Истории успеха

Пилотная история: файловый аудит инфраструктуры с помощью DCAP Makves

2025-07-29 10:00 DCAP
Хотелось бы здесь оставить клише типа «история выдумана и все совпадения случайны», но не тут-то было. Вся история чистая правда и это реальность уральской компании. А теперь к делу.
Напоминаем, класс решений DCAP проводит:
  1. Анализ неструктурированных данных на файловых массивах.
  2. Аудит объектов контроллера домена, включая пользователей, групп, прав, организационных подразделений.
  3. Сбор статистики по событиям в ИТ-инфраструктуре.
  4. Аудит прав доступа к почтовым ящикам.
Что умеет Makves:
  • Аудит доступа к информационным ресурсам: файловые хранилища, почта, рабочие места.
  • Поиск и категоризация по ФЗ-152, GDPR, PCI DSS, ГОСТ Р 57580.1-2017, СТО БР ИБСС и др.
  • Контроль действий с файлами: изменение, копирование, удаление.
  • Аудит контроллера домена + LDAP, APACHE DIRECTORY, RED HAT DIRECTORY SERVER.
  • Управление доступом: изменение доступа к файлам в интерфейсе системы, моделирование изменений в песочнице.
  • Анализ событий: вход, выход, неверный ввод пароля и т.д.
  • Анализ действий с учетными записями и группами active directory: включение/выключение, изменение прав.
  • Активная реакция на инцидент: блокировка/смена пароля пользователя.
  • Контроль всех сущностей системы и их взаимодействия. Выявление аномалий, шифровальщиков и DDoS.
  • Оптимизация хранилищ: выявление неделовых файлов и дубликатов.
  • Определение эффективных владельцев файлов.
Какой сегмент проверяли:
  • 506 учетных записей.
  • 464 компьютера.
За время пилота:
  • Зарегистрировано 6 295 477 событий.
  • Просканировано и обнаружено 441 486 файлов и 108 519 папок.
Рис. 1 - Объекты компьютерной инфраструктуры
Выявили риски, связанные с учетными записями, файлами и компьютерами:
  • Учетные записи: 57 со средним уровнем значимости, 26 с низким уровнем значимости.
  • Компьютеры: 14 с критическим уровнем значимости, 187 со средним уровнем значимости и 59 с низким уровнем значимости.
  • Файлы и папки: 217 677 с критическим уровнем значимости, 337 190 со средним уровнем значимости.
Рис. 2 - Риски, связанные с учетными записями
Рис. 3 - Риски, связанные с компьютерами
Рис. 4 - Риски, связанные с файлами
Во время пилотного проекта обнаружили уволенных сотрудников, у которых сохранился доступ в соответствии с ранее настроенными политиками.
Рис. 5 - Анализ доступа уволенных сотрудников
Отключение учетной записи при увольнении сотрудника без отключения доступов и удаления из групп безопасности может привести к утечке информации. А в случае возвращения сотрудника на другую должность, появляется возможности эксплуатации старых прав и привилегий.
Обнаружили 57 неактивных учетных записей. Это все учетные записи Active Directory, которые уже 2 месяца не осуществляли вход в домен. В списке присутствуют как технические, так и пользовательские учетные записи.
Рис. 6 - Анализ учетных записей
Рекомендуется проинспектировать такие учетные записи, так как они могут принадлежать подрядчикам с закрытыми проектами, уволенным сотрудникам или иным лицам, не работающим в организации, но при этом с сохраненным доступом к корпоративным ресурсам.
Выявили 60 учетных записей без срока действия пароля. В условиях отсутствия второго фактора, учетные записи без срока действия пароля несут потенциальную опасность, зачастую при компрометации таких учетных записей злоумышленники ждут «удобный» момент для атаки.
