Бесплатно Экспресс-аудит сайта:

28.11.2021

Без DCAP как без рук: как работает система файлового аудита

Привет. Мы – «СёрчИнформ», вы можете знать нас как вендора DLP. Мы защищаем от утечек информации и хорошо это умеем. Но чем больше клиентского опыта мы анализируем, тем чётче понимаем: для борьбы с утечками иногда недостаточно отслеживать перемещение чувствительной информации за периметр. Инцидент начинается не при отправке письма с конфиденциальным документом, а в тот момент, когда инсайдер получил к нему доступ. А ещё точнее – когда такой документ «плохо лежал». Поэтому ИБ-специалисту всегда важно знать, какие файлы содержат уязвимую информацию, где они хранятся, кто из сотрудников с ними работает, а кто – имеет доступ, который не нужен.

Чтобы компании могли быть на шаг впереди инсайдеров и предотвращать утечки до того, как они произошли, существуют системы файлового аудита. Это решения класса DCAP (data-centric audit and protection), которые помогают навести порядок в файловых хранилищах и защитить данные в покое (то есть те, которые никуда не передаются). На примере нашего «СёрчИнформ FileAuditor» расскажем и покажем, как это работает.

Что такое DCAP

По Gartner, DCAP – это отдельный подход в ИБ: аудит и защита с фокусом на данных. Не на пользователях, которые как-то с данными взаимодействуют, не на приложениях, в которых они обрабатываются, и не на каналах, в которых передаются. В центре внимания DCAP – контент. Ведь именно содержимое представляет ценность: например, для конструкторского бюро критичны конкретные чертежи, а не любые файлы типа .DWG.

При этом в отличие от смежных типов решений (того же eDiscovery, который помогает искать по содержимому файлов в больших массивах) DCAP-системы дают детальное представление о документах: от места их расположения до пользовательских обращений и прав доступа.

У DCAP три основных задачи:

  1. Обнаружение и классификация данных.
  2. Мониторинг пользовательских прав и обращений к данным.
  3. Защита данных от нежелательного доступа и использования.

То есть система должна анализировать содержимое файловых хранилищ, выделять в них чувствительную информацию и предотвращать действия пользователей, способные ей навредить.

Логика работы DCAP

Чтобы защитить данные в покое, службе ИБ нужно последовательно пройти несколько этапов. Для наглядности рассмотрим их последовательно.

Шаг 1. Понять, что и как нужно искать.

Сначала нужно определиться, какие типы документов вообще циркулируют в компании. Отталкиваться можно, например, от бизнес-процессов. В любой компании в ходу кадровые, бухгалтерские документы, финансовая отчетность, приказы начальства, клиентские договоры и базы контактов. И все они нуждаются в контроле. Другой путь – идти от требований регулятора. Законом охраняются персональные данные – будем искать номера паспортов, техническое описание объекта КИИ составляет тайну – будем искать в файлах его фрагменты. И так далее в зависимости от того, что важнее для вашей компании.

В «СёрчИнформ FileAuditor» есть шаблоны правил классификации: это универсальные типы данных, вроде ПДн, документов с грифом «коммерческая тайна», номеров телефонов и кредитных карт и пр. Кроме того, можно создать неограниченное количество новых категорий.

Чтобы классифицировать данные, FileAuditor ищет внутри файлов признаки, по которым их можно отнести к той или иной категории. Для этого используется несколько поисковых алгоритмов:

  • по ключевым словам, фразам и последовательности символов;
  • по словарям;
  • по регулярным выражениям;
  • по степени схожести с заданным образцом (запатентованный поиск текстов, похожих по смыслу);
  • по атрибутам;
  • по «ручным» меткам (о них чуть ниже) и меткам других систем (например, Microsoft Information Protection).

Все поисковые алгоритмы можно комбинировать в сложные запросы. Например, искать одновременно по фрагменту текста и атрибуту файла. Поиск будет работать и по документам нетекстовых форматов: благодаря OCR-модулю алгоритмы вычитают контент отсканированных и сфотографированных документов.


Настройка правила автоматической классификации в «СёрчИнформ FileAuditor»

Когда правила созданы, FileAuditor в соответствии с ними анализирует содержимое всех файлов в системе и автоматически ставит на них метки классификации. Эти метки выполняют сразу две важные функции.

Во-первых, они визуально маркируют нужный контент – при просмотре дерева папок в FileAuditor у каждого файла, попавшего под правило, будет цветной «флаг» с названием категории. Службе ИБ не придется прочитывать каждый вручную, чтобы понять, что внутри. При этом пользователям такая метка будет не видна.

