Чего хотят заказчики от DCAP? Рассказываем про обновленный «СёрчИнформ FileAuditor»

Еще три года назад лишь Gartner и узкий круг специалистов знали, что за зверь такой – этот DCAP. А сегодня только и разговоров, что о защите данных в покое. Говорят, DCAP-системы скоро будут распространены шире, чем DLP и NGFW, а в перспективе станут частью ОС. Популярность решений растет, этому способствует и рост числа кибератак, и более жесткие требования регуляторов.

Главная задача DCAP, по сути – дать компаниям возможность предотвращать утечки до того, как они произошли. Это достигается за счет аудита критичных активов и доступов к ним. Можно заранее заблокировать нежелательные действия с файлами, такой функционал есть в продвинутых решениях класса.

В нашей линейке за это отвечает DCAP-система «СёрчИнформ FileAuditor». За год, прошедший с предыдущего обзора «СёрчИнформ FileAuditor», мы доработали его под запросы и задачи клиентов, в том числе тех, кто раньше пользовался западными аналогами и теперь остался с неработающим софтом.

Для удобства коротко повторим, как работает система, и перейдем к рассмотрению ключевых возможностей продукта и новых «фич» в его составе.

Как работает FileAuditor?

• Система сканирует ПК, серверы, сетевые папки и другие корпоративные хранилища и анализирует все их содержимое.

• По заранее заданным правилам определяет, содержат ли данные уязвимую информацию. Далее присваивает им служебную метку.

• При необходимости копирует файлы в хранилище, чтобы по теневой копии отслеживать редакции содержимого и восстанавливать документы в случае утраты.

• Логирует все операции с файлами и папками.

• Вычитывает права доступа для файлов и папок.

• Блокирует нежелательный доступ к файлам и работу с ними в любом приложении, в том числе пересылку «на сторону» с помощью мессенджеров, почты и др.

В любой компании циркулирует множество кадровых документов, бухгалтерской и финансовой отчетности, приказы руководства, клиентские персональные данные и важные договоры. «СёрчИнформ FileAuditor» автоматически присваивает каждому из этих документов метку, соответствующую его контенту. Автоматическую классификацию можно дополнить и ручными метками, но об этом расскажем чуть позже.

Затем система будет фиксировать все измененные и вновь добавленные файлы в первую очередь, чтобы облегчить и ускорить работу ИБ-отдела. Программа оповестит, если пользователи совершат с файлами нежелательные операции. Кроме того, можно управлять правами пользователей: как на доступ и конкретные действия внутри файловой системы – чтение, изменение, удаление и пр. (это реализуется через права в ОС), так и на работу с этими файлами в стороннем ПО.

Теперь разберем функционал подробнее.

Сканирование и классификация

С 2019 года «СёрчИнформ FileAuditor» работал для Windows в формате сканирования на агенте. В 2022 году добавилась возможность через агент контролировать ПК на MacOS.

Благодаря этому ИБ-специалисты теперь могут находить любые документы на компьютерах Apple по их содержимому. А сотрудники получили возможность самостоятельно классифицировать данные на ПК и прямо из контекстного меню добавлять на файлы «ручные» метки конфиденциальности (о них все еще чуть позже). Так пользователи MacOS могут защитить файлы любых форматов, в том числе программы и приложения, а также архивы.

Ручная классификация файла в MacOS

В сетевом режиме работы FileAuditor и вовсе не зависит от ОС и файловой системы, потому что сканирует хранилища по SMB и другим распространенным протоколам. В результате продукт подходит для контроля любых хранилищ, в том числе для импортозамещения и контроля ПК на отечественных операционных системах. При этом система постоянно становится гибче: например, к концу 2022 года FileAuditor научится сканировать еще и FTP-серверы.

Сетевое сканирование теперь оптимизировано: можно включать кластеризацию, это позволит системе обрабатывать информацию сразу на нескольких серверах. Это ускоряет анализ файлов, особенно при использовании OCR.

Распознавание текстового содержимого с OCR теперь доступно не только по сети, но и на агенте. Теперь, если сотрудник работает со сканами паспортов или нередактируемым документом формата .pdf, FileAuditor локально переведет картинку в текст, проанализирует содержимое и присвоит ему метку соответствующей категории.

Создавать правила классификации по категориям тоже стало проще. В системе появились предустановленные шаблоны, которые «описывают» основные типы контента, встречающиеся в большинстве организаций. Например, есть готовые шаблоны правил классификации для поиска документов с грифами, паролями и логинами и т.д. ИБ-специалисту достаточно поставить галочку у нужного шаблона и «СёрчИнформ FileAuditor» найдет все такие файлы.

Проактивная защита файлов

Хорошее ИБ-решение должно уметь предотвращать опасные инциденты, или, по крайней мере, снижать их вероятность. В «СёрчИнформ FileAuditor» с этой задачей справляются контентные блокировки. Они ограничивают операции, доступные сотруднику с файлами. Можно заблокировать работу с документами, подозрительные пересылки и доступ посторонних лиц.

Разрешения и запреты в FileAuditor настраиваются по меткам классификации: кому из сотрудников, за какими ПК и в каких приложениях разрешено или запрещено работать с файлами из заданных категорий.

