«Без инструмента контроля данных «в покое» – картина у отдела ИБ получается неполной». Опыт применения DCAP-системы в бизнесе

«Без инструмента контроля данных «в покое» – картина у отдела ИБ получается неполной». Опыт применения DCAP-системы в бизнесе
Автор – Павел Никитин, CISO, эксперт по информационной безопасности в государственном и коммерческом секторе.


В крупной компании из сферы маркетинга и PR DLP-система – центральный инструмент защиты. Павел Никитин считает, что автоматизированный контроль сотрудников «разгружает» службу безопасности и позволяет сконцентрировать ресурсы на отражении атак. Однако контроль не будет работать без «карты» информационных активов и путей, по которым к данным обращаются сотрудники. На личном опыте директор по безопасности рассказывает, почему внутренняя безопасность начинается с DCAP .


В информационной безопасности я больше десяти лет, успел поработать и «в поле», и во главе ИБ-отделов разных компаний. В профессии я быстро понял: идеальной ситуации, когда у тебя достаточно инструментов, «рук» в отделе и свободных бюджетов, на практике не бывает. Поэтому цель директора по безопасности в том, чтобы в компании все «ехало само». Пока основные ресурсы службы ИБ задействованы на борьбу с актуальными угрозами и расследование инцидентов, нужно, чтобы ситуация в защищаемом периметре оставалась стабильной. То есть чтобы бизнес-процессы функционировали с учетом требований безопасности, а пользователи знали и соблюдали внутренние правила. Это выглядит, как задача организационного порядка. Но ее можно решить средствами автоматизации.

DLP как инструмент наблюдения

Ключевой инструмент, который помогает на этом пути – DLP-система. Я использую ее с 2013 года, и с самого начала рассматривал не только как средство предотвращения утечек. В свое время среди других систем выбрал «Контур информационной безопасности СёрчИнформ» (КИБ) за гибкую аналитику. Руководствовался такой мыслью: если видишь весь трафик в компании, рано успокаиваться на том, что данные не утекают наружу. Система должна наглядно показывать, как пользователи обращаются с информацией внутри, кто в группах риска и где тонкие местах в бизнеc-процессах.
С 2013 года DLP-системы эволюционировали, по мере развития они закрывают все больше задач. И все же главная их функция – надзорный контроль. То есть следить, что все работает как надо и никто не нарушает правила. При этом если правила нарушаются, DLP не всегда в силах отобразить (и, следовательно, устранить) реальную причину. Приведу пример.

В компании есть регламенты, что каждый бизнес-процесс должен идти определенным образом. Отдел ИБ ориентируется на должностные инструкции, вводные от руководства компании и отдельных подразделений. Настраивает политику безопасности: вот, тут будем ловить нарушения. Но разберем такую ситуацию. Топ-менеджмент ставит запрет на пересылку конфиденциальных документов между сотрудниками в мессенджерах и на флешках. Отдел ИБ контролирует USB и IM – и фиксирует полное отсутствие инцидентов. Вроде бы это значит, что все работает правильно и никто ничего не нарушает.
Но потом вдруг случается утечка – условный сейл отправляет черновой драфт прайса на новую продукцию, еще не утвержденный руководством. По-хорошему, этого документа у него не должно быть по определению. ИБ-специалисты проверяют переписки менеджера, изучают контентный маршрут утекшего документа – но и тут все чисто, никто никому ничего не передавал. Тогда как это произошло? Вот тут становится понятно, что отслеживать движение информации по каналам мало. Инцидент начинается в тот момент, когда инсайдер получает доступ к закрытым данным, а иногда и раньше – когда где-то «плохо лежит».

Недостающий функционал

Потребность обозревать данные в состоянии покоя – то есть информацию, которая никуда не движется, не передается, – созрела у меня примерно тогда же, когда мы начали использовать DLP. Было понятно, что без карты информационных активов, файловой системы – картина складывается неполная. В «СёрчИнформ КИБ» были некоторые альтернативные инструменты контроля – например, индексация рабочих станций. Это полная вычитка дисков подконтрольных ПК, которая затем дает искать по содержимому. Но там нет структуризации: это еще один подключаемый источник данных, ты не видишь целиком, что внутри. Был модуль для отслеживания активности с файлами – по сути журнал операций. Полезная вещь, но без возможности заглянуть внутрь файла большой детализации от нее ждать не приходится. В итоге и один, и другой модуль работали обособленно и помогали только в том случае, когда мы конкретно знали, что искать – точное содержание документа, расширение, когда он был создан, у кого и где лежал.

