Защита неструктурированных данных

Процесс защиты неструктурированных данных состоит из мер и методов, направленных на обеспечение безопасности информации, которая не организована в стандартные базы данных и таблицы. Под неструктурированными данными понимаются текстовые документы, видео, аудиозаписи, изображения, сообщения электронной почты и другие формы информации, не поддающиеся лёгкому упорядочиванию или классификации посредством традиционных методов.

В качестве основных средств защиты неструктурированных данных обычно рассматриваются: шифрование, управление доступом, резервное копирование и восстановление, мониторинг и анализ, классификация, политики безопасности и обучение персонала. Также выделяют отдельный класс СЗИ, который нацелен на защиту неструктурированных данных – DAG или DCAP.

Редакция CISOCLUB пообщалась с экспертами отрасли, чтобы выяснить, какие основные типы неструктурированных данных встречаются в корпоративной среде, какие меры необходимо предпринимать для их защиты, особенности этой защиты, как решать проблему конфликта между удобством и безопасностью при работе с файлами и многое другое.

На наши вопросы ответили:

• Иван Дудоров, руководитель группы поддержки продаж Cyberpeak.
• Алексей Парфентьев, руководитель отдела аналитики «СёрчИнформ».
• Алиса Фирсова, младший инженер отдела внедрения инфраструктурных средств защиты информации Cloud Networks.
• Роман Подкопаев, генеральный директор Makves (входит в группу компаний «Гарда»).
• Людмила Севастьянова, эксперт центра продуктов Solar inRights ГК «Солар».
• Владимир Ульянов, руководитель аналитического центра компании Zecurion.
• Василий Степаненко, генеральный директор облачного провайдера «НУБЕС» (Nubes).
• Кирилл Лукьянов, руководитель отдела защиты систем и сервисов iTPROTECT.
• Андрей Шабалин, аналитик по информационной безопасности NGR Softlab.

Какие основные типы неструктурированных данных встречаются в корпоративной среде?

Иван Дудоров, руководитель группы поддержки продаж Cyberpeak:

Иван Дудоров, руководитель группы поддержки продаж Cyberpeak 📷

«Неструктурированные данные – это, по сути, любая информация, которая создаётся и используется пользователями при повседневной работе, а затем выкладывается на хранилища данных для организации совместного доступа. В отличие структурированных данных, хранящихся в базах данных, такая информация располагается в обычных каталогах на файловых серверах, СХД, облачных хранилищах, репозиториях и платформах совместного доступа в виде самостоятельных объектов – файлов, записей и пр. При этом места хранения и структура расположения выбираются не сколько администратором, сколько самим пользователем на его личное усмотрение с учётом уровня его привилегий. Таким образом и формируются хранилища неструктурированных данных, в которых почти невозможно разобраться сотрудникам ИТ и ИБ без вспомогательных инструментов.

Если же говорить о конкретных примерах, то самими распространёнными неструктурированными данными в корпоративной среде будут обычные документы – договоры, сканы, презентации, сводные таблицы и даже выгрузки из баз. К этому списку можно добавить специфическую для области деятельности компании информацию – у нефтегазового сектора этим может быть геологоразведка, у промышленных организаций – чертежи изделий, у финансового сектора – расчётные таблицы, у медийных организаций – фото, видео и дизайн-документы. Плюс каждая компания обрабатывает персональные данные как минимум своих сотрудников, не говоря уже о данных подрядчиков и клиентов. Всё это нужно где-то хранить и каким-то образом обеспечивать совместный доступ, но структура баз данных не позволяет быстро и удобно работать с настолько непересекающимися форматами информации, из-за чего они и хранятся чаще всего на обычных файловых хранилищах и называются неструктурированными».

Алексей Парфентьев, руководитель отдела аналитики «СёрчИнформ»:

Алексей Парфентьев, руководитель отдела аналитики «СёрчИнформ» 📷

«В корпоративной среде могут встречаться абсолютно любые данные. Но подвергать защите нужно самые частые и «осмысленные» – документы. Под ними я понимаю не только текстовые файлы в различных форматах, но и сканы, фотографии и всё, что по смыслу и содержанию можно назвать документом.

В абсолютном меньшинстве – все остальные типы данных, например, бинарные. Они практически не контролируются, так как не несут в себе какую-то чувствительную информацию».

Алиса Фирсова, младший инженер отдела внедрения инфраструктурных средств защиты информации Cloud Networks: «Основными типами неструктурированных данных могут выступать:

1. Текстовые документы. В первую очередь, они содержат письменный контент и могут включать в себя такие элементы, как текст, таблицы и изображения.
2. Электронные письма. Как вид электронной коммуникации электронные письма часто содержат неструктурированные текстовые данные и различные файловые вложения: изображения, документы или электронные таблицы.
3. Изображения. В этих файлах хранится визуальная информация, для их анализа и извлечения из них данных требуются более специализированные методики обработки, например, компьютерное зрение.
4. Аудиофайлы. Эти файлы содержат звуковую информацию, для извлечения из которой значимых выводов требуются методики обработки аудио.
5. Видеофайлы. Для анализа видео требуется совместное использование методик компьютерного зрения и обработки аудио, потому что часто они содержат визуальную и звуковую информацию.
6. Файлы журналов. Файлы журналов (логов), генерируемые различными системами или приложениями, обычно содержат неструктурированные данные, из которых можно извлечь информацию о показателях системы, безопасности и поведении пользователей.
7. Показания датчиков. Информация от датчиков, встроенных в носимые, промышленные и другие IoT-устройства, тоже может быть неструктурированной.

Это лишь некоторые из примеров форматов неструктурированных данных. С развитием информационных технологий данных могут возникать новые форматы, а уже имеющиеся форматы могут адаптироваться для включения в них новых неструктурированных типов данных.

Угроза может исходить от внутреннего и внешнего злоумышленника. К первому из этих двух типов угроз относятся утечки данных и несанкционированный доступ, ко второму — кража данных с целью получить финансовую выгоду или навредить компании».

Роман Подкопаев, генеральный директор Makves:

Роман Подкопаев, генеральный директор Makves 📷

«В инфраструктуре любой компании обращается большое количество файлов и документов. По оценкам компании Gartner, от 80 до 90% всех этих корпоративных файлов составляют неструктурированные данные. Это могут быть текстовые документы, таблицы, почтовые файлы в формате EML и PST, изображения, видео и аудиофайлы. В эту категорию также относят данные, созданные машинами: журналы событий, данные GPS, результаты работы устройств из интернета вещей (IoT) и другая телеметрическая информация.

Неструктурированные данные имеют важную особенность: в связи с их многообразием и стремительным ростом количества сложно выявить информацию, которая является критичной для бизнеса и требует особого внимания и защиты».

Людмила Севастьянова, эксперт центра продуктов Solar inRights ГК «Солар»:

Людмила Севастьянова, эксперт центра продуктов Solar inRights ГК «Солар» 📷

«Большая часть информационных активов организации хранится и обрабатывается в неструктурированном виде – это данные в различных форматах, их хранение в большинстве случаев не упорядочено, не соответствует каким-либо моделям и структурам данных. Основной и наиболее часто встречающийся тип таких данных – это текст, который содержится документах, презентациях, сообщениях электронной почты, изображениях различных графических форматов и т.д. Среди этого массива данных нас в первую очередь интересует информация, которая является критичной и представляет ценность для организации. В зависимости от отраслевой принадлежности это могут быть:

• личные данные физических лиц – паспортные данные, ИНН, СНИЛС, в том числе их отсканированные копии;
• официальные реквизиты физических и юридических лиц;
• полные немаскированные номера платежных карт и счетов;
• прочая информация, попадающая под категории коммерческой и, например, банковской тайны.

По прогнозам исследовательской компании ITC, которая собирает информацию по разным регионам мира, объем неструктурированных данных к 2025 году вырастет до 175 зеттабайт (зета = 1021). Значительная часть неструктурированных данных – это информация конфиденциального характера, и это сопряжено с различными рисками».

Василий Степаненко, генеральный директор облачного провайдера «НУБЕС» (Nubes):

Василий Степаненко, генеральный директор облачного провайдера «НУБЕС» (Nubes) 📷

«Учитывая степень развития коммуникационных каналов, сегодня в рабочих процессах можно встретить все типы неструктурированных данных. Они могут быть представлены в виде текстов, электронной переписки в почте или мессенджере, изображений, аудио- и видеозаписей, и множества других форм. Принципиальное отличие неструктурированных данных, которые генерирует человек в повседневной жизни, от аналогичных корпоративных данных не в их форме, а в содержании.

Корпоративные данные – это огромный массив ценной информации, управление которой, а в особенности обеспечение безопасности, требует значительных сил и средств».

Какие организационные меры необходимо предпринимать для защиты неструктурированных данных?

Алиса Фирсова, младший инженер отдела внедрения инфраструктурных средств защиты информации Cloud Networks:

Алиса Фирсова, младший инженер отдела внедрения инфраструктурных средств защиты информации Cloud Networks 📷

«Правильное управление неструктурированными данными не только повышает киберустойчивость, но и позволяет более эффективно работать с имеющимися объемами информации, снижая издержки и улучшая бизнес-процессы.

Если компания стремится к созданию устойчивой и безопасной информационной среды, важно проверить соблюдаются ли основные правила и принципы работы с неструктурированными данными:

1. Регулярно организовывать аудит всех информационных ресурсов компании.
2. Осуществлять классификацию данных для выявления чувствительной и критически важной информации.
3. Осуществлять мониторинг прав доступа пользователей к данным и действиям с этими данными.
4. Использовать двухфакторную аутентификацию пользователей.
5. Обеспечивать шифрованную передачу данных.
6. Подключать бизнес владельцев к процессу согласования, чтобы они видели текущие права к каталогам и понимали, кто получает к ним доступ.
7. Выделять места хранения критичной информации, задавать политики хранения и распространения данной информации. Реагировать на инциденты, если эти политики нарушились.
8. Использовать ПО для автоматизации вышеназванных процессов».

Алексей Парфентьев, руководитель отдела аналитики «СёрчИнформ»: «Сегодня нельзя использовать организационные меры отдельно от технических. Это связано с простотой доступа к хранилищам данных и самими данными, которых стало значительно больше.

