Что такое DCAP системы и зачем они нужны?

Задача работы с файловыми ресурсами — это базовая задача, даже не службы информационной безопасности, а службы IT. Разграничение прав доступа, создания групп активов – это вопросы порядка и инвентаризации. Однако эффективного инструмента для решения этой задачи до недавних пор не было, кроме регулярного мониторинга прав доступа.

DCAP системы решают целый блок задач: права доступа, обращения к файлам (контроль операций), поиск данных – это все отдельные задачи, но все они связаны с данными, хранящимися в инфраструктуре. Они решались (и решаются) по отдельности, но объединяют их в рамках одной системы именно DCAP.

Почему важно структурировать данные?

Информационная безопасность в определении имеет слово «информационная», а значит ее задача - «понимать» информационные активы компании и процессы, с ними связанные. Не понимая, как и где хранится информация, кто к ней имеет доступ – невозможно решать задачи ИБ.

В корне информационной безопасности лежит политика ИБ. С нее начинаются все меры, всё что происходит в инфраструктуре, например, при приеме сотрудника на работу ему предоставляются определенные права доступа. Но кто сверяет эти права, например, через год? И сверяет ли вообще?

В каждом подразделении должен быть конкретный владелец файловых ресурсов, обычно руководитель. Он определяет, кто имеет доступ к его ресурсам, и он несет за это ответственность.

Следует, однако, иметь в виду, что с данными работают не владельцы, а исполнители. С ресурсом владельца может быть порядок, но в процессе этого работы файлы и данные перемещаются, и могут оказаться совсем не там, где они должны быть: в личных хранилищах, на персональных устройствах и в прочих, не предназначенных для этого местах.

Как правило, в достаточно большой инфраструктуре есть СХД нескольких вендоров с разными типами носителей, и эти носители со временем деградируют. Необходимо постоянно отслеживать важность хранимых данных, перемещать данные между носителями для того, чтобы повысить надежность, скорость доступа и другие операционные характеристики.

Следующий момент – миграции, когда необходимо «слить» данные из нескольких подсистем в одну, сохранив их структуру.

Контроль использования ресурсов. Необходимо следить, сколько систем может обеспечить iops под стандартной и повышенной нагрузкой, помнить о том, что под увеличенной нагрузкой носители деградируют быстрее, и необходимо оптимизировать хранения, обеспечивая нормальные условия там, где это возможно.

Избыточное хранение данных: по статистике, избыточных данных, «мусора» в хранилищах от 30 до 60%, который хранят «на всякий случай» или просто забыли удалить.

Особенности и приоритеты работы с данными: для некоторых пользователей потерять данные страшнее, чем если они куда-то утекут, поэтому они создают множество архивов и раскладывают их во все возможные места.

Даже в случае, если никакого файлохранилища нет, а есть система среднего уровня загруженности, возможны различного рода аномалии, связанные с системами хранения, учетом, логированием, правами, путями, багами СХД и проч. Особенно сильно это проявляется при миграции между доменами. Таким образом, даже если все правильно разложено по папкам и назначены верные права, в реальности поведение системы может отличаться от правильного и ожидаемого. Системы типа DCAP позволяют это выявлять, в отличие от штатных функций СХД.

Подход Makves к защите от киберугроз

Компания Makves на российском рынке с 2019 года занимается разработкой DCAP систем. Это полноценное российское DCAP решение.

В 2019 году появились первые российские решения, до этого российских решений не было в принципе, рынок был в зачаточном состоянии, в основном иностранных решений.

DCAP - это инженерная система, бизнесу её не очень надо «понимать». Ее задачи находятся на стыке IT и безопасности, например выявление типичных пользователей методами поведенческого анализа и аномалий в поведении. Это позволяет обнаружить утечку еще до того, как она произошла и сработала DLP-система.

Можно, например, срочно сигнализировать нескольким сотрудникам службы безопасности в случае массового удаления файлов, массового перемещения файлов, отклонения от поведенческих паттернов и т.п.

Применение маркированных файлов позволяет выявлять маршруты перемещения файлов, чтобы понять откуда и где они появились.

У Makves DCAP система умеет предпринимать активные действия при массовом удалении файлов: блокировать учетные записи, отключать пользователей.

Является маркировка файлов функцией DCAP? В принципе, это решается средствами DLP и скриптов. Теперь это должен делать и DCAP. А какие еще функции и возможности должен иметь DCAP, чтобы называться таковой?

DCAP делает категоризацию файлов. Т. е., в классическом понимании меток он не ставит, но создает метаинформацию, чтобы можно было понять к чему файл относится, причем категории можно задавать свои. Рынок продуктов, работающих с ватермарками большой, но надежной реализации пока нет: много неразрешенных вопросов, вроде таких, как кто должен ставить метки, что делать если их специально не ставят, как их снимать, если файл потерял категорию. DCAP система по аналогии с DLP анализирует контент файла и у себя в базе ставит пометки категорий.

