Контакты
Подписка 2022
МЕНЮ
Контакты
Подписка

Аудит неструктурированных данных как профилактика рисков кибербезопасности

Иван Дудоров, 04/10/21

Инженеры Varonis при работе с новыми клиентами первым делом всегда проводят комплексный аудит неструктурированных данных в корпоративной сети. Причем такой аудит за редким исключением делается еще на этапе пилотного тестирования, что позволяет сразу понять масштаб бедствия, оценить риски, наметить приоритеты и приступить к исправлению ситуации.

Автор: Иван Дудоров, ведущий системный инженер Varonis

Для действующих заказчиков аудит неструктурированных данных также выполняется на регулярной основе несколько раз в год. Это похоже на профилактический поход в больницу: нужно проверить, что все хорошо (или плохо), и убедиться, что назначенный в прошлый раз курс лечения соблюдается и приносит положительный эффект. А если вдруг что-то пошло не так, то заметить это на как можно более ранней стадии.

1_Metadata analysis
Varonis анализирует 6 ключевых потоков метаданных с помощью алгоритмов поведенческого анализа

В реальности оценить и минимизировать риски утечки конфиденциальной информации можно только после проведения тщательного анализа, в который включается:

  • выявление мест расположения критичной информации;
  • оценка действующих прав и разрешений;
  • сопоставление реальных прав и активности пользователей с требованиями со стороны бизнеса;
  • определение владельцев данных и многое другое.

В принципе, эту работу можно проводить и самостоятельно, – тем более, что мы изначально помогаем настроить систему на автоматическую отправку наиболее важных срезов данных и метрик. Поэтому далее определим, на что следует обратить внимание в первую очередь, если вы уже задумались о существующих рисках на файловых ресурсах.

Политики размещения информации

Первое, чем стоит заняться в рамках аудита, – выявление папок с критичной информацией и общим доступом для всех пользователей. Опустим само определение понятия критичной информации – это отдельный итерационный процесс, индивидуальный для каждой компании, и в идеальном сценарии опирающийся на фидбек от бизнес-подразделений (бухгалтерия, HR, закупки). Поэтому просто будем предполагать, что мы уже знаем, что для нас критично, а классификатор настроен и выдает релевантные результаты.

Большинство таких обнаруженных папок можно поделить на две основные категории.

  1. Заведомо общедоступные папки обмена, куда выложили конфиденциальную информацию. С такими папками борются посредством автоматического перемещения выложенных критичных данных в карантин, уведомлением администратора ИБ о произошедшем инциденте и проведением воспитательной беседы с нарушителями. Некоторые заказчики также настраивают специальные скрипты для очистки папок обмена автоматически раз в сутки или раз в неделю.
  2. Папки закрытых подразделений, куда по каким-то причинам имеется доступ у всех сотрудников компании. Во этом случае папку превращают в закрытую посредством удаления глобальной группы доступа и добавлением новой, содержащей только нужных людей и только с минимально необходимыми правами. Система сама подскажет, кто из людей «нужный» и какой доступ он должен иметь на базе его реальной статистики доступа и поведения его коллег.

Кстати, учитывать поведение коллег необходимо, так как мы не хотим, например, лишить доступа главного бухгалтера к папке финансовой отчётности, если он ею пользуется только раз в год. И да, этот процесс можно полностью автоматизировать, причем администратору останется только просматривать отчёт о проделанных системой работе и вносить какие-то коррективы при необходимости.

Следующим поводом насторожиться при проведении аудита являются пользователи, которые не относятся к администраторам, но имеют возможность изменять права на папки. Это не только создает серьезную уязвимость для инсайдерской атаки – пользователь может просто выдать напрямую права другому человеку, – но и угрозу непрерывности бизнес процессов и потери данных, ведь он может удалить доступ различных служб, таких как резервное копирование. А если нет прав – то нет и резервных копий со всеми вытекающими последствиями. Выявление папок, где нет доступа у локальных администраторов, также является одним из кейсов, который проверяется во время аудита.

