Как навести порядок в файловой системе

Как навести порядок в файловой системе
Почему важно «раскладывать по полкам» документы с конфиденциальными данными? Зачем следить за изменениями в их содержимом и хранить архив редакций? Можно ли вычислить откатчика по названию файлов на его ПК? Разбираемся на реальных примерах и объясняем, с чего начать мониторинг данных в покое.

Важная теория

Отслеживая перемещение корпоративных документов (читай: данные в движении), можно упустить защиту данных в покое. Некоторые DLP-системы способны показать, на каких серверах и ПК хранятся конфиденциальные файлы с помощью механизма eDiscovery.

Но знания, что все прайс-листы лежат в одноименной папке недостаточно для их полноценной защиты. Необходимо выяснить, кто из сотрудников имеет к ней доступ, кто открывает, редактирует эти документы. Отдельный момент, что в excel-таблице «Работники» на самом деле могут храниться персональные данные VIP-клиентов, а в папке «Разобрать» – финансовые отчеты. Для решения всех этих задач используют специальный класс продуктов – DCAP.

DCAP-системы (Data-Centric Audit and Protection) проводят автоматизированный аудит данных в файловой системе, находят нарушения прав доступа и отслеживают изменения в значимых документах. Это помогает понять, сколько в компании ценных данных, где они хранятся, кто из сотрудников и как может их использовать.

Теперь к практике! Поделимся невыдуманными историями клиентов и расскажем на примере «СёрчИнформ FileAuditor», как DCAP-системы решают задачи заказчиков.  

Защита от случайного разглашения

Кейс. В общей сетевой папке нашли каталог, в котором хранились сканы паспортов – по ошибке или незнанию сотрудников, а на ПК пользователей обнаружили другие персональные данные. Такая неразбериха в документах – дополнительный риск столкнуться с санкциями Роскомнадзора или, что еще хуже, потерять ценные сведения. В этом случае до инцидента не дошло. Обнаружить и устранить проблему помог FileAuditor.

Как это работает?

Под «капотом» DCAP-систем находятся поисковые алгоритмы. От их количества и качества зависит функциональность решения. Чем мощнее поисковый «движок», тем более резво и действенно будет работать программа.

В FileAuditor сейчас четыре вида поиска – по тексту, регулярным выражениям, атрибутам, словарям. Задать условия поиска и выбрать объекты сканирования (файл, место хранения) можно при настройке Правил контроля данных. Для удобства пользователей в программе есть готовые шаблоны правил.

Пример правил контроля данных в FileAuditor

По сути – это правила классификации документов по содержимому. Так можно разбить на категории всю значимую информацию в корпоративной сети – «Офисные файлы», «Контракты», «Прайсы», «Персональные данные» и т.д. Далее программа проводит сканирование и, если файл подпадает под правило, ставит на него условную «метку».

Сканирование проводится в двух режимах – на сервере и на агенте. Для проверки можно использовать оба. В первом режиме программа проверяет данные в сетевых папках и на серверах, во втором – «просматривает» файлы на ПК сотрудников. Расписание проверок можно настроить. Причем программа в первую очередь проконтролирует измененные и новые файлы. А значит, найти нарушителя можно будет по «свежему следу».  

Результаты сканирования собраны в Консоли аналитика. Здесь отображается дерево папок и вложенных в них файлов с метками (их цвет задается при настройке правил). Теперь можно увидеть все документы с конфиденциальным содержимым и взять их под защиту, как поступила компания из первого кейса.

Цветные метки, «поставленные» программой на документ, отображаются в столбце Правила

Проверить ход сканирования позволяет Отчет об ошибках. Он отражает технические проблемы, с которыми столкнулась программа во время мониторинга конкретного файла или папки. Например, сервер, где они хранились, был не доступен.

В Консоли аналитика можно отслеживать и права доступа к файлам и папкам. Программа вычитывает заданные в ОС права и отображает их в режиме «Просмотр файлов».

Список пользователей с перечислением их прав доступа к выбранной папке и файлам в ней

Понять, кому принадлежит документ или папка, помогает и Отчет о владельцах ресурсов, который доступен в Консоли. Он упрощает отслеживание новых объектов в файловой системе.

Что контролировать в первую очередь?

Создайте список файлов, которые нужно держать на особом контроле (файлы, содержащие коммерческую тайну, персданные, бухгалтерские документы и т.д.). Чтобы он был максимально полным, привлекайте к его составлению руководителей отделов или топ-менеджеров.

Ниже несколько рекомендаций по созданию правил контроля данных в FileAuditor:

1. Отслеживайте документы с грифами («Для служебного пользования», «Секретно», «Коммерческая тайна» и т.п.). Используйте поиск по тексту – с учетом морфологии или по точному совпадению, либо по маске.

