По данным центра мониторинга внешних цифровых угроз ГК «Солар», за 2023 год в публичный доступ попали данные почти 400 российских организаций. Это означает, что в прошлом году каждый день в России происходила как минимум одна утечка данных.

Основной массив утекших данных – это архивы внутренней документации, в том числе сканы документов, дампы (снимки) памяти систем, информация с компьютеров отдельных пользователей, исходный код программных продуктов.

На теневых ресурсах постоянно появляются предложения о продаже подобных данных, причем объем растет от года к году. Так, по данным другого исследования ГК «Солар», в 2023 году число подобных объявлений выросло в сравнении с 2022 годом на 42%, а за первые месяцы 2024 года в даркнет утекли данные 170 компаний — 40% от всего числа инцидентов за 2023 год. Взрывной рост угроз явно подчеркивает важность контроля над корпоративными хранилищами.

В этой статье Дмитрий Богомолов, архитектор из команды Центра технологий кибербезопасности ГК "Солар", рассказывает, как системы класса DAG/DCAP помогают организациям взять данные под контроль и оптимизировать работу систем централизованного хранения информации.

Чем грозит бардак в хранилищах данных?

Данные могут хранится в структурированном виде (например, в базах данных), так в неструктурированном: в файловых, объектных и облачных хранилищах, на почтовых серверах и в системах электронного документооборота. Большая часть данных в компаниях (от 70 до 90%) хранится именно в неструктурированном виде. В хранилищах зачастую царит хаос.

Документы дублируются в разных местах, большая часть их никогда не меняется или не используется вовсе, зря занимая место на дисках. Политики доступа настроены некорректно или не настроены вовсе, в результате компания никогда не может точно знать, какие данные может просмотреть любой сотрудник, какую информацию можно легко скопировать и т. д.

Другое следствие той же проблемы — IT-подразделению очень сложно администрировать пользователей, обеспечивая доступность рабочей информации и ограничивая доступ к ней для тех, кто не должен его иметь. Права могут выдаваться одновременно в зависимости от принятых в организации правил, на основе групп, ролей, индивидуально, а также с использованием иерархического наследования с родительских объектов.

С увольнением людей в системах могут оставаться действующие аккаунты, которыми могут воспользоваться злоумышленники. Для защиты от внутренних угроз необходимо регулярно следить за действиями пользователей и пресекать нарушения — это также увеличивает нагрузку на IT-специалистов.

Как проблемы хранения данных приводят к утечкам

Разумеется, все это актуально не только для России — с утечками, затрагивающими миллионы пользователей, сталкиваются крупнейшие мировые компании. Например, в мае 2024 года компания Dell подверглась масштабной кибератаке, от которой пострадали 49 миллионов ее клиентов. Как сообщил журналистам сам злоумышленник, он извлек большие объемы данных, настроив учетные записи партнеров на корпоративном портале Dell. Взломщик начал атаки методом подбора, непрерывно более 5000 запросов в минуту в течение почти трех недель. Удивительно, но специалисты Dell не обратили на это внимание. Выгрузив данные с конфиденциальной информацией клиентов, злоумышленник отправил Dell несколько писем, сообщив об уязвимости безопасности.

Другой телекоммуникационный гигант, корпорация AT&T, в июле сообщила, что киберпреступники смогли украсть журналы телефонных разговоров и сообщений почти всех клиентов сотовой связи AT&T, клиентов операторов виртуальных сетей мобильной связи, использующих сеть AT&T, а также клиентов стационарной связи AT&T, которые взаимодействовали с этими номерами сотовой связи. Причиной инцидента стали некорректные настройки в хранилище, которые компания создала в стороннем облачном сервисе.

Последний пример касается корпорации Disney, которая лишилась 1,1 Терабайт данных осенью 2024 года, утекших через внутренний архив Disney Slack. По открытым источникам, данные включали в себя каждое сообщение и файл из почти 10 000 каналов, включая невыпущенные проекты, код, изображения, учетные данные для входа и ссылки на внутренние веб-сайты и API. Злоумышленники утверждали, что получили доступ к данным от сотрудника Disney.

Отчасти с задачами контроля и противодействия утечка помогают средства класса DLP (Data Loss Prevention). Однако они предназначены для контроля рабочей станции сотрудника, а развернуть их в системах хранения данных невозможно.

Именно поэтому для СХД применяется другой подход: изучение данных, их классификация, назначение политик хранения и доступа, мониторинг и контроль доступа. Это обеспечивают системы класса DAG/DCAP.