Кстати говоря, с практикой выдачи привилегий пользователям напрямую в обход групп безопасности тоже необходимо активно бороться. Она не только приводит к излишнему доступу, который никто потом никогда не отзывает и не проверяет, но и к постепенному нарастанию хаоса в управлении разрешениями и непониманию реальной картины прав. Да, бывают исключения из правил (профили пользователей, папки межсистемного обмена), но всегда необходимо стремится к управлению доступом через группы Active Directory.

Наконец, сами разрешения на папки с данными могут работать неправильно. Если права некорректно распространяются от родительского объекта, это может привести как излишнему доступу, так и наоборот – отсутствию доступа у легитимных пользователей или служб. Самый распространённый случай – это перенос конфиденциальных данных из папки общего обмена в закрытое подразделение с сохранением прошлых привилегий. В этом случае любой сотрудник компании всё ещё сможет получить доступ к каталогу по прямой ссылке несмотря на то, что доступа в само подразделение у него нет. Такое некорректное наследование достаточно легко исправляется массово на всех серверах через средства автоматизации и далее ставится на ежедневный контроль.2_Large-Illustration_EnterpriseDataStores

Конечно же кроме аудита, контроля и исправления перечисленных случаев нарушения политик доступа важно изначально заложить правильную структуру прав доступа исходя из концепции минимально необходимых привилегий. Здесь вы всегда можете положиться на наш многолетний опыт и накопленную экспертизу – мы с радостью рассказываем и показываем заказчикам, как лучше организовать доступ на высокоуровневых каталогах, какие типы разрешений использовать, почему лучше избавляться от прав создателя-владельца и так далее. Описание сего процесса заслуживает отдельной статьи, поэтому пока вернемся к аудиту.

Потенциальные угрозы безопасности

Следующий этап аудита – выявление инфраструктурных рисков, не связанных напрямую с файловыми ресурсами. В первую очередь это анализ Active Directory.

Например, проводящего аудит специалиста по информационной безопасности должны насторожить аккаунты, в которых давно не регистрировался вход в систему. Такие заброшенные учетные записи для хакеров являются одним из способов проникновения в систему с целью получения доступа и хищения данных.

Впрочем, как и аккаунты с бессрочным паролем или отсутствием парольных политик – всё-таки медленный перебор пока никто не отменял. Более того, мы регулярно встречаем прямо во время пилотного проекта реальные брутфорс-атаки как извне, так и изнутри с уже заражённых машин. При этом по данным IBM, на обнаружение факта несанкционированного проникновения в сеть компании в среднем уходит больше восьми месяцев. Скомпрометированный аккаунт с бессрочным паролем позволит злоумышленнику на протяжении всего этого времени свободно чувствовать себя внутри защитного периметра, не опасаясь, что доступ внезапно автоматически прервется.

Учетные записи, нарушающие базовые политики безопасности, ставятся на контроль и постепенно сокращаются до минимально необходимого количества. Некоторые заказчики при этом решают часть задач дополнительными средствами управления паролями, такие как IDM, либо просто устанавливают длинные пароли на все критичные аккаунты.

Еще одна распространённая практика злоумышленников – это компрометация аккаунта с настроенным SPN (Service Principal Name) и не очень сложным паролем. К такой учетной записи можно запросить билет Kerberos с пониженным шифрованием для последующего подбора пароля в офлайн-режиме. Другими словами, в логах AD не будет видно даже попыток перебора пароля, так как все происходит в офлайне. А результатом перебора станет пароль в открытом виде.

В Active Directory существует множество и других рисков, которые мы анализируем во время аудита. При этом сотрудник ИБ всегда может их увидеть через специальные дэшборды веб-интерфейса. Кроме AD система показывает риски и на других смежных ресурсах, таких как DNS, VPN и Proxy, но их лучше будет коснуться уже в следующем разделе, посвященному звучной аббревиатуре UEBA.

