20.04.2021 06:01
13 2000 Источник

Привет!

На связи Алексей Парфентьев, руководитель отдела аналитики «СёрчИнформ». В середине прошлого года здесь на Habr мы делились тем, что такое наша система файлового аудита (DCAP-система, если по-умному) FileAuditor. Ледоколом продолжаем разбивать лёд этого относительно нового рынка.

В этом посте решил ответить на часто возникающие вопросы о применении системы файлового аудита, а также рассказать, что нового появилось в функционале.

В последнем обновлении мы реализовали возможность блокировать доступ к конфиденциальным файлам. FileAuditor теперь соответствует тому, каким и должно быть DCAP-решение.

А, напомню, что коллеги из Gartner говорят, что он должен уметь:

  1. Обнаруживать и классифицировать данные

  2. Мониторить привилегии и активность пользователей

  3. Защищать данные

Вот мы и выполнили этот п.3.

Ограничить операции с файлами можно для любого произвольного приложения, а также пересылки в программах.

Как работают блокировки по меткам?

FileAuditor, классифицируя файлы в хранилищах, расставляет метки: комтайна, грифы, ПДн и т.д. Программа поставляется с набором готовых политик для этих меток, можно ввести и собственные, если в вашем бизнесе есть какие-то нетипичные категории данных, которые нужно защищать.

По этим меткам настраиваются разрешения и запреты: каким пользователям, за какими ПК и в каких приложениях можно открывать файл.

 То есть:

 Запретили отправку файлов с меткой «ПДн» в Telegram – пользователь не сможет прикрепить такие документы во вложения и получит уведомление об ошибке.

Разрешили работу в Word с документами «Коммерческая тайна» только директору – любой другой пользователь, даже если получит доступ к файлу, не сможет его открыть.

И т.д. 

Запреты/разрешения по меткам можно установить абсолютно для любых приложений – от браузера и почты до графического редактора или самописного корпоративного мессенджера.

Метки наследуются: если пользователь переименует, скопирует, пересохранит текст документа в новом файле, FileAuditor автоматически применит все разрешения/запреты, которые были установлены для исходного файла.

В итоге мы контролируем:

  • Пересылку файлов по внешним и внутренним каналам.

  • Доступ к файлу посторонних.

  • Нежелательные операции с файлом.

Блокировки по меткам можно применять в DLP

В нашем КИБе, как во многих других DLP-системах, реализованы привычные контекстные и контентные блокировки «в разрыв» для отдельных каналов (почты, флешек и др.).

Кто долго с нами, знает, как мы недолюбливаем саму практику блокировок.

  1. Система компрометируется – пользователь сложит 2+2 и сообразит, что если файл не уходит, то в деле служба безопасности. Начнет искать обходные пути. Но это полбеды. Все-таки есть категории данных, которые нужно защищать с помощью блокирования пересылки.

  2. Блокировки «в разрыв» долгие. DLP нужно проверить каждый файл на разрешения/запреты в момент отправки. Это тормозит процессы и перегружает систему.

  3. Более того, проверку файла DLP будет проводить каждый раз при попытке отправки. И каждый раз это будет занимать время и отнимать ресурсы.

Блокировка по меткам этих недостатков не имеет.

Так как вся информация собрана в метке, DLP просто считывает ее и мгновенно принимает решение – пропускать или блокировать. (Буквально мгновенно, ну если, конечно, вы не считаете важным рассчитать скорость распространения сигнала в проводниках платы и время на срабатывание триггеров в программе).

В отличие от блокировки по каналам блокировка по меткам не зависит от того, какой версии тот или иной мессенджер или браузер. Для FileAuditor это не важно – ограничения работают не в канале связи, а в файловой системе, откуда он запрещает/разрешает приложениям прочитывать данные.

Так что не нужно ждать, пока вендор внесет обновления в систему.

 В итоге имеем вот что:

  • С появлением блокировок по меткам FileAuditor может применяться самостоятельно не только для аудита файловой системы и «уборки», но и для защиты файлов от несанкционированного доступа и утечек.

  • Этот защитный функционал существенно развивает и защитный функционал DLP, которая читает метки, что делает блокировки утечек почти молниеносными и не отнимающими ресурсы. 

  • Сейчас связка, которую реализовали мы (из нашей DLP-системы и программы файлового аудита) не имеет аналога. Отдельно блокировки и метки есть в других DLP и DCAP-решениях, но они как правило не интегрируются между собой и не дают общего эффекта.

Буду рад ответить на вопросы о функционале, его возможностях и ограничениях.