Недавнее исследование Accenture выявило, что 68% компаний не используют всех возможностей, которые предоставляют их неструктурированные данные. При этом, все чаще собственники бизнеса приходят к выводу о том, что такие данные представляют собой ценные информационные активы, подверженные высокому риску с точки зрения безопасности. В этой статье мы расскажем об инструменте, который помогает выявлять, анализировать и защищать неструктурированные данные любой компании, - DCAP-системе «СПЕКТР».
- Что такое СПЕКТР
- Как работает система СПЕКТР
- Кому подходит DCAP?
- Сложно ли заказчикам освоить СПЕКТР?
- СПЕКТР прошел сертификацию ФСТЭК
Что такое СПЕКТР
СПЕКТР представляет собой решения по информационной безопасности класса DCAP/DAG (Data-Centric Audit and Protection/Data Access Governance). Рынок привык называть эти решения термином DAG, потому что все зарубежные игроки позиционировали себя именно так. Российские же производители данных решений выбрали обозначение DCAP, и теперь данный класс более привычно называть именно так.
Продукт создан для того, чтобы контролировать права доступа, вести аудит действий пользователей, управлять данными и комплексно защищать хранилища неструктурированных данных. Объектом информационной защиты, когда мы говорим о СПЕКТРе, являются не люди, а информация, информационные активы, учетные записи и права доступа сотрудников организации. Данный класс решений защищает такие фундаментальные верхнеуровневые системы любого заказчика, как файловые сервера, почтовые сервера, контроллеры домена, различные облачные хранилища, то есть места, где хранятся либо файлы, либо учетные записи и права доступа.
Почему задача защитить эти данные так актуальна сегодня?
Около 80% данных любой организации находятся в неструктурированном формате (различные файлы и документы), то есть, всего лишь 20% хранятся в традиционных базах данных. Таким образом, защита неструктурированных данных, которые являются цифровыми активами компании, имеет приоритетное значение.
Любая DCAP-система предоставляет бизнесу следующие возможности:
- всесторонний аудит действий пользователей, в том числе файловых операций (чтение, удаление, редактирование, изменение прав, квот на каталоги, диски, тома) и событий контроллеров доменов (успешные/не успешные авторизации, изменение членства в группах безопасности, изменения групповых политик);
- классификация данных (помогает получить представление о том, какая в принципе информация хранится на подключенных серверах, файловых хранилищах и рабочих станциях организации, и где находятся наиболее критичные из них);
- анализ и управление правами доступа.
Термин «критичная информация» крайне широк, и разработчики CyberPeak в своем продукте СПЕКТР описывают ее так называемыми категориями. Категории – это комбинации слов, фраз, регулярных выражений, частоты их появления в словарях, которые описывают персональные данные, коммерческую тайну, финансовую информацию, тайну связи, различную авторизационную информацию (логины, ключи, пароли, токены). СПЕКТР обладает большим количеством предустановленных категорий, который позволяет с первого дня работы с системой находить все места хранения подобной информации и анализировать ее. Это и текстовые документы, и картинки, pdf-файлы, чертежи, в том числе, в архивах.
Считается, что инциденты информационной безопасности начинаются не в тот момент, когда они происходят (утечка данных, неправомерная модификация данных), а в момент, когда сотрудники организации получают права для совершения подобных действий. Для того, чтобы минимизировать эти риски на ранних этапах, а, в идеале, полностью предотвратить их, СПЕКТР показывает специалисту по ИБ актуальную двунаправленную матрицу доступов – можно выбрать любой каталог, любой файл, любой объект домена или почтовый ящик и увидеть информацию обо всех учетных записях и уровне эффективных прав доступа по отношению к этим данным.
Как работает система СПЕКТР
Работа системы – гибридная. Для того, чтобы проводить аудит всех операций, как правило, на защищаемые сервера устанавливаются программные агенты, либо же СПЕКТР интегрируется с такими системами, как NetApp,Dell EMC или Synology по описанным проприетарным протоколам, которые российский вендор CyberPeak поддерживает, сохраняя при этом полную независимость своих продуктов как средств для сбора и аудита данных.
Классификация данных, как и анализ прав доступа проводятся в удаленном режиме, не нагружая вычислительные мощности файловых серверов. СПЕКТР производит удаленное чтение этих файлов, а также контентный анализ содержимого и прав доступа.
