Вопрос защиты данных для любой компании с каждым годом становится всё более актуальным. Причин популярности несколько: это и принятые оборотные штрафы за утечку ПДн, новости о которых находятся в информационном поле сотрудников отделов ИБ и собственников бизнеса длительное время.
Это и растущее количество атак, нацеленных как на кражу, так и на уничтожение (например, шифрование) данных. Это и растущий уровень компетенций по информационной безопасности в стране. Сейчас редко возникает вопрос, нужно ли защищать данные. Чаще звучит другой: какие данные необходимо защищать в первую очередь и какие из инструментов стоит применять. Если говорить про крупнейшие холдинги страны, то вопрос того, какие классы продуктов информационной безопасности должны входить в состав системы защиты данных, как правило решен. Однако уверенно говорить, что данные, расположенные внутри компании, надежно защищены, достаточно сложно.
Одно окно для защиты всех данных
Давайте для начала разберемся, когда речь идет о защите данных, то о какой именно информации говорят и где она может находиться.
В это понятие мы включаем весь огромный массив файлов и документов, которые каждый день создают сотрудники, и важная часть этих данных — чувствительная информация, представляющая непосредственную ценность для компании. В зависимости от отрасли в понятие «чувствительной информации» может включаться проектная документация, чертежи, спецификации на оборудование, выгрузки клиентов, всё, вплоть до исходного кода, если речь идет об ИТ-компании.
Где эта информация может находиться, вроде понятно: это файловые хранилища, рабочие станции, системы общего обмена файлами, корпоративные порталы, базы данных и многочисленные информационные системы. Но, как показывают результаты аудитов, которые эксперты компании «СайберПик» проводят для промышленных внедрений наших систем и в рамках пилотных проектов, далеко не все понимают всё многообразие инфраструктуры компании и систем, которые в ней расположены.
В начале 2024 года мы в компании «СайберПик» приняли решение, что наш флагманский продукт «Спектр | DCAP» (система для защиты файловых хранилищ и контроллеров домена) необходимо развивать в сторону платформы защиты данных, чтобы задачу защиты максимально большого количества мест хранения информации можно было закрывать одним продуктом из одного окна или глубоко интегрированными между собой продуктами. Именно так мы вышли на новый не только для себя, но и в целом для нашей страны, рынок продуктов класса Data Security Platform (DSP).
Общая концепция платформы защиты данных «Спектр», которую по праву можно отнести к концепции Data Security Platform, — это комплексная защита максимального количества данных, как расположенных в состоянии «покоя» в компании, так и на всех этапах жизненного цикла работы с ними.
Начнем с базовых задач, решаемых платформой защиты данных, которые стоят в каждой компании, независимо от отрасли, уровня зрелости ИБ, выстроенных процессов, и др.
Инвентаризация активов
Прежде чем подходить к защите данных, необходимо определиться с масштабами, а именно понять, какая информация расположена в инфраструктуре компании, где расположена наиболее ценная, а от какой информации, наоборот, можно избавиться. Для этого платформа защиты данных «Спектр» обладает встроенным механизмом классификации данных. Это универсальный инструмент, который позволяет, настраивая и используя унифицированные правила, анализировать большинство мест хранения данных, от рабочих станций, файловых серверов, облачных хранилищ до баз данных. Ключевое, что на выходе дает классификация, это возможность сузить круг информации, на защите которой стоит сконцентрироваться.
На выходе система предоставляет крайне ценный инструмент для департамента информационной безопасности и не только — это полноценный каталог данных (data catalog), т. е. единая система, к которой в любой момент можно обратиться и найти любую интересующую информацию. Причем поиск будет доступен как по контенту, так как платформа защиты данных «Спектр» позволяет провести полнотекстовую индексацию данных, так и по различным метаданным (от даты создания, автора, заканчивая специфичными свойствами того или оного файла).
Классификация — это не быстрый процесс и его скорость напрямую зависит от объемов анализируемой информации, но, уже получая первые результаты, можно подходить к решению двух других задач, которые платформа защиты данных «Спектр» способна решить.
Минимизация прав доступа сотрудников
Эта задача может быть спроецирована практически на любые данные, хотя система выдачи привилегий способна отличаться. Оптимизируя права доступа, даже в не очень большой инфраструктуре, мы всегда рекомендуем начинать с наиболее ценных активов, плавно переходя и к менее важным ресурсам.
Параллельно с минимизацией прав доступа задачу защиты информации можно решать и альтернативным путем — при помощи чистки и переноса чувствительных данных из нецелевых мест хранения.
Тут также помогает задача классификации, т. к. параллельно с ней происходит и анализ прав доступа к каждому анализируемому объекту — будь то файл или таблица в СУБД. Таким образом, чувствительные данные в нецелевых местах хранения, либо же данные с расширенными привилегиями, можно автоматически переместить в карантинные папки, снизив риск утечки к нулю.
Непрерывный аудит действий пользователей
Вышеописанные задачи в первую очередь относятся к защите «данных в покое», при этом нужно не забыть про данные, которые находятся «в движении». Это и периодические изменения в документах, их перемещение и удаление, создание новых таблиц в СУБД с последующей вставкой туда информации, и изменение внутри каталогов домена — создание новых УЗ, групп, модификация групповых политик. Все эти события необходимо в полной мере контролировать и оперативно реагировать на потенциально опасные операции.
Одной из задач, которая стоит перед платформой защиты данных «Спектр», безусловно является сбор всех событий, их корреляция, сохранение и различные способы реагирования на выявленные инциденты. Нам удалось внутри единой системы с общим интерфейсом, общей системой фильтрации и общими политиками реагирования собрать все эти события. Более того, сравнивая такой подход с разрозненным сбором этих событий и последующей пересылкой в SIEM, выделим ряд ключевых отличий. Пока данные находятся внутри платформы, они обладают контекстом, т. е. они обогащены правами доступа, категориями классификации, обнаруженными в таблице СУБД или файле. Часто при расследовании инцидентов эта информация бывает крайне полезна. При этом большинство крупных компаний в дополнении настраивают и перенаправление событий в SIEM, чтобы SOC содержал в себе максимум событий с прикладных систем.
Конечно, это далеко не всё, что позволяет называть нашу платформу защиты данных «Спектр» действительно комплексным решением для защиты всех данных компании, но, пожалуй, я перечислил её ключевые аспекты. В заключение отмечу, что подход Data Security Platform хоть и появился на рынке недавно, но, учитывая его главную задачу — экономию ресурсов без потери качества защиты информации, спрос на него и его популярность растут.
Реклама. ООО «САЙБЕРПИК», ИНН: 9725025175, Erid: 2VfnxyQtBz8
.png)
- Стоимость медиауслуг (открыть PDF) -
Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных
Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных
.jpg)