Современные бизнес-процессы в компаниях требуют, чтобы даже внутри организации доступ к данным был ограничен в зависимости от роли сотрудника. Но встроенные в ОС средства недостаточны, так как они разграничивают доступ к объектам файловой системы, а не к содержимому файлов. Для решения этой задачи был разработан «СёрчИнформ FileAuditor» — первый отечественный продукт класса DCAP (data-centric audit and protection, аудит и защита с фокусом на данных).
- Введение
- Возможности решения
- 2.1. Обнаружение и классификация уязвимых данных
- 2.2. Аудит прав доступа
- 2.3. Контроль действий пользователей
- 2.4. Архивирование критичных документов
- 2.5. Интеграция с «СёрчИнформ КИБ»
- Выводы
Введение
По мере перевода документов в цифровой вид число конфиденциальных файлов в компаниях растет в геометрической прогрессии. Простота и скорость, с которой эти документы можно создавать, перемещать и копировать, день ото дня усложняет задачу их контроля. Более того, компаниям сложно оценить объем конфиденциальных документов, которыми пользуются и обмениваются сотрудники.
Частично задачи контроля файловых систем решены в DLP-продуктах. Но такая программа не дает наглядного представления о том, откуда взялись файлы, равно как и о том, кто имеет к ним доступ потенциально, а кто работает с ними реально.
Чтобы защищать файлы с критической и конфиденциальной информацией, программа должна уметь выделять эти категории документов среди остальных, а во вторую очередь — проводить аудит действий с ними. Для этих целей был создан «СёрчИнформ FileAuditor».
Возможности решения
Как и многие продукты «СёрчИнформ», FileAuditor был выпущен согласно запросам клиентов. На рынке не было подходящего отечественного решения, позволявшего навести порядок в файловой системе.
Программа решает следующие группы задач:
- Обнаружение и классификация уязвимых данных.
- Аудит прав доступа.
- Архивирование критичных документов.
- Контроль действий пользователей.
Рассмотрим каждую подробно.
Обнаружение и классификация уязвимых данных
До 80% данных в компаниях не структурированы. FileAuditor позволяет найти и классифицировать документы по заданным правилам. Программа автоматически расставляет метки на всех документах с конфиденциальной информацией: персональные данные, кредитные карты, коммерческая тайна и т.д.
Это позволяет выделить из общего документооборота информацию, подлежащую защите, и определить ее ценность. У ИБ-специалиста появляется наглядное представление о том, что происходит в файловой системе.
Рисунок 1. Обзор папок и файлов
Система отслеживает, где находятся конфиденциальные данные, с помощью нескольких видов поиска: по тексту, регулярным выражениям, атрибутам файла (типу, размеру, местоположению). Можно создавать комплексные поисковые запросы: например, искать по фрагменту текста и атрибуту файла одновременно, а также по выбранным директориям и компьютерам пользователей.
Анализ данных «СёрчИнформ FileAuditor» производит как на локальных ПК, так и на серверах — это предоставляет гибкие возможности для анализа различных файловых хранилищ.
В консоли AnalyticConsole визуализированы результаты анализа: 1) дерево папок с указанием прав к каждому каталогу; 2) операции с файлами. При выводе информации в интерфейсе события подсвечиваются определенным цветом, чтобы было проще сориентироваться, насколько инцидент критичен.
Рисунок 2. Вид консоли AnalyticConsole
Благодаря тому, что в системе обеспечена прозрачность, ее проще защищать: для каждой группы данных в FileAuditor можно разработать отдельный набор правил в соответствии с внутренними политиками безопасности и требованиями регуляторов.
Кейс:
ИБ-служба обнаружила, что нарушены права доступа к файлам на сервере. Критичные документы периодически попадали в общий доступ — по ошибке или незнанию сотрудников. Когда компания внедрила «СёрчИнформ FileAuditor», выяснились истинные масштабы «бедствия». Оказалось, что в общем доступе хранилась почти треть конфиденциальных файлов компании, и там же оказывались персональные данные клиентов. По результатам аудита уязвимую информацию классифицировали, а важные документы — защитили.