Во-вторых, метки «резюмируют» всю информацию о файле. Они хранятся в файловой системе и при обращении к файлу выполняют роль «инструкции», как его обрабатывать. Метка характеризует не атрибуты и свойства файла, а его содержимое. Поэтому она не исчезнет, если пользователь переименует или изменит расширение файла, а если скопирует его или пересохранит текст в новом документе – автоматически появится и на нём.

Автоматическую классификацию можно дополнить вручную. «Ручные» метки могут отражать рекомендуемый уровень доступа к файлу: «Общедоступные», «Для служебного пользования» и т.д. (название и формат отображения меток можно настроить). Их могут поставить сами пользователи, если служба ИБ выдаст им такое право. Суть в том, что авторы документов часто лучше всех знают, насколько чувствительная информация в них содержится. Например, главному бухгалтеру удобно поставить метку «Для служебного пользования» на финансовый отчет уже при его создании.

Поставить «ручную» метку можно прямо в интерфейсе офисного приложения (поддерживается весь пакет Microsoft Office, скоро добавятся другие типы прикладного ПО – например, AutoCAD). А файлы не «офисных» форматов можно разметить из контекстного меню, просто кликнув на них правой кнопкой мыши. Метки ручной классификации видно: они проставляются в виде грифов и водяных знаков. Кроме того, значок «ручной» метки в миниатюре прикрепляется к иконке файла, чтобы пользователи сразу были предупреждены: этот документ можно просматривать только на работе.


Постановка меток ручной классификации в «СёрчИнформ FileAuditor»

Шаг 2. Определить границы поиска.

Благодаря автоматической и ручной классификации файлов система понимает, что защищать. Следующий этап – обнаружить файлы, попадающие в уязвимые категории, в общем массиве данных в компании. То есть запустить мониторинг.

Даже секретные договоры могут обнаружиться на компьютере рядового пользователя или в общей папке на виду у всей компании. А сколько конфиденциальных документов тонут в файловых помойках вроде папок «Разобрать» на рабочем столе! Поэтому нужно взять под контроль все директории, где могут храниться важные файлы, и составить «карту» таких хранилищ. Если в результате аудита критичные документы обнаружатся в непредназначенных для этого местах, предстоит навести порядок.

Файловый аудитор использует агентский (доступен для Windows, в ближайших релизах – для macOS) и сетевой (вне зависимости от ОС и файловой системы) режимы сканирования. Первый контролирует ПК и локальные сервера, второй, что логично – сетевые хранилища. С некоторыми СХД FileAuditor интегрирован «из коробки»: например, файловый аудитор от «СёрчИнформ» совместим со всеми хранилищами Huawei OceanStor и Dorado.

При первом сканировании программа вычитывает всю структуру и содержимое файлов в хранилищах. В мониторинг можно включить любое количество компьютеров и серверов, если требуется – сузить его до отдельных машин или даже папок. Кроме того, из сканирования можно исключить файлы и папки по заданным атрибутам. Например, чтобы не тратить ресурсы ПО на анализ системных файлов, можно задать в исключения соответствующую категорию объекта, его расширение, расположение и др.

Затем FileAuditor проверяет только новые или измененные файлы. Причём проверка запускается, как только фиксируется обращение к файлу – то есть если пользователь его открывает, вносит правки, переименовывает, перемещает и т.д. Благодаря этому система мгновенно узнает, если в компании появились новые конфиденциальные файлы, и тут же берет их под защиту.

Мониторинг FileAuditor незаметен для пользователя: сканирование не тормозит ПК и не мешает работать с файлами. Например, система не будет вычитывать файл, пока он открыт у сотрудника. К тому же ИБ-специалист может настроить проверку по окончании рабочего времени или поставить условие: только если загрузка ЦП меньше N%, только в отсутствии активных сессий.

Вся информация о ходе вычитки каталогов с файлами доступна на вкладке «Статистика сканирования». Там можно просмотреть, когда прошло последнее сканирование и сколько оно длилось, сколько файлов было проверено и какой объем они занимают, в какие категории попадает информация в них и не было ли ошибок во время вычитки.


Статистика сканирования в «СёрчИнформ FileAuditor»

Итоги мониторинга видны в основной консоли программы. Система визуализирует все подконтрольные директории, для каждого файла в вычитанных папках сразу доступна подробная информация: какие «ручные» и автоматические метки на них стоят, кто, когда и как взаимодействовал с ним последним. Заглянуть внутрь файла тоже можно: заодно будет подсвечено, почему система отнесла его к той или иной категории.


Подсветка ключевых фрагментов документа в FileAuditor

Выдачу можно настраивать с помощью фильтров. Например, показывать только файлы на определенных ПК, с определенным названием, созданных или измененных за определенное время. Или искать по содержимому документов с метками: например, паспортные данные шефа среди всех файлов из категории «ПДн». Также доступна фильтрация по атрибутам, владельцам документов, операциям с ними и системным событиям (файл попал под правило, контроль файла прекращен, изменены права доступа и пр.).


