«Без инструмента контроля данных «в покое» – картина у отдела ИБ получается неполной». Опыт применения DCAP-системы в бизнесе

Автор – Павел Никитин, CISO, эксперт по информационной безопасности в государственном и коммерческом секторе.


В крупной компании из сферы маркетинга и PR DLP-система – центральный инструмент защиты. Павел Никитин считает, что автоматизированный контроль сотрудников «разгружает» службу безопасности и позволяет сконцентрировать ресурсы на отражении атак. Однако контроль не будет работать без «карты» информационных активов и путей, по которым к данным обращаются сотрудники. На личном опыте директор по безопасности рассказывает, почему внутренняя безопасность начинается с DCAP .

В информационной безопасности я больше десяти лет, успел поработать и «в поле», и во главе ИБ-отделов разных компаний. В профессии я быстро понял: идеальной ситуации, когда у тебя достаточно инструментов, «рук» в отделе и свободных бюджетов, на практике не бывает. Поэтому цель директора по безопасности в том, чтобы в компании все «ехало само». Пока основные ресурсы службы ИБ задействованы на борьбу с актуальными угрозами и расследование инцидентов, нужно, чтобы ситуация в защищаемом периметре оставалась стабильной. То есть чтобы бизнес-процессы функционировали с учетом требований безопасности, а пользователи знали и соблюдали внутренние правила. Это выглядит, как задача организационного порядка. Но ее можно решить средствами автоматизации.

DLP как инструмент наблюдения

Ключевой инструмент, который помогает на этом пути – DLP-система. Я использую ее с 2013 года, и с самого начала рассматривал не только как средство предотвращения утечек. В свое время среди других систем выбрал «Контур информационной безопасности СёрчИнформ» (КИБ) за гибкую аналитику. Руководствовался такой мыслью: если видишь весь трафик в компании, рано успокаиваться на том, что данные не утекают наружу. Система должна наглядно показывать, как пользователи обращаются с информацией внутри, кто в группах риска и где тонкие местах в бизнеc-процессах.
С 2013 года DLP-системы эволюционировали, по мере развития они закрывают все больше задач. И все же главная их функция – надзорный контроль. То есть следить, что все работает как надо и никто не нарушает правила. При этом если правила нарушаются, DLP не всегда в силах отобразить (и, следовательно, устранить) реальную причину. Приведу пример.

В компании есть регламенты, что каждый бизнес-процесс должен идти определенным образом. Отдел ИБ ориентируется на должностные инструкции, вводные от руководства компании и отдельных подразделений. Настраивает политику безопасности: вот, тут будем ловить нарушения. Но разберем такую ситуацию. Топ-менеджмент ставит запрет на пересылку конфиденциальных документов между сотрудниками в мессенджерах и на флешках. Отдел ИБ контролирует USB и IM – и фиксирует полное отсутствие инцидентов. Вроде бы это значит, что все работает правильно и никто ничего не нарушает.
Но потом вдруг случается утечка – условный сейл отправляет черновой драфт прайса на новую продукцию, еще не утвержденный руководством. По-хорошему, этого документа у него не должно быть по определению. ИБ-специалисты проверяют переписки менеджера, изучают контентный маршрут утекшего документа – но и тут все чисто, никто никому ничего не передавал. Тогда как это произошло? Вот тут становится понятно, что отслеживать движение информации по каналам мало. Инцидент начинается в тот момент, когда инсайдер получает доступ к закрытым данным, а иногда и раньше – когда где-то «плохо лежит».

Недостающий функционал

Потребность обозревать данные в состоянии покоя – то есть информацию, которая никуда не движется, не передается, – созрела у меня примерно тогда же, когда мы начали использовать DLP. Было понятно, что без карты информационных активов, файловой системы – картина складывается неполная. В «СёрчИнформ КИБ» были некоторые альтернативные инструменты контроля – например, индексация рабочих станций. Это полная вычитка дисков подконтрольных ПК, которая затем дает искать по содержимому. Но там нет структуризации: это еще один подключаемый источник данных, ты не видишь целиком, что внутри. Был модуль для отслеживания активности с файлами – по сути журнал операций. Полезная вещь, но без возможности заглянуть внутрь файла большой детализации от нее ждать не приходится. В итоге и один, и другой модуль работали обособленно и помогали только в том случае, когда мы конкретно знали, что искать – точное содержание документа, расширение, когда он был создан, у кого и где лежал.