Через пользовательский интерфейс осуществляется полный доступ ко всем данным, которые собрала система. С помощью гибкой настройки интерфейс можно настроить «под себя».
Кому подходит DCAP?
Сегодня DCAP-системы набирают такую же популярность и распространение среди заказчиков, как это происходило 5-7 лет назад с DLP-системами. Каким компаниям точно стоит присмотреться к продукту СПЕКТР?
Объясняет Сергей Добрушский, директор по развитию продуктов компании CyberPeak: «Масштаб компаний и отрасли бизнеса, в которых применяют DCAP-системы, в компаниях, со стороны которых к нам поступают запросы на эти решения, разнообразны. Чтобы компания могла технически позволить себе установку DCAP-системы, численность ее сотрудников, по нашей практике должна превышать 100 человек, а верхних пределов же просто не существует. Для больших компаний использование подобного продукта будет не то, чтобы более оправданным, скорее, ИТ-директору или руководителю ИБ-департамента будет легче обосновать необходимость его использования – чем больше компания, тем больше объем данных, и, как следствие, больше беспорядок в этих данных. Как раз одна из основных задач DCAP-систем состоит в наведении порядка в файловых хранилищах, а также в части прав доступа».
В портфеле заказчиков CyberPeak компании из самых разных отраслей экономики – от логистических до финансовых организаций, страховые компании, медиа, госсектор, организации, оказывающие медицинские услуги. Подход к использованию продуктов схож во всех случаях, но данные, которые являются критичными, кардинально отличаются друг от друга.
С точки зрения инфраструктуры система СПЕКТР является достаточно легковесной в части тех ресурсов, которые необходимы для ее использования. Минимальная конфигурация представляет собой одну виртуальную машину от 8 ядер 16 Гб оперативной памяти и пары сотен Гб жесткого диска. При этом, одной виртуальной машины достаточно для реализации полного функционала продукта – это выгодно отличает СПЕКТР как от российских, так и от многих зарубежных производителей. Масштабирование решения практически безгранично. Компания CyberPeak успешно внедряет продукт СПЕКТР в инфраструктуру территориально распределенных корпораций. А это: территориально распределенная инсталляция, отдельно вынесенные на каждую площадку виртуальные машины и единый интерфейс управления, который охватывает все данные.
Плюс системы СПЕКТР заключается в том, что ее можно масштабировать, что называется, «в горячем режиме». Если у заказчика происходят изменения инфраструктуры, присоединение какой-то компании, всегда можно добавить небольшое количество вычислительных ресурсов на новую площадку или в тот же самый DATA-центр, и организовать защиту новых файлов.
Компания Softline всего за полгода успешно реализовала более 5 совместных проектов с российским производителем решений по информационной безопасности CyberPeak. Юрий Филатов, руководитель направления развития бизнеса новых решений, департамент информационной безопасности Softline, видит в продукте СПЕКТР огромный потенциал: «Мы активно общаемся с коллегами из промышленности, финсектора, госсектора, ритейла – всем интересен этот продукт, в том числе, как замещающий аналоги ушедших вендоров. Основная особенность DCAP состоит в том, что это решение нужно всем, без привязки к конкретной отрасли – всем нужно защищать свои данные от финансовых и репутационных рисков».
Еще одна особенностей решений класса DAG/DCAP заключается в том, что предлагать их можно как ИБ-подразделениям заказчиков, так и их ИТ-командам – зачастую на пилотах решения присутствуют и те, и другие. Функционал СПЕКТРа может быть интересен разным подразделениям бизнеса для решения различных задач. Сама модульность системы позволяет подобрать необходимую спецификацию в зависимости от целей подразделения – так, продуктом интересовалось управление по финансовой безопасности одного из заказчиков с целью отслеживать действия пользователей и контроля прав.
Сложно ли заказчикам освоить СПЕКТР?