Анализ поведения пользователей

Это единственный раздел, в котором нет каких-либо стандартных кейсов – все индивидуально для каждого заказчика и зависит от реальных действий пользователей. Бывает, что мы выявляем настоящие атаки прямо во время пилотного проекта: попытки взлома, активные действия уже после проникновения, работу вируса-шифровальщика или вывод информации инсайдером.

Для выявления инцидентов достаточно просто приглядывать за срабатываниями поведенческой аналитики и проводить небольшие расследования по необходимости. Система автоматически выстраивает профиль поведения для каждой учетной записи на базе ее активности и поведения коллег, используемых устройствах и ресурсах, времени работы (скажем, с 9 до 18 часов в будние дни). При этом профили регулярно пополняются новыми данными, а модели корректируются в зависимости от особенностей конкретной инфраструктуры. Как только что-то происходит нестандартное, генерируется инцидент с уведомлением администратора ИБ.

3_Large-Illustration_Certifications_01

Срабатывания могут быть реакцией как на простейшие действия, такие как модификация группы доменных администраторов или сканирование инфраструктуры через обратные DNS-запросы, так и на сложные схемы, учитывающие сразу несколько подключенных платформ. Например, администратор включил старую заблокированную учетную запись, подключился из-под нее на ранее не использовавшемся ею устройстве. Затем начал копировать данные, с которым эта учетная запись никогда не работала, и выводить их за пределы организации через облачное хранилище. По сути, здесь происходит корреляция данных из Active Directory, файловых серверов и веб-прокси. При этом всегда можно добавить собственные модели или настроить срабатывание автоматических скриптов для оперативного реагирования: блокировку пользователя, отключение компьютера, изменение прав доступа и т. д.

Идеальная работа системы, к которой мы стремимся, – это несколько срабатываний в течение дня. Такое количество, с одной стороны, позволяет оперативно выявить реальные инциденты, а с другой – не приводит к тому, что уведомления со временем начинают просто игнорироваться сотрудниками ИБ из-за их большого количества. Поэтому мы всегда помогаем нашим заказчикам в корректировке правил для сведения ложных срабатываний к минимуму.

Контроль использования ресурсов

Но не информационной безопасностью единой жив аудит. Мы также помогаем решать некоторые ИТ-кейсы: выявление не использующихся папок и быстро растущие каталоги.

В первом случае мы в лаконичном виде показываем список директорий, в которые никто не заходил на протяжении заданного периода времени (обычно – год) с сортировкой по убыванию размера. Такие данные обычно можно смело перемещать на менее дорогостоящие хранилища или ленту, оптимизируя при этом расходы на СХД. Миграцию неиспользуемых данных, кстати говоря, можно организовать встроенным средствами автоматизации – тем же самым инструментом, который мы используем для перемещения конфиденциальной информаций из общего доступа в карантинную зону.

Стоит также отметить немаловажный момент с точки зрения информационной безопасности – архивация неиспользуемых данных не только снижает общий объем работ по наведению порядка на файловых ресурсах, но и снижает площадь потенциальной атаки. Другими словами, чем меньше информации доступно в оперативном доступе, тем меньше данных может заполучить злоумышленник или зашифровать вирус-шифровальщик.

Во втором случае контроль роста объема информации может не только показать, куда делось все свободное место, но и предсказать тенденции в будущем. Кроме того, иногда быстро растущие каталоги на поверку оказываются складом не имеющих отношения к деятельности компании файлов – фильмов, музыки и пр. А это уже может повлечь за собой проблемы, связанные с хранением нелицензионного контента.

Заключение

Регулярное проведение аудита неструктурированных данных позволяет наглядно визуализировать текущую картину рисков, оценить эффективность уже проведенных работ по наведению порядка и наметить новые приоритеты и планы действий на будущее. Мы проводим такой аудит как существующим заказчикам, так и новым во время пилотных проектов. Если вас когда-то уже посещали сомнения на тему реальной картины прав доступа и политик безопасности на файловых ресурсах и смежных системах, то вы попали по адресу - вы можете заказать бесплатный аудит рисков на сайте Varonis или написать напрямую команде Varonis в России.

Хотите участвовать?

Выберите вариант!

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2021
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ

More...