Пилотный проект системы контроля и управления доступом к неструктурированным данным «Спектр|DAG/DCAP» в инфраструктуре строительной компании.
В рамках пилотного проекта проводился анализ файловых ресурсов организации и расположенных на них данных с точки зрения рисков, связанных с особенностями существующей структуры прав доступа.
Система «Спектр|DAG/DCAP» позволяет:
- выявлять существующие риски на хранилищах и в AD;
- организовывать систематизированное управление и контроль за неструктурированными данными;
- формировать и применять четкую методологию сокращения прав доступа сотрудников до минимально необходимых привилегий;
- автоматизировать процессы контроля за данными и рутинные действия сотрудников ИТ и ИБ;
- внедрять поведенческую аналитику для повышения эффективность детектирования аномалий и вредоносной деятельности;
- оптимизировать систему хранения данных для сокращения стоимости обслуживания и расходов на расширение.
Пилотируемые платформы: служба каталогов MS AD и файловый сервер Windows.
Перейдем к результатам пилотного тестирования.
АНАЛИЗ КРИТИЧНЫХ ДАННЫХ
Система позволяет анализировать содержимое документов на наличие заданных категорий, включая распознавание изображений и разбор архивных файлов неограниченной вложенности.
За время пилотного проекта на всех подключенных хранилищах данных были обнаружены категории критичных данных.
1) Критичные данные в свободном доступе
Обнаружены конфиденциальные данные в свободном доступе, т.е. доступные любому сотруднику организации. Это может привести к их утечке информации.
Количество файлов с потенциально критичными данными, которые находятся в общедоступных каталогах: 1 664 051.
Обнаруженные категории: БИК РФ, ИНН, расчетный счет, корреспондентский счет, номер телефона, страховое свидетельство, ОГРН, скан – СНИЛС, скан – паспорт РФ, паспорт РФ.
Рекомендуется выявить места расположения критичных данных и удалить/переместить в каталоги ограниченного доступа. Настроить автоматический перенос новых конфиденциальных данных в свободном доступе в специальную зону карантина с уведомлением сотрудников отдела ИБ в виде инцидента. Задать политики расположения критичных данных и настроить уведомления об их нарушении.
2) Несогласованное расположение критичных данных
Важно соблюдать политики размещения конфиденциальных данных определенных категорий и отслеживать их появление в местах несогласованного хранения. Иначе может произойти утечка несмотря на отсутствие общего доступа к такой информации.
Обнаружено 2 297 501 файлов, которые попадают под заданные правила классификации. Необходимо контролировать их расположение.
3) Поиск критичных данных
Выявление конфиденциальных данных не ограничивается заранее заданными правилами классификации и часто могут возникать запросы на оперативный поиск определенной информации. Возможность динамического поиска по всем хранилищам позволяет быстро обнаруживать эту информацию и места ее хранения и принять соответствующие меры.
С помощью запроса, который одновременно содержал «для служебного пользования» и «оплата», было обнаружено 90 файлов с полным указанием пути расположения.
Для выявления критичных данных рекомендуется использовать возможности поиска и создать категорию данных для полнотекстовой классификации.
АНАЛИЗ ФАЙЛОВЫХ РЕСУРСОВ
Система отслеживает любые действия любой учетной записи на файловых ресурсах и предоставляет возможность анализа в лаконичном виде с возможностью фильтрации и отправки во внешние системы.
1) Общедоступные папки
Часто точками утечки данных являются каталоги, которые доступны большинству сотрудников. В них пользователи выкладывают разную информацию, в т.ч. конфиденциального характера.
За время пилотного тестирования обнаружено 616 492 общедоступных каталога.
2) Наличие создателей-владельцев
При создании файла или папки сотрудник по умолчанию автоматически становится обладателем полных привилегий на объект. Доступ к объекту будет работать по прямой ссылке вне зависимости от того, где он находится и какие разрешения настроены на родительском каталоге, что означает возможность доступа неавторизованного круга лиц.
Рекомендуется полностью удалить сущность «Создатель-владелец», добавить сущность «Права владельца» с привилегиями уровня модификации данных (RWMEL) и настроить политики безопасности с уведомлением о появлении новых случаев создателей-владельцев.
