Порядок как профилактика утечек: зачем вам нужен файловый аудит

181
5 минут

erid:2VtzqxcV4nr


Чтобы выполнить требования по защите данных, нужно четко понимать, какая информация в компании собирается, где хранится, кем и как используется. Алексей Парфентьев, заместитель генерального директора по инновационной деятельности «СёрчИнформ» рассказывает, как автоматизированный аудит файлов спасает бизнес от утечек и повышает эффективность ИБ.

С чего начинается ИБ

Бизнес последовательно наращивает меры по защите данных – например, за пять лет втрое выросла доля компаний, использующих DLP против утечек. Однако с развитием рынка приходит комплексный подход к безопасности, когда новые инструменты интегрируются с привычными средствами защиты и значительно снижают риски ИБ.

Например, DCAP-системы до недавнего времени были малоизвестны на российском рынке, пользовались ими единицы в крупном бизнесе (2,5% от всех компаний в 2021 году). Сегодня – уже 21% всех компаний. Почему так быстро растет спрос на DCAP и как ИБ-отделы с помощью системы усиливают защиту?

Что такое DCAP

По Gartner, в широком смысле DCAP (Data-Centric Audit and Protection) – это отдельный подход в ИБ, который заключается в аудите и защите с фокусом на данных. Одноименные системы сканируют содержимое файловых хранилищ, выделяют в них чувствительную информацию и предотвращают действия пользователей, способные ей навредить.

Отличительная черта DCAP-решений – упор на содержимое файлов, чтобы затем настраивать защиту в зависимости от категории данных внутри. Поэтому хорошей DCAP нужна глубокая аналитика, с одной стороны, и развитый функционал управления доступом к файлам, с другой.

Как это работает

DCAP позволяет организовать безопасную работу с данными в компании и обеспечить их защиту. Для этого система пошагово решает следующие задачи – для наглядности разберем их на примере DCAP «СёрчИнформ FileAuditor».

Задача: найти все ценные для бизнеса сведения, где бы они ни лежали

Как решается: Для этого программе нужно подключиться к хранилищу – ПК сотрудника, файл-серверу, облаку и т.п. – и вычитать все файлы, что там лежат. Так как в большинстве случаев данные в компаниях хранятся в разных местах, то важно, чтобы DCAP-система «дотянулась» до всех возможных источников. FileAuditor локально сканирует компьютеры и файл-сервера на Windows и Linux, по сети подключается к любым NAS и облакам по протоколам SSH, SMB, FTP, HTTPS, WebDAV и др. Еще можно подключить для анализа содержимое серверов Exchange, а также сетевые хранилища с нетипичными файловыми системами, например, NetApp.

Далее DCAP анализирует содержимое каждого файла: по тексту, регулярным выражениям, цифровым отпечаткам, степени смысловой схожести с образцом и пр. Система распределяет документы по категориям – ПДн, КТ, договоры и т.д. – и ставит соответствующую метку. Затем DCAP ориентируется по меткам, как по «маячкам», и может быстро собрать картину для ИБ-отдела: сколько файлов каждой категории где хранится. В «СёрчИнформ FileAuditor» есть больше 450 готовых правил классификации документов на разных языках (плюс можно создать свои), а метки система встраивает в файлы на драйверном уровне – они не исчезнут из документа, даже если его переименовать, переместить или дополнить новыми данными.

Задача: определить, кто и как работает с чувствительными данными

Как решается: Системы фиксируют все взаимодействия с файлами, которые совершают пользователи. В случае контроля локальных серверов и ПК, эти сведения DCAP получает прямо из файловой системы. Для сетевых хранилищ FileAuditor дополнительно вычитывает внешние журналы файловых операций – например, Windows или NetApp – и затем сопоставляет их с результатами сканирования документов. Также система интегрирована с ActiveDirectory и оперативно узнает оттуда об изменении пользовательских ролей и прав на файлы и директории. В итоге ИБ-специалист видит всех, кому доступен конкретный документ, и наоборот: все документы, доступные выбранному пользователю.

Также служба ИБ может настроить в DCAP политики безопасности, которые отследят нежелательные действия с данными. Система оповестит, если их изменят, скопируют, переместят, «расшарят», удалят и пр.

Задача: защитить данные от неправомерного доступа и утечек

Как решается: DCAP управляют доступом к критичному контенту двумя способами: через права пользователей в ОС и через ограничения на взаимодействие с файлом для конкретных приложений. В первом случае система запрещает или разрешает сотрудникам конкретные операции с выбранными файлами и папками: чтение, изменение, копирование и т.д. Во втором – запрещает или разрешает выбранному ПО (любому, даже самописному) обращаться к файлам с нужной меткой. Этот способ больше подходит для защиты целых категорий документов, так как ограничения по метке строго привязаны к чувствительному контенту. Это ноу-хау FileAuditor.

Например, чтобы все документы «Для служебного пользования» оставались внутри компании, достаточно задать ограничения: открывать документы в MS Word можно, но нельзя в мессенджерах и почтовых клиентах. Тогда такой документ не прикрепится к сообщению и во вложение письма при отправке. Это еще один способ защититься от утечки информации за пределы компании. Так же можно оградить ценные документы от нежелательных правок и любопытных глаз. Например, разрешить работать с чертежами в AutoCAD только проектировщикам, остальным – запретить.

Также в FileAuditor есть функция архивирования документов с выбранной меткой. Она позволяет хранить несколько редакций файла, чтобы служба ИБ могла восстановить важные документы в нужной версии, даже если пользователи изменят или удалят их в файловой системе.

Что получает служба ИБ

Итак, файловый аудит наводит порядок в хранении файлов. Но это не все. Подход комплексно усиливает защиту данных, и, кроме того, напрямую помогает бизнесу. 

Если резюмировать, DCAP-система:

  • Проводит «инвентаризацию» данных в компании и составляет актуальную картину их жизненного цикла: когда они хранятся в покое и когда используются сотрудниками.

  • Выявляет организационные проблемы при работе сотрудников с документами, задает контролируемые сценарии обработки документов внутри компании.

  • Защищает информацию от нежелательного доступа внутри компании и за ее пределами.

  • Усиливает защитный контур организации за счет интеграции с другими СЗИ, например, DLP.

  • Помогает выполнить требования регуляторов по хранению и обработке ПДн (152-ФЗ), обеспечить режим коммерческой тайны (98-ФЗ), соответствие отраслевым ИБ-стандартам.

Когда конфиденциальная информация лежит по местам и не доступна кому не надо, меньше риск как случайных утечек, так и намеренных «сливов». А когда работа с данными упорядочена, эффективней работает и сам бизнес, и его защита. Прозрачные процессы легче контролировать – DCAP помогает это организовать.

Проверьте, насколько безопасно данные хранятся у вас: наш «СёрчИнформ FileAuditor» доступен для бесплатного теста в течение месяца.


Реклама. ООО "СерчИнформ". ИНН 7704306397. erid:2VtzqxcV4nr