Как найти свои данные быстрее хакеров

Современная IT-инфраструктура бизнеса перестала быть статичной. Данные рассредоточены по гибридным средам, включая российские облака, локальные дата-центры, SaaS-сервисы, среды разработки и даже личные устройства сотрудников. Резервные копии и архивы создают дополнительные сложности. Этот динамичный ландшафт делает задачу защиты информации привычными инструментами невыполнимой. Эксперты рынка кибербезопасности рассказали «Ъ-Информационным технологиям», какие «слепые зоны» создает текущий подход и как меняется философия защиты данных.

Выйти из полноэкранного режима

Развернуть на весь экран

Почему карта данных устаревает быстрее, чем составляется

Главная сложность — фрагментация и постоянная миграция информации. «Данные перестали быть статичными и локализованными. Они одновременно находятся в локальном дата-центре, в российском публичном или частном облаке, а также в SaaS-сервисах»,— отмечает управляющий партнер ITD Group Ксения Калемберг. Проблему усугубляют среды разработки (DevOps/Data Science), где для тестирования и обучения моделей ИИ создаются временные инстансы с критичными данными, часто выпадающие из поля зрения службы ИБ, поясняет она. По словам руководителя команды киберзащиты облачного провайдера Nubes Дмитрия Шкуропата, составить актуальную карту вручную практически невозможно из-за масштаба и скорости изменений. «Ключевая проблема — отсутствие единого, автоматизированного механизма обнаружения и классификации, который работал бы одинаково во всех этих разнородных средах»,— утверждает он.

Заместитель генерального директора по инновационной деятельности «СерчИнформ» Алексей Парфентьев, выделяет две отдельные задачи: аудит статичных данных и контроль за их перемещением. По его словам, не все системы, особенно облачные и прикладные, имеют инструменты для интеграции со специализированными инструментами аудита. DLP-системы, в свою очередь, не всегда полноценно контролируют «нетиповые» каналы передачи, оставляя пробелы.

Кошмар в «зоопарке»

Необходимость администрировать множество разрозненных инструментов — DLP, DAM, классификаторы, облачные средства защиты — создает значительные операционные сложности. «Каждая система использует свои форматы логов, собственную политику и подходы к фиксации событий. Специалистам приходится вручную сопоставлять результаты, следить за актуальностью политик и устранять конфликты»,— описывает ситуацию господин Шкуропат.

Главная боль, по мнению госпожи Калемберг,— неуправляемый рост «шума» и отсутствие единого контекста для реагирования. «DLP может сигнализировать о попытке передачи файла, DAM — о необычном запросе к базе, а классификатор — о наличии в документе номера паспорта. Но если эти события происходят в рамках одной сессии, разрозненные консоли не позволяют соединить их в картину целенаправленной атаки»,— поясняет она.

Одной из ключевых трудностей также становится отсутствие единого центра управления, считает ведущий юрист продуктовой группы «Контур.Эгида» и Staffcop Ольга Попова. По ее словам, техническая несовместимость разнородных систем защиты, зачастую развернутых в одной инфраструктуре, вынуждает персонал дублировать данные и выполнять множество ручных операций для их обработки и сопоставления. Как она отмечает, это не только увеличивает операционную нагрузку, но и создает вторичные риски для самих данных, которыми приходится манипулировать вне защищенных автоматизированных контуров.

Старший менеджер практики кибербезопасности «ТеДо» Антон Мерцалов называет фрагментацию политик основной операционной сложностью: «Каждую систему защиты приходится настраивать отдельно, вручную дублируя правила».

«Несогласованные политики приводят к ошибкам, конфликтам и пробелам в защите»,— говорит он. Владимир Ульянов из Zecurion также отмечает, что синхронизация работы разных классов продуктов требует большого объема «ручной» работы и чревата ошибками.

Розеттский камень

Когда инцидент уже произошел, необходимость вручную собирать информацию из нескольких систем становится критическим фактором. «Ручной сбор данных из независимых систем для расследования — это гарантированная потеря времени и критического контекста. Пока аналитик запрашивает логи, копирует данные и пытается синхронизировать временные метки, злоумышленник может завершить атаку»,— предупреждает господин Шкуропат.

