Как DCAP выстраивает первый уровень защиты данных
И почему его не заменит DLP.
Еще несколько лет назад термин DCAP (Data Centric Audit and Protection) знали лишь в узких кругах продвинутых ИБ-специалистов. Сегодня этот класс решений стал в разы популярнее. Он помогает выстроить первый уровень защиты информации в компании за счет классификации и контроля конфиденциальных файлов.
Два года назад мы подробно рассказывали, как устроен и что умеет DCAP-система «СёрчИнформ FileAuditor». За это время FileAuditor существенно нарастил функционал, который постепенно заходит на поле DLP-систем. Поэтому самое время расширить рамки и поговорить о нетипичном функционале современных DCAP – блокировках. И не просто о блокировании доступа к файлам, а об ограничении действий с данными.
Расскажем, как это реализовано в «СёрчИнформ FileAuditor».
Аудит прав доступа: кто и как работает с данными
Нарушения прав доступа могут привести к утечке критичных данных и негативно отразиться на бизнес-процессах. Поэтому важно оценить: кому из сотрудников доступ к конфиденциальным файлам реально нужен по рабочим обязанностям, а у кого открыт нерегламентировано, создавая потенциальный риск.
Чтобы вычислить и устранить ошибки в распределении прав доступа в FileAuditor есть группа отчетов. Программа вычитывает заданные в ОС права и отображает их в режиме «Просмотр файлов». В том числе система позволяет отследить открытые сетевые доступы на ПК пользователей.
Посмотреть результаты аудита и понять, кому принадлежит документ или папка, помогают отчеты «Права доступа к ресурсам» и «О владельцах ресурсов». Они показывают права доступа, проводят аудит наследования прав, таким образом ИБ-специалисту удобно отслеживать появление новых объектов в файловой системе и распределять права доступа к ним.
Отчет «Права доступа к ресурсам» в FileAuditor
Например, во время аудита собственных хранилищ мы обнаружили ситуацию, когда доступ к общим сетевым папкам был у 20 пользователей, хотя в отделе 14 человек. В итоге выяснили, что это заблокированные учетки бывших сотрудников, которые не несут угрозы.
Отчет «Аудит наследования прав» позволяет разобраться с доступами пользователей, если в хранилищах появляются новые объекты и файловая система автоматически раздает на них тех же права. С этим отчетом, например, можно контролировать, как распределены права пользователей на подпапки и файлы внутри крупных директорий. Если к каким-то объектам заданы права, не соответствующие правилам доступа к родительским папкам, то FileAuditor оповестит ИБ-специалиста.
Отчет «Аудит наследования прав»
При необходимости администратор системы может в один клик перенастроить права доступа в рабочей консоли, ему не придется разбираться вручную с настройками ОС. Это дает возможность гибко настраивать разрешения на конкретные операции с файлом (чтение, редактирование, исполнение, перемещение, копирование и т.д.), а также доступ к целым директориям.
Настройка прав пользователей в интерфейсе FileAuditor
Однако в классических DCAP контекстное разграничение имеет некоторые ограничения. Потому что такие решения распределяют доступы только по внешним признакам, при этом не учитывая содержание документа. Например, компании критична утечка не просто файлов в формате DWG, а, конкретных чертежей новой продукции. Поэтому если в организации внедрена DCAP с классическим функционалом, конфиденциальное содержимое некоторых документов может быть скомпрометировано. Сотруднику достаточно переименовать конфиденциальный файл, скопировать его содержимое в новый и переместить его в другую директорию. В «СёрчИнформ FileAuditor» эта проблема решается за счет контентной аналитики.
Мониторинг нарушений: как работают контентные блокировки
Современные DCAP-системы должны уметь предупреждать нежелательные действия с выбранной категорией файлов, запрещая определенные операции, например, пересылку файлов по внешним и внутренним каналам или блокируя посторонний доступ к файлу. В отличии от большинства представленных на рынке DCAP-решений, у которых разграничение прав доступа происходит средствами ОС по атрибутам, блокировки в «СёрчИнформ FileAuditor» вычитывают документ на уровне контента, в том числе с использованием OCR. Процесс блокировки в FileAuditor осуществляется в несколько этапов.