Панель фильтров в «СёрчИнформ FileAuditor»

Шаг 3. Определить, кто и как работает с данными – и кому это можно и нельзя.

Чтобы увидеть риски утечки, нужно понимать, где тонкие места в жизненном цикле уязвимых документов. Поэтому ИБ-специалисту нужно наглядное представление, кто, когда и как обращается к файлам. На виду должны быть все операции с файлами и папками с привязкой к конкретному пользователю.

FileAuditor фиксирует все пользовательские операции в «умный» журнал. Для каждого документа можно просмотреть историю обращений: когда он был создан, изменен, открыт в последний раз, и главное – кто это сделал. По отдельным операциям можно искать: например, отображать только переименованные документы


Просмотр операций с файлом в «СёрчИнформ FileAuditor»

Особого контроля требуют нежелательные действия: например, копирование контента, нерегламентированные правки или удаление содержимого потенциально могут обернуться проблемами для компании. Представьте: что, если в годовой отчет намерено внесут дезинформацию прямо перед подачей в налоговую?

Чтобы отслеживать такие инциденты, можно задать политики безопасности. Они уведомят службу ИБ, если с файлом произойдёт критичное событие. Дополнительно к сработке политики можно «привязать» запуск внешних скриптов.


Создание политики безопасности FileAuditor для автоматического поиска инцидентов

Политики безопасности можно настроить не только по операциям, но и по системным событиям (например, если файл перестал попадать под правило), а также по изменению прав пользователей.

Мониторинг пользовательских привилегий – важнейшая задача DCAP. Система должна определять, какие документы нуждаются в дополнительной защите, и выявлять избыточные доступы.

«СёрчИнформ FileAuditor» делает это с помощью вычитки прав пользователей из файловой системы. Благодаря этому служба ИБ видит, какие сотрудники имеют доступ к критичной информации. Данные собраны в едином представлении – это удобнее, чем просматривать системные отчеты ОС по каждой директории. Аудитор видит весь список пользователей, допущенных к работе с файлом, а также доступные им операции. Например, всех сотрудников, кто может редактировать и удалять файл, или только тех, кому доступ к файлу запрещен. И наоборот: можно искать, какие файлы доступны или запрещены к использованию заданным пользователям.

Наиболее полная информация о пользовательских разрешениях доступна в отчетах «Права доступа к ресурсам» и «Владельцы ресурсов». Если в файловой системе появились новые объекты (документы или папки), последний поможет сразу безопасно распределить к ним права доступа. А отчет о наследовании прав наглядно отобразит, как распределены права пользователей на подпапки и файлы внутри крупных директорий, укажет на ошибки наследования и позволит обратить внимание, если к каким-то объектам заданы права, не соответствующие правилам доступа к родительским папкам.


Отчет «Права доступа к ресурсам» в FileAuditor

Чтобы правильно интерпретировать отчеты, полезно свериться с должностными инструкциями: кому из пользователей действительно положен доступ к данным, а кто пользуется им просто так – потому что может. Нужно ли строго следовать букве нормативов, решать вам. Но очевидно, что, например, возможность прочитать проекты приказов руководства до опубликования ни к чему линейному персоналу.

Шаг 4. Настроить защиту.

DCAP без проактивной защиты файлов не DCAP. Третья важная функция этого класса решений – превентивная.

Чтобы посторонние не получили доступ к критичной информации, службе ИБ нужно настроить пользовательские права, задать белые/черные списки, запретить потенциально опасные действия: например, возможность прикрепить конфиденциальный документ к письму или сообщению в мессенджере.

Задачу решают контентные блокировки. В «СёрчИнформ FileAuditor» для каждой категории документов можно задать ограничения: кому, на каких ПК и в каких приложениях с ними разрешено или запрещено работать. Блокировки применяются по меткам автоматической и ручной классификации.


Настройка правил блокировки по меткам в «СёрчИнформ FileAuditor»

FileAuditor может блокировать доступ к файлу через любое приложение вне зависимости от его версии, типа, происхождения – будь это хоть системный процесс, хоть самописный корпоративный софт. Ограничения работают в файловой системе, откуда он запрещает/разрешает приложениям прочитывать данные. Например, если настроен запрет чтения файлов с меткой «Финансовая отчетность» в MS Outlook для пользователей не из группы «Бухгалтерия», приложение не сможет открыть такой документ – а значит, не прикрепит во вложение письма при отправке.


Результат блокировки доступа к файлу для MS Word

Таким образом можно контролировать чтение, изменение, пересылку документов с конфиденциальным содержимым и другие варианты нежелательного доступа к ним. Акцент на контент – отличительная особенность блокировок в FileAuditor, «классические» DCAP и другие ИБ-инструменты в основном реализуют такой функционал по свойствам или расположению файлов.