Настройка блокировки в FileAuditor

Наша «киллер-фича»: «СёрчИнформ FileAuditor» позволяет блокировать доступ к файлу через любое приложение вне зависимости от версии, типа и др. По сути DCAP запрещает или разрешает приложениям прочитывать данные из документа. Так можно контролировать чтение, изменение, пересылку важных документов и другие варианты нежелательного доступа к ним. Так как блокировка настраивается в том числе по маске процесса, произвольно можно задать абсолютно любые значения – хоть для общеизвестного chrome.exe, хоть для самописного корпоративного мессенджера. А самые распространенные типы ПО (браузеры, мессенджеры, офисные программы и пр.) объединены в группы, можно заблокировать работу сразу всех этих приложений с заданной категорией документов. Отследить попытки сотрудника получить доступ к конфиденциальным файлам ИБ-специалист может в основной рабочей консоли FileAuditor – с помощью фильтра «Причина блокировки».

Результат блокировки доступа к файлу

Возможность превентивно запретить опасные действия с документами дает реальную защиту, в отличие от простого аудита операций и доступов. А настройка блокировок с привязкой к контенту защищаемых файлов уберегает сразу от нескольких проблем. Во-первых, работа компании не «встанет» из-за того, что блокировки работают слишком широко, как это бывает при запретах по атрибутам (например, если попробовать заблокировать пересылку всех документов формата .xls). Во-вторых, пользователи не смогут обойти блокировку с помощью переименования, смены расширения файла и другими подобными методами.

Управление правами пользователей в ОС

FileAuditor позволяет гибко настраивать разрешения на действия с файлами и папками, используя средства ОС.

Функция помогает быстро устранить проблему, например, если права на файл получил пользователь, которому запрещен доступ к родительской папке. Удалить избыточные права можно в один клик, это быстрей и удобней, чем ручная настройка через интерфейс ОС. Задать разрешения на конкретные операции с файлом (чтение, удаление, изменение и пр.) для сотрудников можно прямо из консоли программы – в контекстном меню выбранного файла/папки/директории. Мы сделали видео о том, как это работает.

Вовлечение пользователя

66% внутренних инцидентов, в том числе утечек критичных данных, происходят в результате ошибок, халатности или незнания правил кибербезопасности. Сотрудники допускают ошибки в работе с конфиденциальными документами, зачастую потому что не знают, насколько они важны для компании и чем грозит их потеря. Чтобы исключить такие инциденты, нужно развивать в компании ИБ-культуру. В «СёрчИнформ FileAuditor» для этого есть ручные метки, которые пользователи могут проставить самостоятельно.

Настройка меток ручной классификации

Метки ручной классификации отражают рекомендуемый уровень доступа к файлу: «Для служебного пользования», «Конфиденциально», «Общедоступно» и пр. Теперь в ручном классификаторе появилась еще и персонализация: при необходимости можно создавать собственные метки с различными названиями. Кастомные метки могут быть с другой логикой, например, чтобы вручную помечать все документы «На согласование».

В обновленном FileAuditor можно добавить сотрудников, которым будет доступна установка или снятие ручных меток. Например, необходимо обязать сотрудников бухгалтерии размечать рабочие документы. Для этого достаточно добавить список сотрудников и выбрать метки, которые им можно будет расставлять.

Настройка пользовательских прав управления метками

Также ИБ-специалист может указать, какие операции с ручной меткой будут доступны сотруднику: установка, повышение или понижение уровня метки или ее удаление. Эти права можно выдать сотрудникам и в любой момент забрать.

А чтобы приучить работников к безопасному документообороту, в FileAuditor можно подключить автоматический контроль. Для этого задаются правила реагирования: уведомить о необходимости поставить метку, проверить правильность ее установки или запретить операции без метки. Так сотрудник не сможет сохранить или отправить без метки документ, например, с персональными данными. Посмотреть, как это работает, можно у нас на YouTube.

Также можно «в открытую» запретить пересылку документов с определенной меткой. Если сотрудник попытается отправить файл с выбранной меткой ручного классификатора, система уведомит его, что отправка невозможна.

Если же сотрудник выбрал метку неправильно, например, поставил на файл «Общедоступно», а внутри на самом деле коммерческая тайна, то программа сможет сама исправить ошибку. В FileAuditor настраиваются критерии документа – по атрибутам, содержимому или метке автоматической классификации, а также действие, которое системе необходимо предпринять. Другими словами, работает алгоритм: если документ такой-то, на нем должна быть такая-то «ручная» метка. При несовпадении система автоматически проставит нужную метку, если ее вообще не стоит, или заменит (например, на более строгую), если стоит другая.

Метки для файлов MS Office и AutoCAD

У пользователей уже была возможность ставить метки ручной классификации, не отрываясь от работы с файлами в офисных программах. Интеграция FileAuditor с MS Office в 2022 году получила премию DLP+ как ведущий технологический тренд в защите данных, причем в «народной» номинации – пользу функции оценили практикующие ИБ-специалисты в ходе зрительского голосования.

