Март 2022 года стал поворотным для ИТ-сферы. Зарубежные вендоры решений информационной безопасности начали массово покидать российский рынок. Теперь наши предприятия вынуждены в кратчайшие сроки найти замену привычным решениям и перейти на отечественные программное обеспечение и оборудование.
Кибератаки на российские компании участились. Страдают разные сферы: банковская, страхование, СМИ, медицина, образование и государственный сектор. Эксперты отмечают пиковые нагрузки на службы информационной безопасности. К примеру, в марте количество атак на кредитные организации увеличилось в четыре раза, и оно точно не снизится в ближайшее время. Чтобы повысить устойчивость ко внешним и внутренним угрозам, сотрудники служб информационной безопасности вынуждены работать при экстренных нагрузках.
Российские вендоры активно предлагают программы миграции и условия поддержки, с помощью которых можно подобрать отечественные решения информационной безопасности практически в любом классе. Мы предлагаем концептуально изменить подход к угрозам и сосредоточиться на защите данных, интересующих хакеров в первую очередь. Попробуем разобраться, как системы класса DCAP помогают защитить данные в критических условиях.
Сократите поверхность потенциальной атаки
Важно понимать, какие данные нужно защищать от потенциальных угроз. Необходимо определить, какая информация считается конфиденциальной, где она хранится и кто к ней обращается. Причём зачастую конфиденциальную информацию понимают в контексте требований ФЗ-152 «О защите персональных данных». Хотя в инфраструктуре любой компании курсируют и другие данные с реальной коммерческой ценностью, а их утечка может привести к финансовым и репутационным рискам.
Соответственно, нужно выявить конфиденциальную информацию и классифицировать её по уровню рисков. Это станет первым шагом на пути к защите данных, требующих особого внимания. DCAP-система находит и классифицирует информацию по содержимому и внешним атрибутам. Она обнаруживает в открытом доступе файлы со скан-копиями документов, удостоверяющих личность, платёжные данные карт и другую информацию, которая считается конфиденциальной. Makves DCAP распознаёт графические отпечатки большинства документов, попадающих в категорию персональных данных. Это паспорта, водительские удостоверения, СНИЛС и другие. На основе полученных рекомендаций можно оперативно устранить риски, связанные с доступом к чувствительным данным прямо в интерфейсе системы.
Считается, что утечка данных происходит при пересечении информационного периметра предприятия. Но это не так. Фактически она происходит во время предоставления доступа к данным. Сотрудники, которые ещё вчера были лояльны компании, сегодня могут начать действовать совсем иначе. Виной тому становятся личные, политические или экономические мотивы. Поэтому важно знать, кто владелец данных и кто обращается к ним в своей работе. Makves DCAP отображает всех пользователей файла или папки.
При выдачи прав доступа и обращения сотрудника к данным необходимо понимать, какие именно сведения им используются впоследствии. Бывает так, что он получает доступ к конфиденциальной информации, но в течение длительного времени не обращается к ней. Тогда возникает вопрос, для чего сотруднику предоставлялись такие широкие права? Соответственно, нужна детализация событий по действиям с конкретным файлом для анализа реального использования прав.
Детализированный список в карточке файла или папки отображает ключевые опции. Это уровни доступа, наследование прав, для которых он открыт, уровень риска, связанный с предоставленным доступом, и рекомендации по исправлению проблем с каждым отдельным правом или всем файлом. Вы можете запретить/изменить для пользователя или группы пользователей доступ к ресурсу прямо из интерфейса системы.
Используйте функцию «песочница». С её помощью вы проверите, как повлияют изменения прав на работу с файлом или папкой, и избежите негативных последствий для бизнес-процессов.
В системе Makves DCAP предусмотрены тонкие настройки политик безопасности для отдельных папок. При настройке новых правил, папка не будет попадать в рамки стандартных политик. Так вы ограничите доступ к файлу с конфиденциальной информацией, даже если он случайно оказался в папке с общим доступом.
Обращайтесь к редактору стандартов в системе. С его помощью гибко настраиваются параметры поиска и классифицируется критически важная информация в соответствии с текущими задачами.
Оперативно выявляйте угрозы
Нужно помнить, что предотвратить кибератаки нельзя. Зато можно своевременно обнаружить угрозу и минимизировать их последствия. Дело в том, что программы-вымогатели не шифруют данные сразу, они захватывают множество систем и оставляют лазейки.
С Makves DCAP вы сможете увидеть обычное поведение пользователей, а также отслеживать подозрительные действия и события системы. Таким образом можно выявлять потенциальные атаки и быстро на них реагировать.
Чтобы оперативно выяснять, кто действительно обращается к конкретным данным и нормально ли для пользователя такое поведение, необходимы средства автоматизации. Не секрет, что просмотр журналов событий занимает слишком много времени. Заметить отклонения от нормы поможет раздел "Аномалии" DCAP-системы. Динамика аномальных активностей отображается в таблице критических отклонений по количеству событий на дневном отрезке.
Makves DCAP позволяет обнаружить признаки угрозы. Например, массовое изменение файлов (шифрование), попытка подключения к сети в нерабочее время, сброс пароля и изменение прав в Active Directory. Также система анализирует повторяющиеся события, которые могут указывать на DDoS-атаку. В случае обнаружения таких событий вы получите уведомление в консоли, на электронную почту или в мессенджер.
Makves DCAP контролирует параметры пользователей, компьютеров, файлов, почтовых ящиков и их взаимодействие. При помощи алгоритмов выявления аномалий система выстраивает индекс атипичности для каждой наблюдаемой cущности: пользователя, компьютера, файла, почтового ящика и события.
Обеспечьте оперативную реакцию на инцидент
DCAP-система помогает не только вовремя обнаружить уязвимость, но и предотвратить распространение атак. Вероятные сценарии при выявлении угрозы: принудительно завершается сессия пользователя, инициируется смена пароля, блокируется АРМ или учетная запись. Также вы можете настраивать запуск собственных скриптов по реагированию на инциденты и действовать в соответствии с типом и уровнем угроз.
Используйте инструменты для расследования инцидентов и восстановления данных
При расследовании инцидента, важно понимать, кто и каким образом получил доступ к информации. Makves DCAP в режиме онлайн фиксирует все события, связанные с файлами и папками, а также действия с электронной почтой и изменения прав доступа. Систему можно настроить на анализ по расписанию. По итогам той или иной сессии она выдаёт отчёт об изменениях, в том числе о действиях пользователя с правами администратора. Подробные отчёты по компьютерам, файлам, событиям и почтовым ящикам легко экспортировать в файл или переслать по почте.
Обращайте внимание на пометки удалённых файлов в системе. Так вы не потеряете критически важную информацию и оперативно восстановите удалённый файл.
Подведём итоги. В современных реалиях данные — главная добыча кибератаки. Офицеру безопасности нужно помнить, что предотвратить такие угрозы нельзя, но можно вовремя их обнаружить и минимизировать последствия. Для защиты инфраструктуры необходимо использовать комплекс решений, который подбирается под задачи, масштаб и специфику бизнеса. Решения класса DCAP помогают обеспечить надёжную защиту данных в период повышенного уровня киберугроз.
Для защиты данных нужно:
- Присвоить категории информации, которая хранится в ИТ-инфраструктуре.
- Определить политику работы с данными и разграничить права доступа к информации внутри компании.
- Анализировать угрозы и риски, связанные с хранением и доступом к данным.
Закажите демонстрацию Makves DCAP. Мы покажем, как работает система на примере типовой IT-инфраструктуры, и ответим на все ваши вопросы.