Аудит прав доступа
Встроенные в ОС средства не защищают от ситуации, когда сотрудник, имеющий право видеть файл и работать с ним, размещает его в общем доступе. FileAuditor позволяет отслеживать группы сотрудников, которые создают, хранят, обрабатывают непубличные данные или делятся ими.
Программа учитывает текущие настройки прав доступа к файлам и папкам и отслеживает историю взаимодействия с конфиденциальными документами. Благодаря этому ИБ-специалист знает, у каких сотрудников есть привилегированный доступ и как они используют критичные данные.
Рисунок 3. Наглядное представление информации об операциях с файлами в «СёрчИнформ FileAuditor»
Кейс:
Ритейл-компания заказывала дорогостоящие исследования рынка (стоимость каждого — около 100 000 долларов США). Однажды спустя всего неделю после того, как ритейлер получил отчет, этот документ оказался в даркнете, а еще через неделю — в интернете в общем доступе.
Когда установили «СёрчИнформ FileAuditor», проверили, у кого есть доступ к исследованиям. По требованиям политик безопасности это должен был быть круг из не более чем 10 человек. По факту данные хранились почти у сотни.
После выявления избыточных прав доступы закрыли. Дальше ИБ-служба развернула расследование: восстановила историю движения файла и определила, кто из сотрудников нарушил правила, поместив документ в общий доступ.
Рисунок 4. «СёрчИнформ FileAuditor» сигнализирует, если файлы хранятся с нарушением политик безопасности
Контроль действий пользователей
Подозрительные действия сотрудников с файлами, которые содержат критичные данные, — повод для внутреннего расследования. ИБ-служба должна знать, какие пользовательские операции производятся в файловой системе. FileAuditor держит в курсе актуальной информации об истории файла (создание, редактирование, перемещение, удаление и т.д.).
Кейс:
Компания столкнулась с неблагонадежным сотрудником, который анонимно передал СМИ информацию о проблемах предприятия. Найти информатора помог FileAuditor. ИБ-служба создала фейковые документы и поместила их в папки с ограниченным доступом, из которых потенциально произошла утечка информации. Программа зафиксировала, кто из сотрудников обращался к папке и открывал поддельные документы, что позволило вычислить подозреваемого. Догадки ИБ-службы подтвердились, когда факты из подставных файлов попали в СМИ.
Архивирование критичных документов
«СёрчИнформ FileAuditor» создает теневые копии критичных файлов, найденных на ПК, сервере или в сетевых папках, сохраняет историю их редакций. Такой архив позволяет проводить расследование даже в том случае, если злоумышленник пытался скрыть следы своих действий и удалил документ. Важно, что программа сохраняет только те объекты, по которым настроены политики безопасности, поэтому сервер не перегружен копиями лишних файлов.
Архивирование также гарантирует, что потерянную информацию можно будет восстановить.
Кейс:
Сотрудник, у которого был конфликт в коллективе, решил подставить коллегу — заказал вирус-шифровальщик у хакера и заразил компьютер соперника. Расследование с помощью DLP-системы позволило установить путь передачи файла, обстоятельства инцидента. В свою очередь, «СёрчИнформ FileAuditor» восстановил последнюю редакцию важного документа, на который и была направлена атака — годового отчета.
Интеграция с «СёрчИнформ КИБ»
FileAuditor — самостоятельный продукт, однако он может работать и в связке с «СёрчИнформ КИБ». FileAuditor покажет, у кого конфиденциальные документы хранятся в нарушение политик безопасности, а DLP-система позволит отследить, кто, куда и кому отправлял файлы, и наглядно продемонстрирует это по контентным маршрутам.
Если компания уже использует для защиты данных «СёрчИнформ КИБ», для активации FileAuditor не придется дополнительно устанавливать агентское и серверное ПО. Достаточно обновить систему и активировать соответствующую опцию.
Выводы
До последнего времени на российском рынке не было отечественных решений, которые бы полностью брали под контроль файловую систему в компании. «СёрчИнформ FileAuditor» — первая полнофункциональная разработка такого рода в классе DCAP.
Программа позволит структурировать информацию, создать наглядную картину того, как много конфиденциальных файлов хранится в системе, кто к ним обращается и имеет ли на это право. А интегрирование FileAuditor с DLP «СёрчИнформ КИБ» позволит развернуть расследование обстоятельств нарушений.