3) Полные права у не-администраторов
Случаи наличия полных прав у обычных сотрудников чаще всего являются прямым следствием незакрытых рисков, связанных с создателем-владельцем. Вторая по распространённости причина – ошибки администраторов, выдавших пользователю или группе полные привилегии на каталог. Последствия при этом одинаковы – сотрудники могут самостоятельно изменять привилегии без ведома администраторов.
Обнаружено 7 769 пользователей с привилегиями на изменения прав доступа к каталогам и файлам.
4) Прямые разрешения
Наличие разрешений в обход групп безопасности означает, что данные права на практике никем не отслеживаются, зачастую являются излишними и мешают пониманию реальных матриц доступа сотрудников к ресурсам.
696 229 папок на файловых ресурсах имеют прямые разрешения. Рекомендуется управлять правами доступа через группы безопасности и удалять прямые разрешения из списков доступа.
5) Папки с уникальными правами ниже заданного уровня вложенности
Объекты с уникальными разрешениями, расположенные глубоко в структуре файловых серверов, никогда не отслеживаются на практике. Такое усложнение структуры прав также затрудняет её понимание, управление и последующий контроль.
Количество обнаруженных каталогов с уникальными разрешениями ниже 6 уровня вложенности: 29.
Количество обнаруженных каталогов с прерванным наследованием прав ниже 6 уровня вложенности: 125.
6) Неуправляемые папки
Неуправляемыми папками называются директории, к которым нет прямого доступа у администраторов файлового ресурса. Чаще всего данные ситуации возникают при миграции с другого сервера, при наличии большого числа административных групп или при сложной доменной структуре.
Обнаружено 4 каталога без прямого доступа администраторов сервера.
АНАЛИЗ ACTIVE DIRECTORY
Система отслеживает любые изменения в Active Directory: взаимодействие с объектами AD, изменение членства в группах, факты успешной и неуспешной аутентификации и авторизации пользователей и т. д. Дополнительно система анализирует риски, связанные с особенностями настройки AD, и позволяет их отслеживать в качестве метрик.
1) Постоянные пароли
Если в инфраструктуре не используются решения по управлению или замещению паролей (сертификаты, токены и т.д.), то постоянные пароли являются прямой угрозой безопасности.
Количество обнаруженных пользователей с постоянными паролями: 1 468.
Необходимо исключить наличие постоянных паролей, усложнить парольные политики и перейти на использование MSA/gMSA для всех сервисных учетных записей.
2) Учетные записи с отключенной пре-аутентификацией Kerberos
Отсутствие опции пре-аутентификации на учётной записи делает её уязвимой для атаки AS-REP Roasting с перебором хэша пароля пользователя в оффлайн режиме.
За время пилотного тестирования обнаружена 1 учетная запись с отключённой пре-аутентификацией Kerberos.
3) Для входа не требуется пароль
Учётные записи с установленным флагом PASSWD_NOTREQD в атрибуте UserAccountControl позволяет пользователю не подчиняться парольным политикам домена, в том числе обладать пустым паролем. Чаще всего это является следствием работы IDM/IAM-системы или самописных скриптов.
Обнаружено 56 аккаунтов с возможность иметь любой пароль.
4) Административные учетные записи с настроенным SPN
Наличие учетных записей с прописанным SPN административных привилегий делает её первоочередной целью любого злоумышленника: с помощью атаки Kerberoasting можно легитимно запросить TGS-билет и затем попытаться подобрать пароль в оффлайн режиме.
За время пилотного проекта аккаунтов с административными правами и настроенным SPN не обнаружено.
5) Нарушение целостности основной группы
Основная группа – это права доступа, которые будут всегда у объекта вне зависимости от его фактического членства в группах безопасности. Даже если учётную запись или компьютер удалить из всех групп, права от основной группы всё равно продолжат действовать.
Обнаружено 3 объекта AD с нестандартной основной группой.
6) Защищенные учетные записи, не входящие в защищенные группы
Всем учетным записям из защищённых групп присваивается атрибут AdminCount равный 1, а на сам объект AD назначаются специальные ACL от объекта AdminSDHolder, что ограничивает круг управляющих лиц. Наследование прав выключается, а старые списки доступа – удаляются.