Из чего же складывается DCAP система?

DCAP система анализирует IT-инфраструктуру компании. Она оперирует четырьмя сущностями: пользователями в AD, действиями этих пользователей с файлами, самими файлами, почтой. Самое главное – то, что система, проанализировав все эти сущности, может предоставить конкретные рекомендации. И в этом как раз ценность промышленных DCAP систем.

Сбор событий может быть как средствами windows, так и без них, через драйвер для записи событий аудита.

После того как информация собрана и все четыре сущности проанализированы, становится видно, кто куда имеет доступ, аналитику по файлу, аналитику по AD, брошенные учетные записи, уволенных сотрудников с не отключёнными УЗ, плохие пароли.

(Совет по поводу выбора системы: обращайте внимание на разнообразие источников, с которыми DCAP работает: логи СХД, события, которые она выдает, пассивное прослушивание и пр.)

(По поводу слабых паролей в домене: на wikisec.ru есть комплекс для выявления слабых паролей в домене, совершенно бесплатный: https://wikisec.ru/index.php?title=Комплекс_выявления_слабых_паролей)

Важно: фильтр прохождения слабого пароля в систему не защищает от появления слабых паролей в системе. Например, если в домене настроены все правила по сложности паролей, то они все равно там могут появляться в результате миграции доменов, доверенности между доменами, работы скриптов для формирования учетных записей и пр.

Система Makves при анализе учетных записей проверяет их на соответствие требованиям лучших практик: учетные записи без смены пароля по времени, со входом без пароля, учетки-зомби, не заведенные нигде, но присутствующие в СХД. Без анализа учетных записей DCAP-система не покажет проблемы с доступом к файлам. Поэтому обязательная составляющая любой DCAP-системы — это анализ не только файлов, но и прав доступа.

Сейчас у DCAP систем происходит расширение возможностей по работе с источниками данных, так как это происходило ранее у DLP, например, со средствами разработки (вроде Atlassian), с системами управления контентом, и здесь интеграция происходит не только с файловым хранилищем, но и с логикой работы таких систем. Далее DCAP системы будут двигаться в этом направлении. При этом DCAP частично перенимаю функции IdM, DLP-систем.

Постепенно DCAP системы становятся центром, через которой можно выстраивать культуру и процессы информационной безопасности.

Будут ли эти функции выделяться в отдельные модули Makves? DLP – точно нет.

Может ли работа системы повлиять на функционирование среды? При первичном анализе файлов и AD безусловно, нагрузка повышается. Если система в штатном режиме нагружена на 80%, то работа DCAP может ее вообще остановить, однако это не является нормальной ситуацией.

Есть ли в системе Makves дашборды? Есть стандартные, можно создать настраиваемые из набора заранее сконфигурированных виджетов. По любым событиям можно создавать оповещения.

Связь с другими системами может осуществляться через REST API для передачи событий.

Если у вас есть система хранения данных, без DCAP многие вещи невозможно сделать теми средствами, которые есть СХД и домене. Эти системы заменить нечем.

Как вообще дальше будет развиваться рынок такого рода систем?

• Растет интерес к расширению функциональности, причем не базовой, а расширенной. На сегодняшний день российскими решениями некоторые функции зарубежных производителей пока не закрываются.

• Системы приобретают функционал анализа поведения пользователей с помощью машинного обучения, хотя сертификация таких продуктов пока затруднена.

• Речевые технологии с распознаванием текста в аудио-и видеофайлах. Даже DLP-системы не обладают этим функционалом в полном объеме. Кроме того, пока уровень технологий распознавания не достиг того уровня, чтобы получать устойчивые результаты из обычных разговоров, когда говорят быстро и нечетко.

• Разбор CAD-файлов, которые также являются объектами интеллектуальной собственности.

• Много функций автоматизации, IdM (решение проблем при внедрении, связанных с прямыми правами на файлы).

• Работа с шифровальщиками.

• DCAP решают проблемы двух уровней: системного и прикладного. Системный уровень – это права, аномалии, наведение порядка с файлами, повышение культуры работы с данными. Прикладной уровень – это комплаенс с точки зрения защиты данных. Интерпретация требований прикладного уровня на системный и является задачей CISO. DCAP системы позволяют делать это, поэтому в дальнейшей перспективе развитие DCAP будет идти именно с фокусировкой на прикладной уровень для решения конкретных задач бизнеса.

Каким компаниям подходят DCAP-системы?

Беспорядок в инфраструктуре есть в любой организации, но серьезно этим начинают заниматься, когда появляется роль безопасности и штат достигает около 300 человек. Хорошим показателем является наличие DLP-системы. Объем данных сам по себе неважен.