«СёрчИнформ FileAuditor». Тестируем отечественную DCAP-систему

Ес­ли с сис­темами клас­са DLP (Data Leak Prevention) все более‑менее понят­но, а решения у всех на слу­ху, то DCAP (Data-Centric Audit and Protection) — это срав­нитель­но новая и набира­ющая популяр­ность тех­нология. Она фокуси­рует­ся на самих дан­ных:обна­руже­нии и клас­сифика­ции чувс­тви­тель­ных дан­ных, ведении ауди­та дос­тупа и активнос­ти.

От связ­ки в духе «find и grep» такая сис­тема отли­чает­ся тем, что уме­ет работать с нес­трук­туриро­ван­ными дан­ными, под­держи­вает нетек­сто­вые фор­маты, ищет дуб­ликаты и уме­ет сама опо­вещать служ­бу безопас­ности о подоз­ритель­ных дей­стви­ях поль­зовате­ля. Так мно­гие инци­ден­ты могут закон­чить­ся, еще не начав­шись!

Обоб­щенно мож­но счи­тать, что DCAP-сис­тема — это умный цен­тра­лизо­ван­ный индекс дан­ных на рабочих стан­циях, который поз­воля­ет искать и помечать чувс­тви­тель­ную информа­цию. Допол­нитель­но мно­гие сис­темы такого клас­са уме­ют уста­нав­ливать полити­ки дос­тупа и сле­дить за их соб­людени­ем.

Тестовый стенд

Что­бы ты тоже мог пов­торить экспе­римент, рас­ска­жу крат­ко про нас­трой­ку тес­тового стен­да, затем перей­дем к заяв­ленным воз­можнос­тям и про­тес­тиру­ем их.

Для тес­та будут исполь­зовать­ся две вир­туаль­ные машины: одна для рабоче­го мес­та ана­лити­ка ИБ‑служ­бы, а вто­рая — для поль­зовате­ля.

Ма­шина ана­лити­ка получи­ла 16 Гбайт опе­ратив­ной памяти и 8 ядер i7-13700K. Поль­зователь­ская по харак­терис­тикам сла­бее при­мер­но вдвое: 8 Гбайт и 4 ядра. Обе машины име­ют по два сетевых адап­тера: один с NAT для дос­тупа в интернет и вто­рой, под­клю­чен­ный к внут­ренней сети, соеди­няющей вир­туал­ки, что­бы они мог­ли «видеть» друг дру­га. Опе­раци­онная сис­тема на обе машины уста­нов­лена оди­нако­вая — Windows Server 2019.

Ма­шина ана­лити­ка получи­ла боль­ше ресур­сов, потому что на ней работа­ет не толь­ко панель ана­лити­ка (которой мно­го не тре­бует­ся), но и цен­траль­ный сер­вер, где агре­гиру­ются дан­ные со всех кли­ент­ских машин.

Ус­танов­ка ничего осо­бо при­меча­тель­ного собой не пред­став­ляет: это стан­дар­тное для Windows «далее, далее, далее, готово».

Единс­твен­ный необыч­ный момент — нужен допол­нитель­ный SQL-сер­вер, который может находить­ся где угод­но: хоть на той же машине, хоть где‑то в сети. Под­держи­вает­ся Microsoft SQL и PostgreSQL. Уста­нав­ливать при­дет­ся по отдель­нос­ти целых пять ком­понен­тов, не счи­тая SQL-сер­вера: это DataCenter, SearchServer, AlertCenter, AnalyticConsole и EndpointController.

Пос­ле уста­нов­ки от работы с DCAP нас отде­ляет один шаг: акти­виро­вать лицен­зию. Нам ее пре­дос­тавил раз­работ­чик, да и ты тоже можешь получить бес­плат­ную проб­ную вер­сию на 30 дней, оста­вив заяв­ку на сай­те.

Сам про­цесс акти­вации тоже клас­сичес­кий: прог­рамма тре­бует ука­зать файл с лицен­зией, пос­ле чего говорит, что все хорошо.

Пер­вую нас­трой­ку с задани­ем всех прав я тут опи­сывать не буду — она под­робно опи­сана в офи­циаль­ной докумен­тации, которая наш­лась в ком­плек­те с самим FileAuditor. Ска­жу толь­ко, что там нуж­но соз­дать учет­ные записи с пра­вом вхо­да по сети, которые будет исполь­зовать сис­тема, нас­тро­ить син­хро­низа­цию с кон­трол­лером домена Active Directory и соз­дать базы дан­ных для сбо­ра информа­ции с аген­тов.