Также файловый аудитор «СёрчИнформ» позволяет управлять правами пользователей (иначе говоря, разрешениями в операционной системе) прямо из своего интерфейса. Это дает возможность гибко настраивать разрешения на конкретные операции с файлом (чтение, редактирование, исполнение, перемещение, копирование и т.д.), а также доступ к целым директориям. Функция помогает быстро устранить проблему, например, если права на файл получает пользователь, которому запрещён доступ к родительской папке. Удалить избыточные права можно в один клик с помощью кнопки в контекстном меню, это быстрей и удобней, чем ручная настройка через интерфейс ОС.


Настройка прав пользователей в интерфейсе FileAuditor

Кроме того, важно застраховаться от потери и порчи информации. Например, если сотрудники «подхватят» вирус-шифровальщик, полезно иметь бэкап хотя бы самых важных документов.

Еще одна защитная функция FileAuditor – теневое копирование. Система может архивировать и хранить заданное количество версий критичных файлов, чтобы отслеживать историю изменений и оперативно восстанавливать важную информацию в случае ее кражи, шифрования, искажения или удаления.

Теневые копии хранятся в зашифрованном виде на сервере. Чтобы не перегрузить его лишними версиями файлов, «СёрчИнформ FileAuditor» сохранит только те объекты, для которых заданы соответствующие настройки. Заодно эти копии сформируют индекс, по которому станет доступен полнотекстовый поиск – то есть служба ИБ сможет искать информацию внутри архивированных файлов.

Можно определить количество сохраненных версий каждого уникального файла, тогда устаревшие копии, с которыми пользователи перестали взаимодействовать, будут автоматически удаляться из хранилища.

Результаты работы DCAP

Файловый аудит помогает службе ИБ составить ясное представление о том, как устроен корпоративный документооборот. Имея наглядную «карту» информационных активов, проще навести порядок в файловых хранилищах. А следить за соблюдением порядка проще, чем вновь и вновь сталкиваться с инцидентами из-за потери, искажения или случайного «расшаривания» важных данных.

Когда в хранилищах хаос, такие проблемы неизбежны. Уже после тестового внедрения «СёрчИнформ FileAuditor» компании обнаруживают, что:

  • Каждый третий сотрудник допускает ошибки в работе с конфиденциальной информацией и ее хранении.
  • 8 из 10 сотрудников хранят файлы с паролями от рабочих аккаунтов на ПК. При их компрометации уязвимыми окажутся все корпоративные сервисы.
  • До 40% объема корпоративных хранилищ забиты «файловым мусором». Это ведет к перерасходу ресурсов.
  • На рабочих станциях пользователей в половине случаев есть неучтенные копии критичных документов. В них вносятся нерегламентированные правки, это порождает неразбериху и открывает поле для махинаций.
  • Конфиденциальный документ без должного контроля попадает за пределы круга доверенных сотрудников в среднем за 36 часов. Через неделю круг сотрудников, получивших к нему доступ, расширяется в 5 раз, т.е. в 5 раз вырастает вероятность утечки.
  • В 100% случаев хотя бы у одного сотрудника есть избыточные права доступа к файлам и папкам с конфиденциальной информацией. Часто доступы открыты в том числе для учетных записей давно уволенных сотрудников.

По опыту 250 компаний, которые попробовали наш DCAP в течение прошлого года, раннее выявление таких проблем предупреждает до 64% внутренних инцидентов ИБ.

Кроме того, инструменты типа FileAuditor позволяют оптимизировать объемы хранилищ, привести реальную работу с документами «на местах» в соответствие корпоративным политикам ИБ и выполнить требования регуляторов: ФЗ-152 «О персональных данных», приказы ФСТЭК № 17 и № 21 и др.

Наконец, файловый аудитор усиливает эффект от применения других инструментов ИБ. Например, совместное использование FileAuditor и « СёрчИнформ КИБ » обеспечивает комплексную защиту от утечек. DCAP ограничит доступы к файлам, а DLP отследит все случаи, когда пользователи попытаются отправить выдержки оттуда в сообщениях или письмах, или составит контентный маршрут пересылки важного файла между сотрудниками. FileAuditor бесшовно интегрируется с КИБ в едином интерфейсе, при этом может работать с любыми другими DLP, а также SIEM и SOC.

Если считать, что безопасность начинается с порядка, DCAP может стать базовым элементом системы ИБ в компаниях. Убедиться в этом можно в рамках бесплатного тестирования «СёрчИнформ FileAuditor». Оставьте заявку на сайте вендора и самостоятельно оцените преимущества защиты данных в покое.