Миссия выполнима: как DCAP встает на защиту бизнеса

Что умеет DCAP?

DCAP – это системы категоризации и контроля доступа к данным. Компании с распределенной инфраструктурой хранения данных рано или поздно приходят к необходимости их внедрения, чтобы ответить на три ключевых вопроса:

• Где, как и сколько данных хранится в компании, какие это данные?
• У кого есть к ним доступ?
• Какие действия с ними совершают пользователи?

Отличительная особенность DCAP в том, что в ходе аудита они не просто «считают» информационные активы, а заглядывают внутрь и определяют их контент. Например, «СёрчИнформ FileAuditor» сканирует хранилища по гибким правилам: ищет не только «все PDF», а, например, «Договоры» по ключевым словам или «Сканы паспортов» с использованием регулярных выражений. Найденным файлам присваиваются метки классификации, которые описывают содержимое («Персональные данные», «Пароли» и т.п.). Также система вычитывает журналы файловых операций, чтобы фиксировать происходящее с документами, права доступа к ним и как они меняются.

Акцент на контент дает системе сфокусировать защиту именно там, где она требуется. Разберемся в этом подробнее.

1. Найти, что нуждается в защите

В первую очередь компаниям актуально защитить информацию, потеря которой наиболее критична – грозит штрафами, финансовыми потерями или остановкой бизнес-процессов. Например, нужно знать, как хранятся и обрабатываются:

• персональные данные, попадающие под 152-ФЗ (для всех – иначе оборотные штрафы);
• финансовые данные;
• договоры, клиентские базы, коммерческие предложения и другая информация о клиентах;
• интеллектуальная собственность компании и коммерческая тайна.

В «СёрчИнформ FileAuditor» доступны 450+ готовых правил классификации, которые достаточно включить, чтобы обнаружить эти типы данных. Это обеспечит быстрый старт. А чтобы учесть индивидуальные потребности компании, легко создать собственные правила – они найдут все нужное по 10+ поисковым алгоритмам, которые гибко настраиваются и комбинируются.

Уже на этом этапе можно обнаружить и устранить проблемы безопасности. Типичный случай: компания из сферы гостеприимства запустила аудит и обнаружила, что в сетевой папке в общем доступе хранились сканы паспортов – по ошибке или незнанию сотрудников. Кроме прочего, обнаружилось, что на ПК пользователей хранились и другие персональные данные. Без надлежащей защиты это дополнительные риски утечек, которые приведут к санкциям Роскомнадзора и репутационным потерям. По классификации и уязвимые данные взяли под контроль – настроили правила безопасной обработки персональных данных.

Кроме поисков по контенту доступна классификация по приложению, в котором создан документ. Например, в конструкторском бюро основной актив – чертежи. Значит, ценность представляют все файлы, создаваемые в AutoCAD, в каком бы формате их ни выгружали.

Особая задача – найти информацию, которая составляет коммерческую тайну (КТ). Проблема в том, что коммерческую тайну сложно вычислить сугубо по контентным признакам: из двух практически идентичных документов один будет относиться к КТ, а второй – нет. С точки зрения закона, КТ и вовсе будет считаться только документ с соответствующим грифом. Так что комтайна – решение конкретных людей. Вычислить его не способен ни один автоматический алгоритм.

Но раз статус конфиденциальности присваивает владелец информации – конкретный сотрудник, – то DCAP должна учесть его решение. Для этого FileAuditor предлагает механизм графических меток классификации. Автор документа ставит метку сам, при этом метка понятна средствам защиты и по ней могут применяться политики безопасности. В то же время уровень конфиденциальности виден сразу – это выполняет требования к обеспечению режима коммерческой тайны.

FileAuditor контролирует, чтобы такие метки-грифы ставились корректно. Можно настроить, чтобы при сохранении документа система проверяла наличие на нем графической метки классификации. Если метка отсутствует – сохранение блокируется, пользователь видит требование выбрать одну из предусмотренных меток. При этом система перепроверяет, соответствует ли выбранная метка фактическому содержимому файла. А чтобы уже установленный гриф не исчез, можно настроить принудительную переустановку графической метки при попытке пользователя ее снять.

В результате:

• Все значимые документы действительно промаркированы их владельцами, что дает ИБ-отделу достоверную картину хранящихся данных.
• У сотрудников формируется понимание, что информационная безопасность – не абстрактное ограничение, а рабочий процесс с четкими правилами.

2. Защитить критичное, не мешая бизнес-процессам

Классический аудит дает только общее представление, что творится в файловой системе. Дальше возникает потребность в управлении данными. FileAuditor делает это с опорой на метки классификации. Они сохраняются на документах, пока в них остается защищаемый контент. Что важнее – метки вшиваются в альтернативный файловый поток, то есть становятся неотъемлемой частью документа.