То есть всегда найдется сотрудник, который не будет соблюдать организационные меры: категоризировать и обрабатывать данные только в положенных местах, а будет использовать, например, личные облачные хранилища. В таком случае даже самые эффективные организационные меры не будут применимы на практике без использования технических средств.

Например, облачное хранилище OneDrive встроено прямо в ОС. Оно по умолчанию закреплено в панели быстрого доступа и всегда на виду. Перемещение в него – дело одного клика. Для компании же этот клик может обернуться многомиллионным штрафом».

Иван Дудоров, руководитель группы поддержки продаж Cyberpeak: «Когда мы говорим об организационных моментах, первое, чему необходимо уделить внимание, – это формализация и стандартизация процессов защиты, в том числе с целью выполнения требований законодательства или сертификации организации. Другими словами, необходимо проработать, внедрить и проконтролировать исполнение подходов к защите неструктурированной информации не только «на бумаге», но и в реальной инфраструктуре. В частности, необходимо утвердить методы разделения доступа к информации, что на практике означает необходимость сформировать базовою матрицу доступа, которая будет применяться ко всем файловым ресурсам с неструктурированными данными, а также избавиться от любых несоответствий, таких как «сломанное наследование», излишние привилегии у пользователей, глубоко расположенные каталоги с уникальными разрешениями и т. д.

С точки зрения законодательства стоит отметить необходимость выполнения 98-ФЗ о коммерческой тайне, в частности – статьи 10 и 11, касающиеся определения перечня КТ, ограничения и учёта доступа, ознакомления сотрудника с данным списком и создания ему условий для соблюдения режима работы с такими данными. То есть сотрудник, работая с документами конфиденциального характера, должен явно об этом знать, – что можно решить с помощью специальных средств маркировки документов.

Интересной организационной мерой можно также назвать необходимость взаимодействия отдела ИБ с бизнес-подразделениями компании для формирования списка неструктурированных данных, которые необходимо защищать. Как показывает практика, сотрудники ИБ при составлении такого списка часто опираются только на свой собственный опыт и на пожелания руководства. Но в реалии спектр защищаемых данных может оказаться куда шире – а кто, как не неродственные владельцы данных, может определить, что является критичным на случай утечки или неконтролируемого распространения информации? Поэтому хорошей практикой считается взаимодействие с бизнес-подразделениями с целью понять, что нужно в реальности защищать.

И конечно же не стоит забыть про необходимость проведения обучения сотрудников компании и организации последующих тестов в виде эмуляции распространенных методов атак – например, используя фишинговую рассылку: кликнувший на ссылку сотрудник должен будет пройти повторное обучение.

Также хорошей практикой считается проведение регулярных аудитов и пентестов для выявление слабых мест в инфраструктуре. Стоит отметить, что некоторые вендоры и поставщики решений предлагают такие процедуры на бесплатной основе, зачастую – даже в качестве альтернативы стандартного пилотного проекта, по результатам которого заказчик получает отчёт об обнаруженных уязвимостях и описанием методов по сокращению таких рисков».

Кирилл Лукьянов, руководитель отдела защиты систем и сервисов iTPROTECT:

Кирилл Лукьянов, руководитель отдела защиты систем и сервисов iTPROTECT 📷

«В первую очередь требуется структурировать данные, привести их хранение в удобный и понятный формат, чтобы минимизировать риски получения доступа к информации сотрудниками, в зоне ответственности которых эта информация не находится.

Реализовать подобное можно внедрением классов DCAP/DAG, данный класс решений способствует наведению порядка на файловых хранилищах. Под порядком понимается процесс анализа излишних доступов к файлам, уход от индивидуальной выдачи прав на учетную запись к групповой, очистка файлового хранилища от дубликатов файлов. Здесь важно грамотное управление, т.к. с течением времени новые доступы предоставляются, старые остаются или используются повторно. Часто в компаниях новых сотрудников добавляют в те же группы, что и предыдущего, вне зависимости от того, требуются ему эти доступа или нет».

Владимир Ульянов, руководитель аналитического центра компании Zecurion:

Владимир Ульянов, руководитель аналитического центра компании Zecurion 📷

«Наверное, это самое главное и самое сложное для обеспечения безопасности корпоративных данных и основа любых других мер защиты, в т. ч. технических.

Прежде всего, необходимо определиться, какие данных хранятся в корпоративной сети, каким-то образом их классифицировать. Не факт, что сразу получится разработать исчерпывающий классификатор, поэтому для начала можно ограничиться примерным базовым списком, который будет доработан и расширен впоследствии, может быть даже за несколько итераций.

Следующий этап — выявить места хранения данных. На этом этапе речь не идёт о перемещении данных и даже формально оценке «правильно или неправильно, что там хранится», это следует делать позже, когда сложится актуальная картина. Здесь — только сбор данных.

Далее — найти владельцев информации и совместно с ними проработать регламенты доступа к данным. На этом же этапе необходимо будет понять, кто реально имеет доступ к данным, и кто должен иметь. В идеале — формализовать бизнес-процессы и связанные с ними процессы обработки информации. Хотя на практике это будет не только трудоёмкой задачей, но может встретить противодействие со стороны сотрудников и даже менеджмента организации.

В любом случае, когда сложилась общая картина по данным, сотрудникам и бизнес-процессам, необходимо установить требования по местам хранения и порядку работы с данными. Завершающий этап — инструктажи и обучение сотрудников. Этот этап обязательно должен проходить с обратной связью, т. к. разработанные регламенты могут оказаться ошибочными или неполными. Либо слишком сложными, что со временем приведёт к отказу от их выполнения.

В общих чертах примерно так. Приведённые рекомендации по организационным мерам отчасти пересекаются с техническими задачами, но и на практике их не всегда можно разделить. А вот подходы к защите важных и второстепенных данных необходимо в большинстве случаев разделять».

Людмила Севастьянова, эксперт центра продуктов Solar inRights ГК «Солар»: «Если говорить об организационных мерах, то основные направления применяемые к неструктурированным данным ничем не отличаются от мер в целом по информационной безопасности. Первое – это комплекс действий, направленных на выявление угроз ИБ, второе – планирование и реализация мероприятий по защите информации и третье – контроль состояния защиты информации.

Если более детально подходить к вопросу, то для выявления угроз необходимо:

• регулярно проводить оценку рисков для выявления потенциальных угроз и уязвимостей, связанных с неструктурированными данными;
• внедрять инструменты мониторинга для проактивного предотвращения инцидентов безопасности и реагирования на них;
• создать группу реагирования на инциденты и нарушения ИБ, в обязанности которой будет входить расследование и устранение угроз, в том числе, связанных с хранением и обращением с неструктурированными данными, формирование рекомендаций по недопущению инцидентов в будущем.

Для реализации конкретных мероприятий, из основного нужно:

• обязательно разработать и внедрить политику классификации данных для категоризации неструктурированных данных на основе уровней их чувствительности и применения соответствующих средств контроля безопасности;
• внедрить средства контроля доступа и механизмы аутентификации пользователей – для разграничения и защиты доступа к неструктурированным данным;
• защищать информацию и в состоянии покоя, и при передаче – с использованием шифрования, парольной защиты и протоколов безопасного обмена данными;
• не забывать про регулярные обновления систем и приложений, которые хранят или обрабатывают неструктурированные данные, для устранения уязвимостей;
• проводить регулярные тренинги по повышению осведомленности сотрудников о распространенных угрозах безопасности и о том, как обнаруживать потенциальные риски и сообщать о них.

А для оценки состояния защиты основными действиями будут:

• внедрение инструментов мониторинга для отслеживания схем доступа и действий пользователей, связанных с неструктурированными данными;
• проведение регулярных аудитов для оценки и обеспечения соответствия внутренним политикам/нормативам и внешним регуляторным требованиям;
• регулярный пересмотр и обновление политик и процедур ИБ, в том числе связанных с неструктурированными данными на основе актуальных угроз безопасности и передовых подходов, и лучших мировых практик».

Роман Подкопаев, генеральный директор Makves: «Если компания стремится к созданию устойчивой и безопасной информационной среды, необходимо проверить соблюдаются ли основные правила и принципы работы с неструктурированными данными:

• регулярное проведение аудита всех информационных ресурсов компании;
• проведение классификации данных для выявления чувствительной и критически важной информации;
• осуществление мониторинга прав доступа пользователей к данным и действий с этими данными;
• использование специализированного ПО для автоматизации вышеназванных процессов.

Примером специализированного автоматизированного решения являются системы класса DCAP (Data-Centric Audit and Protection). Они помогают избежать ошибок в процессах, обеспечивающих эффективную работу с неструктурированными данными. Решения этого класса появились в ответ на ситуации, когда из-за бурного роста объемов неструктурированных данных среди «файлового многообразия» в свободном доступе оказывается конфиденциальная информация: файлы с персональными данными, папки с коммерческой тайной и прочие важные для компании документы или их дубликаты».

Какие существуют особенности при защите неструктурированных данных в различных операционных системах?

Кирилл Лукьянов, руководитель отдела защиты систем и сервисов iTPROTECT, отметил, что на отечественном рынке есть несколько решений класса DCAP, подбор которых стоит реализовывать в зависимости от самой организации файлового хранилища.

Василий Степаненко, генеральный директор облачного провайдера «НУБЕС» (Nubes): «Учитывая, что до сих под около двух третей пользователей в нашей стране используют ОС Windows, актуальным решением для защиты неструктурированных данных для них являются решения по управлению доступом к неструктурированным данным и контролю за действиями над ними (Data-Centric Audit and Protection, DCAP).

С недавних пор по причине исхода зарубежных вендоров активно на рынок решения класса DCAP выводят отечественные игроки. DCAP-системы позволяют выявлять, категоризировать и классифицировать ценные с коммерческой точки зрения данные и контролировать доступ к ним с применением целостной системы административных процессов и политик».

Алиса Фирсова, младший инженер отдела внедрения инфраструктурных средств защиты информации Cloud Networks, завила, что очень часто компании концентрируются на защите внешнего периметра и не имеют представления, что есть необходимость защищать данные внутри. Необходимо фокусироваться на информации и тех данных, которые необходимо защитить. Вся модель угроз и цели безопасности должны строиться на понимании того, где и какую информацию нужно защитить.

