Что скрывает ИТ-инфраструктура? Обзор Makves DCAP (Data-Centric Audit and Protection)

Дата: 11.08.2022. Автор: Makves. Категории: Главное по информационной безопасности, Обзоры средств защиты информации
Что скрывает ИТ-инфраструктура? Обзор Makves DCAP (Data-Centric Audit and Protection)

Отсутствие полной картины прав доступа к информации, которая хранится вне базы данных, является актуальной проблемой для любого бизнеса. В каждой организации объем обрабатываемой и передаваемой информации стремительно растет. Документов, которые хранятся на файловых серверах, становится все больше, и пользователи с разными правами доступа взаимодействуют с ними: открывают, копируют, редактируют содержимое, меняют названия, сохраняют в различных форматах, пересылают и так далее. В итоге массив файлов превращается в огромный хаос. 

В компаниях даже не подозревают, что в общем доступе могут находиться персональные данные и другие конфиденциальные документы, доступ к которым должен быть ограничен. И даже если в компании разработаны правила работы с информацией и утверждены регламенты доступа, отследить их выполнение в организации с большим количеством сотрудников практически невозможно.

Makves DCAP — универсальное решение для IT-департамента и подразделения информационной безопасности. Продукт представляет собой эффективный инструмент автоматического мониторинга данных, с помощью которого можно снизить финансовые и репутационные риски, а также значительно упростить работу ИТ-подразделения.

Возможности Makves DCAP

  • Аудит доступа к информационным ресурсам — файловые хранилища, почта, АРМ;
  • Аудит Active Directory, OpenLDAP, Apache Directory, Red Hat Directory Server;
  • Поиск и категоризация данных в соответствии с российскими и международными стандартами и законодательством (ФЗ-152, GDPR, PCI DSS, ГОСТ Р 57580.1-2017, СТО БР ИББС, ФСТЭК);
  • Контроль действий с файлами — модификация, копирование, удаление;
  • Выявление эффективных владельцев файлов;
  • Управление доступом к файлам, моделирование последствий изменения прав;
  • Анализ действий с учетными записями и группами Active Directory — включение, отключение, изменение, добавление прав;
  • Анализ событий в сети — вход, выход, неверный пароль и так далее;
  • Поведенческий анализ — контроль всех сущностей системы и их взаимодействия, выявление аномалий, защита от шифровальщиков и DDoS-атак;
  • Активная реакция выявленный инцидент — блокировка пользователя, инициирование смены пароля;
  • Настраиваемые оповещения, уведомления и отчеты в консоли, на e-mail и в мессенджеры;
  • Оптимизация файловых хранилищ — выявление неделовых файлов и дубликатов.

Архитектура Makves DCAP 

Архитектура системы представляет собой консоль управления, аналитический модуль, хранилище и агенты. Агенты могут быть установлены локально на конечные устройства, а также осуществлять сбор информации удаленно с одного или нескольких выделенных серверов. Агенты собирают и обогащают информацию из служб каталогов, журнала событий, почтового сервера, сканируют файловые хранилища и собирают сведения об их содержимом. Собранные системой данные записываются в хранилище, которое представляет собой базу данных PostgreSQL. Формирование отчетов, управление доступом и настройками системы происходит в консоли Makves DCAP, представляющей собой web-интерфейс. С помощью Rest API система интегрируется с любыми корпоративными системами и сервисами — SIEM, DLP, IAM, IRP, СКУД, СКДП и другими.

Архитектура Makves DCAP

Сценарии применения Makves DCAP 

Аудит и устранение рисков, связанных с хранением и доступом

По результатам аудита в системе Makves DCAP формируется отчет о текущей ситуации в ИТ-инфраструктуре с акцентом на актуальные проблемы.

В разделе “Рекомендации” система предлагает вам устранить риски, связанные с параметрами пользователей, файлов и электронной почты. К примеру, проверить прямые права, файлы с персональными данными, находящиеся в общем доступе, проинспектировать дубликаты и многое другое. 

