: действие, учётная запись пользователя, изменения с точки зрения матрицы CRUDS. Можно задать пользователей, действия которых приведут к срабатыванию оповещения, тип объекта, с которым производятся действия, дни недели и время событий, IP-адреса пользователей и т. д.
В случае срабатывания по угрозе DatAdvantage Cloud оповещает заинтересованных лиц путём отправки сообщений на электронную почту, на телефон (SMS) и в Slack, а также на webhook. Платформа позволяет настроить многофакторную аутентификацию с отправкой письма на электронную почту либо звонком на телефон.
Рисунок 2. Пример настройки политики реагирования на действия внешних пользователей с персональными данными в Varonis DatAdvantage Cloud
Ещё одна функция продукта, которая может сильно помочь при расследовании инцидентов в информационной безопасности, — отображение всех действий пользователя над контролируемыми объектами во время сессии. Таким образом фиксируется не отдельное действие, а целый их ряд.
Рисунок 3. Просмотр действий во время сессии пользователя
Varonis DatAdvantage Cloud способен контролировать доступ к облачным сервисам, но пока не позволяет управлять учётными записями. Например, при увольнении сотрудника невозможно настроить блокировку его аккаунтов в контролируемых сервисах, но есть возможность построить отчёт обо всех связанных с отключёнными учётными записями сущностях и исправить ситуацию вручную.
На момент написания статьи Varonis DatAdvantage Cloud может работать со следующими публичными облачными сервисами: Zoom — платформа для организации веб-конференций; Slack — корпоративный мессенджер; Google Drive — облачный сервис хранения данных; Okta — решение для хранения и защиты аутентификационных данных для упрощения доступа к иным сервисам; Box — облачное хранилище данных; Jira — система управления проектами и реализации поставленных задач; GitHub — сервис хостинга проектов; AWS — облачная инфраструктура от Amazon; SalesForce — CRM-система.
Архитектура Varonis DatAdvantage Cloud
Веб-интерфейс Varonis DatAdvantage Cloud состоит из следующих компонентов: модуль панелей мониторинга (дашбордов), модуль политик (моделей угроз), модуль оповещений, модуль расследования инцидентов, модуль анализа соответствия требованиям, модуль отчётов.
Дашборды Varonis DatAdvantage Cloud
Панель мониторинга системы, наглядно показывающая информацию о защищаемых сервисах и платформах, открывается сразу при входе в Varonis DatAdvantage Cloud.
В левой части дашборда содержится информация о тех событиях по информационной безопасности, которые до сих пор не обработаны.
В верхней части выводятся данные об активности пользователей в подключённых сервисах. Для удобства графики активности обычных и привилегированных сотрудников окрашены в разные цвета. Всплески активности пользователей, в особенности — привилегированных, должны стать объектом внимания со стороны ответственного сотрудника.
В центральной части содержится информация по двум показателям: неактивные пользователи (раздел «Identities») и критически важные ресурсы, к которым возможен доступ извне организации (раздел «Resources»). Первый показатель полезен тем, что позволяет находить «забытые» учётные записи и блокировать их доступ к подключённым системам. Секция «Resources», в свою очередь, разделена на два показателя: критически важные документы, доступные определённым внешним пользователям (Sensitive and Shared Externally), и документы доступные неопределённому кругу лиц (Public Files).
В нижней части дашборда видны срабатывания по настроенным и активным политикам (Triggered Policies), а также облачные сервисы, которые подключены к платформе.
Дашборды являются настраиваемыми: можно выбрать те, которые интересны для оперативного анализа. Также все панели кликабельны, позволяя «провалиться» в интересующую оператора статистику без перехода в другие разделы сервиса.
Compliance в Varonis DatAdvantage Cloud
Модуль Compliance необходим для классификации данных, расположенных на контролируемых облачных ресурсах, в соответствии с которой в дальнейшем можно также строить модели угроз и проводить анализ данных либо расследования.
Политики (модели угроз) Varonis DatAdvantage Cloud
Для каждой подключённой к платформе системы «из коробки» подготовлены модели угроз, в соответствии с которыми происходит срабатывание и оповещение ответственного сотрудника о потенциальном инциденте в информационной безопасности. Администратор Varonis DatAdvantage Cloud определяет модели угроз, актуальные для подключённой системы или сервиса, и активирует те из них, которые соответствуют его задачам. У пользователей нет возможности просмотреть, какие правила корреляции применены по отношению ко встроенным моделям угроз. Однако есть возможность создать собственные и настроить их в соответствии с потребностями.
Оповещения в Varonis DatAdvantage Cloud
В Varonis DatAdvantage Cloud присутствует особый раздел для работы с событиями по информационной безопасности.
Каждое событие имеет краткое описание и список, в соответствии с которым сработали модели угроз Varonis DatAdvantage Cloud. Например, в выбранном кейсе сотрудник скачал реестр сотрудников организации, который может содержать конфиденциальные данные.