Для уста­нов­ки кли­ент­ской час­ти нуж­но зарегис­три­ровать целевую машину в EndpointController по име­ни хос­та, либо прос­то под­клю­чить сис­тему к тво­ему домену. Что­бы сис­тема мог­ла уста­новить агент, нуж­но ука­зать дан­ные учет­ной записи домен­ного или локаль­ного адми­на.

Ког­да аген­ты на поль­зователь­ские машины уста­нов­лены, нуж­но их нас­тро­ить. На той же панели, что и FileAuditor, который я буду тес­тировать, есть и дру­гие модули, так что гла­за понача­лу раз­бега­ются. Одна­ко наша лицен­зия на эти ком­понен­ты не рас­простра­нялась.

Правила

Ос­нова всех сис­тем кон­тро­ля — пра­вила. «Сёр­чИнформ FileAuditor» не стал исклю­чени­ем, и для поис­ка сек­ретных дан­ных нуж­но сна­чала задать пра­вила, на осно­вании которых и будет опре­делять­ся, что защищать тре­бует­ся, а что — нет. Для это­го на левой панели ком­понен­та EndpointController есть раз­дел FileAuditor, а в нем — «Авто­мати­чес­кая клас­сифика­ция дан­ных».

Я уже соз­дал нес­коль­ко пра­вил, и сей­час покажу, как это дела­ется. Допус­тим, нам нуж­но най­ти номера телефо­нов кли­ентов, которые неради­вый сот­рудник мог бы поп­робовать про­дать на сто­рону. Для это­го жмем «Добавить пра­вило», зада­ем понят­ное наз­вание, выбира­ем ска­ниро­вание на аген­те (что­бы не гонять дан­ные по сети лиш­ний раз), выбира­ем фай­лы для ска­ниро­вания (я выб­рал «Все») и собира­ем кри­терий соот­ветс­твия в панели «Усло­вия поис­ка в объ­ектах ска­ниро­вания». Тут мож­но выб­рать раз­ные кри­терии поис­ка, я же огра­ничусь обыч­ной регуляр­кой.

Под пра­вилом есть поле для вво­да тек­ста, где мож­но сра­зу про­верить, пра­виль­но ли работа­ет регуляр­ка! А еще есть допол­нитель­ная валида­ция, что поз­воля­ет, нап­ример, не толь­ко ловить все потен­циаль­ные ИНН, но и про­верять, может ли эта пос­ледова­тель­ность цифр быть реаль­ным ИНН. В сис­теме «из короб­ки» есть валида­торы для поч­ти 50 раз­ных иден­тифика­торов, в том чис­ле под стан­дарты инос­тран­ных докумен­тов.

Кро­ме поис­ка по регуляр­ным выраже­ниям, искать мож­но по обыч­ному тек­сту (вхож­дение подс­тро­ки), по сло­варю (не менее N слов из задан­ного спис­ка), по атри­бутам фай­ла и даже по похоже­му тек­сту! Пос­леднее поможет выловить даже нег­рамот­ного наруши­теля.

До­бав­лять мож­но нес­коль­ко кри­тери­ев, при­меняя к ним раз­ные логичес­кие опе­рато­ры. Сис­тема очень гиб­ко поз­воля­ет най­ти имен­но то, что нуж­но, избе­гая лож­ных сра­баты­ваний, если, конеч­но, нас­тро­ить пра­вила. Понимая, что кон­фиден­циаль­ные дан­ные в любой орга­низа­ции будут выг­лядеть схо­же, раз­работ­чики добави­ли вну­шитель­ный спи­сок типовых сек­ретов, где есть готовые пра­вила поис­ка и исходно­го кода, и пас­портов, и налого­вых докумен­тов.

Пос­ле нас­трой­ки пра­вил оста­ется рас­катать их по аген­там. Для это­го нуж­но прос­то сох­ранить изме­нения, и они авто­мати­чес­ки син­хро­низи­руют­ся на все поль­зователь­ские машины. Вооб­ще, ска­ниро­вание компь­юте­ров выпол­няет­ся авто­мати­чес­ки раз в нес­коль­ко часов, что поз­воля­ет находить даже те дан­ные, с которы­ми поль­зователь не пыта­ется вза­имо­дей­ство­вать, но нам для тес­тов нуж­но ска­ниро­вать сра­зу же. Как? По нажатию на кноп­ку «Ска­ниро­вание FileAuditor» откры­вает­ся спе­циаль­ное окно, где по кли­ку ПКМ на име­ни компь­юте­ра мож­но переза­пус­тить ска­ниро­вание немед­ленно.