Как работают решения DAG и DCAP

Системы класса Data Access Governance (DAG) объединяют в себе комплекс процедур, технологий и политик, направленных на управление доступом к данным в организации.
Эти решения обеспечивают контроль прав доступа, мониторинг действий пользователей и обеспечение соответствия внутренним и внешним политикам безопасности.

В свою очередь, системы Data Centric Audit and Protection (DCAP) фокусируются на безопасности данных на уровне их содержимого. В этом случае защита информации обеспечивается с применением механизмов аудита, мониторинга и исправления обнаруженных нарушений.

Оба класса систем применяются главным образом для защиты неструктурированных данных. Они классифицируют данные, применяют к ним политики хранения и доступа, формируют отчетность для администраторов, аккумулируют информацию для расследования инцидентов безопасности, в том числе и утечек.

Какую информацию предоставляют DAG/DGAP-системы

Рассмотрим на примере Solar DAG

●      Журналы событий информационных систем, показывающие, что происходило с объектами хранения, кто читал, изменял или копировал файлы, менял права доступа и т.п.

●      Журналы действий пользователя (как создание и изменение объектной модели системы).

●      Какие данные не использовались в заданном периоде.

●      У каких объектов включено или отключено наследование прав.

●      Какие объекты дублируются и где они расположены.

●      Как менялись права доступа учетных записей и права доступа к тем или иным объектам.

●      Где расположены данные, отнесенные к тому или иному классу (например, к коммерческой тайне или персональным данным), кто имел доступ в заданные период к таким данным.

Средства контроля политик доступа и хранения данных фиксируют нарушения и оповещают о них пользователей DAG. Администраторы могут оперативно принимать решения, чтобы устранять угрозы безопасности и предотвращать утечки до того, как они случились. А в случае DCAP система будет выполнять Iактивные действия по исправлению нарушения: удалять файлы, помещать в карантин, лишать пользователей доступа и др.

Преимущества интеграции DAG и DCAP

Использование Data Access Governance и Data Centric Audit Protection в комплексе обеспечивает компании полноценный подход к оптимизации и защите СХД.

Сократить вероятность крупных утечек
Применение DAG/DCAP позволяет выстроить многоуровневую защиту и эффективно контролировать доступ к данным.

Снизить операционные расходы на хранение данных
Автоматизация процессов управления доступом и мониторинга упрощает администрирование и устранение инцидентов, избавляет сотрудников от значительной части рутинных и ручных операций.

Оптимизировать работу СХД
DAG/DGAP-решения определяют дубликаты файлов, помогают следить за их жизненным циклом, удалять устаревшие версии — как следствие, корпоративные хранилища становятся более упорядоченными, а ненужные данные перестают занимать место на серверах.

Сформировать прозрачный контроль над пользователями
IT-подразделение и служба информационной безопасности получает возможность отслеживать действия пользователей и превентивно устранять угрозы.

Динамически реагировать на угрозы
Система безопасности может адаптироваться к изменениям в поведении пользователей, предотвращая потенциальные инциденты в реальном времени.

Соблюдать нормативные требования
Современные решения по безопасности данных помогают организациям отслеживать выполнение требований регуляторов: 152-ФЗ, приказы Правительства РФ, нормативные документы ФСБ и ФСТЭК, Минцифры и др.

Повышать доверие клиентов
Инвестиции в безопасность и конфиденциальность данных, а также гарантированное выполнение требований законодательства укрепляет имидж организации в глазах клиентов и партнеров.

Упростить принятие решений об инвестициях в IT и развитие инфраструктуры.

Упростить процедуру восстановления данных и формирование отчетности
Наличие четких политик доступа и журналов действий упрощает восстановление данных после инцидентов, таких как кибератаки или ошибки пользователей. DAG-решения отслеживают и генерируют отчеты о доступе к объектам хранения, что упрощает управление соблюдением правил безопасности.

Заключение

Внедрение решений DAG/DCAP в системы хранения данных — стратегически важный шаг для организаций, которые стремятся обеспечить высокий уровень безопасности данных и гарантировать соответствие стандартам в условиях ужесточения нормативных требований.

Для компаний, стремящихся к инновациям и устойчивому развитию, инвестиции в DAG/DCAP становятся не просто целесообразными, но и необходимыми. Эти решения помогут организациям адаптироваться к меняющимся условиям внешней среды, повысить уровень безопасности и успешно вести бизнес.

Комментарии (0)