С помощью заданных правил классификации FileAuditor анализирует содержимое файлов и находит среди них те, которые необходимо защитить. Условия поиска можно задать по фразе, последовательности символов, словарю, регулярным выражениям, похожим документам, атрибутам (тип, размер, и пр.) и т.д. Кроме того, в системе предустановлены более 80 готовых правил классификации для разных типов документов.
Предустановленные правила классификации в FileAuditor
После поиска файлов по заданным правилам FileAuditor присваивает им автоматические метки классификации. Разметка документов – одна из главных функций DCAP. Система использует метки, чтобы отнести к одной категории все документы, объединенные по тому или иному признаку – например, всю налоговую отчетность или договоры с клиентами.
Результаты классификации документов в FileAuditor
Метка защищена от снятия: даже если она будет повреждена – FileAuditor автоматически переустановит ее, и правила блокировки, заданные для этой метки, продолжат работу. Для каждой метки настраиваются разрешения и запреты (правила блокировки).
Настройка правил блокировки по меткам в «СёрчИнформ FileAuditor»
В правиле можно указать, каким пользователям, за какими ПК можно или нельзя обращаться к файлу посредством тех или иных приложений. Это могут быть любые процессы – от стандартного офисного ПО, почтового клиента или мессенджера до системных процессов и самописных программ.
FileAuditor блокирует доступ к файлу с меткой, если соблюдаются заданные условия (по приложению, пользователю, ПК). Например, в интерфейсе системы можно создать правило, которое запретит операции с файлом с меткой «Финансовая отчетность» в MS Outlook. Сотрудник не сможет открыть или прикрепить такой документ к письму.
Результат блокировки доступа к файлу для MS Word
FileAuditor также помогает снизить риск случайных инцидентов за счет «открытого» режима работы: пользователи могут сами ставить метки на документы. Речь идет о метках ручной классификации (подробнее о том, как они работают, рассказали по ссылке). Если кратко, то ручная разметка нужна для того, чтобы отразить рекомендуемый уровень доступа к документу. ИБ-специалисту не нужно донастраивать систему – автор важного файла самостоятельно поставит метку конфиденциальности. FileAuditor применит правила контроля к грифованным документам и предоставит ИБ-специалисту наглядный отчет о том, кто из пользователей установил метку и какие действия совершал с файлом.
Если пользователи забудут разметить документы, FileAuditor напомнит им о необходимости это сделать. Также в случае, если метка, например, поставлена неправильно, или пользователю запрещено работать с такой категорией документов, FileAuditor не даст пользователю завершить операцию. По умолчанию в «СёрчИнформ FileAuditor» задано такое оповещение: «В соответствии с политиками компании отправка письма невозможна». Кроме того, текст можно автоматически переводить на другие языки, если у пользователей задан другой язык в ОС.
Не вместо, а вместе?
В итоге выбор настраивать защиту по контенту или контексту — зависит от задачи компании. Однако еще большую защиту дает интеграция DCAP с DLP-системой. DCAP наводит основной порядок и задает базовые ограничения, которые большинство пользователей будут соблюдать, а DLP-система будет «подключаться», если недобросовестные сотрудники попробуют обойти правила. Интеграция FileAuditor с DLP-системой «СёрчИнформ КИБ» увеличивает возможности блокировок. Помимо защиты на уровне файловой системы заработают ограничения в каналах передачи информации.
Вывод
Современные DCAP активно наращивают функционал, который позволяет вычислить и устранить нарушения в распределении доступов и наследовании прав, а в случае необходимости заблокируют работу с файлом. «СёрчИнформ FileAuditor» решает базовую задачу ИБ: наводит порядок в файловой системе, чтобы не было ситуаций, когда конфиденциальные данные доступны кому не надо. Однако бесшовная интеграция с DLP дополнительно дает дополнительные возможности защиты и мониторинга информации. Установите контроль над информационными потоками компании с помощью решений «СёрчИнформ» — это бесплатно первые 30 дней.
Реклама. Рекламодатель ООО "Серчинформ", ИНН 7704306397