Теперь аналогичная возможность появилась для файлов AutoCAD, в работе – еще несколько интеграций с ПО, наиболее востребованным заказчиками. В этих случаях ручные метки расставляются из интерфейса самих прикладных программ.

Постановка метки ручной классификации в AutoCAD

Теперь добавилась возможность ставить метки на файлы из интерфейса ОС – то есть из контекстного меню. Это работает для любых файлов вне зависимости от формата, в том числе программ и архивов, а также папок – одна метка на папке автоматически проставится на все ее содержимое. Для MS Office/AutoCAD расстановка ручных меток доступна еще и с помощью правил автоматического управления метками, о которых мы рассказали выше.

Варианты постановки ручной метки: из интерфейса MS Office и из контекстного меню

Возможности интеграции

В 2022 году в FileAuditor появилась интеграция с EveryTag и StarForce Content Enterprise. Эти системы позволяют «зашивать» в критичные документы информацию о том, кто и когда их изменял: создают уникальные копии файлов с цифровым следом каждого пользователя, который с ними работал. Системы вносят в файлы специальные графические правки, по которым можно установить источник, если такой документ «утечет». FileAuditor позволяет отправлять на «разметку» в EveryTag и StarForce Content Enterprise файлы, попадающие под нужные правила классификации. Так критичные документы оказываются под дополнительным контролем.

Также FileAuditor бесшовно интегрирован со всеми СХД от Huawei из линеек OceanStor и Dorado. Наконец, функционал FileAuditor усиливает все решения «СёрчИнформ»: работает с DLP в одном интерфейсе и передает в SIEM максимум данных о происходящем в файловой системе.

Новые отчеты

Статистику по операциям с файлами, правам доступа, работе самой системы – о ходе сканирования или результатах классификации документов – в FileAuditor можно просматривать в отчетах.

Информация о правах доступа находится в отчетах «Права доступа к ресурсам» и «Владельцы ресурсов». Последний позволит контролировать создание новых объектов в файловой системе и распределять права доступа к ним.

Отчет «Права доступа к ресурсам»

Также в системе появилась сводка «Статистика по ПК». Отчет показывает общую информацию о том, сколько всего FileAuditor просканировал рабочих станций и обработал файлов по заданным правилам. Дополнительно в таблице перечислено количество файлов, соответствующих каждой метке.

«Аудит наследования прав» помогает разобраться с доступами пользователей, если в хранилищах появляются объекты и файловая система автоматически «расшаривает» на них права. С этим отчетом, например, можно контролировать, как распределены права пользователей на подпапки и файлы внутри крупных директорий. Если к каким-то объектам заданы права, не соответствующие правилам доступа к родительским папкам, то FileAuditor оповестит ИБ-специалиста.

Отчет «Аудит наследования прав»

Файловый аудит на аутсорсинге

Если у ИБ-отделов не хватает времени или свободных «рук» на работу с FileAuditor, контроль файловых хранилищ можно доверить нам. «СёрчИнформ» с 2022 года предлагает услугу аутсорсинга в том числе для файлового аудита, компании получают в помощь персонального аналитика, который настроит ПО и будет заниматься регулярным мониторингом файловой системы. В его задачи может входить как базовый аудит – что, где и как хранится в компании – так и продвинутая защита.

Например, наш специалист поможет правильно настроить правила классификации для контроля коммерческой тайны и будет следить, чтобы доступы к ней не получили посторонние. Можно делегировать разработку политик блокировки, чтобы запреты не тормозили легитимные бизнес-процессы. А в некоторых случаях углубленный анализ данных из FileAuditor сможет помочь в расследовании утечек и других инцидентов ИБ – такое уже было в нашей практике, когда заказчики комбинировали аутсорсинг DLP и FileAuditor. При этом все, что обнаружит наш аналитик в системе компании, будет охраняться NDA – услуга безопасна.

Аутсорсинг может включать как работу персонального аналитика, так и подписку на ПО. Это полезно в случаях, когда файловый аудит нужен «на пробу», для разовых проверок или при разработке политик ИБ. Тогда компании не придется тратиться на «железо» и лицензии, это обходится дешевле, чем единоразовое полномасштабное внедрение.

Вывод

Большинство отечественных поставщиков DCAP-решений предлагают только аудит корпоративных документов. Мы же за то, чтобы DCAP был многозадачным: классифицировал данные, вычитывал пользовательские права и операции с минимальной задержкой, проводил качественный контентный анализ и помогал повышать ИБ-грамотность коллектива. Проактивный функционал и открытый режим работы делают профилактику инцидентов действенной и разгружают ИБ-отделы. Это то, чего хотят заказчики – мы знаем наверняка, потому что дорабатываем наши продукты по их прямым запросам.

Если вы думаете, что у вас в компании полный порядок, персональные данные и архиважные документы хранятся, где должны – возьмите на бесплатный тест DCAP-систему «СёрчИнформ FileAuditor». Вы убедитесь, что идеального порядка не существует, но DCAP позволит к нему приблизиться и обезопасить компанию.

Реклама. Рекламодатель: ООО «СерчИнформ», ОГРН 1157746137955