По событиям можно пройти ещё дальше и посмотреть подробности тех или иных действий — например, увидеть технические детали подключения сотрудника или раскрыть тот фрагмент лога, который система посчитала подозрительным.
Рисунок 4. Анализ события по информационной безопасности и лога из подключённой системы в Varonis DatAdvantage Cloud
Инцидент считается отработанным только тогда, когда будет нажата кнопка «Close» в его карточке.
Кроме того, по анализируемым событиям из области информационной безопасности, попавшим в этот раздел, можно произвести поиск похожих записей с целью получить сведения о том, какие действия совершались ранее, до событий вызвавших реакцию конкретной политики.
Расследования в Varonis DatAdvantage Cloud
Раздел «Investigations» позволяет проанализировать данные, получаемые из подключённых сервисов, в разных разрезах: по формам активности, по используемым учётным записям, по размещённым активам. Также можно провести анализ соответствия выложенных активов каким-либо требованиям.
Пример подобного анализа представлен на рисунке 9. В разделе «Identities» показаны сведения о геолокации пользователей, типах учётных записей (внутренние, внешние, с правами администратора и т. д.). На этой же странице выводится информация в соответствии с заданными фильтрами.
Рисунок 5. Анализ учётных записей пользователей в Varonis DatAdvantage Cloud
Отчёты в Varonis DatAdvantage Cloud
Varonis DatAdvantage Cloud включает в себя ряд предварительно настроенных отчётов, позволяющих оперативно сделать выборку в соответствии с необходимыми критериями — например, по общедоступным файлам, как это показано на рисунке.
Рисунок 6. Раздел «Отчёты» в Varonis DatAdvantage Cloud
Подключение Varonis DatAdvantage Cloud к облачной инфраструктуре компании
Varonis DatAdvantage Cloud — это облачный сервис, поэтому его подключение к инфраструктуре не занимает много времени и усилий. Перед внедрением решения в компании проводятся полноценная демонстрация и тестирование с технической поддержкой вендора, во время которой инженеры Varonis помогают подключить и настроить все необходимые сервисы. Все необходимые действия по подключению Varonis DatAdvantage Cloud расписаны по шагам.
Рисунок 7. Инструкция по подключению облачных сервисов компании к Varonis DatAdvantage Cloud
Сценарии использования Varonis DatAdvantage Cloud
Анализ предоставленных прав доступа к файлам
В разделе «Investigations» Varonis DatAdvantage Cloud агрегирует информацию по размещённым в облаке файлам и доступам к ним, а также визуализирует её в удобном для администратора виде.
Рисунок 8. Информация по конфиденциальным данным в Varonis DatAdvantage Cloud
Как видно из рисунка, в панели сведена статистика по выложенным материалам в соответствии с тегами: конфиденциальные, с предоставленным внешним доступом и другие. Информация о тегах может проставляться как вручную, так и автоматически по признаку расположения в определённой папке, на основании данных от классификатора и т. д.
Также на панели выведена информация о предоставлении доступа к подобным материалам: кем предоставлен доступ, кому, когда, откуда и к какому файлу.
Например, видно, что пользователь Josh Hammond предоставил сотруднику Allan Carey доступ к файлу «RMBudget». По нажатию на название файла система предоставляет информацию обо всех, кто имеет доступ к нему (внешние или внутренние пользователи) и с какими правами (модель CRUDS), а также показывает структуру папки, в которой находится исследуемый файл.
Одна из главных особенностей Varonis DatAdvantage Cloud — анализ и нормализация информации о том, кто имеет доступ и каким образом наследуются права доступа: от группы, роли, домена или по ссылке.
Рисунок 9. Анализ предоставленных доступов к файлу «RMBudget» в интерфейсе Varonis DatAdvantage Cloud
Переключив представление вида панели, можно увидеть список пользователей и групп, имеющих доступ к файлу.
Рисунок 10. Визуализация доступов к файлу «RMBudget» в Varonis DatAdvantage Cloud
Как видно, доступ к файлу имеют ряд внутренних сотрудников, целая группа учётных записей «polyrizelab.com» и даже группа «gsuite_anyone», которая, по сути, предоставляет доступ всем пользователям Google Drive (то есть любому пользователю интернета, использующему поисковую систему Google). С точки зрения информационной безопасности это — очень большой риск, т. к. файл является конфиденциальным и нелегитимный доступ к нему может привести к негативным последствиям.
Анализ учётных записей пользователей
Varonis DatAdvantage Cloud имеет передовые аналитические инструменты для обработки сведений по пользователям подключённых систем. Прежде всего это касается информации о доступах. Платформа позволяет просмотреть, к каким ресурсам пользователь имеет доступ и с какими правами (по модели CRUDS).
