2021/04/23 15:16:00

Порядок в файлах и папках:
как организовать контроль доступа и защиту от утечек

С ростом ИТ-инфраструктуры становится сложно контролировать, кто обращается к информации, кто ее копирует, перемещает из папок, удаляет. А если неизвестно, в порядке ли конфиденциальные файлы и папки в организации, обеспечить безопасность этих данных почти невозможно. С задачей справляются специализированные DCAP-системы. Разберемся, кому и для каких задач они нужны.

Содержание

О технологии DCAP

Решения класса DCAP (data-centric audit and protection) предназначены для обнаружения, категоризации и защиты т.н. «данных в покое» (структурированных, неструктурированных и полуструктурированных данных). Речь идет об информации на персональных компьютерах сотрудников организации, а также той, что разбросана по сетевым папкам, облачным хранилищам, базам данных и т.д.

Одним из основных популяризаторов термина DCAP стала компания Gartner. Аналитики исследовательской компании предложили учитывать реальную ситуацию, в которой бизнес-критичные данные не содержатся в единой базе данных, видоизменяются в каждой по-своему, а по пути сохраняются пользователями на персональных устройствах, в облаках и общедоступных папках.

В результате персональные, платежные, учетные данные, файлы с коммерческой тайной, чертежи и прочие технические документы бесконтрольно множатся, что создает как бизнес-риски, так и риски информационной безопасности:

  • доступ к данным получают те, кто не должен;
  • информацию сложнее защитить от слива, так как непонятно, где она находится;
  • привилегированных пользователей становится слишком много, их действия невозможно проконтролировать;
  • сотрудники работают с устаревшими версиями документов.

Частично функции контроля «данных в покое» реализованы в различных смежных системах защиты данных. Они контролируют выделенные части инфраструктуры, у каждой – свой регламент контроля. Но главное – совершенно непонятно, что происходит с данными между этими системами. За эти системы, к тому же, часто отвечает отдельный персонал (как в случае с различными СУБД или CMS), увеличивается число привилегированных пользователей).TAdviser Security 100: Крупнейшие ИБ-компании в России 58.2 т

DCAP-решение появились как ответ на эти проблемы. Согласно Gartner, специализированное DCAP-решение для защиты «данных в покое» должно в идеале стать единой платформой для контроля информации, находящейся в самых разных хранилищах, включая файловые системы, базы данных, облака и т.д.

По состоянию на апрель 2021 года таких интегрированных систем даже на глобальном рынке - единицы. Системы разных вендоров как правило фокусируются на защите определенных видов хранилищ (файловых систем, баз данных, облаков и т.д.) и различны по функционалу.

Несмотря на различия в функционале, DCAP-системы в «базовой» комплектации должны выполнять следующие функции:

  • Обнаруживать и классифицировать данные.
  • Проводить мониторинг прав доступа.
  • Отслеживать операции с данными.
  • Обеспечивать защиту данных, запрещая нежелательные операции с ними.

Ключевые требования к DCAP-решениям

По данным на апрель 2021 года среди ключевых требований, предъявляемых к DCAP-решениям: 

  • Качественная классификация и обнаружение данных.
    • Системы поставляются со встроенными технологиями лингвистического анализа, собранными по наиболее критичным для бизнеса тематикам (персональные данные, коммерческая тайна, платежная информация и т.п.). А также технологиями обработки разных видов данных (например, изображений). Система должна иметь настройки, которые позволяют не перегружать ИТ-инфраструктуру при сканировании (например, проводить проверку по правилам в нерабочее время, сканировать только отредактированные данные и т.п.)

  • Удобное управление политиками безопасности данных.

    • Возможность настраивать разрешения и запреты для разных пользователей и разных видов данных в едином решении. На данном этапе развития рынка в большинстве существующих продуктов функциональность для разных типов хранилищ пока разделена. Поэтому важно обращать внимание на то, возможна ли интеграция разных решений контроля данных между собой.

  • Мониторинг прав и активности пользователей.

    • Мониторинг прав пользователей, особенно тех, кто имеют высокие привилегии, критически важен для соблюдения требований. Продукт должен фиксировать в отчет и при необходимости формировать уведомление, что какому-то пользователю были изменены права, а также о том, какие он выполнял действия с той или иной информацией.

  • Детальная и полноценная отчетность.

    • Для отчета перед регулятором или ретроспективного расследования инцидента может потребоваться множество разных отчетов. Система должна предоставлять возможности создания репортов как минимум о поведении пользователей, изменения данных, нарушения политик безопасности, изменении правд доступа и т.п.

  • Автоматизированное уведомление о нарушениях и предотвращение инцидентов.

    • Возможность создавать автоматические «алерты» системы безопасности на основе настроенных правил безопасности имеет решающее значение. Они могут включать автоматическое уведомление специалистов службы безопасности, автоматическую блокировку процесса или удаление привилегий, прекращение доступа в случае загрузки больших объемов данных и т.д.

  • Защита данных.