«Если говорить о клиентских и серверных операционных системах, которые не являются инструментом файлового хранилища, то основные особенности в большей мере связаны с подходом к хранению данных, обеспечением их целостности и резервным копированием. Неструктурированное хранение файлов и хаотичное предоставление доступа к ресурсам, отсутствие у сотрудников навыков кибергигиены, зачастую приводят к утечкам данных.

Для работы с неструктурированными данными часто используют экосистему. Экосистема для работы с неструктурированными данными — это комплекс инструментов для работы с файлами на всех этапах их жизненного цикла, включающий в себя операционную систему и средства защиты».

По словам Алексея Парфентьева, руководителя отдела аналитики «СёрчИнформ», особенностей много, но только если речь идёт про защиту рабочих станций, то есть о работе на уровне агента DCAP-системы. Например, в Windows используется файловая организация формата NTFS, на ОС Linux – Ext4. Очень отличается работа на драйверном уровне с файлами и файловыми операциями и со связкой «файл – пользователь – действие». Также отличается организация основного и альтернативных файловых потоков Win, в Линукс они реализованы через расширенные атрибуты.

«Если же речь идёт про сканирование сетевых папок или интеграцию с системой хранения данных, то технологической и функциональной разницы на разных ОС либо нет, либо она незначительна. Связано это с тем, что для DCAP-системы все сетевые папки, независимо от ОС, будут выглядеть одинаково из-за использования Network File System (NFS)».

Иван Дудоров, руководитель группы поддержки продаж Cyberpeak: «Важно понимать, что функции защиты в операционных системах разрабатывались лишь как один из многих составных кирпичиков, а не как полноценные самостоятельные решения. В результате на практике мы получаем достаточно скудные функциональные возможности по разделению прав доступа и обеспечению защиты неструктурированных данных, недостаточные для решения реальных бизнес-задач.

Например, в большинстве ОС присутствует дискреционная модель разделения прав доступа – по сути, списки доступа (ACL), позволяющие, на первый взгляд, формировать прозрачную структуру разрешений. Но как только численность сотрудников переходит рубеж в порядка 100 человек, начинаются различные проблемы – матрицы доступа разрастаются и теряется прозрачность, появляются излишние привилегии, месторасположение критичных данных никак не контролируется… Чтобы эффективно всем этим управлять, встроенного в ОС функционала банально не хватает – даже для решения простого вопроса о построении фактической матрицы доступа сотрудника необходимо потратить огромное количество времени ИТ/ИБ специалистам на анализ всех групп безопасности и всех каталогов/файлов, чтобы сформировать из этого соответствующий отчёт. DCAP решения данную задачу могут решать в пару кликов.

Некоторые ОС предлагают мандатную или даже гибридную модель организации доступа, но нужно опять же осознавать не сколько ограничения самой модели, сколько практические неудобства при её использовании и последующем контроле. Назначение гранулярного доступа субъектов к объектам на базе меток конфиденциальности хоть и позволяет задавать более гибкие правила разграничения прав, чем дискреционная модель, но оно более затратно по человеческим ресурсам, тяжелее в управлении и подразумевает наличие эффективных механизмов классификации и маркировки документов. Именно поэтому такие модели обычно используются только при работе с государственной тайной, а не коммерческой информацией.

Также операционные системы почти никак не закрывают вопрос с анализом наличия конфиденциальных данных внутри документов – классификацией. Да, некоторые ОС предлагают возможность проставления меток на документы в ручном или полу-ручном режиме, но функциональные возможности ограничиваются одной платформой, а разбор данных редко выходит за рамки анализа полнотекстовых документов. Сканы и фотографии договоров, документов – не распознаются, архивные файлы – не анализируются. В результате мы получаем малоэффективный функционал, который приносит больше неудобств, чем пользы».

Как обеспечить безопасность неструктурированных данных в электронной почте и на файловых серверах?

Алексей Парфентьев, руководитель отдела аналитики «СёрчИнформ», убеждён, что для этого нужно использовать DCAP-систему. Первоначально в системе надо провести аудит файловых хранилищ и найти всевозможные данные. Далее нужно провести классификацию данных при помощи контентного анализа и расстановки меток.

«В нашей DCAP-системе FileAuditor анализ контента проводится при помощи более 400 предустановленных политик, от работы которых зависит точность классификации данных и, соответственно, надежность их защиты. Последний шаг для обеспечения безопасности – разграничение прав доступа на основе контентно зависимых правил, использующих метки».

Алиса Фирсова, младший инженер отдела внедрения инфраструктурных средств защиты информации Cloud Networks:

1. Своевременно делать бекап и обеспечивать резервную копию файлов.
2. Использовать антиспам решения.
3. Использовать решения, которые позволяют обеспечить защиту каналов электронной почты.
4. Использовать системы, которые позволяют определить данные, контролировать доступ и привилегии.
5. Обеспечивать обучение сотрудников.
6. Эффективно использовать комплексный подход для работы с неструктурированными данными.

Подобная экосистема является комплексом инструментов для работы с файлами на всех этапах их жизненного цикла, включающий в себя операционную систему и средства защиты. При таком комплексном подходе мы можем дать заказчику сценарий с провязанными интеграциями в купе решений. Экосистема подразумевает под собой обмен опытом и оптимизацию бизнес-процессов для безопасности и удобства. Среди преимуществ у таких систем можно отметить отсутствие проблем на стороне клиента, а также экономию ресурсов и времени благодаря интеграции.

Утечки могут происходить из-за невнимательности или безответственности внутреннего пользователя либо же по вине внешнего злоумышленника. Важны не только пароли или персональные данные клиентов, но и, например, информация о планах компании, которую могут использовать конкуренты. Такие данные попадаются как в письмах, так и в файлах, которые лежат в публичных хранилищах».

Роман Подкопаев, генеральный директор Makves, заметил, что почтовая переписка содержит данные, которые нужно защищать. Поэтому важно контролировать доступ к почтовым ящикам сотрудников. Обычно мы встречаемся с такими ситуациями, когда сотруднику выдавали временный доступ к почтовому ящику руководителя и забыли его отключить. Также, когда сотрудник переходит на новую должность или в другое подразделение, у него должны измениться права доступа к корпоративным ресурсам, в том числе и к группам рассылки.

«Такие правила предусматривают внутренние политики безопасности или требования регуляторов. На практике же мы наблюдаем нарушения в 100% случаев. В компаниях с большим количеством сотрудников это случается довольно часто. Частью функциональности DCAP-систем является защита данных электронной почты благодаря оперативному аудиту и контролю критических изменений в Exchange Server и CommunigatePro. DCAP-решения показывают, какие пользователи и группы имеют доступ к данным почтового сервера и как эти права доступа были получены, фиксируют попытки входа в чужие почтовые ящики и сообщают о подозрительной активности в режиме онлайн».

Людмила Севастьянова, эксперт центра продуктов Solar inRights ГК «Солар»: «Если говорить про защиту неструктурированных данных в системах электронной почты, то важными направлениями, на которых прежде всего нужно сосредоточиться будут:

• Использование надежных защищенных почтовых сервисов, внутри которых уже по умолчанию есть встроенные функции безопасности, такие как фильтрация почты и сканирование на наличие вредоносных программ. Кроме того, следует проверить, что ПО обновляется последними исправлениями и обновлениями для защиты от потенциальных уязвимостей.
• Также важно обеспечить надежную аутентификацию, а именно создать парольную политику и обеспечить её исполнение в части соблюдения сложности паролей, регулярной их смены, неиспользования общих паролей и лучше всего дополнить двухфакторной аутентификацией (2FA) для защиты конфиденциальных данных от несанкционированного доступа.
• Безусловно важно обеспечить контроль доступа пользователей на почтовых серверах: проверять список почтовых ящиков, к которым имеет доступ пользователь помимо своего собственноличного ящика, проводить аудит действий пользователей в своих и чужих почтовых ящиках, проводить аудит действий на общих почтовых ящиках, которые принадлежат подразделениям компании, чтобы выявлять несанкционированные права и нелегитимные действия. Все указанные процедуры можно эффективно выполнять автоматически с помощью специальных решений по контролю неструктурированных данных.
• Правильным направлением будет проведение регулярных тренингов и обучений по безопасности работы с почтой, чтобы сотрудники не переходили по подозрительным ссылкам и не открывали небезопасные вложения.
• И, поскольку электронная почта является средством передачи данных, важным элементом будет внедрение технологии DLP для предотвращения утечек конфиденциальных данных. Такие решения устанавливаются в разрыв, что обеспечивает отслеживание и блокировку несанкционированной передачи информации.

На корпоративных файловых серверах важными направлениями прежде всего будут:

• Внедрение средств контроля доступа пользователей, чтобы понять и оценить кто может получить доступ к конфиденциальной информации, а кто нет, кому нужен доступ только на чтение, а кто может проводить активные операции с файлами.
• Также нужно обеспечить регулярный мониторинг активности на файловых серверах: кто работает с файлами, какие операции выполняет, кто изменяет файлы. Таким образом можно будет делать выводы о подозрительной активности и несанкционированных действиях.
• И самое главное – начинать защиту нужно именно с классификации данных для категоризации неструктурированных данных на основе уровней их чувствительности (о чем говорили выше в организационных мерах). Потому что каждая компания должна знать где и на чем сосредоточить свои усилия, как организовать правильное хранение и перемещение конфиденциальных данных. Охватить всё просто невозможно и важно понимать, как и где применять соответствующие средства контроля безопасности.

Эти направления работы можно обеспечить с использованием специализированных технологических инструментов Data Access Governance (DAG). Один из таких – Solar DAG как раз предназначен для управления и контроля доступа к данным, которые хранятся и обрабатываются в неструктурированном виде в различных системах хранения.

Кроме того, для защиты данных на серверах также используются технологии шифрования для предотвращения несанкционированного доступа и резервного копирования, чтобы в случае потерь или повреждений было возможно их восстановить».

Василий Степаненко, генеральный директор облачного провайдера «НУБЕС» (Nubes), заявил, что если говорить о том, что касается безопасности электронной почты, то для начала, если компания еще этого не сделала, следует перейти на использование отечественных почтовых сервисов. В нынешних реалиях это просто необходимо. Сами механизмы защиты неструктурированных данных в почте достаточно стандартны: антиспам-защита, антивирусные решения, многофакторная аутентификация, «песочницы», которые защищают от угроз «нулевого дня».

