Как защитить данные в период повышенного уровня киберугроз

За последние годы российские организации столкнулись с тем, что масштаб и частота кибератак достигли беспрецедентного уровня. Под прицелом киберпреступников оказались практически все ключевые отрасли: от банковской системы и медицины до СМИ и государственных институтов. Эксперты отмечают пиковые нагрузки на службы информационной безопасности. Чтобы повысить устойчивость ко внешним и внутренним угрозам, сотрудники служб информационной безопасности вынуждены работать при экстремальных нагрузках.

Важно понимать, какие данные нужно защищать от потенциальных угроз. Необходимо определить, какая информация считается конфиденциальной, где она хранится и кто к ней обращается. Зачастую конфиденциальную информацию понимают лишь в контексте ФЗ-152 «О защите персональных данных», несмотря на то что в инфраструктуре любой компании находятся и другие ценные данные, утечка которых влечет за собой финансовые и репутационные риски.

Соответственно, нужно выявить конфиденциальную информацию и классифицировать её по уровню рисков. Это станет первым шагом на пути к защите данных, требующих особого внимания. DCAP-система находит и классифицирует информацию по содержимому и внешним атрибутам. Продвинутый нейросетевой модуль обнаруживает в открытом доступе файлы со скан-копиями документов, удостоверяющих личность, платёжные данные карт и другую информацию, которая считается конфиденциальной. С помощью методов компьютерного зрения Makves DCAP распознаёт графические отпечатки большинства документов, попадающих в категорию персональных данных. Это паспорта, водительские удостоверения, СНИЛС и другие. На основе полученных рекомендаций можно оперативно устранить риски, связанные с доступом к чувствительным данным прямо в интерфейсе системы.

С помощью редактора стандартов в системе гибко настраиваются параметры поиска и классифицируется критически важная информация в соответствии с текущими задачами.

Считается, что утечка данных происходит при пересечении информационного периметра предприятия. Но это не так. Фактически она происходит во время предоставления доступа к данным. Сотрудники, которые ещё вчера были лояльны компании, сегодня могут начать действовать совсем иначе. Виной тому становятся личные, политические или экономические мотивы. Поэтому важно знать, кто владелец данных и кто обращается к ним в своей работе. Makves DCAP отображает всех пользователей файла или папки.

При выдаче прав доступа и обращения сотрудника к данным необходимо понимать, какие именно сведения им используются впоследствии. Бывает так, что он получает доступ к конфиденциальной информации, но в течение длительного времени не обращается к ней. Тогда возникает вопрос, для чего сотруднику предоставлялись такие широкие права? Соответственно, нужна детализация событий по действиям с конкретным файлом для анализа реального использования прав.

Детализированный список в карточке файла или папки отображает ключевые опции. Это уровни доступа, наследование прав, для которых он открыт, уровень риска, связанный с предоставленным доступом, и рекомендации по исправлению проблем с каждым отдельным правом или всем файлом. Вы можете запретить/изменить для пользователя или группы пользователей доступ к ресурсу прямо из интерфейса системы.

Используйте функцию «песочницы», чтобы проверить, как изменятся права доступа к файлам или папкам, и исключить риски для бизнес-процессов.

В системе Makves DCAP предусмотрены тонкие настройки политик безопасности для отдельных папок. При настройке новых правил, папка не будет попадать в рамки стандартных политик. Так вы ограничите доступ к файлу с конфиденциальной информацией, даже если он случайно оказался в папке с общим доступом.

Гибко настраиваемая ролевая модель доступа в Makves DCAP позволяет создавать индивидуальные модели доступа для сотрудников ИТ и ИБ подразделений, работающих с системой. Пользователь будет видеть только ту область деятельности, которая относится к его задачам, и не вмешиваться в работу других сотрудников. Например, администратору можно предоставить доступ только к определенному домену или каталогу. Если в каталоге хранятся конфиденциальные документы, администратор не сможет увидеть их содержимое, при этом все остальное будет ему доступно.

Нужно помнить, что полностью предотвратить кибератаки нельзя. Зато можно своевременно обнаружить угрозы и минимизировать их последствия. С Makves DCAP вы сможете увидеть обычное поведение пользователей, а также отслеживать подозрительные действия и события системы. Таким образом можно выявлять потенциальные атаки и быстро на них реагировать.

Чтобы оперативно выяснять, кто действительно обращается к конкретным данным и нормально ли для пользователя такое поведение, необходимы средства автоматизации. Не секрет, что просмотр журналов событий занимает слишком много времени. Заметить отклонения от нормы поможет раздел «Аномалии» DCAP-системы. Динамика аномальных активностей отображается в сводных таблицах в разделе «Период времени». Также доступны отдельные отчеты по аномалиям для компьютеров, пользователей и файлов.

Makves DCAP позволяет обнаружить признаки угрозы. Например, массовое изменение файлов (шифрование), попытка подключения к сети в нерабочее время, сброс пароля и изменение прав в Active Directory. Также система анализирует повторяющиеся события, которые могут указывать на DDoS-атаку. В случае обнаружения таких событий вы получите уведомление в консоли, на электронную почту или в мессенджер.

Makves DCAP контролирует параметры пользователей, компьютеров, файлов, почтовых ящиков и их взаимодействие. При помощи алгоритмов выявления аномалий система выстраивает индекс атипичности для каждой наблюдаемой сущности: пользователя, компьютера, файла, почтового ящика и события.

DCAP-система помогает не только вовремя обнаружить уязвимость, но и предотвратить распространение атак. Вероятные сценарии при выявлении угрозы: принудительно завершается сессия пользователя, инициируется смена пароля, блокируется АРМ или учетная запись. Также вы можете настраивать запуск собственных скриптов по реагированию на инциденты и действовать в соответствии с типом и уровнем угроз.

Makves DCAP позволяет в автоматическом режиме обнаруживать сложные угрозы с помощью маркирования событий. Это снижает влияние человеческого фактора, повышая устойчивость информационной системы к внешним и внутренним угрозам, таким как атаки Golden Ticket, Silver Ticket, Lateral Movement и другие.

Система может отмечать атипичное количество событий или первое изменение прав для папки, подпадающей, например, под 152-ФЗ или PCI DSS. Маркировка событий позволяет настроить оповещения и автоматическую реакцию: уведомления, запуск скриптов и создание инцидентов в системе управления инцидентами.

При расследовании инцидента, важно понимать, кто и каким образом получил доступ к информации. Makves DCAP в режиме онлайн фиксирует все события, связанные с файлами и папками, а также действия с электронной почтой и изменения прав доступа. Систему можно настроить на анализ по расписанию. По итогам той или иной сессии она выдаёт отчёт об изменениях, в том числе о действиях пользователя с правами администратора. Подробные отчёты по компьютерам, файлам, событиям и почтовым ящикам легко экспортировать в файл или переслать по почте.

Обращайте внимание на пометки удалённых файлов в системе. Так вы не потеряете критически важную информацию и оперативно восстановите удалённый файл.

Подведём итоги. В современных реалиях данные — главная добыча кибератаки. Офицеру безопасности нужно помнить, что предотвратить такие угрозы нельзя, но можно вовремя их обнаружить и минимизировать последствия. Для защиты инфраструктуры необходимо использовать комплекс решений, который подбирается под задачи, масштаб и специфику бизнеса. Решения класса DCAP помогают обеспечить надёжную защиту данных в период повышенного уровня киберугроз.