MAKVES

Программное обеспечение
для аудита ИТ и защиты данных

В процессе работы каждый сотрудник постепенно накапливает избыточные права — при реорганизации, переходе в другие подразделения, на новую должность получает новые права, сохраняя старые. Ручной анализ всех прав в Active Directory займет много времени, и, зная о проблеме, никто ей не занимается. Поэтому первоочередная задача Makves DCAP — анализ всех прав доступа в домене. Система определит права доступа для каждого пользователя и группы, всех каталогов, ресурсов, служб и приложений.

Консоль Makves DCAP — единый центр изменения индивидуальных и групповых прав в соответствии с корпоративной политикой ИБ. Из нее можно редактировать права для любого пользователя, группы, каждого ресурса компании. Система сама подсвечивает избыточные права (полученные в качестве члена группы, на предыдущей должности, в случае нерегламентируемого доступа). Сотруднику ИБ остается в несколько кликов привести их в соответствие с правилами.

Makves DCAP выполнит полный аудит всех почтовых ящиков компании — индивидуальных, групповых, расположенных в облачных службах. Для каждого ящика определит всех имеющих формальный и фактический доступ сотрудников. Покажет ящики с нерегламентируемым доступом, слабыми паролями, избыточные права доступа, устаревшие и неиспользуемые почтовые службы. Анализируя реальное использование, система выявит случаи несанкционированного доступа к служебной переписке.

Makves DCAP проводит анализ файлов и прав доступа на всех носителях и ресурсах — корпоративной СУБД, компьютерах пользователей, почтовых серверах, облачных сервисах и хранилищах. Помимо внешних атрибутов система изучает содержание — так выявляются документы с конфиденциальной информацией, формально не отнесенные к таковым.

В результате сотрудники ИБ получат полную картину доступа ко всем файлам и по каждому пользователю. Система выявит пользователей и группы с избыточными правами, конфиденциальные файлы с нерегламентируемым доступом. Светофорная сигнализация о риске позволяет в первую очередь заняться защитой наиболее чувствительных данных.

Консоль Makves DCAP позволяет с одного рабочего места управлять доступом ко всем файлам компании независимо от их расположения — в базах данных, на компьютерах, облачных службах. Система выделит все файлы с конфиденциальной информацией и избыточным доступом, оценит риски. Для каждого файла можно посмотреть подробную историю и статистику — кто создал, назначил права доступа, смотрел, копировал, модифицировал.

Утечка персональных данных миллионов клиентов регулярно порождает скандалы в бизнес-среде. Одна из причин таких утечек — избыточный доступ, дубликаты файлов в разных папках, доступ к которым порой вообще не регламентируется.
Makves DCAP автоматически определяет наличие в файлах персональных данных и то, под какие требования они попадают (российский 152ФЗ, GDPR Евросоюза и т. д.). Вы получите список файлов с ПД на всех носителях, службах, каталогах и папках с указанием, к какой категории они принадлежат. Также система покажет все избыточные и нерегламентируемые права доступа, которые можно легко и быстро отредактировать из консоли DCAP.

Makves DCAP в реальном времени отслеживает и фиксирует все ключевые действия с файлами — чтение, модификацию, копирование, удаление. Из консоли сотрудник ИБ видит общее число пользователей, работающих с конфиденциальными файлами, может посмотреть все документы, открытые конкретным пользователем или всех людей, работающих с конкретным файлом.
Система автоматически определяет подозрительную активность (массовое копирование, модификация или удаление файлов), оповещает сотрудников ИБ или запускает автоматические сценарии реагирования (блокировка аккаунта).

В процессе работы неизбежно создается множество копий одних и тех же файлов, лежащих в разных местах — на компьютерах, в базах данных, серверах и внешних хранилищах. Они могут занимать 50-60% дискового пространства, но их поиск трудоемок, и никто этим не занимается.
Анализируя содержимое файлов, Makves DCAP автоматически выявляет все дубликаты файлов. Система также выявит все брошенные, давно не используемые файлы, старые версии документов. Их архивация либо удаление заметно увеличит доступное дисковое пространство.

Для хищения конфиденциальных данных необходимо получить к ним доступ. Анализируя syslog, Makves DCAP способна определить попытки такого доступа и уязвимые точки.
Система выявит слабые пароли, пароли, которые долгое время не менялись и не имеющие срока замены, просроченные (уволенных или перешедших на другую должность), возможность доступа без дополнительной авторизации. DCAP покажет полную статистику попыток входа с неверным паролем (с какого аккаунта пытались войти, как часто, к каким файлам хотели получить доступ).

Makves DCAP выполняет полный анализ всех профилей на АРМ — определяет их типы, права. Выявляет профили с избыточными правами (локальный админ). Находит все файлы общего пользования. На каждого сотрудника составляется индивидуальный профиль пользователя — к каким файлам обращается, как часто. В случае аномальной активности (попытки расширить права до локального админа, запрос файлов чужих групп и отделов) система оценивает угрозу, предупреждает сотрудников ИБ.

