Хотелось бы здесь оставить клише типа «история выдумана и все совпадения случайны», но не тут-то было. Вся история чистая правда и это реальность уральской компании. А теперь к делу.
Напоминаем, класс решений DCAP проводит:
Анализ неструктурированных данных на файловых массивах.
Аудит объектов контроллера домена, включая пользователей, групп, прав, организационных подразделений.
Сбор статистики по событиям в ИТ-инфраструктуре.
Аудит прав доступа к почтовым ящикам.
Что умеет Makves:
Аудит доступа к информационным ресурсам: файловые хранилища, почта, рабочие места.
Поиск и категоризация по ФЗ-152, GDPR, PCI DSS, ГОСТ Р 57580.1-2017, СТО БР ИБСС и др.
Контроль действий с файлами: изменение, копирование, удаление.
Аудит контроллера домена + LDAP, APACHE DIRECTORY, RED HAT DIRECTORY SERVER.
Управление доступом: изменение доступа к файлам в интерфейсе системы, моделирование изменений в песочнице.
Анализ событий: вход, выход, неверный ввод пароля и т.д.
Анализ действий с учетными записями и группами active directory: включение/выключение, изменение прав.
Активная реакция на инцидент: блокировка/смена пароля пользователя.
Контроль всех сущностей системы и их взаимодействия. Выявление аномалий, шифровальщиков и DDoS.
Оптимизация хранилищ: выявление неделовых файлов и дубликатов.
Определение эффективных владельцев файлов.
Какой сегмент проверяли:
506 учетных записей.
464 компьютера.
За время пилота:
Зарегистрировано 6 295 477 событий.
Просканировано и обнаружено 441 486 файлов и 108 519 папок.
Выявили риски, связанные с учетными записями, файлами и компьютерами:
Учетные записи: 57 со средним уровнем значимости, 26 с низким уровнем значимости.
Компьютеры: 14 с критическим уровнем значимости, 187 со средним уровнем значимости и 59 с низким уровнем значимости.
Файлы и папки: 217 677 с критическим уровнем значимости, 337 190 со средним уровнем значимости.
Во время пилотного проекта обнаружили уволенных сотрудников, у которых сохранился доступ в соответствии с ранее настроенными политиками.
Отключение учетной записи при увольнении сотрудника без отключения доступов и удаления из групп безопасности может привести к утечке информации. А в случае возвращения сотрудника на другую должность, появляется возможности эксплуатации старых прав и привилегий.
Обнаружили 57 неактивных учетных записей. Это все учетные записи Active Directory, которые уже 2 месяца не осуществляли вход в домен. В списке присутствуют как технические, так и пользовательские учетные записи.
Рекомендуется проинспектировать такие учетные записи, так как они могут принадлежать подрядчикам с закрытыми проектами, уволенным сотрудникам или иным лицам, не работающим в организации, но при этом с сохраненным доступом к корпоративным ресурсам.
Выявили 60 учетных записей без срока действия пароля. В условиях отсутствия второго фактора, учетные записи без срока действия пароля несут потенциальную опасность, зачастую при компрометации таких учетных записей злоумышленники ждут «удобный» момент для атаки.
Обнаружили 20 активных учетных записей с высоким уровнем атипичности. Пользователи, имеющие высокий индекс атипичности, могут представлять угрозу для корпоративной безопасности. Это связано с тем, что они демонстрируют необычное поведение в системе, которое может быть признаком аномалий или попытки несанкционированного доступа к ресурсам.
В ходе исследования выявили несколько рабочих станций с высокими рисками, в том числе связанными с наличием устаревших операционных систем.
Обнаружили файлы и папки с чувствительной информацией: 13 926 файлов, содержащих чувствительную информацию. Среди них есть файлы с прямыми правами, выданными не через группы безопасности, с ненаследуемыми правами. Это потенциально несет риск деструктивных действий со стороны пользователей организации.
Нашли 82 701 дубликат файлов с чувствительной информацией – это 24% от общего количества проинспектированных файлов. Файлы могут быть переименованы, иметь разные права доступа и различное расположение на файловых ресурсах.
Пример файла с чувствительной информацией, который имеет дубликаты и доступ к нему организован не через группу безопасности:
Обнаруженные файлы и папки с ненаследуемыми правами в количестве 32 023 штук.
Файлы и папки, права доступа к которым не были унаследованы от родительского объекта, являются угрозой. Некоторые пользователи могут получить избыточные права доступа, при наличии которых можно изменить или удалить важную информацию, а также воспользоваться ей в мошеннических целях.
Нашли 445 786 файлов и папок с прямыми правами.
Это те файлы и папки, права к которым были выданы не через группу безопасности.
Выявили 94 924 файла (119,69 ГБ) не используемых более 5 лет.
Статистика по файлам и папкам:
Общие рекомендации:
Взять под контроль неактивных пользователей, отключить необязательные вводы паролей, установить сроки действия паролей.
Исключить уволенных сотрудников из групп безопасности.
Проинспектировать давно не используемые учетные записи.
Настроить права доступа всех пользователей с помощью групп безопасности.
Убедиться в отсутствии прав, выданных пользователям напрямую.
Взять под контроль дубликаты файлов на всех ресурсах инфраструктуры.
Определить какие файлы нуждаются в дополнительной защите и убедиться в отсутствии их дубликатов.
Присвоить категории внутренним документам в соответствии с внутренними регламентами организации.
Присвоить категорию файлам в соответствии со стандартами (ФЗ-152, ФЗ-98 (коммерческая тайна) и т.д.) и скорректировать права доступа и места их расположения.
После определения наиболее уязвимых мест, настроить постоянный мониторинг и уведомления по электронной почте для оперативного реагирования на критические изменения в инфраструктуре.
Провести сбор информации из журналов контроллеров домена и файловых серверов о событиях, происходящих в компьютерной инфраструктуре. Это позволит взять под контроль изменения в структуре Active Directory (пользователи, группы безопасности и т.д.). Также появится возможность оценки статистики активности пользователей с помощью алгоритмов поведенческого анализа.
Провести комплексный сбор информации из почтовых ресурсов. Это позволит взять под контроль почтовую активность пользователей и оценить риски утечки чувствительной информации. Поможет убедиться в отсутствии несанкционированных доступов пользователей к почтовым ящикам их коллег.
Выводы сделайте сами, стоит ли контролировать неструктурированные данные у себя в инфраструктуре или нет. Мы считаем, что такие пилотные проекты однозначно показывают, что нужно.