Makves DCAP, раздел “Рекомендации”

Makves DCAP помогает обнаружить конфиденциальную информацию и классифицировать ее по уровню рисков. Система находит и классифицирует информацию по содержимому и внешним атрибутам, выявляет в открытом доступе файлы со скан-копиями документов, удостоверяющих личность, платёжные данные карт и другую информацию, которая считается конфиденциальной. Makves DCAP распознаёт графические отпечатки большинства документов, попадающих в категорию персональных данных. Это паспорта, водительские удостоверения, СНИЛС и другие. 

На основе полученных рекомендаций можно оперативно устранить риски, связанные с доступом к чувствительным данным прямо в интерфейсе системы.

Анализ изменений в динамике и активная реакция на инцидент

Makves DCAP в онлайн-режиме контролирует все события, связанные с действиями пользователей и изменениями прав доступа. Система выдает отчет об изменениях, в том числе о действиях привилегированных пользователей с правами администратора. 

Таким образом можно предотвратить очистку или изменение истории журнала событий операционной системы привилегированным пользователем (администратором).

Makves DCAP, раздел «События». Действия пользователей над сетевыми файлами

В случае выявления системой несанкционированных действий со стороны пользователя и другой подозрительной активности оператор системы получает уведомление в консоли, на e-mail или в мессенджер, Slack или Telegram. К примеру, в Makves DCAP реализованы оповещения о массовых действиях пользователей с файлами. При обнаружении таких действий можно оперативно заблокировать учетную запись прямо в интерфейсе системы или настроить автоматические сценарии реагирования.

Пример уведомления о массовых операциях с файлами на e-mail

Makves DCAP можно настроить на анализ и отправку отчетов по расписанию. Подробные отчёты по компьютерам, файлам, событиям и почтовым ящикам легко экспортировать в файл или переслать по почте.

Makves DCAP, настройка отправки отчета по расписанию

Управление доступом к файловым ресурсам

Makves DCAP анализирует доступ к файловым ресурсам предприятия. Детализированный список в карточке конкретной папки или файла отображает уровни доступа, наследование прав, для которых открыт доступ и уровень риска, связанный с предоставленным доступом, а также рекомендации по устранению проблем. 

Прямо в интерфейсе системы можно запретить или изменить для пользователя или группы пользователей доступ к файлу или папке.

Makves DCAP, изменение доступа к папке

Чтобы проверить, как повлияют изменения прав на работу с файлом или папкой, и избежать негативных последствий для бизнес-процессов заказчика, можно использовать функциональность “песочницы”.

Makves DCAP. Моделирование последствий изменения прав в «песочнице»

Поведенческий анализ и выявление аномалий

Подключение к сети в нерабочее время, попытка подключения к ресурсам, к которым пользователь не допущен по должностным обязанностям, а также массовое скачивание, удаление или изменение файлов можно отнести к аномальным событиям. 

Любые отклонения от нормы могут являться поводом для расследования и фиксируются в разделе “Аномалии”. Таблица критических отклонений количества событий на дневном отрезке помогает отслеживать динамику аномальных активностей.

Makves DCAP. Динамика аномальных активностей

Система Makves DCAP контролирует параметры пользователей, компьютеров, файлов, почтовых ящиков и их взаимодействие.

При помощи алгоритмов выявления аномалий на основе полученных данных Makves DCAP выстраивает индекс атипичности для каждой сущности системы: пользователя, компьютера, файла, почтового ящика и события. Это позволяет своевременно выявить подозрительную активность и оперативно предотвратить инцидент.

Makves DCAP. Индекс атипичности пользователя

Карта параметров и поведения пользователей отображает общий  уровень атипичной активности. Оператор системы может обратить внимание на пользователей с высокой степенью атипичности и принять соответствующие меры — инициировать смену пароля для пользователя, ограничить доступ к определенным ресурсам, заблокировать пользователя.