2. Контролируйте договоры, коммерческие предложения и соглашения. Оригиналы и версии легко найти по последовательности символов (Договор №29) или по маске (договор.?, №*.docx).

3. Настройте поиск по регулярным выражениям (математическим «формулам») для мониторинга документов с персданными – номера паспортов, телефонов, платежных карт и т.п.

Настройка поиска по регулярным выражениям документов, которые содержат номер платежной карты

Некоторые файлы и папки для экономии времени можно исключить из сканирования. Например, незачем тратить ресурсы ПО и время на анализ системных файлов.

Список исключений в настройках FileAuditor гибко настраивается по категории, расширению, расположению и др.

Добавление системных файлов и папок в список исключений

Пресечение утечек

Кейс. Перед увольнением маркетолог ритейл-компании скачал с файлового сервера на свой ПК дорогостоящее исследование рынка. Спустя время скачанный файл перестал попадать в категорию «коммерческая тайна». Получив уведомление от FileAuditor, служба безопасности изучила внесенные в документ изменения. Выяснилось, что сотрудник сократил и частично переписал содержимое, чтобы выдать исследование за собственное – собирался унести его на новое место работы.

Как это работает?

В FileAuditor действия пользователей с файлами отображаются в Консоли аналитика в режиме «Операции». С помощью этой опции служба безопасности смогла восстановить хронологию действий сотрудника и собрать доказательства нарушения.

Просмотр операций с договором: пользователь сначала переименовал файл, а затем неоднократно его открывал

Как не упустить инцидент?

Для оперативного отслеживания инцидентов можно настроить отправку уведомлений о найденных нарушениях на email в AlertCenter. Это компонент DLP-системы «СёрчИнформ КИБ», с которым интегрируется FileAuditor. Включить оповещения о появлении новых критичных файлов или о работе с ними сотрудников из групп риска можно в несколько кликов.

Просмотр инцидента по политике безопасности: документы, попадающие под правило «Упоминания паролей»

Восстановление данных

Кейс. IT-специалист перед увольнением решил отомстить: загрузил в сеть компании вредонос, который спустя месяц запустил форматирование корпоративных хранилищ.

Удаление файлов с серверов заметили благодаря FileAuditor. Служба безопасности остановила выполнение вредоносной программы, все пострадавшие файлы восстановили из архивов FileAuditor.


Как это работает?

Восстанавливать удаленные документы или их исходные версии позволяет теневое копирование. В FileAuditor эта функция срабатывает для файлов, подпадающих под заданные правила. Они автоматически шифруются и копируются в хранилище. Чтобы оно не переполнилось, в программе реализована система дедупликации (метод сжатия данных, который исключает дублирование одинаковых копий). В хранилище попадает только один файл, а не все 50 его копий, которые пользователи «разнесли» по локальной сети. Разные версии одного файла при этом сохраняются. Так что можно проследить по шагам, как менялось его содержимое в окне предпросмотра.

В настройках сканирования теневое копирование можно отключить, выбрав режим «только аудит». В этом случае программа будет фиксировать изменения в файлах, но просмотреть выбранный документ ИБ-специалист сможет только на удаленном ПК. Для этого достаточно кликнуть по контекстному меню.

Обнаружение мошеннических схем

Кейс. Компания заподозрила отдел закупок в получении взяток. FileAuditor выявил компьютеры нескольких сотрудников, на которых хранились документы с внутренними ценами. DLP показала, что эти файлы сотрудники регулярно отправляли на внешние адреса поставщиков.

После изучения документов (они были в формате Excel) оказалось, что в таблицах был скрытый столбец, набранный белым шрифтом, в котором содержались закупочные цены, которые были в разы ниже розничных.


Как это работает?

Кейс наглядно демонстрирует выгоды интеграции DCAP- и DLP-решений. Первые помогают найти зацепки, вторые – довести расследование до конца. В этом случае выйти на след взяточников помогло сканирование по правилу «Прайсы».

Для профилактики подобных нарушений удобно использовать поиск по словарю. Например, система будет определять принадлежность к категории «банковская отчетность» всех документов, где одновременно встречается больше 5 слов из словаря финансовых терминов. В словарь можно включить профессиональную и жаргонную лексику (например, «бабки», «зеленые» и т.д.). Это позволит находить «рабочие» документы и черновики откатчиков.

Словарь финансовых терминов и понятий

А в вашей файловой системе – порядок? Проверьте во время бесплатного 30-дневного триала «СёрчИнформ FileAuditor». Беру!
DCAP аудит файловой системы данные в покое СёрчИнформ
Alt text

Подписывайтесь на каналы "SecurityLab" в TelegramTelegram и TwitterTwitter, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.

СёрчИнформ

Взгляд на информационную безопасность от компании SearchInform и сторонних экспертов.