«Следует также отметить сервисы шифрования почтовых сообщений, но с их использованием есть проблемы. Шифрование в почте многие опасаются использовать по причине риска утраты информации и того, что пользоваться этой функциональностью крайне неудобно. Например, нет возможности пользоваться на нескольких устройствах, и между оперативностью и безопасностью часто выбирают первое. Тем не менее, например, запароленный архив тоже своего рода шифрование, и такой способ пересылки важной информации через почту возможен. Только нужно создавать надежный пароль и пересылать его альтернативным каналом».

Кирилл Лукьянов, руководитель отдела защиты систем и сервисов iTPROTECT, рассказал, что обезопасить почту можно несколькими способами:

1. Первый – организовать безопасность хранения файлов посредством DAG/DCAP-систем. Таким образом мы уже предоставляем доступ пользователя только до той информации, к которой он должен иметь в рамках свой трудовой деятельности.
2. Второй – внедрение средства безопасного обмена файлами (SFS) и проведя интеграцию с почтовым клиентом, так чтобы все отправляемы файлы загружались в систему SFS, а само почтовое сообщение вставлялась только ссылка на скачиваемый файл.
3. Третий – внедрение класса DLP для предотвращения утечек информации в том числе и не структурированной.

Иван Дудоров, руководитель группы поддержки продаж Cyberpeak: «На самом деле, задача достаточно комплексная и состоит из нескольких этапов:

1. Во-первых, необходимо провести аудит текущих ресурсов и понять все проблемные места инфраструктуры, чтобы приоритезировать задачи по «наведению порядка». Для каждой платформы это будут разные показатели: для файловых серверов – излишние права у пользователей, наличие «создателей-владельцев» с полными привилегиями на ресурсах, «неуправляемые» каталоги и пр.; для почты – права доступа у не владельца ящика, настроенная переадресация на личный ящик, отправка писем со скрытыми копиями; для службы каталогов – пользователи с постоянными паролями, УЗ с возможностью иметь пустой пароль, пользователи без пре-аутентификации Kerberos и т. д.
2. Во-вторых, сформировать список важной для бизнеса информации в виде правил классификации и произвести сканирование всех файловых ресурсов на их наличие. Этот список будет диктовать приоритеты среди защищаемых данных для фокусировки усилий сотрудников ИТ и ИБ.
3. В-третьих, требуется сформировать чёткую концепцию разделения привилегий (базовую матрицу доступа) с учётом бизнес-процессов в компании, по которой в дальнейшем будет формироваться структура каталогов на ресурсах неструктурированных данных. На данном этапе заказчик обычно решает, хочет ли он оптимизировать существующую структуру, либо начать с «чистого листа» с последующими переносом данных.
4. Четвёртым этапом необходимо зафиксировать текущее положение вещей в части существующих рисков посредством настройки кастомизированных политик безопасности с уведомлением об их нарушении. Например, отправлять сообщение администраторам ИБ, если администратор ИТ по каким-то причинам решил отклониться от согласованной матрицы доступа из предыдущего пункта для нового каталога. Или если пользователь выложил документ конфиденциального характера в каталог, в котором такие данные хранить нельзя; в частости – в открытый доступ для всех пользователей домена.
5. В-пятых, необходимо произвести автоматизацию процессов, как в части «наведения порядка», так и в части минимизации рутинных операций, таких как согласование и выдача привилегий по запросу пользователей. Например, документы конфиденциального характера, расположенные в некорректном месте из предыдущего пункта, следует автоматически перенести в зону карантина до выяснения обстоятельств их там появления. А в части выдачи новых привилегий – автоматизировать цепочку согласования прав доступа в электронном виде, исключить необходимость ручного исполнения заявок во избежание ошибок администраторов, а также предоставить возможность бизнес-владельцам ресурсов самостоятельно просматривать текущие разрешения с возможностью их изменения без дополнительных согласований.

Таким образом мы получаем цикл выявление рисков – фиксация текущей ситуации – исправление рисков – контроль исполнения, с помощью которой можно эффективно обеспечивать безопасность неструктурированных данных и постепенно сокращать потенциальную площадь атаки».

Как обеспечить безопасность неструктурированных данных в облачных сервисах?

Роман Подкопаев, генеральный директор Makves, напомнил, что сотрудники компании могут хранить в облачных сервисах, таких как NextCloud, Jira, Confluence или GitLab, множество файлов, среди которых может содержаться конфиденциальная информация. В нормальной практике такие данные не должны находиться на облачных файлохранилищах, а все события и действия с файлами должны быть доступны к просмотру администраторам или сотрудникам отдела безопасности.

«Проверять вручную, находятся ли файлы с конфиденциальной информацией там, где они должны быть, слишком сложно. Нет ничего удивительного в том, что сотрудник компании для личного удобства будет копировать файлы с чувствительными данными в личную папку на облаке и не утруждать себя вопросами безопасности. Чтобы уменьшить риск потери конфиденциальных данных и автоматизировать процесс мониторинга и аудита файлов, используют системы класса DCAP, которые выявляет, где хранится конфиденциальная информация и ее копии на всех хранилищах, в том числе и на облачных и помогают сформировать прозрачную матрицу доступа к информационным ресурсам компании».

Алиса Фирсова, младший инженер отдела внедрения инфраструктурных средств защиты информации Cloud Networks: «Нарушение данных и их утечка — основные проблемы безопасности в облаке. Главная причина — пренебрежения дефолтными возможностями защиты информации.

Что можно сделать:

1. настроить резервное копирование;
2. выбрать надежных поставщиков услуг;
3. системно оценивать уровень безопасности;
4. установить надежные политики управления доступом;
5. создать план аварийного восстановления;
6. объяснить сотрудникам, что можно делать в облаке, а что нельзя.

Вся проблема зачастую состоит в том, что в публичных облачных сервисах трудно определить, что происходит с данными после обмена ими. Если сотрудник использует свою личную учётную запись в таких сервисах для решения корпоративных задач, то защитить данные, которые туда попали, практически невозможно. Если же организация покупает подписку на публичный сервис, то появляются встроенные механизмы безопасности. Впрочем, их недостаточно.

Поэтому лучше всего отказаться от использования таких сервисов или же обмениваться там незначимой информацией. Возможно также применять частные облака и сервисы от провайдеров, хранить корпоративные данные в своей сетевой инфраструктуре для обеспечения безопасности».

Алексей Парфентьев, руководитель отдела аналитики «СёрчИнформ», подчеркнул, что для этого, так же как и для защиты неструктурированных данных в электронной почте и на файловых серверах, нужно использовать DCAP-систему. Но есть уточнения:

1. Данные в облаках могут дублироваться. Заметить это на уровне пользователя довольно сложно.
2. Возможны технические особенности при подключении к облаку. Это зависит от метода подключения: через локально-вычислительную сеть или через интернет.

Иван Дудоров, руководитель группы поддержки продаж Cyberpeak, заметил, что с точки зрения высокоуровневого подхода к обеспечению безопасности, облачные сервисы почти не отличаются от своих «земляных» собратьев – к ним также необходимо применять описанный ранее подход выявление – фиксация – исправление – контроль. С другой стороны, специфика работы с облачными хранилищами отличается в первую очередь тем, что большинство таких платформ построено из расчёта удобства работы конечного пользователя. В частности, это возможность обычного сотрудника предоставить доступ к данным любому коллеги или даже стороннему лицу вне организации по ссылке. В результате пользователи свободно обмениваются и самостоятельно управляют доступом к данным, из-за чего облачные службы превращаются в дополнительный канал утечки, а администраторы получают куда менее контролируемую и настраиваемую платформу с точки зрения ИБ, чем локальные файловые хранилища.

«Поэтому если вести речь про обеспечение безопасности, то ее методология остается без изменений – всё также необходимо провести анализ существующих рисков, наметить план по их сокращению, настроить политики контроля расположения критичных данных и пр. Принципиальные отличия будут заключаться только системе прав доступа, включая ссылки для внешнего доступа к файлам и каталогам, но обычно такие системы, как DCAP, способны производить нормализацию входящей информации для простоты восприятия офицерами безопасности».

Кирилл Лукьянов, руководитель отдела защиты систем и сервисов iTPROTECT, убеждён, что облачное хранилище это или нет, в вопросе защиты неструктурированных данных, роли не играет, применяются те же подходы к защите.

Василий Степаненко, генеральный директор облачного провайдера «НУБЕС» (Nubes), прокомментировал, что всё зависит от того, какие именно это облачные сервисы. Например, в облачных решениях электронного документооборота есть функциональность, позволяющая шифровать определенные файлы и это можно использовать. Отмечу также технологию управляемой передачи файлов (Managed File Transfer, MFT) и созданные на ее базе решения.

Кроме того, при помощи возможностей Next Generation Cloud (NGcloud), можно организовать облачные диски, доступ к которым будет предоставляться через логин и пароль. Нужно в первую очередь грамотно реализовать управление доступом к облаку, где хранятся данные.

Людмила Севастьянова, эксперт центра продуктов Solar inRights ГК «Солар»: «У нас в стране отношение к поставщикам облачных решений и сервисов пока очень настороженное. Далеко не каждая компания, особенно крупная решится передавать свои данные для обработки и хранения на облачные ресурсы. Малый и средний бизнес зачастую вынужден использовать облачные технологии с целью экономии средств для того, чтобы не тратить немалые деньги на поддержание собственной инфраструктуры.

Для защиты неструктурированных данных на облачных сервисах из основного можно рекомендовать:

1. Прежде всего использовать сервисы надежных поставщиков, которые применяют к своим сервисам строгие меры безопасности и гарантируют надежность обращения и сохранность данных.
2. И так же, как и в предыдущих случаях важным подспорьем станет использование надежной двухфакторной аутентификации, шифрование данных (при передаче поставщику облачных услуг и при хранении на серверах), контроль и мониторинг использования ресурсов на облачных платформах, чтобы вовремя выявлять несанкционированный доступ и любую подозрительную активность при работе с файлами».

Как обеспечить разграничение доступа к неструктурированных данным в корпоративной сети?