По меткам FileAuditor может блокировать попытки потенциально опасных действий пользователей. Например, файлы с метками «Финансовая отчетность» и «Персональные данные» будет невозможно открыть в определенных процессах – приложениях мессенджеров, браузеров или облачных клиентов. То есть файлы не прикрепятся во вложения при попытке их куда-то отправить. При этом сотрудник получит уведомление о том, что действие запрещено политикой безопасности.

По той же логике можно контролировать любые варианты обработки файла. Например, если запретить открывать файл всем процессам, доступ к нему не получит никто и никак – кроме пользователей, внесенных в исключения. Например, в пиар-агентстве стояла задача: разграничить доступ к данным заказчиков между командами, которые работали над проектами двух конкурирующих компаний. С помощью FileAuditor разметили данные разных клиентов и настроили правило, по которому документы по первому проекту даже из общей папки открывались только у сотрудников из соответствующей команды, для второй команды доступ был заблокирован – и наоборот. Это позволило обеспечить конфиденциальность и соблюсти условия договоров с клиентами.

Так как запрет работает на драйверном уровне, то будет работать независимо от прав пользователя в операционной системе, на файловом сервере, в NAS (сетевом хранилище данных), на почтовом сервере или в облачном хранилище.

Заодно такой подход решает задачу синхронизации политик безопасности. В каждом хранилище данных – своя логика разграничения доступа: в сетевых папках права из NAS, в локальных – из Active Directory, в облаках и CRM – обособленные модели авторизации. FileAuditor применяет единые настройки доступа одновременно во всех источниках, независимо от их штатных механизмов. А так как «инструкции по обработке» файла привязаны к его контенту, а не расположению или другим атрибутам, то политики безопасности сработают в любом случае. Даже администратор с привилегированными правами во всех хранилищах не откроет документ с меткой «Персональные данные», если не входит в разрешенную группу доступа в FileAuditor.

3. Настроить «умное» резервное копирование

В компаниях используют разные системы резервного копирования, но у них общий недостаток. Ни одна из них не работает на основе реальной ценности данных. Они умеют делать резервные копии по расписанию, по директориям, по типам файлов, по пользователям. Но нет такой функции, которая позволяла бы задать контентно-зависимое правило: «Если документ содержит персональные данные или финансовые показатели – сделай его копию».

«СёрчИнформ FileAuditor» это умеет. Механизм теневого копирования в системе завязан на метках классификации, то есть учитывает содержимое. Можно сохранять копии выборочно – целые классы данных или конкретные документы. Хранится только нужное число редакций – от 1 до 100. Это защищает от нежелательных изменений и удалений данных по вине пользователей. И позволяет восстановить документ в нужной версии.

Иллюстративный пример: оператор связи уволил системного администратора, а тот из мести в последний рабочий день заразил часть серверов компании шифровальщиком. Это могло бы полностью остановить бизнес-процессы, а простой грозил крупными финансовыми потерями. Но благодаря тому, что самые критичные данные хранились в виде теневых копий в FileAuditor, их быстро восстановили – компания смогла сразу продолжить работу, пока устраняла другие последствия атаки.

При этом при сохранении копий работает механизм удаления дубликатов: если один и тот же документ с одинаковым контентом найден в нескольких местах, в базе FileAuditor он сохранится один раз.

Как вписать DCAP к остальным СЗИ?

Разные средства защиты работают с файлами по-своему. Антивирусы проверяют на вредоносный код. DLP-системы контролируют перемещение данных вовне. Средства шифрования делают контент нечитаемым для посторонних. SIEM ищет аномалии в журналах файловой активности и контролирует распределение прав доступа к данным в хранилищах.

FileAuditor занимает свою нишу и дополняет их все. Он не заменяет DLP, но берет на себя работу по категоризации и первичному контролю – когда документ никуда не передается. DLP получает уже промаркированные данные и может применять к файлам контент-зависимые политики, не тратя ресурсы на повторную вычитку содержимого. Для SIEM FileAuditor – поставщик качественных событий о том, кто, когда и к каким файлам пытался обратиться, даже если эти попытки были заблокированы. В линейке «СёрчИнформ» FileAuditor интегрирован с этими системами бесшовно и может работать в единой платформе.

Вывод

«СёрчИнформ FileAuditor» выходит за рамки традиционного понимания DCAP как системы аудита и категоризации. За счет собственных механизмов принудительного контроля доступа на уровне драйвера и двустороннего взаимодействия с пользователем, продукт формирует замкнутый цикл управления конфиденциальной информацией. Это позволяет решать не только задачи обнаружения и анализа, но и активного предотвращения инцидентов.

Оцените разницу между пассивным учетом и реальной защитой файлов. 30-дневная пробная версия «СёрчИнформ FileAuditor» доступна для тестирования бесплатно.

Автор – Алексей Парфентьев, заместитель генерального директора по инновационной деятельности «СёрчИнформ»

Реклама. Рекламодатель ООО "СёрчИнформ", ИНН 7704306397,erid:2SDnjeisjah