При этом в 2013 году проблема еще не стояла так остро. Объемы информации были несравнимо ниже. Так что какое-то время аудит можно было проводить вручную, контролировать особенно критичные файлы за счет встроенных средств ОС и DLP. Теперь внутренние процессы ускоряются, их становится больше. Сейчас я работаю в медиа, и это особенно заметно: люди постоянно генерируют контент, количество файлов нарастает по экспоненте. Поэтому, когда появился способ автоматизировать работу, я стал его использовать.

DCAP-система – не прихоть безопасника, обосновать закупку помогает первая же ситуация, как в примере выше. У нас руководство буквально пришло с запросом: «что эта смета с огромными нулями делает на ПК менеджера?!». Требовалось быстрое и комплексное расследование. К этому времени я знал, что проверенный вендор выпустил специальный инструмент – DCAP-систему FileAuditor. Поэтому, как только возникла острая необходимость, сразу запустил триал.

Задачи DCAP -системы

Первое, с чего начинается работа с DCAP – инвентаризация активов. Нужно понимать, сколько и какой информации хранится в компании. Затем нужно выделить группы особого контроля: для нас это в первую очередь детали проектов, счета и сметы, условия работы с контрагентами, персональные данные. FileAuditor делает это автоматически. А если где-то появляется новый документ или директория с критичными данными, оповещает об этом – это удобно.

Второй важный аспект – отслеживание операций с файлами. Кто, когда, что с ними делал. Полезный инструмент – отчет о том, кто пытался открыть документы ограниченного доступа в обход запретов. Понятно, что полностью автоматизировать процесс не получится: можно настроить алерты на все подозрительные операции, но есть риск ошибиться, закопаться в ложных сработках или что-то упустить. При этом иметь возможность отслеживать жизненный цикл файлов принципиально важно. Например, иногда мне приходится искать документы с грифами конфиденциальности вручную, сверять историю изменений и обращений к ним.

Файловый аудит вскрывает организационные проблемы. Например, обнаруживаются нарушения внутренних регламентов работы с информацией. Таких инцидентов всегда десятки, просто потому что людям так удобнее: сделать копию грифованного документа, чтобы потом использовать как шаблон, хранить ее у себя на ПК, а не в специальной папке на сервере, чтобы была под рукой. Злого умысла как правило нет. Но без понимания таких «коротких путей», которыми идут сотрудники в обход регламентов, не настроить эффективный контроль с той же DLP. Политики безопасности будут работать вхолостую. Это как расставить «наблюдательные посты» на пустой дороге и радоваться отсутствию инцидентов.

DCAP как базовый элемент внутренней ИБ

Понимая, как пользователи обращаются к корпоративным данным, отдел ИБ может решить обе первоначальные задачи.

Во-первых, аудит файловой системы позволяет навести в ней порядок. Это нивелирует риски случайного доступа пользователей без нужных прав к критичным данным. Следить за соблюдением порядка проще, чем пытаться разобраться в бардаке и раз за разом сталкиваться с инцидентами, которые возникают из-за хаоса в корпоративных хранилищах. Вкупе с вычиткой прав доступа пользователей и мониторингом операций с документами – это полезный инструмент, чтобы правильно настроить другие средства ИБ. В итоге получается выстроить работающую систему безопасности.

Во-вторых, контролируя обращения к данным, проще оптимизировать их хранение, не нарушая привычный порядок. FileAuditor помог нам разграничить доступы к информации так, чтобы пользователям по-прежнему было удобно с ней работать. Благодаря этому коллектив не воспринимает правила безопасности как помеху, охотнее прислушивается к требованиям отдела ИБ и соблюдает их. В итоге мы достигаем нужного результата – в компании развивается культура информационной безопасности.