Людмила Севастьянова, эксперт центра продуктов Solar inRights ГК «Солар»: «Для тех компаний, которые уделяют информационной безопасности действительно большое внимание рекомендацией по эффективному разграничению доступа к неструктурированным данным будет интеграция технологий Data Access Governance (DAG) c решениями по управлению доступом Identity Management (IdM/IGA), мы как раз сейчас активно работаем над синергией этих наших продуктов и вот почему:

• интегрируя эти продукты, можно применять детализированные политики доступа, основанные на ролях пользователей, правах доступа и чувствительности данных;
• контролируется доступ ко всем ресурсам, на основании жизненного цикла пользователя и своевременно прекращается на основе кадровых событий;
• при пересмотрах/ресертификации и актуализации доступа, которые обычно инициируется через систему IdM/IGA, возможно получение данных из DAG-системы о реальном использовании файловых ресурсов».

По опыту Владимира Ульянова, руководителя аналитического центра компании Zecurion, разграничение доступа к данным в корпоративной сети не представляется сложной задачей и часто оно привязывается к структуре организации. Свыше 90% данных корректно распределяется «на глазок» (особенно если на первых этапах аудита получилось корректно определить реальных владельцев), а разграничение доступа настраивается средствами операционной системы. Проблему может представлять небольшой процент неочевидных данных, а также межотделовое взаимодействие.

«В этом случае может помочь формализация бизнес-процессов, которая выявляет «точки обмена данными» и общие данные, которые безусловно требуют взаимного доступа со стороны разных подразделений. Дополнительно здесь может появляться вопрос о владельце данных. Причём одинаково плохо, когда на данные претендует несколько владельцев, и обратная ситуация, когда данные остаются бесхозными. Аудит не только данных, но и связанных с ними процессов поможет выявить подобные проблемные места и разработать корректный регламент взаимодействия. Без регламентов, а также при их избыточной сложности есть риск неформального обмена данными и, как следствие, несанкционированного их распространения».

Иван Дудоров, руководитель группы поддержки продаж Cyberpeak: «Разграничение доступа должно осуществляться встроенными методами управления правами конкретного хранилища данных, а поверх него должны накладываться дополнительные средства по осуществлению контроля неизменности матрицы доступа и применению политик к хранению критичной информации внутри разрешённых контейнеров (каталогах, сайтах и пр.).

Саму схему разграничения обычно формируют на базе лучших практик, но учитывают при этом особенности бизнес-процессов в организации. Чаще всего это выглядит следующим образом: зафиксированные уровни вложенности каталогов, на которых происходит разделение прав доступа, с настроенным уведомлением о любых нарушениях. Например, нарушением считается глубоко расположенный каталог с уникальными правами, который необходимо либо перенести на уровень выше, где происходит ветвление прав, либо включить полное наследование разрешений. Далее на таких базовых каталогах пропиваются специально созданные группы безопасности с удобным наименованием и с уровнем прав на запись («полные» права с точки зрения конечного пользователя), прав на чтение и, в зависимости от потребности бизнеса, прав на открытия структуры каталога для сотрудников, не относящихся к конкретному подразделению-владельцу ресурса или проекту. По мере прохождения внутрь структуры папок, список сотрудников, имеющих доступ, должен постепенно сужаться.

Вторым моментом необходимо организовать защиту документов конфиденциального характера, а именно – провести классификацию ресурсов и задать места хранения конкретных категорий информации в определённом наборе каталогов. Появление документов в несогласованных местах должно не только генерировать инцидент безопасности с последующим расследованием, но и автоматически перемещать информацию в закрытую зону карантина с целью предотвращения её последующего распространения и сокращения числа ручных операций администраторов ИБ/ИТ.

Также не стоит забывать про возможность задания политик работы с определёнными типами категорий данных, позволяющие предотвращать их неправомерное использование, а также шифровать некоторые документы, требующие повышенного уровня защиты. В этом случае даже если такой файл будет отправлен по неконтролируемым каналам за пределы периметра организации, его нельзя будет просмотреть без специального агента и явно выданных разрешений».

Алексей Парфентьев, руководитель отдела аналитики «СёрчИнформ», отметил, что для разграничения прав доступа нужно использовать DCAP-систему и контентно зависимые правила. Они работают следующим образом: FileAuditor находит файл, проводит контентный анализ и присваивает соответствующую метку. Например, это может быть коммерческая тайна или персональные данные. Далее драйвер, контролирующий файловую систему, «видит» метку и обращается в FileAuditor за инструкциями, применимыми к файлу и пользователю, который хочет взаимодействовать с ним.

Алиса Фирсова, младший инженер отдела внедрения инфраструктурных средств защиты информации Cloud Networks: «Разграничение доступа это есть набор правил, который устанавливает порядок и условия доступа пользователей к файлам. Существует мандатная модель разграничения доступа и избирательная модель.

В мандатной модели обычные пользователи лишены возможности управлять настройками политик безопасности. Например, возможность доступа к тому или иному объекту определяется уровнем секретности объекта и уровнем доступа пользователя, которые жестко заданы для каждого пользователя и объекта.

Избирательная модель отличается тем, что пользователи в том или ином объеме могут управлять настройками политик безопасности. Избирательное управление доступом является базовой реализацией разграничительной политики доступа к ресурсам при обработке конфиденциальных сведений, согласно требованиям к системе защиты информации. Здесь свойственны такие понятия, как владелец и привилегии.

Удобным средством описания политик безопасности является ролевая модель. Ролевая модель представляет собой набор групп, объединяющих пользователей с одинаковым уровнем доступа. Уровень доступа к тому или иному объекту определяется по совокупности групп, которым принадлежит субъект.

Ролевая модель может использоваться для описания политик безопасности как в дискреционной, так и в мандатной модели разграничения доступа».

Роман Подкопаев, генеральный директор Makves, уверен, что одним из основных методов разграничения доступа является определение ролей пользователей и предоставление им соответствующих прав доступа. Например, администраторам могут быть предоставлены права на изменение всех данных, пользователям – только на чтение и изменение своих данных.

«После определения ролей, необходимо внедрять практику под названием Принцип наименьших привилегий, согласно которой каждый пользователь должен иметь только те права доступа, которые необходимы для выполнения его задач. Например, если сотруднику не требуется доступ к финансовым данным, он не должен иметь такой доступ. Также важно проводить мониторинг и аудит доступа: вести логирование всех попыток доступа к данным, включая успешные и неудачные попытки.

В компаниях с количеством пользователей свыше 500 человек, обеспечить разграничение доступа штатными средствами невозможно – высок риск ошибок, нет возможности отследить изменения в динамике. Для таких задач необходимо использование средств автоматизации аудита доступа к информационным ресурсам, такие как DCAP».

Как решать проблему конфликта между удобством и безопасностью при работе с файлами?

Владимир Ульянов, руководитель аналитического центра компании Zecurion: «Это вообще самый главный вопрос информационной безопасности, как найти баланс между удобством доступа/использования и защищённостью. Здесь нет одного рецепта или алгоритма. В каждом конкретном случае, в каждой организации, в отношении разных типов данных могут быть разные приоритеты. Если для работы с наиболее важными конфиденциальными данными можно дойти до таких мер как выделение обособленных сегментов сети и строгих регламентов с отдельным запросом на каждый случай получения доступа к файлу, то для большинства повседневных задач среднестатистических сотрудников такие меры неприемлемы. Нужно предложить удобный способ работы с файлами при приемлемых рисках.

Меры защиты должны быть адекватны существующим рискам и не создавать неприемлемых препятствий для выполнения прямых рабочих обязанностей. Всё-таки в большинстве организаций безопасность работает в интересах бизнеса, а не наоборот.

Поэтому в общем случае важно провести классификацию данных с выделением наиболее важных ресурсов, оценить риски, и далее выработать регламенты работы и предложить набор адекватных мер защиты».

Кирилл Лукьянов, руководитель отдела защиты систем и сервисов iTPROTECT, заявил, что как бы ни было быстро и удобно в моменте не следить за порядком, в долгосрочной перспективе он всегда более практичен. Здесь также важно работать против массовой привычки сотрудников, поэтому следует уделить внимание правильной настройке и подготовить четкий и понятный регламент, чтобы избежать нарушений. В некоторых случаях можно рассмотреть замену текущего решения на аналоги, которые совмещают безопасность и удобство использования.

Иван Дудоров, руководитель группы поддержки продаж Cyberpeak: «Любые применяемые механизмы контроля неструктурированных данных должны одновременно предоставлять как удобство и прозрачную работу для пользователя, так и обеспечение политик безопасности и контроль любых аномалий. Реализация должна быть максимально незаметной для пользователя и не оказывать негативного влияния на бизнес-процессы. Например, при открытии промаркированного и зашифрованного файла, сотруднику не должно требоваться что-то вводить – процесс должен происходить абсолютно так же, как если бы файл был обычным. Все проверки прав доступа и расшифровка файла – должны осуществляться «под капотом».

Так как наиболее безопасная система подразумевает использование модели минимально необходимых привилегий, при которой у сотрудников есть доступ только на уровне минимального необходимого для выполнения их служебных обязанностей, то в компании должны быть простые и понятные инструменты для запроса новых разрешений. Пользователи должны иметь возможность создания необходимых заявок за себя или своих подчинённых, а сами заявки – согласовываться исключительно в электронном виде с целью ускорения процесса согласования и обрабатываться автоматически, чтобы исключить человеческий фактор при выдаче разрешений администраторами. С точки зрения безопасности отдел ИБ должен иметь возможность создавать сложные маршруты согласования с дублированием ролей на случай временного отсутствия нужного «авторизатора» и возможность просматривать журнал согласования каждой заявки на случай расследования.

И конечно же, чтобы знать и пользоваться данными инструментами, необходимо провести соответствующее обучение сотрудникам. В противном случае пользователи будут идти по пути наименьшего сопротивления и использовать старые привычные методы работы с данными».

Алиса Фирсова, младший инженер отдела внедрения инфраструктурных средств защиты информации Cloud Networks: «Для пользователя всё должно быть прозрачно. Нужно, чтобы переход на новые бизнес-процессы был не резким, а постепенным. При этом удобство и комфорт могут привести к замедлению выполнения задач и, как следствие, к увеличению затрат.