Для тес­та я под­готовил нес­коль­ко фай­лов, которые дол­жны обна­ружи­вать­ся написан­ными выше пра­вила­ми, а еще добавил пра­вило бло­киров­ки дос­тупа к фай­лам, где содер­жатся номера пас­портов. Дела­ется это на вклад­ке «Бло­киров­ки и перех­ват» в левой панели, пункт «Фай­лы по клас­сифика­ции».

Те­перь, ког­да пра­вила готовы, мож­но тес­тировать их соб­людение.

Тестируем штатную работу

Вер­немся к фай­ловому ауди­тору. Рас­смот­рим сце­нарий, ког­да ком­пания хочет в пер­вую оче­редь защитить свои сек­реты при помощи FileAuditor. Тес­товые фай­лы я положил пря­мо на рабочий стол поль­зовате­ля в пап­ку tests. Про­верим мы сле­дующие сце­нарии:

• прос­то тек­сто­вый файл с кон­фиден­циаль­ной информа­цией;
• до­кумент Word акту­аль­ной (.docx) и ста­рой (.doc) вер­сий;
• пре­зен­тация PowerPoint (.pptx);
• файл с небезо­пас­ным име­нем;
• файл, в котором дей­стви­тель­но нет кон­фиден­циаль­ных дан­ных;
• файл, запако­ван­ный в кон­тей­нер bzip2 с помощью 7-zip;
• файл с неп­равиль­ным рас­ширени­ем.

Ес­ли сис­тема спра­вит­ся со все­ми эти­ми сце­нари­ями, это будет зна­чить, что арсе­нал потен­циаль­ного зло­умыш­ленни­ка зна­читель­но огра­ничен. Никаких сверхъ­естес­твен­ных спо­собов скрыть­ся мы тут при­менять не будем: в кон­це кон­цов, FileAuditor — это не DLP, а сис­тема, пред­назна­чен­ная для защиты от слу­чай­ного гуляния кон­фиден­циаль­ных дан­ных по орга­низа­ции, заод­но защища­ющая от не шиб­ко ква­лифи­циро­ван­ных жела­ющих вынес­ти сек­реты.

Пос­ле записи фай­лов переза­пус­тим ска­ниро­вание, что­бы не ждать, пока оно слу­чит­ся по рас­писанию. Кро­ме кон­трол­лера узлов, это мож­но сде­лать еще и через панель управле­ния поис­ковыми индекса­ми (SearchServer). Для это­го исполь­зует­ся пункт «Начать индекса­цию немед­ленно».

Для индекса­ции пот­ребу­ется вре­мя, но не слиш­ком боль­шое: на прак­тичес­ки чис­той сис­теме с неболь­шим количес­твом тес­товых дан­ных она заняла око­ло минуты.

Как работает теневое копирование

При индекса­ции, если какой‑то файл соот­ветс­тву­ет соз­данно­му пра­вилу, обя­затель­но соз­дает­ся запись о нем в базе дан­ных на сер­вере, а опци­ональ­но выпол­няет­ся теневое копиро­вание. Эта копия дела­ется средс­тва­ми не опе­раци­онной сис­темы, а самого аген­та — он прос­то копиру­ет най­ден­ный файл как есть на сер­вер. При этом если в фай­ле най­дет­ся мал­варь — ее может обна­ружить анти­вирус на хос­те, куда скла­дыва­ются теневые копии. Это может при­водить к тому, что SOC будет раз­гре­бать инци­ден­ты с про­ник­новени­ем мал­вари туда, куда она на самом деле не про­ника­ла, а еще анти­вирус может пов­редить важ­ные для рас­сле­дова­ния дан­ные. Если в тво­ей орга­низа­ции исполь­зует­ся цен­тра­лизо­ван­ное анти­вирус­ное решение — не забудь добавить пап­ку с теневы­ми копи­ями в исклю­чения или раз­мести ее в «песоч­нице»!

Пос­ле индекса­ции самое вре­мя рас­чехлить основной инс­тру­мент этой всей сис­темы, который и будет исполь­зовать­ся боль­шую часть вре­мени. Встре­чай кон­соль ана­лити­ка!