При этом эксперты «Кросс технолоджис» предупреждают о дополнительном риске в процессе ликвидации последствий инцидента. По их оценке, в спешке или из-за неверных действий в таких ситуациях нередко происходит уничтожение цифровых артефактов и следов действий злоумышленников, которые критически важны для последующего расследования и могут быть использованы при взаимодействии с регуляторами. Поэтому, как подчеркивают в компании, наличие четкого, заранее отработанного плана реагирования, включающего мероприятия по сохранению доказательств, становится необходимым элементом защиты.

Много трудностей, по словам господина Мерцалова, создает резкое замедление расследования: данные приходится вручную собирать из DLP, систем аудита доступа, облачных логов, и они не совпадают по формату, времени и идентификаторам. Такое ручное сопоставление занимает часы, в течение которых злоумышленник может продолжать атаку.

Руководитель департамента развития и архитектуры «Кросс технолоджис» Евгений Балк, обращает внимание на другую проблему: для расследования часто не хватает детальности логирования, а данные хранятся ограниченное время. «Мы действительно зачастую не знаем полной карты расположения чувствительных данных, множество корпоративных систем может хранить одни и те же данные, поэтому это затрудняет расследование утечек»,— отмечает он.

«Слепые зоны»

По мнению экспертов, даже при наличии широкого набора решений в гибридных и облачных средах остаются плохо контролируемые участки. «Типичные слепые зоны — облачные SaaS, теневые сервисы, админские "обходные тропы", сервисные учетки, а также копии данных в дев/тест-средах и бэкапах. Все, что возникает вне формализованного процесса управления доступом, фактически выпадает из контроля»,— отмечает эксперт компании «Газинформсервис» Александр Давыдов.

Антон Мерцалов относит к основным «слепым зонам» неструктурированные данные в NAS, объектных хранилищах, почте и мессенджерах, а также данные в транзите между различными сервисами в микросервисной архитектуре. Ксения Калемберг из ITD Group добавляет, что критичной остается зона Data Pipeline — точки взаимодействия микросервисов разных провайдеров, которые часто слабо защищены и плохо логируются.

В таких условиях на первый план выходит не добавление новых «датчиков», а создание единой системы координат для данных. Накопленные операционные сложности и «слепые зоны» напрямую влияют на ключевые бизнес-показатели: время реакции на инциденты, стоимость владения безопасностью и способность выполнять регуляторные требования. «Сегодня компании тратят все больше на безопасность, однако инвестиции часто направляются на защиту отдельных частей инфраструктуры, а не самих данных»,— объясняет Виктор Рыжков, руководитель развития бизнеса по защите данных в Positive Technologies (РТ). При этом в компании добавляют, что инфраструктура усложняется, а объем данных растет. В результате традиционные инструменты, закрывающие только отдельные точки, не дают целостной и актуальной картины, оставляя в инфраструктуре множество «слепых зон» — и зачастую именно там и происходят утечки.

По словам Виктора Рыжкова, ответом на эти системные вызовы стал платформенный подход Data Security Platform (DSP), который Positive Technologies развивает в своем продукте PT Data Security. Точечные решения работают как «датчики» на отдельных участках: DLP — на конечных устройствах, DCAP — на файловых хранилищах, и каждый видит только свой кусок. «Наша платформа соединяет все воедино — ей не принципиально, хранятся данные в виде файлов, таблиц в базах или на внутренних порталах. Для всех типов — единый подход,— поясняют в PT.— При этом PT Data Security проактивно ищет новые хранилища, подстраиваясь под динамику изменений, а не ждет, пока оператор подключит очередной источник. Это позволяет выявлять и закрывать те самые "слепые зоны"».

В итоге эффективная защита данных перестает быть вопросом выбора лучшего точечного инструмента. Она требует принципиально иного — платформенного — взгляда, способного превратить хаотичный цифровой ландшафт в управляемую и безопасную среду. Без этого перехода компании обречены на бег впереди угроз, теряя контроль над своей главной цифровой ценностью.

Максим Гуляев