Makves DCAP. Карта параметров и поведения пользователей

Кастомизированные дашборды

Makves DCAP представляет собой многофункциональный инструмент, охватывающий широкий спектр задач на стыке ИТ и информационной безопасности. Для удобства оператора системы в Makves DCAP реализованы кастомизированные сводки. 

В интерфейсе системы можно легко настраивать собственные отчеты под конкретные задачи пользователя и контролировать все интересующие его объекты рамках единого дашборда. С помощью конструктора можно добавить до двадцати виджетов на единую панель сводки.

Makves DCAP. Создание кастомизированного дашборда 

Инструменты для оптимизации ИТ

В типовой инфраструктуре организации накапливается большой объем устаревших и неиспользуемых данных — множественные версии документов, дубликаты, неделовые файлы и прочий информационный мусор, который согласно практике применения Makves DCAP занимает до 60% дискового пространства.

Отчет по файлам Makves DCAP содержит подробную статистику по содержимому файловых хранилищ:

  • информация о самых больших папках и файлах, 
  • информация о файлах, имеющих дубликаты, в том числе соответствующих стандартам и регуляторам, 
  • список файлов и папок, которые не использовались в течение 5 лет,
  • список файлов неделовых форматов (аудио, видео …).

Отчет по приросту хранилища фиксирует информацию по времени создания файлов и помогает эффективно распределить нагрузку на информационные ресурсы.

Makves DCAP. Отчет по приросту хранилища

В Makves DCAP предусмотрена возможность удаления файлов из интерфейса системы при наличии определенных прав администратора.

Выводы

Makves DCAP представляет собой универсальную систему для комплексного решения задач ИТ-департамента и подразделения информационной безопасности. 

Система позволяет:

  • выявить и устранить риски, связанные с нарушением действующих требований по информационной безопасности;
  • выполнить  категоризацию данных в соответствии с действующим законодательством и отраслевыми стандартами;
  • определить общий и полезный объем хранилища для повышения эффективности и производительности ИТ-инфраструктуры.

Преимущества и особенности Makves DCAP

  • продвинутый модуль аналитики;
  • активная реакция на инцидент; 
  • возможность управления доступом в интерфейсе системы;
  • моделирование последствий изменения прав;
  • поддержка MS Windows / Linux;
  • настраиваемые дашборды;
  • интеграция с любыми корпоративными программами и сервисами через REST.API.

Системные требования и порядок внедрения Makves DCAP 

Пилотное тестирование и внедрение системы происходит при поддержке инженеров Makves. Уже на этапе тестирования заказчик получает первые результаты аудита ИТ-инфраструктуры и может оперативно устранить риски, связанные с хранением и доступом к информации.

Аппаратные требования Makves DCAP: 

  • процессор Intel Core i5; 
  • 8 ГБ оперативной памяти; 
  • объём свободного дискового пространства не менее 10 ГБ. 

Программные требования Makves DCAP: 

  • поддерживаемые операционные системы: Microsoft Windows 10, Microsoft Windows Server 2016 / 2019, OS X 10.9–10.11, macOS 10.14 и выше, Ubuntu 16, Ubuntu 18, Ubuntu 20, Astra Linux Orel, Alt Linux P10
  • поддержка Docker-контейнеров: Desktop 18, Enterprise, 18.*, Docker-compose 3.6 или выше;
  • дополнительное программное обеспечение: браузер Chrome, СУБД Jatoba, СУБД PostgreSQL 9.6 х64 или выше.

Закажите демонстрацию Makves DCAP. Мы покажем, как работает система на примере типовой IT-инфраструктуры, и ответим на все ваши вопросы.

Об авторе Makves

Makves — российский разработчик программного обеспечения для аудита и мониторинга информационных ресурсов предприятия.
Читать все записи автора Makves

Добавить комментарий

Ваш адрес email не будет опубликован.