Data-Centric Audit and Protection (DCAP)

Руслан Рахметов, Security Vision

В нашем блоге мы часто рассказываем про работу средств защиты информации, которые обычно фокусируются на определённом периметре или способе защиты, но также рассказываем и про общие подходы и методологии ИБ (например, Zero Trust и управление доступом). Текущий обзор мы посвятим подходу, который фокусируется на защите самих данных, а не только на периметре сети и соответствующих средствах защиты, под общим названием DCAP (Data-Centric Audit and Protection). Такие системы сканируют файловые ресурсы, почтовые серверы и другие хранилища данных, чтобы обнаружить конфиденциальную информацию, классифицировать ее по степени важности и обеспечить комплексный контроль неструктурированных данных, которые хранятся в различных системах.

Помимо обнаружения данных (поиск и классификация чувствительных данных по различным критериям, например, тип данных, степень конфиденциальности, принадлежность к бизнес-процессу и т.д.), DCAP системы решают ещё несколько важных задач:

- контроль доступа, а именно, кто имеет доступ к каким данным с мониторингом действий, связанных с этой информацией, включая чтение, запись, удаление, копирование и перемещение;
- предотвращение утечек данных путём обнаружения подозрительной активности, блокировки несанкционированного доступа и создания подробных отчётов о нарушениях безопасности;
- соответствие нормативным требованиям, например, 152 ФЗ, GDPR и HIPAA);
- анализ рисков с оценкой потенциальных угроз для данных;
- управление политиками безопасности, их создание и настройка с определением того, кто может получить доступ к каким данным и при каких условиях;
- генерация подробных отчётов о состоянии безопасности данных, включая информацию о нарушениях и инцидентах.

Уровень безопасности, необходимый для защиты данных, может варьироваться в зависимости от отрасли и специфики бизнеса. В некоторых случаях система может автоматически блокировать подозрительные действия, что частично перекрывает задачи защиты от утечек данных. DCAP может анализировать естественный язык в текстовых данных (не только для обнаружения ключевых слов и фраз), анализировать образы (в файлах вроде изображений или видео). Для обеспечения целостности данных и обнаружения изменений система проводит хеширование, а для защиты данных – шифрование криптографическими методами. Поскольку DCAP-система должна эффективно обрабатывать большие объёмы данных в режиме реального времени и масштабироваться для удовлетворения растущих потребностей организации – возникают дополнительные требования к поставщикам, а архитектура системы может отличаться от классической. Обычно для DCAP характерны следующие компоненты в архитектуре:

- программное обеспечение, устанавливаемое на устройствах, где хранятся данные (агент), например, на серверы и рабочие станции);
- централизованный сервер, который собирает и хранит данные, полученные от агентов;
- аналитический движок, отвечающий за обработку собранных данных, классификации, обнаружения аномалий и выявления угроз;
- база данных, которая хранит информацию о классификации данных, политиках безопасности, событиях и пользователях;
- и собственно консоль управления, графический интерфейс, позволяющий администраторам настраивать систему, просматривать отчеты и управлять политиками безопасности.

DCAP-системы находят широкое применение в различных сферах, где защита конфиденциальной информации имеет первостепенное значение, например, в финансовом секторе (данные клиентов, информация о счетах и транзакциях), страховых компаниях (полисы, условия, претензии, а также медицинские данные), здравоохранении (данные пациентов, врачебные записи и результаты анализов, клинических исследований и формул лекарств), в государственном секторе (защита государственной тайны, персональных данных граждан и информации о государственных проектах), в правоохранении (детали о расследованиях, свидетелях и подозреваемых), производстве (описание технологических процессов, чертежи и ноу-хау), образовании (персональные данные студентов и сотрудников, детали научных исследований) и розничной торговле (денные клиентов, платёжных карт и маркетинговых исследований).