Если учетные записи вывести из защищаемой группы, то атрибут AdminCount не возвращается в значение 0, ACL остаются без изменений, наследование не включается.
Количество обнаруженных учетных записей с атрибутом AdminCount без вхождения в защищённые группы: 117.
7) Неуспешные попытки входа в систему
Массовые неуспешные события аутентификации обычно свидетельствуют об истёкшем сроке действия пароля пользователя и попытках системы подключиться со старыми данными входа. В некоторых случаях неуспешные аутентификации – это действительно действующая brute-force атака в попытке подбора пароля к одной или нескольким учётным записям.
В связи с тем, что на время пилотного сбор событий из службы каталогов Active Directory производился только с 1 контроллера домена, пример статистики взят с тестового стенда разработчика.
АНАЛИЗ ПОВЕДЕНИЯ ПОЛЬЗОВАТЕЛЕЙ
Система обладает встроенным анализом поведения пользователей и выявлением отклонений от стандартного поведения каждой учётной записи, по результатам которых генерируются аномалии для последующего анализа сотрудником ИБ.
1) Обнаруженные аномалии: массовые операции чтения и удаления
Массовые операции чтения могут свидетельствовать о попытках копирования данных на рабочую станцию перед увольнением, поиске или легитимной активности пользователя.
Пример всплеска активности одного из пользователей с массовым чтением большого числа файлов:
Массовые операции удаления могут свидетельствовать о попытках пользователя намеренно нарушить доступ к данным, действиях злоумышленника или легитимной активности.
Пример всплеска активности одного из пользователей с массовым удалением большого числа файлов:
2) Обнаруженные инциденты: массовые операции удаления и изменение данных
Массовые операции удаления могут свидетельствовать о попытках пользователя намеренно нарушить доступ к данным, действиях злоумышленника или легитимной активности.
Пример резкого всплеска легитимной активности одного из пользователей с массовым удалением свыше 1 000 файлов за 10 минут:
Массовые операции изменения могут свидетельствовать о работе программ, закачке информации на файловый сервер или действий вирусов-шифровальщиков.
Пример резкого всплеска легитимной активности одного из пользователей с массовым изменением свыше 1 000 файлов за 20 минут:
ОПТИМИЗАЦИЯ СХД
Система помогает решать различные ИТ-задачи, такие как оптимизация СХД посредством глубокого анализа хранящихся на ней данных, их использования и классификации по типам.
Избавиться от нежелательной информации помогает выявление видео:
Быстрый способ расширить доступный объем СХД – выявить дубликаты:
Система может выдавать отчёты по неиспользуемым данным как на базе меток Modify date на объектах, так и на базе накопленного аудита событий.
В результате проведённого аудита можно выделить ключевые аспекты:
- Наличие критичных данных в доступе у большого числа сотрудников и отсутствие автоматических средств их контроля.
- Наличие рисков на файловых ресурсах, связанных с отсутствием фиксированной структуры прав доступа, использованием сущностей создателя-владельца, полных или прямых прав у обычных сотрудников. Отсутствие инструментария по контролю и оптимизации разрешений.
- Риски в доменной структуре, связанных с особенностями настройки Active Directory. Отсутствие средств мониторинга и уведомления о появлении данных рисков.
- Необходимость использования машинного обучения для выявления аномальной активности пользователей в связи с большим количеством событий и отсутствием возможности у отдела ИБ выделять ресурсы для глубокого анализа накопленных данных.
Решение «Спектр|DAG/DCAP» позволяет отслеживать, анализировать и автоматически реагировать на нестандартное поведение любой из учётных записей, выявлять существующие риски в инфраструктуре, контролировать процесс их сокращения с предоставлением инструментария по автоматизации, а также создавать собственные политики безопасности в зависимости от требований бизнеса.
Мы внедряем системы информационной безопасности в Свердловской области и Севастополе!
Благодаря многолетнему опыту и команде экспертов, знаем, что важно для IT-инфраструктуры и как защититься от киберугроз во всех сферах деятельности.
Оставьте свой контакт на главной странице и мы поможем с решением проблемы любой сложности!
+7 (343) 222-13-32 — Екатеринбург
+7 (978) 214 29 87 — Севастополь