    • Некоторые поставщики предлагают отдельные инструменты защиты данных с использованием шифрования, токенизации, маскировки данных. Если такие инструменты не предусмотрены, вероятно потребуется покупка отдельных продуктов. Наличие архива позволяет восстановить информацию, если она была повреждена или удалена кем-то из пользователей.

Глобальные игроки рынка DCAP-систем

По состоянию на апрель 2021 года рынок DCAP только формируется, несмотря на это на нем представлены и многопрофильные ИТ-корпорации, и нишевые игроки: IBM, Oracle, Trustware, Imperva, Symantec, Dell Quest, Netscope, McAfee, Mentis, Identity Finder STEALTHbits и др.

Несмотря на идеальное представление о продукте как едином решении для контроля данных в покое во всех хранилищах, пока таких интегрированных продуктов немного. Так в отчете Gartner за 2014 год не было ни одного такого решения.

По данным на 2018 год – таких решения два: от компаний Protegrity и Informatica.

Успеху более узкоспециализированных ИТ-компаний в значительной степени способствовало принятие законов о защите персональных данных. Рубежом для европейцев может считаться 2016 год, когда в Евросоюзе запустили процедуру обсуждения Общего регламента по защите персональных данных Европейского союза (GDPR), окончательно принятого в 2018 году. Регламент предполагает оборотные штрафы за утечки информации (до 4%).

В США толчком для ужесточения законов, имеющих отношение к персональным данным, послужил скандал 2018 года, связанный с Cambridge Analytica[1]. Одним из заметных итогов этого стало принятие в 2020 году ССРА (California Consumer Privacy Act) – Калифорнийского акта о защите персональных данных.

Таким образом получилось, что спрос на DCAP в значительной степени подстегнули новые требования регуляторов, которые жестко наказывают за утечку, поскольку вовремя обнаруженная «бесхозная» либо общедоступная информация позволяет организациям избежать утечки или несанкционированного доступа.

Российский рынок DCAP-систем

Российский рынок DCAP решений, по состоянию на апрель 2021 года, относительно молодой. Первой среди отечественных разработчиков свое DCAP-решение FileAuditor выпустила компания «СёрчИнформ» в 2019 году. Также в 2019 году свой продукт Makves DCAP вывела на рынок и компания Makves (Маквес).

Оба программных продукта фокусируются на защите неструктурированных данных – файлов и папок.

FileAuditor может использоваться как самостоятельное решение, а также как компонент комплексной системы безопасности. В частности, это решение интегрируется со всеми разработками компании «СёрчИнформ» (DLP, SIEM, DAM-системами (от англ. Digital asset management)).

Makves DCAP - это самостоятельное решение. При этом система интегрируется с любыми решениями для ИБ через REST.API.

Среди факторов, создающих DCAP-продуктам в России хорошую перспективу: дефицит систем при возрастающей в них потребности, а также ужесточение закона по защите данных.

Какие задачи решает Data-Centric Audit and Protection (DCAP)

Термин Data-Centric Audit and Protection (DCAP), то есть аудит и защита данных, появился относительно недавно. Это не значит, что перед компаниями не стояло задачи проводить аудит документов. Просто проблема стала острее: объем данных растет в геометрической прогрессии, и обеспечить порядок в файловой системе вручную теперь не представляется возможным.

DCAP-системы в автоматизированном формате помогают ИБ-специалистам решать сразу несколько задач:

1) Находить, на чьих компьютерах, в каких папках лежат документы, содержащие критичную информацию: персональные данные, коммерческую тайну, номера банковских карт, пароли.

2) Отслеживать все операции, которые производят с этими файлами пользователи. То есть быть в курсе, кто создал, отредактировал, переместил, удалил, скопировал документ.

3) Проводить аудит прав доступа, чтобы автоматически отслеживать открытые ресурсы, файлы, доступные и конкретному пользователю, и группе, а также учетные записи с привилегированными правами.

4) Восстанавливать потерянную информацию, если какому-то пользователю придет в голову удалить файлы, например, из мести. Для этого система создает теневые копии и хранит различные версии документов.

Проблема есть. Где решение?

На международном рынке проблему аудита и защиты данных в покое решают в основном крупные игроки, например, Varonis. Но для отечественных заказчиков использовать системы их разработки – очень дорого, ресурсозатратно, а в свете набирающего обороты импортозамещения – для многих просто недоступно.

В России были попытки реализовать нужный функционал в других решениях – DLP-системах, системах документооборота и пр., но полного функционала DCAP никто до недавнего времени не предоставлял.

В 2019 году компания «СёрчИнформ» выпустила решение для аудита файловой системы – FileAuditor. Молодой продукт отвечал основным требованиям к функционалу: система обнаруживала и классифицировала уязвимые данные, проводила аудит прав доступа, создавала архив критичных документов, контролировала действия пользователей.

Проблема контроля данных в покое на практике решалась так: ПО расставляет метки по категориям (это помогает разом найти все файлы с определенным содержанием), следит за правами доступа и мониторит все операции с файлами. Позволяет настроить политики безопасности – изменение прав доступа к файлу, критичные действия с файлом – и уведомляет ИБ-специалиста об их нарушении.