В портфеле проектов вендора CyberPeak есть кейс по внедрению продукта в компании, где не было отдельно выделенного человека для обеспечения информационной безопасности. Кроме того, разрабатывая продукт, производителям было несколько проще, чем их зарубежным конкурентам, которые придумывали DAG¬-системы с нуля еще в начале 2000-х годов. Разработчики CyberPeak четко понимали, какие задачи им нужно решить, и одной из них была задача сделать продукт максимально стандартным и простым в эксплуатации. Сергей Добрушский, директор по развитию продуктов компании CyberPeak: «Мы уделяем большое внимание простоте внедрения данного продукта, поэтому большое число проектов заказчики внедряют сами, и не от нехватки у нас инженерного состава, а потому что подчас это удобнее сделать заказчику самостоятельно».
Почему работать со СПЕКТР легко даже без навыков ИБ-специалиста:
- В системе имеется около 70 предустановленных отчетов, каждый из которых включает в себя определенные алгоритмы и решает особую бизнес-задачу.
- Предустановленные категории позволяют классифицировать информацию – они абсолютно разнородны, и охватывают требования по безопасности любой сферы бизнеса.
- Предустановленные правила реагирования на инциденты, описания самих инцидентов и модуль поведенческой аналитики, который подстраивается под любую компанию с помощью машинного обучения и нейросетей – все это помогает пользователю эффективно управлять продуктом.
Кроме того, и сам вендор, и компания Softline практикуют обучение заказчиков, поскольку система СПЕКТР – это зрелое решение с большим объемом функционала. Как правило, обучение проводится на этапе пилотного проекта, когда команда специалистов вендора и интегратора совместно подключаются к заказчику, чтобы на его данных изучить логику продукта, те функциональные возможности, которые могут быть полезны конкретному заказчику, и как ими можно пользоваться. Следующий этап обучения происходит при внедрении – в CyberPeak имеется разработанная программа и для операторов, и для администраторов. За несколько сессий, которые не превышают 2-3 часов, проводится полный курс ознакомления со всем функционалом продукта. Заказчик может задавать вопросы и в режиме диалога получать ответы.
Для тех, кто не имеет возможности обучиться работе с продуктом в онлайн-режиме, разработана подробная техническая документация с подробными инструкциями, примерами и скриншотами. Интерфейс СПЕКТРа снабжен всплывающими подсказками, что также снижает порог входа в продукт.
Благодаря успешному сотрудничеству вендора и интегратора продукт постоянно развивается. Юрий Филатов, руководитель направления развития бизнеса новых решений, департамент информационной безопасности Softline: «Мы вырастили и будем продолжать развивать инженеров в помощь нашим заказчикам и коллегам в рамках внедрения, обучения. Прямо сейчас Softline совместно с CyberPeak разрабатывают новые услуги для пользователей, чтобы не только продавать лицензионное ПО, но и быть максимально полезными для заказчиков».
СПЕКТР прошел сертификацию ФСТЭК
Продукт СПЕКТР получил сертификат ФСТЭК на соответствие 4-му уровню доверия и техническим условиям – на сегодняшний день это единственное сертифицированное решение данного класса. На эту работу вендором было потрачено около двух лет, и это потребовало вложения значительных ресурсов – как финансовых, так и инженерных.
Заказчиков, которые обращают внимание на наличие данного сертификата, можно поделить на два класса: государственный сектор, которым такой уровень защищенности критически необходим, ряд из них не могут рассматривать иные решения. Для второго типа заказчиков сертификат ФСТЭК является дополнительным гарантом качества и того, что продукт не просто будет соответствовать функциональным требованиям и требованиям производительности (это легко проверяется на этапах функционального и нагрузочного тестирований) – это еще и подтверждение уровня зрелости компании и тех подходов, которые применяются при разработке и создании этого продукта.
Современные требования к сертификации достаточно давно ушли в практическую плоскость и требования по фазингу, по динамическому и статистическому анализу исходного кода и продукта целиком, а также анализа всех модулей на уязвимости, предъявляются и проверяются очень четко.
CyberPeak выстроил все необходимые процессы, какие-то практики использовались разработчиком ранее, что-то пришлось адаптировать к требованиям ФСТЭК, но на текущий момент каждая новая версия продукта СПЕКТР является полностью независимой от любого стороннего взаимодействия – даже те модули, которые имеют внутри открытый исходный код, являются неотъемлемой частью кода CyberPeak – они собираются разработчиками и хранятся в репозиториях вендора. К ним предъявляются те же требования по безопасности, что и к системам, которые разработаны полностью самостоятельно.