Рис. 7 – Учетные записи без срока действия пароля
Обнаружили 20 активных учетных записей с высоким уровнем атипичности. Пользователи, имеющие высокий индекс атипичности, могут представлять угрозу для корпоративной безопасности. Это связано с тем, что они демонстрируют необычное поведение в системе, которое может быть признаком аномалий или попытки несанкционированного доступа к ресурсам.
Рис. 8 – Учетные записи с высоким уровнем атипичности
В ходе исследования выявили несколько рабочих станций с высокими рисками, в том числе связанными с наличием устаревших операционных систем.
Рис. 9 – Наличие устаревших операционных систем
Обнаружили файлы и папки с чувствительной информацией: 13 926 файлов, содержащих чувствительную информацию. Среди них есть файлы с прямыми правами, выданными не через группы безопасности, с ненаследуемыми правами. Это потенциально несет риск деструктивных действий со стороны пользователей организации.
Рис. 10 – Файлы и папки с чувствительной информацией
Нашли 82 701 дубликат файлов с чувствительной информацией – это 24% от общего количества проинспектированных файлов. Файлы могут быть переименованы, иметь разные права доступа и различное расположение на файловых ресурсах.
Рис. 11 – Дубликаты с чувствительной информацией
Пример файла с чувствительной информацией, который имеет дубликаты и доступ к нему организован не через группу безопасности:
Рис. 12 – Пример файла с чувствительной информацией
Обнаруженные файлы и папки с ненаследуемыми правами в количестве 32 023 штук.
Рис. 13 – Файлы и папки с ненаследуемыми правами
Файлы и папки, права доступа к которым не были унаследованы от родительского объекта, являются угрозой. Некоторые пользователи могут получить избыточные права доступа, при наличии которых можно изменить или удалить важную информацию, а также воспользоваться ей в мошеннических целях.
Нашли 445 786 файлов и папок с прямыми правами.
Рис. 14 - Файлы и папки с прямыми правами
Это те файлы и папки, права к которым были выданы не через группу безопасности.
Выявили 94 924 файла (119,69 ГБ) не используемых более 5 лет.
Рис. 15 – Файлы, не используемые более 5 лет
Статистика по файлам и папкам:
Рис. 16 – Статистика по файлам
Общие рекомендации:
  1. Взять под контроль неактивных пользователей, отключить необязательные вводы паролей, установить сроки действия паролей.
  2. Исключить уволенных сотрудников из групп безопасности.
  3. Проинспектировать давно не используемые учетные записи.
  4. Настроить права доступа всех пользователей с помощью групп безопасности.
  5. Убедиться в отсутствии прав, выданных пользователям напрямую.
  6. Взять под контроль дубликаты файлов на всех ресурсах инфраструктуры.
  7. Определить какие файлы нуждаются в дополнительной защите и убедиться в отсутствии их дубликатов.
  8. Присвоить категории внутренним документам в соответствии с внутренними регламентами организации.
  9. Присвоить категорию файлам в соответствии со стандартами (ФЗ-152, ФЗ-98 (коммерческая тайна) и т.д.) и скорректировать права доступа и места их расположения.
  10. После определения наиболее уязвимых мест, настроить постоянный мониторинг и уведомления по электронной почте для оперативного реагирования на критические изменения в инфраструктуре.
  11. Провести сбор информации из журналов контроллеров домена и файловых серверов о событиях, происходящих в компьютерной инфраструктуре. Это позволит взять под контроль изменения в структуре Active Directory (пользователи, группы безопасности и т.д.). Также появится возможность оценки статистики активности пользователей с помощью алгоритмов поведенческого анализа.
  12. Провести комплексный сбор информации из почтовых ресурсов. Это позволит взять под контроль почтовую активность пользователей и оценить риски утечки чувствительной информации. Поможет убедиться в отсутствии несанкционированных доступов пользователей к почтовым ящикам их коллег.
Выводы сделайте сами, стоит ли контролировать неструктурированные данные у себя в инфраструктуре или нет. Мы считаем, что такие пилотные проекты однозначно показывают, что нужно.