Важно найти баланс между удобством и эффективностью, чтобы не нарушать бизнес-процессы и при этом не создавать затруднений. Следует объяснять пользователям, для чего внедряются новые решения и подходы, чтобы избежать отторжения и непонимания с их стороны.

Чтобы решить проблему конфликта между удобством и безопасностью при работе с файлами необходимо:

1. Своевременно информировать пользователей о возможных рисках.
2. Использовать безопасные протоколы обмена файлами, т.к. они обеспечат более высокий уровень безопасности благодаря шифрованию и аутентификации.
3. Ограничивать доступ к файлам. Необходимо выдать общий доступ только к тем файлам, которым это необходимо.
4. Регулярно обновлять системы и программное обеспечение. Обновления зачастую содержат важные политики безопасности, которые могут предотвратить уязвимости в будущем.
5. Использовать антивирусное программное обеспечение, с помощью которого можно обнаруживать и блокировать вредоносные файлы».

Роман Подкопаев, генеральный директор Makves: «Необходимо найти баланс между удобством работы пользователей и требованиями безопасности. Например, использование шифрования может замедлить работу с файлами, а ограничение доступа к папкам может затруднить поиск нужных файлов. При этом в корне не верно оставлять ИТ инфраструктуру без защиты, например, выдавая всем пользователям широкий набор прав.

В решении этой проблемы может помочь обучение сотрудников компании правилам работы с конфиденциальной информацией и мерам по обеспечению безопасности данных. Важно донести до всех сотрудников значимость соблюдения этих правил. Чем больше пользователи осознают риски безопасности, тем более они будут склонны следовать рекомендациям по безопасности, даже если это не всегда удобно.

Внедрение автоматизированных систем безопасности, которые могут автоматически обнаруживать и реагировать на угрозы, помогает обеспечить безопасность без существенного ущерба для удобства пользователей. Также необходимо регулярно проводить аудит безопасности информационных систем и обновлять меры защиты в соответствии с новыми угрозами и уязвимостями. Это поможет поддерживать высокий уровень безопасности и обеспечивать непрерывность работы организации.

Предположим, что в компании сотрудники часто используют личные ноутбуки для работы с файлами из облачного хранилища. Вместо того, чтобы запрещать их использование, можно реализовать многофакторную аутентификацию для доступа к данным с личных ноутбуков. Это позволяет обеспечить дополнительный уровень безопасности без значительного ущерба для удобства пользователей».

Людмила Севастьянова, эксперт центра продуктов Solar inRights ГК «Солар»: «Зрелость компаний в понимании важности обеспечения безопасности постоянно растет. В текущей ситуации руководители осознают, что безопасность является одним из ключевых факторов успешного ведения бизнеса. Они понимают, что потеря конфиденциальной информации может нанести серьезный ущерб репутации и финансовым показателям компании, не говоря о более серьезных инцидентах. Сотрудники также осознают, что успешность их работы в компании, а следовательно, и карьера, тесно связаны с соблюдением требований безопасности. Информация об утечках, кражах, взломах и других кибератаках ежедневно появляется в СМИ и всё сложнее оставаться безучастным.

Поэтому становится очевидно, что организационные меры, такие как: обновление ПО, мониторинг любых отклонений и устранение уязвимостей и другие, вызваны не желанием усложнить жизнь работников, а объективными факторами, которые нельзя игнорировать. Регулярные обучения, которые должны проводиться и проводятся во многих организациях способствуют повышению осведомленности и ответственности каждого сотрудника за вклад в обеспечение безопасности.

Эффективным методом контроля файловых серверов являются специализированные решения DAG, которые используют подход DCAP (Data Centric Audit and Protection) ориентированный именно на файловые данные. Такой подход делает упор на безопасность самих данных в комплексе с необходимым оборудованием, программным обеспечением и процессами. Одно из основных преимуществ подхода заключается в том, что он может применяться только к определенным категориям данных, которые необходимо защищать, что делает его масштабируемым без особого влияния на бизнес-процессы компании. Таким образом, безопасность данных согласуется со стратегией бизнеса».

Как осуществлять контроль перемещения и хранения конфиденциальных файлов внутри организации?

Иван Дудоров, руководитель группы поддержки продаж Cyberpeak: «Хранение неструктурированной конфиденциальной информации должно не только осуществляться из соображений минимально необходимых привилегий, но и автоматически контролироваться наложенными политиками, которые будут отслеживать расположение важных документов в рамках конкретных каталогов. Как только данные файлы покидают свой периметр, об этом должно приходить уведомление сотруднику ИБ в виде инцидента, требующего расследования. В идеальном сценарии дополнительно должны приниматься автоматические превентивные меры, помещающие файлы с нарушениями в закрытую зону карантина до завершения расследования с целью предотвращения последующего неправомерного распространения закрытой информации.

Что касается контроля перемещения важных данных, то хорошим методом является маркировка документов самими пользователями или автоматической системой с последующим наложением политик работы с такой информацией. Например, можно настроить запрет на отправку почтовых сообщений с файлами с меткой «Внутренний», если один из адресатов находится вне доменной зоны организации. Либо форсировать необходимость проставить метку при создании и сохранении нового документа.

Дополнительно особо конфиденциальные данные желательно автоматически шифровать, что позволит избежать возможных утечек по неконтролируемым каналам – получатель файла банально не сможет его открыть без соответствующего установленного агента на АРМ и нужных привилегий работы с заданной категорией информации.

При этом чтобы вся выстроенная защита работала корректно, должны быть инструменты по автоматическому выявлению конфиденциальных данных внутри документов, сканов и архивов с настроенными релевантными правилами классификации. Только в этом случае получится объективно выявить интересующие нас критичные документы и контролировать их перемещение и хранение».

Алексей Парфентьев, руководитель отдела аналитики «СёрчИнформ», отметил, что для этого требуется использовать специализированные средства защиты – DCAP- и DLP-системы. Лучше, если это будут решения от одного вендора, так как они лучше интегрируются друг с другом, не требуют дополнительной ИТ-инфраструктуры и дают синергетический эффект.

«DCAP-система позволит «навести порядок»: провести аудит файловых хранилищ и контентный анализ, присвоить соответствующие метки и распределить права доступа. После этого для защиты от утечек нужно использовать DLP-систему. Она позволит взять под контроль все информационные потоки, контролировать взаимодействие с файлами, мониторить действия и коммуникацию сотрудников, а также проводить расследования инцидентов».

Роман Подкопаев, генеральный директор Makves: «Для контроля перемещения и хранения конфиденциальных данных без автоматизированных средств не обойтись, потому что сотрудники используют файлы как им удобно для обеспечения бизнес-процессов. Файл могут переименовать, отсканировать, сохранить в папке с общим доступом намеренно или по ошибке. Возрастает угроза не только “захламления” файловых хранилищ, но и потери или утечки конфиденциальной информации.

DCAP-решения проводят классификацию данных, идентифицируя конфиденциальные файлы и присваивая им определенный уровень риска. Это может быть основано на различных факторах, таких как тип данных, чувствительность информации, требования к законодательству и т.д. Когда сотрудник пытается получить доступ к определенному документу, DCAP-система проверяет его учетные данные и роль в организации. Если сотрудник имеет соответствующие права доступа, он получает доступ к документу, и его действие записывается в журнал аудита. Если сотрудник даже с легитимными правами начнет удалять или перемещать файлы, система сразу же уведомит сотрудников отдела безопасности. Далее можно тонко настроить различные сценарии действий, например, автоматическую блокировку доступа».

Людмила Севастьянова, эксперт центра продуктов Solar inRights ГК «Солар», заметила, что ранее уже говорилось, каждая компания по мере её существования и развития неизбежно накапливает огромные массивы данных, большинство из которых хранится в неструктурированном виде. Стоит отметить, что массив данных неструктурированного формата растет еще и потому, что работники постоянно копируют и переносят на файловые ресурсы информацию из различных информационных систем и приложений, которые используются в компаниях. Естественно, что контролировать вручную хранение и перемещение конфиденциальной информации просто невозможно. Отсюда и возникают риски утечек и несанкционированного использования данных.

«Специализированные технологические платформы класса DAG – Data Access Governance позволяют автоматизировать процессы контроля за хранением конфиденциальной информации и выявлять отклонения от утвержденных политик доступа к информации. За перемещением конфиденциальной информации позволяют следить автоматизированные решения DLP – Data Leak/Loss Prevention.

Хороший эффект дает интеграция этих систем т.к. их работа основана на одинаковых параметрах классификации информации и маркировках. Сопоставляя события доступа к данным из системы DAG с оповещениями и политиками DLP, можно своевременно обнаруживать и предотвращать попытки несанкционированного извлечения, перемещения, обмена конфиденциальной информацией в режиме реального времени. Этот упреждающий подход укрепляет безопасность путем выявления и предотвращения потенциальных утечек на ранних этапах, а также закрывает требования регуляторов по хранению и работе с конфиденциальными данными, для тех компании, которым важен этот аспект».

Кирилл Лукьянов, руководитель отдела защиты систем и сервисов iTPROTECT, уточнил, что конфиденциальные данные нужно классифицировать. Например, в DCAP-решениях есть функция контекстного поиска и маркирования файлов по признаку, а также аналитические модули по изображениям. Например, можно настроить обнаружение персональных данных.

Как обезопасить корпоративный файлообменник?

Роман Подкопаев, генеральный директор Makves: «Для обеспечения безопасности корпоративного файлообменника важно сначала убедиться, что контроль доступа к файловым хранилищам осуществляется должным образом, в частности, что уровни доступа корректно настроены для различных пользователей и групп пользователей. После этого следует провести категоризацию данных, чтобы определить уровень чувствительности каждого файла или папки. Это поможет применить соответствующие меры защиты в зависимости от степени конфиденциальности информации.

Затем необходимо настроить политики безопасности для папок, содержащих конфиденциальную информацию. Например, можно настроить политики хранения файлов в папках, которые будут своевременно оповещать офицера безопасности о появлении чувствительных файлов в папках, после чего будут приниматься защитные действия: удаление доступа к файлу или блокировка подозрительного пользователя.

Важным шагом является также мониторинг всех действий с файлами на файловых хранилищах компании: чтение, запись, изменение и удаление файлов. Проведение регулярного мониторинга позволяет выявлять подозрительную активность и быстро реагировать на потенциальные угрозы безопасности. Наконец, стоит помнить о регулярном аудите безопасности. Инфраструктура каждой компании живая и постоянно меняется, поэтому важно с установленной периодичностью проводить аудит, чтобы выявлять и устранять возможные уязвимости и следить за общим состоянием безопасности файлообменника».