Рисунок 11. Информация о доступах пользователя Allen Carey в Varonis DatAdvantage Cloud
Другая «фишка» платформы в части анализа пользователей состоит в возможности изучить все способы их доступа к системам (с использованием корпоративных и личных учётных записей) и свести эти данные в одну «цифровую личность», о чём мы упоминали выше.
Рисунок 12. Цифровая личность пользователя Allen Carey в Varonis DatAdvantage Cloud
Благодаря Varonis DatAdvantage Cloud офицер безопасности имеет информацию о том, что Allen Carey использует для доступа не только корпоративную учётную запись «acarey», но также и личную «allencarey141». Таким образом, в случае увольнения этого сотрудника и блокировки его корпоративных учётных записей существует риск, что личный аккаунт будет использоваться для получения доступа к конфиденциальным данным.
При дальнейшем исследовании оказывается, что так и есть. Учётной записи «allencarey141» предоставлен доступ к конфиденциальным данным.
Рисунок 13. Анализ прав доступа личной учётной записи Allen Carey в Varonis DatAdvantage Cloud
Возможно ли узнать, использовалась ли учётная запись для реализации полученных прав доступа? Да, система способна показать и эту информацию. Как видно из рисунка ниже, Allen Carey просматривал, а затем скачал конфиденциальные документы.
Рисунок 14. Визуализация активности учётной записи в Varonis DatAdvantage Cloud
Статистика по пользователям позволяет наглядно оценить ландшафт угроз информационной безопасности в используемых облачных сервисах: можно увидеть, сколько сотрудников обладают расширенными правами (администратор и суперадминистратор), сколько человек заходит в системы без использования многофакторной аутентификации, из каких стран происходит доступ к корпоративным сервисам и т. д. Результаты выборок можно гибко фильтровать в соответствии с заданными параметрами.
Рисунок 15. Статистика по доступу пользователей к корпоративным ресурсам
Отдельное внимание необходимо уделить возможности работы с логами в Varonis DatAdvantage Cloud. Платформа собирает информацию из подключённых сервисов и визуализирует их в понятном виде, позволяя в том числе фильтровать действия по определённым условиям. Исходные логи также доступны для просмотра в платформе.
Рисунок 16. Журнал действий пользователей в Varonis DatAdvantage Cloud
Предотвращение действий киберпреступников
Рассмотрим ещё один распространённый сценарий, который может стать актуальным для любой организации. Предположим, что администратор стал жертвой фишинговой атаки, в результате чего были украдены его активные сессии и аутентификационные данные. Используя учётную запись администратора, киберпреступники создают новые аккаунты в различных сервисах, предоставляют им необходимые доступы. Varonis DatAdvantage Cloud поможет отследить подобную активность.
Используя встроенные политики реагирования на те или иные события и анализируя созданные на их основе оповещения, можно заметить целую цепочку событий: подключение к платформе с использованием TOR, получение расширенных прав, отключение многофакторной аутентификации, подключение из подозрительных (по географическому признаку) стран и т. д.
Сопоставляя все эти события, можно своевременно предотвратить дальнейшее распространение атаки на облачную инфраструктуру компании и найти предпринятые злоумышленником действия. Например, это могут быть создание, удаление, активация учётных записей.
Рисунок 17. Действия злоумышленника, выявленные в Varonis DatAdvantage Cloud
Выводы
Varonis DatAdvantage Cloud — перспективное решение для контроля прав доступа к облачным сервисам. Сейчас это очень важно в силу популярности этих сервисов и тенденции к переезду в «облака». Varonis DatAdvantage Cloud позволяет в удобной форме получить полную информацию о параметрах и фактах доступа к ресурсам со стороны пользователей. Возможность отслеживания личных учётных записей, имеющих доступ к корпоративным информационным активам, позволит не только снизить вероятность их использования в нелегитимных целях, но и выявить недостатки процессов предоставления доступа, которые привели к таким последствиям. Корреляция логов даёт возможность своевременно обнаруживать и предотвращать атаки на корпоративные ресурсы, а классификация данных поможет легче проходить аудиты PCI DSS, GDPR, ISO 27001 и другие.
Достоинства:
- Классификация данных в облачных средах.
- Информативные дашборды.
- Возможность просмотра всей сессии пользователя.
- Наглядное отображение журналов подключённых систем.
- Удобство подключения сервисов.
- Гибко настраиваемые политики корреляции событий.
- Русскоязычная поддержка от локальной команды инженеров Varonis в России.
Недостатки:
- Ограниченный перечень поддерживаемых облачных сервисов.
- Невозможность блокирования доступа уволенных сотрудников напрямую из сервиса (и других операций управления подключенными сервисами).
- Невозможность сквозной передачи журналов подключённых сервисов во внешние системы (например, в SIEM).
- Англоязычные интерфейс и поддержка во встроенном чате.