Уже с пер­вого же взгля­да ста­новит­ся оче­вид­но, что воз­можнос­тей для монито­рин­га у отде­ла SOC более чем дос­таточ­но. Оби­лие вкла­док с инс­тру­мен­тами в вер­хней час­ти окна как бы намека­ет, что незаме­чен­ным не прой­дет ни одно дей­ствие. Впро­чем, пос­коль­ку сегод­ня нас инте­ресу­ет толь­ко работа с фай­лами, перей­дем на вклад­ку фай­лового ауди­тора.

Тут нас встре­чает, навер­ное, луч­ший конс­трук­тор поис­ковых зап­росов, какой я ког­да‑либо видел. Дос­тупно мно­жес­тво кри­тери­ев, которые мож­но при­менять в любых ком­бинаци­ях, а поиск ведет­ся по любому количес­тву компь­юте­ров в сети одновре­мен­но. В пра­вой час­ти экра­на отоб­ража­ется не толь­ко панель с резуль­татами поис­ка, но и пол­ная исто­рия объ­екта, а в ниж­нем пра­вом углу виден извле­чен­ный из докумен­та и выложен­ный на блю­деч­ко текст, на который сра­ботал ана­лиза­тор.

За­пус­тим инте­реса ради поиск без парамет­ров: это дол­жно показать весь индекс, то есть мак­сималь­ный объ­ем дан­ных, дос­тупный ана­лити­ку. Если наши тес­товые дан­ные были обна­руже­ны — мы уви­дим их тут.

Бин­го! Все сек­ретные фай­лы FileAuditor нашел. Не повел­ся и на наз­вание, говоря­щее, что ничего цен­ного в фай­ле нет. Если в фай­ле при­сутс­тву­ют дан­ные нес­коль­ких типов, FileAuditor кор­рек­тно ста­вит нес­коль­ко меток. Выг­лядят на прак­тике мет­ки как аль­тер­натив­ные потоки NTFS, а для каж­дого помечен­ного фай­ла соз­дает­ся поток filename:sifastream:$DATA. Содер­жимое мет­ки зашиф­ровано, так что под­менить ее не получит­ся.

Но вер­немся к кон­соли ана­лити­ка. Кро­ме прос­того отоб­ражения все­го под­ряд, сис­тема уме­ет гиб­ко искать по поч­ти любым парамет­рам. Давай, нап­ример, най­дем все фай­лы, в которых может быть номер пас­порта.

Не­кото­рые фай­лы, по всей видимос­ти, явля­ются пол­ными дуб­ликата­ми. Поищем копии фай­ла my passport.txt:

Дей­стви­тель­но, на компь­юте­ре есть целых три экзем­пля­ра, один из которых замас­кирован под исполня­емый файл. Но это все рав­но не помеша­ло FileAuditor выявить сек­ретную информа­цию. И это при том, что файл замас­кирован под анти­вирус­ный дви­жок ESET и потен­циаль­но мог бы быть в белом спис­ке.

Ос­талось про­верить толь­ко бло­киров­ку дос­тупа по мет­кам. В начале статьи я соз­дал пра­вило бло­киров­ки дос­тупа к фай­лам с номера­ми пас­портов широко­му переч­ню прог­рамм, вклю­чая бра­узе­ры. Сра­бота­ло ли оно?

Ана­логич­ным обра­зом работа­ют и руч­ные мет­ки, которые сох­раня­ются внут­ри самого фай­ла, а не в аль­тер­натив­ном потоке в фай­ловой сис­теме.

Про ручные метки

Не­кото­рые при­ложе­ния (в час­тнос­ти, пакет Microsoft Office) под­держи­вают внед­рение кас­томных атри­бутов пря­мо в тело докумен­та. Для удобс­тва агент FileAuditor добав­ляет в панель инс­тру­мен­тов Office спе­циаль­ный раз­дел с руч­ными мет­ками.

FileAuditor под­держи­вает не толь­ко авто­мати­чес­ки уста­нов­ленные мет­ки в фай­ловой сис­теме, но и такие встро­енные. Их пре­иму­щес­тво в том, что они не сбра­сыва­ются даже при перено­се на экзо­тичес­кие фай­ловые сис­темы или копиро­вании фай­ла на дру­гую машину.

В целом, задан­ные пра­вила детек­та работа­ют, дан­ные мож­но най­ти и прос­ледить их путь по всем компь­юте­рам в орга­низа­ции от пер­вого обна­руже­ния и до нас­тояще­го момен­та. Заяв­ленная фун­кци­ональ­ность имен­но DCAP-сис­темы, работа­ет в пол­ной мере.