Алиса Фирсова, младший инженер отдела внедрения инфраструктурных средств защиты информации Cloud Networks, указала на то, что в корпоративных файлообменниках обязательными инструментами защиты должны быть усиленная аутентификация пользователей и интеграция с системами единого входа. К тому же очень важно контролировать пользователей и понимать, кто выполнял действия в контуре компании, когда и какие именно. Можно применять белые и чёрные списки сетей, поставщиков и т. д.

«Для заказчиков решений по защите данных важна идентификация пользователя, интеграция с другими системами безопасности, функции одновременной работы многих пользователей с файлами, возможность сохранения предыдущих версий документов, логирование системных событий и действий над файлами. Также, по их мнению, значимы использование безопасных сетевых протоколов, ролевая модель доступа, блокировка сессии по таймауту.

Рекомендовано не публиковать конфиденциальную информацию в файлообменниках общего пользования, а также применять многофакторную аутентификацию, полагаться на частные облака и сервисы от провайдеров, хранить корпоративные данные в своей сетевой инфраструктуре для обеспечения безопасности. Для того чтобы обезопасить себя, необходимо контролировать и ограничивать права доступа к файлам. Обязательно нужно обучать сотрудников работе с неструктурированными данными».

Алексей Парфентьев, руководитель отдела аналитики «СёрчИнформ», подчеркнул, что ответ на этот вопрос будет таким же, как и предыдущий, но с единственным уточнением: в СЗИ должны быть одинаковые правила, применяемые всегда и ко всем пользователям. Для этого также лучше использовать решения от одного вендора, так как они используют схожие механизмы и правила, которые лучше интегрируются друг с другом.

Какие СЗИ и механизмы безопасности наиболее эффективны для защиты неструктурированных данных?

Андрей Шабалин, аналитик по информационной безопасности NGR Softlab:

Андрей Шабалин, аналитик по информационной безопасности NGR Softlab 📷

«Обеспечить защиту неструктурированных данных можно и при помощи встроенных в операционные системы механизмов. В случае с Windows это может быть работа с GPO, списками контроля доступа (ACL), расширенный аудит файловой системы и доступа к объектам. В случае с Linux можно также поработать с политиками аудита и, например, контекстом SELinux. Для любой из систем потребуется также проработка ролевой модели разграничения доступов к отдельным категориям неструктурированных данных, а также централизованная система сбора и обработки событий, чтобы за всем этим наблюдать.

Важным уточнением является то, что об эффективности подобных мероприятий справедливо говорить в малых организациях с относительно небольшим объёмом неструктурированных данных, уже находящихся в обороте, либо до его непосредственного начала. Статистика же показывает, что чаще бизнес задумывается о защите неструктурированных данных, когда ему уже был нанесён некоторый ущерб или когда такие требования спускает регулятор. Кроме того, если речь идёт о работе с персональными данными, существуют нормативные требования к скорости обработки связанными с ними инцидентов и предоставления результатов расследования. Именно здесь на помощь ИТ/ИБ-подразделениям приходят решения класса DAG/DCAP. Да, обслуживание подобных систем требует больших финансовых и организационных ресурсов, однако в то же время использование продуктов подобного класса способно снизить нагрузку этих подразделений благодаря большой доле автоматизации наиболее рутинных процессов.

Интеграция средств защиты такого класса может происходить фактически на любом этапе жизни инфраструктуры, а каталогизация и учёт ресурсов происходит в автоматическом режиме. Кроме того, ряд отечественных продуктов позволяет проводить проверку инфраструктуры на соответствие действующим нормативно-правовым актам и принятым в ИБ стандартам. Однако стоит понимать, что DCAP/DAG-решение – не универсальная таблетка, а лишь одна из защитных мер, направленных на защиту неструктурированных данных внутри организации. Максимальная его эффективность достигается при работе вкупе с другими средствами защиты».

Владимир Ульянов, руководитель аналитического центра компании Zecurion, уверен, что наиболее эффективной на сегодняшний день выглядит связка систем защиты класса DCAP и DLP. Каждый класс отдельно научился неплохо решать свои задачи, но ограничен в возможностях. DCAP проводит аудит данных, показывает, где они хранятся, кем используются. Подсвечивает многие проблемы некорректного хранения и выявляет возможные угрозы. Однако не знает, откуда, например, появился файл, кому отправлялись копии, какова его дальнейшая судьба. В свою очередь DLP часто не знает, что происходит с данными внутри корпоративной сети, пока те не попадут на сенсоры DLP, которые в основной своей массе находятся на периметре.

«Получается, только совместное использование DCAP и DLP позволяет получить всю картину хранения и использования данных в организации, может их защитить от внутренних и даже смешанных угроз. А, помимо этого, имеет даёт другие преимущества. Возможность расследования нарушений и сбора доказательств, общий архив по событиям с данными, использование общих технологий анализа данных, взаимное обогащение данных и другие».

Кирилл Лукьянов, руководитель отдела защиты систем и сервисов iTPROTECT, заметил, что наиболее эффективными для защиты неструктурированных данных, в зависимости от конкретной ситуации, будут решения класса DAG/ DCAP и DLP. Также существенно усилит защиту интеграция песочницы и антивируса.

Иван Дудоров, руководитель группы поддержки продаж Cyberpeak: «Любая концепция безопасности организации должна выстраиваться на базе комплекса решений, закрывающих свои области, но совместно предоставляющие полноценную защиту информации. Привычными классами решений, работающих с неструктурированными данными, являются DLP и DCAP – первый специализируется на контроле данных в движении, т. е. при пересечении периметра, и обеспечивает контроль на уровне рабочих станций. Второй класс – на защите данных в покое, в основе которого лежит отслеживание файловых хранилищ и концепция наведения на них «порядка». В результате закрытия данных областей связка DLP + DCAP решений способна закрыть большую вопросов по защите пользовательских данных.

Однако, данный подход для своей эффективной работы либо требует глубокой проработки интеграции (например, обмен метками классификациями между системами), либо она должна быть от одного производителя, где такая интеграция проработана изначально. К сожалению, на текущий момент развития российского рынка пока нет ни одного поставщика единой связки решений DLP + DCAP, где каждая из входящих систем являлась бы технологическим лидером в своей предметной области. В результате заказчику приходится жертвовать функционалом ради удобства использования систем «из одного окна».

С другой стороны, существуют альтернативы такому привычному подходу – это использование связки DCAP + Data Classification (маркировка). В отличие от DLP, нацеленной на постоянный анализ данных офицером ИБ, пересекающих периметр, система класса Data Classification позволяет маркировать документы самими пользователями, а затем накладывать них политики работы и распространения. Например, можно запретить копирование текста из документов или их печать с меткой «Конфиденциально», или блокировать отправку писем с пометкой «Только для внутреннего использования» на внешние адресаты. Особо важные документы можно шифровать, чтобы в случае передачи файла за пределы контролируемого периметра его нельзя было бы открыть без явно выданных привилегий на работу с такой категорией информации. При этом решения гармонично дополняют друг друга – в DCAP можно использовать метки, проставленные конечными пользователями, для формирования расширенных политик размещения данных. А на вход системе класса Data Classification подавать результаты механизма автоматической классификации в DCAP, чтобы назначить недостающие метки существующим документам. Таким образом связка данных решений является реальной альтернативной привычной концепции DLP + DCAP и особенно востребована компаниями, в которых пока нет решения DLP, но задумывающихся о построении комплексного механизма защиты неструктурированных данных».

Алексей Парфентьев, руководитель отдела аналитики «СёрчИнформ», заявил, что наиболее эффективно использовать специализированное СЗИ — DCAP-систему. Также нужно использовать контентно зависимые правила. Они более надёжны, в отличие от иных правил, которые базируются на пользователях и свойствах папок. Базирование на пользователях не эффективно, так как при наличии прав администратора можно «перехитрить» систему. То же самое относится и к правилам, построенным на свойствах папок.

Роман Подкопаев, генеральный директор Makves: «Для контроля неструктурированных данных на рынке решений информационной безопасности присутствует отдельный класс продуктов – DCAP (Data-Centric Audit and Protection). DCAP-системы анализируют и классифицируют данные компании на всех доступных информационных хранилищах, проводят аудит и мониторинг учетных записей и выданных прав, и на основе этих данных выстраивают прозрачную матрицу доступа.

Область задач, которые решают DCAP-системы, включает в себя:

• поиск и классификация данных;
• мониторинг прав доступа пользователей к данным и действий с ними;
• аудит информационных ресурсов;
• оперативное реагирование на инциденты;
• соответствие требованиям регуляторов.

Система обрабатывает данные из различных источников информации, включая файловые и почтовые серверы, рабочие станции, корпоративные порталы и другие общие ресурсы.

Используя DCAP в комплексе других решений по защите данных, организации могут улучшить реагирование на инциденты, обеспечить соответствие нормативным требованиям, уменьшить количество киберугроз, а также обеспечить масштабируемость и гибкость в постоянно меняющемся ландшафте кибербезопасности. Внедрение DCAP крайне важно для любого бизнеса, где самым ценным активом признаны данные».

Каковы основные принципы построения эшелонированной защиты против атак шифровальщиков на корпоративные системы?

Василий Степаненко, генеральный директор облачного провайдера «НУБЕС» (Nubes): «Первое, о чем следует думать – бэкап. Наличие систем резервного копирования не защитит от шифровальщиков и утечки информации напрямую, но оно позволит пережить последствия атаки и не платить злоумышленникам за восстановление данных.

Второе над чем следует работать – минимизация каналов входа через Сеть в корпоративный периметр безопасности и обучение сотрудников работе с информацией с точки зрения ИБ. Попадание шифровальщика во внутрикорпоративную сеть – это в подавляющем большинстве случаев результат использования «человеческого фактора»: либо саботаж изнутри, либо фишинг и иные приемы социальной инженерии. Поэтому сотрудники должны как минимум знать о таких угрозах и уметь распознавать опасности.