В начале 2021 года вендор решил задачу проактивной защиты файлов. В последней версии FileAuditor реализованы блокировки по меткам – запрет несанкционированного доступа к документам и отправки их по любому каналу.

Пример интерфейса FileAuditor


На март 2021 года DCAP-система «СёрчИнформ FileAuditor» автоматически блокирует нежелательные действия с файлами в зависимости от их содержимого. Задача решается с помощью меток, которые автоматически присваиваются файлам в зависимости от их категории – «коммерческая тайна», «ПДн», «договоры», «финансовая отчетность», «файлы с паролями» и пр. Затем по меткам настраиваются разрешения и запреты: каким пользователям, за какими ПК и в каких приложениях можно открывать и изменять файл.

Пример: можно запретить отправку файлов с персданными в мессенджерах – и Telegram просто не прикрепит такие документы во вложения. Или разрешить работу в MS Office с документами из группы «Конфиденциально» только директору и только на его ПК – тогда все остальные пользователи, даже получив доступ к такому файлу, не смогут его открыть. Метки незаметны для пользователей и наследуются при копировании, переименовании, смене расширения и др.

Метки имеют большое значение для работы DLP, их наличие позволяет мгновенно блокировать утечку конфиденциальных данных, потому что теперь защитной системе не нужно проверять содержимое каждого файла. Чтобы понять, насколько критичен документ, DLP просто проверяет его метку. Это еще и не перегружает систему.

Блокировка по меткам реализована в DLP-системе «СёрчИнформ КИБ».

Преимущества отечественного решения FileAuditor в сравнении с зарубежными конкурентами

1) Отечественный продукт. Если компания обрабатывает и хранит персональные данные, она в принципе не имеет право пользоваться иностранными DCAP-системами.

2) Доступность. FileAuditor доступнее зарубежных аналогов. Ключевые зарубежные DCAP-системы доступны только крупным корпорациям и не по карману другим заказчикам. Кроме того, многие зарубежные продукты более требовательны к ресурсам, громоздки, что находит отражение в нагрузке на кадры и затратах на железо.

3) Русскоговорящая техподдержка рядом. Если у заказчика возникнут вопросы во время разворачивания системы или при работе, скорость ответа имеет решающее значение. Клиенты «СёрчИнформ», знакомые с работой менеджеров внедрения, инженеров, техподдержки, отмечают работу наших специалистов как одно из ключевых преимуществ при выборе вендора.

4) Возможность интеграции. FileAuditor легко интегрируется с другими продуктами «СёрчИнформ», в первую очередь с DLP «СёрчИнформ КИБ». Как говорилось выше, это существенно повышает уровень защиты информации, т.к. обеспечивается защита не только данных «в покое» (с помощью FileAuditor), но и «в движении» (что отслеживает DLP).

Пример интерфейса FileAuditor

Как правильно выбрать DCAP-систему и как тестировать

Главная рекомендация по выбору любого ПО – все познается в сравнении, необходимо тестировать разные системы, проверяйте их на «прожорливость»: требования к железу, нагрузку на ИТ-инфраструктуру. Надо обращать внимание на качество ТП, готовность вендора к переговорам о доработках и т.п.

Но главная рекомендация – делать нагрузочное тестирование на максимально возможном количестве машин (тем более – это бесплатно). Установка программы на нескольких ПК не даст ответа, какую реальную нагрузку дает программа на инфраструктуру. Кроме того, только при полноценном тестировании можно будет оценить, насколько качественно работают инженеры и техподдержка вендора. Это совет, который можно дать при разворачивании любого программного продукта на тест.

Что касается функционального тестирования, в случае с DCAP-системой имеет смысл поставить «боевую» задачу. Например, отыскать все компьютеры, где в обход политик безопасности хранятся файлы с паролями. Или смоделировать ситуацию, чтобы проследить, как быстро документ с «конфиденциальной» информацией и ограниченными правами доступа разойдется по коллективу.

Результат блокировки

Пример: Один из заказчиков «СёрчИнформ» подошел к тестированию FileAuditor с нерешенной задачей. В компании обнаружили, что дорогое исследование рынка, которое они заказывали, оказалось в даркнете, а после – и в интернете. Уже во время теста стало понятно, как это вышло. Исследование должно было быть доступно нескольким десяткам человек, а оказалось на компьютерах у нескольких сотен. Привилегированный пользователь выложил из своей закрытой папки документ, поделился с кем-то «по дружбе», и информация перестала быть секретом.

DCAP-системы – относительно молодой продукт для ИТ- и ИБ-служб российских компаний, хотя в финансовой и торговой сферах эти решения хорошо знают. На март 2021 года они начинают активно распространяться в другие отрасли, потому что в любой компании стоит задача держать файлы и папки в порядке. Бизнесам слишком дорого обходится, если чувствительная информация попадает не в те руки.

Скачайте «Белую книгу», чтобы узнать больше о принципе действия DCAP-систем и FileAuditor.