Пилотная история: анализ файловых ресурсов с помощью DCAP "СПЕКТР"
Пилотный проект системы контроля и управления доступом к неструктурированным данным «Спектр|DAG/DCAP» в структуре российской ИТ-компании.
Цель пилотного проекта – провести анализ файловых ресурсов компании. Необходимо проанализировать данные с точки зрения рисков, связанных с особенностями существующей структуры прав доступа. Дополнительно проверялся функционал системы для решения задач со стороны ИБ и ИТ отделов.
Пилотируемые платформы: служба каталогов MS AD, файловый сервер Windows и рабочая станция.
АНАЛИЗ КРИТИЧНЫХ ДАННЫХ
1. Критичные и персональные данные в свободном доступе не обнаружены.
Рекомендуется задать политики расположения персональных данных и настроить уведомления об их нарушении.
2. Несогласованное расположение критичных данных.
Обнаружено 445 195 файлов, которые попадают под заданные правила классификации. Необходимо контролировать их расположение.
Рекомендуется:
согласовать и утвердить политики размещения информации в зависимости от её категории;
выявить все места расположения критичных данных на файловых ресурсах и переместить их в каталоги ограниченного доступа в соответствии с политиками;
настроить уведомления о нарушении утверждённых политик.
3. Поиск критичных данных.
С помощью запроса, который одновременно содержал «для служебного пользования» и «оплата», было обнаружено 27 файлов с полным указанием пути расположения.
Рекомендуется использовать возможности поиска для оперативного выявления нового типа критичных данных, переносить данную категорию в модуль полнотекстовой классификации и контролировать её на постоянной основе.
АНАЛИЗ ФАЙЛОВЫХ РЕСУРСОВ
1. Общедоступные папки и каталоги не обнаружены.
Рекомендуется избегать единого глобального каталога обмена данными для всех пользователей и разбивать его на обособленные директории.
2. Наличие создателей-владельцев
Рекомендуется удалить сущность «Создатель-владелец», добавить сущность «Права владельца» с привилегиями уровня модификации данных (RWMEL) и настроить политики безопасности с уведомлением о появлении новых случаев создателей-владельцев.
3. Полные права у не-администраторов.
Обнаружено 225 пользователей с привилегиями на изменения прав доступа к каталогам и файлам.
Рекомендуется удалить полные разрешения у обычных пользователей.
4. Прямые разрешения.
Обнаружено 163 368 папок и файлов, которые имеют прямые разрешения.
Рекомендуется управлять правами доступа строго через группы безопасности и удалять прямые разрешения из списков доступа.
5. Папки с уникальными правами ниже заданного уровня вложенности.
Количество обнаруженных каталогов с уникальными разрешениями ниже 3 уровня вложенности: 4.
Количество обнаруженных каталогов с прерванным наследованием прав ниже 5 уровня вложенности: 15.
Рекомендуется сформировать и применить общую структуру прав доступа для файловых серверов, зафиксировать уровень её распространения и настроить полное наследование на все нижерасположенные объекты. При необходимости разделения доступа на какой-либо глубоко расположенный объект нужно перенести его на уровни выше, где происходит разделение привилегий.
6. Неуправляемые папки не обнаружены.
АНАЛИЗ ACTIVE DIRECTORY
1. Постоянные пароли.
Количество обнаруженных пользователей с постоянными паролями: 65.
Необходимо исключить наличие постоянных паролей, усложнить парольные политики и перейти на использование MSA/gMSA для всех сервисных учетных записей.
2. Учетные записи с отключенной пре-аутентификацией Kerberos не обнаружены.
3. Пароль для входа не требуется.
Обнаружено 7 аккаунтов с возможность иметь любой пароль.
Рекомендуется снять флаг PASSWD_NOTREQD у всех учётных записей, форсировать сброс пароля и убедиться, что «Гость» отключен политиками домена.
4. Административные УЗ с настроенным SPN не обнаружены.
5. Нарушение целостности основной группы.
Обнаружено 2 объекта AD с нестандартной основной группой.
Рекомендуется заменить основные группы с нестандартных на группы по умолчанию, если это не обусловлено спецификой деятельности бизнеса.
6. Неуспешные попытки входа в систему.
Массовые неуспешные события аутентификации обычно свидетельствуют об истёкшем сроке действия пароля пользователя и попытках системы подключиться со старыми данными входа. В некоторых случаях неуспешные аутентификации – это действительно действующая brute-force атака в попытке подбора пароля к одной или нескольким учётным записям.
Рекомендуется:
для каждой службы или приложения использовать отдельную сервисную учётную запись с отдельно настроенными парольными политиками, постоянными паролями, MSA/gMSA аккаунтами или сторонними средствами контроля ротации паролей;
настроить политики безопасности на уведомление о массовых неуспешных аутентификациях для выявления bruteforce атак.
АНАЛИЗ ПОВЕДЕНИЯ ПОЛЬЗОВАТЕЛЕЙ
1. Обнаруженные аномалии: массовые операции чтения и удаления.
Массовые операции чтения могут свидетельствовать о попытках копирования данных на рабочую станцию перед увольнением, поиске или легитимной активности пользователя.
Пример всплеска активности одного из пользователей с массовым чтением большого числа файлов:
Массовые операции удаления могут свидетельствовать о попытках пользователя намеренно нарушить доступ к данным, действиях злоумышленника или легитимной активности.
Пример всплеска активности одного из пользователей с массовым удалением большого числа файлов:
2. Обнаруженные инциденты: массовые операции удаления и изменение данных.
Массовые операции удаления могут свидетельствовать о попытках пользователя намеренно нарушить доступ к данным, действиях злоумышленника или легитимной активности.
Пример резкого всплеска легитимной активности одного из пользователей с массовым удалением свыше 1 000 файлов за 10 минут:
Массовые операции изменения могут свидетельствовать о работе программ, закачке информации на файловый сервер или действий вирусов-шифровальщиков.
Пример резкого всплеска легитимной активности одного из пользователей с массовым изменением свыше 1 000 файлов за 20 минут:
ОПТИМИЗАЦИЯ СХД
Быстро избавиться от нежелательной информации помогает выявление видео:
Быстрый способ расширить доступный объем СХД – выявить дубликаты:
ВЫВОДЫ
В результате проведённого аудита можно выделить ключевые аспекты, на которые необходимо обратить внимание:
1. Отсутствие автоматических средств контроля расположения критичных данных.
2. Наличие рисков на файловых ресурсах, связанных с отсутствием фиксированной структуры прав доступа, использованием сущностей создателя-владельца, полных или прямых прав у обычных сотрудников. Отсутствие инструментария по контролю и оптимизации разрешений.
3. Отсутствие средств мониторинга и уведомления о появлении данных рисков.
4. Необходимость использования машинного обучения для выявления аномальной активности пользователей в связи с большим количеством событий и отсутствием возможности у отдела ИБ выделять ресурсы для глубокого анализа накопленных данных.
Решение «Спектр|DAG/DCAP» позволяет отслеживать, анализировать и автоматически реагировать на нестандартное поведение любой из учётных записей, выявлять существующие риски в инфраструктуре, контролировать процесс их сокращения с предоставлением инструментария по автоматизации, а также создавать собственные политики безопасности в зависимости от требований бизнеса.
Мы внедряем системы информационной безопасности в Свердловской области и Севастополе!
Благодаря многолетнему опыту и команде экспертов, знаем, что важно для IT-инфраструктуры и как защититься от киберугроз во всех сферах деятельности.
Оставьте свой контакт на главной странице и мы поможем с решением проблемы любой сложности!