В 2020 году мы выпустили свою DCAP — «СёрчИнформ FileAuditor» для контроля и защиты данных в покое. С тех пор сотни раз презентовали заказчикам, как система полезна «в быту» и помогает держать в порядке корпоративные хранилища. У клиентов собрали статистику: аудит, мол, в 99% случаев выявляет ошибки в распределении прав доступа, неправильное хранение конфиденциальных файлов и перерасход ресурсов. Но прежде всего мы тестируем продукты на себе. Сегодня решили поделиться несколькими кейсами о том, как проверяли собственные файловые хранилища, и показать, что цифра — не преувеличение.

Наш начИБ Алексей Дрозд (aka@labyrinth) рассказывает, как мы поставили эксперимент на себе и что обнаружили.

Стартовые данные

Основных задач у любой DCAP две: поиск файлов и управление доступом к ним. В этом посте мы поговорим о первой. У нас стояла задача инвентаризации файловых хранилищ. Эксперимент начали с того, чтобы выяснить, как используется дисковое пространство и как хранятся критичные категории документов. Озадачили FileAuditor.

Он действует по следующей логике:

  • Сканирует все хранилища и классифицирует файлы в них по содержимому: например, «персданные» или «исходные коды», и присваивает соответствующие метки.

  • Мониторит все операции с файлами: кто, когда и что именно делал с документом, например, перемещал или переименовывал.

  • Вычитывает пользовательские права и находит ошибки в распределении доступов к файлам и папкам, позволяет управлять правами пользователей на совершение определенных операций: «чтение», «изменение», «удаление» и т. п.

  • Блокирует нежелательные действия с файлами по заранее заданным правилам, например, запрещает открывать их с помощью выбранных приложений или прикреплять во вложения в переписке.

  • «Бэкапирует» нужные категории файлов на случай их порчи или утери.

Программа работает через агенты на пользовательских ПК, сетевые папки сканирует, что логично, с помощью сетевой службы. «Фронт работ» для системы составил 170 ПК, на каждом в среднем по 750 Гб памяти. Несколько подразделений, плюс общие сетевые папки по отделам.

Заранее оговоримся, что описываем здесь в основном специфические задачи, либо актуальные конкретно для нашей компании, либо нечасто встречающиеся — чтобы показать, как именно настраивали систему. Подавляющее большинство типовых вопросов, вроде категоризации разных видов ПДн, корреспонденции, документов с грифами, договоров, актов, счетов и пр. еще до старта эксперимента «закрыли» с помощью предустановленных правил классификации в FileAuditor. Их в решении больше 80, если что, расскажем о них в комментариях. А пока к делу.

Перерасход ресурсов

Начали с прикладных задач — некоторые менеджеры жаловались на то, что на машинах мало места. Прежде чем выделять им допресурсы, решили проанализировать, чем забиты их компьютеры. Из клиентских кейсов мы знали, что с FileAuditor освобождают до 40% объема файловых хранилищ, в основном за счет удаления копий, устаревших документов и откровенного «мусора», не имеющего отношения к работе. Было подозрение, что здесь история та же.

Для ревизии настроили несколько правил. Чтобы централизованно смотреть, сколько документов попали в категорию и сколько они весят, в каждом случае мы использовали отчет «Статистика по ПК» и уже по нему оценивали результаты.

1. Поиск тяжелых файлов

Самое весомое, что могло храниться у менеджеров — виртуальные машины с нашими продуктами, они используют их для живых демонстраций клиентам. У сейлов, работающих на внутренний рынок, должна была быть только последняя русскоязычная виртуалка. У зарубежных — соответственно, английская.

Периодически мы выпускаем обновления в виде новых виртуалок, т.к. это более универсальный подход, чем писать инструкции, как перенастроить и что куда добавить в старые. Но менеджеры могли забыть или полениться удалить старые файлы — учитывая, что каждая виртуалка весит по 40–60 Гб, это объяснило бы нехватку места.