При этом в 2013 году проблема еще не стояла так остро. Объемы информации были несравнимо ниже. Так что какое-то время аудит можно было проводить вручную, контролировать особенно критичные файлы за счет встроенных средств ОС и DLP. Теперь внутренние процессы ускоряются, их становится больше. Сейчас я работаю в медиа, и это особенно заметно: люди постоянно генерируют контент, количество файлов нарастает по экспоненте. Поэтому, когда появился способ автоматизировать работу, я стал его использовать.

DCAP-система – не прихоть безопасника, обосновать закупку помогает первая же ситуация, как в примере выше. У нас руководство буквально пришло с запросом: «что эта смета с огромными нулями делает на ПК менеджера?!». Требовалось быстрое и комплексное расследование. К этому времени я знал, что проверенный вендор выпустил специальный инструмент – DCAP-систему FileAuditor. Поэтому, как только возникла острая необходимость, сразу запустил триал.

Задачи DCAP -системы

Первое, с чего начинается работа с DCAP – инвентаризация активов. Нужно понимать, сколько и какой информации хранится в компании. Затем нужно выделить группы особого контроля: для нас это в первую очередь детали проектов, счета и сметы, условия работы с контрагентами, персональные данные. FileAuditor делает это автоматически. А если где-то появляется новый документ или директория с критичными данными, оповещает об этом – это удобно.

Второй важный аспект – отслеживание операций с файлами. Кто, когда, что с ними делал. Полезный инструмент – отчет о том, кто пытался открыть документы ограниченного доступа в обход запретов. Понятно, что полностью автоматизировать процесс не получится: можно настроить алерты на все подозрительные операции, но есть риск ошибиться, закопаться в ложных сработках или что-то упустить. При этом иметь возможность отслеживать жизненный цикл файлов принципиально важно. Например, иногда мне приходится искать документы с грифами конфиденциальности вручную, сверять историю изменений и обращений к ним.

Файловый аудит вскрывает организационные проблемы. Например, обнаруживаются нарушения внутренних регламентов работы с информацией. Таких инцидентов всегда десятки, просто потому что людям так удобнее: сделать копию грифованного документа, чтобы потом использовать как шаблон, хранить ее у себя на ПК, а не в специальной папке на сервере, чтобы была под рукой. Злого умысла как правило нет. Но без понимания таких «коротких путей», которыми идут сотрудники в обход регламентов, не настроить эффективный контроль с той же DLP. Политики безопасности будут работать вхолостую. Это как расставить «наблюдательные посты» на пустой дороге и радоваться отсутствию инцидентов.

DCAP как базовый элемент внутренней ИБ

Понимая, как пользователи обращаются к корпоративным данным, отдел ИБ может решить обе первоначальные задачи.

Во-первых, аудит файловой системы позволяет навести в ней порядок. Это нивелирует риски случайного доступа пользователей без нужных прав к критичным данным. Следить за соблюдением порядка проще, чем пытаться разобраться в бардаке и раз за разом сталкиваться с инцидентами, которые возникают из-за хаоса в корпоративных хранилищах. Вкупе с вычиткой прав доступа пользователей и мониторингом операций с документами – это полезный инструмент, чтобы правильно настроить другие средства ИБ. В итоге получается выстроить работающую систему безопасности.

Во-вторых, контролируя обращения к данным, проще оптимизировать их хранение, не нарушая привычный порядок. FileAuditor помог нам разграничить доступы к информации так, чтобы пользователям по-прежнему было удобно с ней работать. Благодаря этому коллектив не воспринимает правила безопасности как помеху, охотнее прислушивается к требованиям отдела ИБ и соблюдает их. В итоге мы достигаем нужного результата – в компании развивается культура информационной безопасности.
DCAP ИБ СёрчИнформ
Alt text

Один хакер может причинить столько же вреда, сколько 10 000 солдат! Подпишись на наш Телеграм канал, чтобы узнать первым, как выжить в цифровом кошмаре!

СёрчИнформ

Взгляд на информационную безопасность от компании SearchInform и сторонних экспертов.