Вмес­те с тем, бло­киров­ки в отры­ве от ауди­та име­ют мало смыс­ла. Понимая это, раз­работ­чики добави­ли в FileAuditor под­робный лог всех опе­раций с защища­емы­ми фай­лами. Поиск по нему дос­тупен с общей вклад­ки Поиск, где ввер­ху сле­ва нуж­но выб­рать икон­ку ком­понен­та, по которо­му ищем, а в левой панели по желанию задать парамет­ры поис­ка. Таб­лица с логами неверо­ятно под­робная — отсле­дить мож­но любое дей­ствие за все вре­мя жиз­ни аген­та.

При дол­жном желании на базе этой сис­темы мож­но соз­дать еще и жур­нал запус­ка про­цес­сов, который поможет в рас­сле­дова­нии более слож­ных инци­ден­тов, хотя обыч­но для это­го исполь­зуют дру­гие про­дук­ты.

Кста­ти, аудит охва­тыва­ет не толь­ко фай­ловые опе­рации, но и про­исхо­дящее в домене Active Directory. Как нас­тра­ивать домен и как интегри­ровать в него пакет для ауди­та опе­раций — темы для отдель­ных ста­тей, так что давай прос­то пос­мотрим, как выг­лядит уже нас­тро­енное рабочее мес­то ана­лити­ка.

Как вид­но, даже с огра­ничен­ной лицен­зией мож­но соб­рать доволь­но неп­лохую сис­тему защиты, где даже опыт­ный взлом­щик нет‑нет да и оста­вит какой‑нибудь след. Если изна­чаль­но я думал, что FileAuditor уме­ет толь­ко помечать фай­лы, то в реаль­нос­ти ока­залось, что это не прос­то фай­ловый полицей­ский, а пол­ноцен­ный помощ­ник отде­ла SOC.

Насколько это надежно

Мне ста­ло любопыт­но: сле­дов уста­нов­ки чего‑либо в поль­зователь­ской сис­теме нет, авто­запуск тоже девс­твен­но чист. Меж­ду тем, как мы толь­ко что убе­дились, агент уста­нов­лен и работа­ет.

От­вет на этот воп­рос нашел­ся в кон­фиге, который мож­но выг­рузить с аген­та на машину адми­на. Из кон­фига (не при­вожу его здесь, чтоб не прев­ращать статью в инс­трук­цию для чер­ных шляп) вид­но, что в кли­ент­скую сис­тему уста­нав­лива­ется 14 драй­веров режима ядра, которые тща­тель­но скры­вают собс­твен­ное при­сутс­твие в сис­теме и уме­ют наб­людать за самим поль­зовате­лем и всем, что он дела­ет за компь­юте­ром. Не имея кон­фига на руках, поль­зователь вряд ли суме­ет най­ти агент и обой­ти его защиту. К тому же раз­работ­чик утвер­жда­ет, что если это все же про­изой­дет — нап­ример, юзер поп­робу­ет заг­лушить про­цесс каким‑нибудь соф­том — агент авто­мати­чес­ки переза­пус­тится, а при надоб­ности пере­уста­новит­ся с сер­вера FileAuditor. Спра­вед­ливос­ти ради, про­тес­тировать этот сце­нарий в рам­ках под­готов­ки тек­ста мы не успе­ли.

За­то убе­дились: эта сис­тема дей­стви­тель­но спо­соб­на находить и помечать чувс­тви­тель­ные дан­ные, ведь изнутри ядра такой кон­троль обес­печить про­ще все­го.

Итоги

FileAuditor уве­рен­но выпол­няет заяв­ленные фун­кции: поиск, теневое копиро­вание, пол­ный аудит дей­ствий. При­чем работа­ет все на уров­не ядра, так что даже обна­ружить аген­та в сис­теме прос­то так схо­ду не получа­ется.

В ком­плек­те с дру­гими прог­рамма­ми «Сёр­чИнформ» мож­но еще силь­нее повысить безопас­ность и добить­ся серь­езной защиты дан­ных от уте­чек, одна­ко и о при­ват­ности сот­рудни­ков забывать не сто­ит. Ты сам выбира­ешь, где будет про­ходить чер­та, и это хорошо.

Реклама. ООО «СерчИнформ». ИНН 7704306397