DCAP-системы выполняют свои задачи поэтапно. Конечно же, в зависимости от выбранного вендора функции могут отличаться, но обычно этапы работы включают в себя:

1) сканирование всех хранилищ данных;
2) создание индексов для быстрого поиска и анализа информации;
3) классификация, которая может выполняться вручную (эксперты определяют чувствительность данных и назначают им соответствующие метки) и/или автоматически (с применением алгоритмов машинного обучения для анализа содержимого файлов и определения типов (текстовые, графические, аудио и т.д., а также наличие в них ключевых слов, шаблонов и других признаков, характерных для конфиденциальной информации);
4) аудит и фиксация всех действия пользователей с данными;
5) построение профиля поведения каждого пользователя (для выявления аномалий и подозрительной активности, как в решениях с UBA/UEBA);
6) определение возможных связей между различными событиями, что помогает обнаружить сложные атаки (наподобие механизма корреляции в SIEM-решениях);
7) построение модели угроз, чтобы оценить вероятность и последствия с оценкой уровня риска для каждого типа данных;
8) сравнение с политиками безопасности и генерация алертов при обнаружении нарушений.

Функционирование DCAP решений похоже на работу библиотекаря, только когда перед началом нового рабочего дня нужно ходить по помещениям и искать книги не только на полках, но и в других местах. Для начала нужно найти всю информацию и разделить ее по жанрам, а также выделить такие книги, которые посетители смогут изучить только в читальном зале, без возможности забрать документы домой (из-за важности информации или редкости экземпляра). Затем нашему «библиотекарю» нужно будет пустить читателей и записывать в журнал все, что люди берут изучать, в какое время и как долго пользуются книгами, чтобы в будущем на основе необычных ситуаций определить инцидент. Без регламентов также никуда – пользователи отмечаются в журналах и будут обязаны вовремя вернуть книги, в то время как DCAP-библиотекарь каждый день будет проверять все журналы.

Также вы не ошибётесь, если заметите, что функционал DCAP систем напоминает функционал DLP и тесно связан с анализом данных, поэтому на российском рынке производители систем защиты данных от учеток также предлагают и дата-центричный аудит данных. Так, например, появились Zecurion DCAP, InfoWatch Data Discovery и Solar DAG. С другой стороны, есть специфичные и фокусирующихся на данных системы, которые развивались самостоятельно, например, решения Varonis или Makves DCAP.

Функционал DCAP затрагивает и задачи контроля доступа, что можно сравнить, например, с родительским контролем на компьютере или в умном телевизоре или работой секретаря. В первом примере родители устанавливают ограничения на доступ своих детей к определённым сайтам, программам или телепередачам, а во втором – секретарь контролирует доступ к кабинету руководителя, сортирует входящую корреспонденцию и следит за тем, чтобы важные документы не попали в чужие руки. DCAP-система выполняет схожие функции, контролируя доступ к данным и защищая их от несанкционированного использования.

Благодаря интеграциям между решениями (нативным от поставщиков DCAP или выполняемым в рамках работы оркестратора, вроде SOCR), выбор решения можно делать вендоронезависимо, опираясь на собственные требования, например, масштаба организации, типа данных, бюджета и требований к безопасности.

Для небольших компаний могут подойти более простые решения, в то время как крупные корпорации потребуют масштабируемых и гибких систем или серьёзной интеграции с другими ИБ/ИТ решениями. Если организация работает с большими объёмами неструктурированных данных (документы, электронные письма), то необходимо выбирать систему с развитыми возможностями анализа содержимого.

Сравнить выбор DCAP можно с процессом выбора банковского сейфа: каждый клиент банка имеет свой индивидуальный сейф, где хранит ценности (банк, в свою очередь, обеспечивает надёжную защиту этих сейфов и мониторинг, например, запись видео в холле). DCAP-система выполняет аналогичную функцию, защищая конфиденциальные данные в цифровой среде, выбор «сейфа» зависит от особенностей данных (например, только наличные или драгоценности) и их объёмов (банковские ячейки покрупнее стоят больших денег) и т.д.

С помощью DCAP-систем вы получаете полный контроль над своими данными, даже если они до этого не были структурированы и обработаны. Вы сможете точно определить, кто, когда и что делал с вашими файлами, и предотвращать несанкционированные действия, быстро находить нужную информацию и оптимизировать процессы хранения. Подход к защите, основанный на самих данных – важный этап в развитии компаний, ведь при большом потоке файлов без автоматизации решить задачу эффективно практически невозможно.