Следующий аспект: нужно грамотно выстраивать политику управления учетными записями. Права на управление критичными информационными системами (ИС) должны быть только у уполномоченных на эту работу сотрудников. Каждый работник и его компьютер должен иметь только тот уровень доступа, который необходим для работы. При таком построении системы безопасности, даже если шифровальщик попадет на конкретную машину внутри периметра, он не сможет проникнуть дальше по причине отсутствия прав доступа у этого ПК к критичным ИС.

Сама внутрикорпоративная сеть должна быть разделена на зоны: «демилитаризованная зона», в которой крутится все, что «торчит» в Сеть из корпоративного периметра и локальная сеть, также разделенная в зависимости от уровня критичности данных.

Необходим всесторонний мониторинг, в том числе и с применением концепции SIEM (Security information and event management), которая предполагает анализ событий безопасности, исходящих от сетевых устройств и приложений в режиме реального времени, и позволяет оперативно локализовать угрозу, если таковая возникнет.

При этом, следует помнить, что современные шифровальщики как правило по одиночке не ходят. В такой современный вирус может быть зашит зловред иного типа и пока шифровальщик заражает вашу инфраструктуру, делая данные недоступными, встроенный в него червь ворует чувствительную информацию. Вирусы-шифровальщики даже могут использовать штатные механизмы шифрования самой операционной системы. Они шифруют данные и воруют ключ. Получается, что ОС сама зашифровала данные, а ключа нет. Так что старый добрый антивирус со счетов сбрасывать не нужно. Его наличие сильно усложняет жизнь зловредам.

Дополнить антивирус можно, например, решениями класса XDR (Extended Detection and Response). Продукты этого класса позволяют осуществлять расширенное обнаружение и реагирование на сложные угрозы и целевые атаки. Также можно использовать системы класса Network Traffic Analysis (NTA), осуществляющие перехват и анализ сетевого трафика, а также межсетевые экраны следующего поколения (Next-Generation Firewall, NGFW). В идеале замыкаться это все должно на центр мониторинга информационной безопасности (Security Operations Center,SOC ) и оттуда управляться. При таком построении шифровальщики будут не страшны».

Кирилл Лукьянов, руководитель отдела защиты систем и сервисов iTPROTECT, отметил, что такие атаки проще предотвращать или останавливать, чем разбираться с последствиями. Для предотвращения последствий требуется целый комплекс мер и решений. Нужно использовать актуальные и эффективные средства реагирования на инциденты, в том числе и способы отключить устройства, на которых обнаружен шифровальщик, например, или изолировать их от общей сети.

«Если же атака состоялась, и нужно ликвидировать последствия, то важно иметь под рукой актуальные резервные копии, поэтому бэкапы надо делать регулярно».

Иван Дудоров, руководитель группы поддержки продаж Cyberpeak: «Любая защита должна быть комплексной и содержать несколько уровней. Поэтому отталкиваясь от задачи защиты против вирусов-шифровальщиков, нужно проанализировать, каким образом он обычно попадает в инфраструктуру и как дальше себя ведёт.

Как показывает практика, чаще всего пути заражения – это массовая фишинговая рассылка, настоятельно рекомендующая сотруднику организации перейти по ссылке для скачивания вредоносной нагрузки под эгидой благих намерений. Поэтому уже на этом этапе могут помочь различные анти-спам решения, а также проведение обучающих курсов пользователям.

Следующий эшелон – это XDR/EDR, позволяющий выявить вредоносный софт ещё до момента запуска файла пользователем. А если при этом ещё используется внутренняя песочница для анализа, то это только повышает шансы на предотвращения атаки. Но несмотря на все меры предосторожности, криптолокеры всё равно могут проникнуть в систему и начать шифровать все данные, до которых смогут дотянуться.

Поэтому дальше в действие вступают системы DCAP, отслеживающие активность пользователей с файловыми ресурсами и выявляющие любые нестандартные поведения учётных записей. В частности, очень хорошо показывают себя дополнительные правила корреляции по массовому переименованию файлов (как заключительный этап шифрования), свойственные только крайне узкому набору прикладного ПО (которое всегда можно добавить в качестве исключения из правила) и вирусам-шифровальщикам. В этом случае несмотря на различие сигнатур криптолокерлв, их поведение с точки зрения файловой активности никак не меняется, благодаря чему их можно выявить и заблокировать.

При этом саму блокировку необходимо производить не на уровне службы каталогов или учётной записи пользователя (так как это не сбрасывает активную сессию до обновления билета Kerberos), а на уровне контролирующего файловый сервер драйвера DCAP-системы. С его помощью можно не только полностью предотвратить доступ сотрудника к файловому ресурсу, но и в качестве перестраховки – лимитировать активность, переведя его в режим «Только чтение». С одной стороны это позволяет прервать любое шифрование файлов, а с другой – уберечь от ложных срабатываний, оставляя сотруднику возможность работать с файловым сервером до принятия решения по данному инциденту офицером ИБ.

Также не стоит забывать о необходимости «наведения порядка» на файловых ресурсах для сокращения излишних привилегий и, таким образом, снижению площади любой потенциальной атаки».

Как защититься от Shadow IT?

Людмила Севастьянова, эксперт центра продуктов Solar inRights ГК «Солар»: «Довольно часто различные приложения и платформы ускользают из поля зрения ИТ-компании. Решение о их использовании принимают бизнес-подразделения или отдельные сотрудники и такие ресурсы не попадают под централизованное управление: вовремя не обновляются, выпадают из аудитов, не включены в общие политики. И самое неприятное, что эти системы могут иметь уязвимости, которые используют злоумышленники для проникновения во внутренний контур компании, кражи данных и т.п.

Почему появляются «теневые» ресурсы? Часто складывается так, что получить необходимый доступ для работы бывает сложно, еще сложнее объяснить зачем это нужно. Нет эффективной ролевой модели, которая удовлетворит потребности бизнеса в правах доступа, механизм подачи и согласования заявок долгий и непрозрачный. Гораздо проще установить себе отдельное ПО или приложение, чтобы быстро решить какую-то поставленную задачу и никому ничего не доказывать.

Вся эта картина еще усугубляется тем, что доступ к внутренним ресурсам предоставлен не только внутренним, но и внешним работникам (например подрядчикам), часто и те и другие используют для доступа к корпоративным ресурсам свои личные устройства. На личном устройстве может быть установлено ПО, которое не отвечает требованиям безопасности, в том числе социальные сети, web-приложения и т.п. Здесь и общие пароли, и сохранение учетных данных в Web-браузерах, а это серьезные риски ИБ.

Что можно и нужно делать, чтобы не столкнуться с такими проблемами? Ключевым принципом защиты данных компании является понимание, где хранятся данные, как используются, кто получает к ним доступ и в каком объёме!

• Прежде всего необходимо не только разработать политики безопасности, но и обеспечить их исполнение.
• Компании должны внедрять автоматизированные технологии, которые позволяют выявлять все «теневые» системы.
• Обязательно нужно получать обратную связь от сотрудников о том какие приложения они хотят использовать и для каких целей. Это может помочь ИТ-команде подобрать для этих целей разумную альтернативу, которая закроет потребности бизнеса и в тоже время будет соответствовать политикам.
• Внедрение продуктов по автоматизации контроля доступа и централизованному управлению поможет эффективно решить задачу предоставления необходимых прав.

Синергия решений DAG и IdM позволяют использовать ролевую модель для предоставления необходимого и достаточного доступа, поддерживать её актуальность, своевременно выявлять нарушения и отклонения, разграничивать доступ к данным с учетом их конфиденциальности. Кроме того, автоматизированный механизм по оформлению и согласованию запросов на доступ позволит работникам быстро и санкционированно получать необходимые права и полномочия, требуемые для работы. Данные решения позволяют без труда проводить периодические аудиты и получать своевременную отчётность, выявляя серые зоны в правах пользователей и актуализируя параметры доступа.

Повышение осведомлённости работников и создание культуры ИБ через регулярные тренинги должно также стать неотъемлемой частью стратегии безопасности. Наглядные примеры о существующих кейсах, которые привели к потерям в других компаниях дадут понимание того, что использование различных платформ и приложений по своему желанию может привести к необратимым последствиям».

Иван Дудоров, руководитель группы поддержки продаж Cyberpeak, уверен, что бороться с самим понятием Shadow IT достаточно сложно, поэтому стоит принять данное явление как факт и попытаться возглавить его защиту. В этой ситуации очень хорошо подходит концепция Zero Trust, подразумевающая отсутствие какого-либо доверия по умолчанию. Другими словами, если это устройство пользователя, на котором отсутствуют или установлены не все корпоративные средства контроля, то и помещать данные устройства стоит в отдельно выделенный сегмент сети с чёткими и жёсткими политиками безопасности для взаимодействия с внутренней инфраструктурой.

«Также стоит подумать и ответить на вопрос, а откуда вообще возникает Shadow IT? Например, одной из предпосылок является отсутствие нужных инструментов у сотрудников для выполнения служебных обязанностей, в результате которых они начинают искать альтернативу. Например, использование персонального ноутбука вместо корпоративного АРМ может быть связано с использованием специфического ПО, требующего административных привилегий для работы. Либо у сотрудника не хватает необходимых привилегий к каким-либо файловым ресурсами или сервисам в организации, а получение таких разрешений – отдельный сложный процесс, подразумевающий толику бюрократии и без какой-либо автоматизации.

В результате пользователю может быть проще использовать свои устройства, чем тратить время на создание заявки и форсирование процесса её согласования и исполнения. Поэтому так важно, чтобы процесс выдачи различных разрешений был проработан и автоматизирован без необходимости ручного исполнения».

Кирилл Лукьянов, руководитель отдела защиты систем и сервисов iTPROTECT, резюмировал, что Shadow IT появляется из-за необходимости решить ту или иную задачу быстро и удобно. Например, у сотрудника приближается срок сдачи работы, и он вместо корпоративного облака отправляет файл в публичное.

«К сожалению, сами по себе механизмы безопасности не позволяют совместить удобство, быстроту и безопасность. Для этого внедряются решения класса secure file sharing, где все три параметра максимально приближены к аналогичным у внешних решений».

Оригинал публикации на сайте CISOCLUB: "Защита неструктурированных данных".

Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.

Подписывайтесь на нас: VK | Twitter | Rutube | Telegram | Дзен | YouTube.