Устаревшее ПО может иметь уязвимости, через которые в корпоративную сеть проникнут хакеры. Нелицензионное, либо используемое без активации — грозит наказаниями от административного штрафа до уголовного срока. Makves DCAP проверит все используемое фирмой ПО, покажет устаревшие, в том числе неиспользуемые версии, а также неактивированные. В дальнейшем система следит за своевременной активацией, обновлением вирусных баз данных и других компонентов.

Makves IRP — единый центр управления инцидентами. В системе фиксируются нарушения в информационной безопасности, экономической, инфраструктурной, режимной. Полная база данных позволяет в любой момент посмотреть все нарушения или конкретный вид, проанализировать частоту происшествий и другие факторы. На каждый инцидент заводится карточка для управления жизненным циклом инцидента, это гарантирует, что ни одно нарушение не останется без внимания и все инциденты будут полностью отработаны.

Система позволяет делить инциденты на категории: внешние (хакеры, DDoS-атаки) и внутренние (несанкционированный доступ к файлам других отделов), угрозы, вызванные ошибками и злонамеренные. Для категорий могут автоматически устанавливаться приоритеты, ответственные сотрудники, прилагаться инструкции по отработке нарушений или скрипты автоматического реагирования. Расстановка приоритетов, светофорная система и автоматическая рассылка оповещений позволят сотрудникам в первую очередь заняться серьезными угрозами. При этом вторичные также не останутся без внимания.

Сбор в единую базу инцидентов из разных сфер позволяет выявить сложные угрозы. Увольняющиеся или обиженные сотрудники могут украсть или испортить базы данных, хакеры проводят мелкие атаки, чтобы найти уязвимость и внедрить зловредное ПО, периодические неисправности камер наблюдения могут оказаться подготовкой к проникновению. Makves IRP ведет комплексный анализ и выявляет связи в инцидентах, которые на первый взгляд кажутся рядом разрозненных событий, не представляющих особой угрозы.

Makves IRP допускает назначение ответственных сотрудников вручную, либо автоматически, в зависимости от категории нарушений. Несколько статусов инцидентов позволяют отслеживать прогресс в их отработке. Помимо ответственного возможно назначение наблюдателя, контролирующего отработку инцидентов. Система автоматически уведомляет ответственных и наблюдателей о получении новой задачи.
Благодаря Makves IRP руководитель имеет полную картину работы ИБ — над какими задачами работает каждый сотрудник, предпринятые шаги, прогресс выполнения. Также видна загрузка каждого сотрудника, что позволяет распределять новые задачи равномерно.

Информационные атаки отличает скоротечность, поэтому важно реагировать незамедлительно. Makves IRP позволяет добавлять готовые скрипты, которые будут автоматически запускаться при определенных категориях инцидентов для нейтрализации угрозы (блокировка IP-адресов при DDoS-атаках, блокировка доступа сотрудников при попытках открыть конфиденциальные файлы, запуск антивирусных сканеров при обнаружении зловредного ПО и т. д.). Быстрая реакция плюс незамедлительное оповещение сотрудников ИБ предотвращает или минимизирует потери, блокирует действия злоумышленников.

На каждый инцидент заводится отдельная карточка, где указаны — причина, ответственный сотрудник, нанесенный ущерб, принятые меры. Можно быстро составить отчет по отдельным группам нарушений (DDoS-атаки, заражение зловредным ПО, вход под чужими логинами, забытые пропуска, повреждения имущества). У руководства есть полная картина работы службы безопасности — в отработке каких инцидентов задействован каждый сотрудник, сколько нарушений отработано за конкретный период, эффективность принятых мер (снизилось число нарушений или выросло).

Makves IRP содержит готовые сценарии отработки различных инцидентов, так что сотрудники могут сразу действовать согласно инструкции. Можно добавить в систему собственные сценарии с учетом опыта отработки конкретных инцидентов. Комбинация готовых и оригинальных методов реагирования позволяет наиболее эффективно использовать ресурсы компании.

Для каждого сотрудника и группы пользователей Makves IRP формирует отдельный профиль, где указаны все инциденты в сфере безопасности, их причины. По таким профилям выявляются неорганизованные, пренебрегающие нормами безопасности лица, которые переводятся на менее ответственные задачи, без доступа к ценным данным. Плюс по профилям легко выявить аномальную активность, что может свидетельствовать о нарушениях.

Собираемая Makves IRP информация позволит быстро приступить к работе новым сотрудникам:

• База данных по инцидентам и профили сотрудников покажут основные направления и источники угрозы;
• Общие и индивидуальные сценарии отработки скажут, как действовать в различных ситуациях;
• Шаблоны карточек инцидентов помогут быстро составить отчет.