В FileAuditor создали «лобовое» правило классификации — по расширению для виртуальных машин «.vdi». Сканирование запустили на всех ПК, но при анализе результатов не учитывали машины тестировщиков и разработки — для них нормально хранить у себя по нескольку сред.

Образы виртуалок нашли на 17 компьютерах, в общей сложности на них лежало 33 машины общим весом 1,39 Тб. У четверых менеджеров их обнаружили по несколько штук, максимум было 8. Пришлось делать внушения и еще раз напоминать, что старые версии виртуальных машин нужно удалять.

2. Поиск мультимедиа

Исходили из того, что прямая необходимость работать с аудио и видео есть только у пиарщиков — они готовят медиаконтент. В остальных случаях это риск нерационального использования ресурсов компании: мультимедиа много весят, то есть снова забивают диски, а если их еще и качают в огромных количествах с рабочего Wi‑Fi — без надобности нагружают сеть.

В FileAuditor создали правило классификации по расширениям файлов — mp4, wav, avi и пр. Сканирование запустили на всех ПК и в сетевых папках, но при анализе результатов не учитывали хранилища PR.

Настройка правила классификации
Настройка правила классификации

Нашли больше 626 Гб потенциального мусора, в топе нарушителей оказались разработчики и тестировщики. На двоих из них пришлась треть всего этого объема — у одного 144, у другого 75 Гб музыки. Для сравнения, во всем PR‑отделе с их видеопродакшеном хранится только 25 Гб медиа.

Аудиотека одного из сотрудников
Аудиотека одного из сотрудников

Остальное — условно‑легитимные находки, например, пару сотен Гб занял «ползучий бэкап» записей внутренних обучений. Это вебинары, которые мы проводим для сейлов и других нетехнических подразделений по обновлениям продуктов, потом по ним принимаем экзамен, так что записи выкладываем. Некоторые сохраняют их с NAS на локальные ПК и, опять же, забывают удалить. Из необычного: у сотрудников, которые работают 10+ лет, нашли древние презентации софта и фотки с первых корпоративов. Это настоящая историческая ценность, потому что общий архив стал формироваться позже и там этих данных не было. Находки перенесли туда во имя ностальгии.

3. Поиск устаревших документов

От топ‑менеджмента была задача — зачистить компы от неактуальной техдокументации. Например, описания с упоминанием продуктов, вышедших из продажи, неактуальных характеристик, старых названий — например, «контроллеры» в КИБ раньше назывались «снифферы», и пр. Если такие документы есть в обороте, это может ввести в заблуждение заказчиков, запутать рабочие процессы, создает простор для махинаций. А если такие файлы лежат, но не используются — это мертвый груз, от которого можно без потерь избавиться.

Искали по двум параметрам. Во‑первых, в FileAuditor задали правила классификации по тексту: названиям продуктов, с одной стороны, и устаревшим значениям технических требований, с другой. Старыми мы признавали, например, то, где написано sniffer, а не controller. Но со sniffer могли встретиться разные слова, поэтому дополнили правило поиском по последовательности символов.

Во‑вторых, задали правило классификации по атрибутам: последнее обращение к файлу более 5 лет назад — чтобы найти неиспользуемые файлы.

Настройка правила поиска неиспользуемых документов
Настройка правила поиска неиспользуемых документов

В общей сложности нашлось 2726 устаревших документов. У пиарщиков в сетевой папке обнаружился большой архив старых маркетинговых материалов, они же дублировались у менеджеров. Другое дело, что неактуальные технические описания нашлись у программистов, тестировщиков и даже инженеров техподдержки. Некоторые документы активно использовались: по истории операций видно, кто и когда с ними работал. К счастью, заказчикам устаревшие файлы не пересылали, но для подстраховки мы все равно сделали рассылку по компании с рекомендациями, где найти актуальную документацию по продуктам.

Неиспользуемые файлы нашли абсолютно у всех, правда, в общей сложности всего 214 Гб. В большинстве случаев это архивы документов. Часто — «наследство» от бывших сотрудников. По идее передача дел должна способствовать тому, чтобы не останавливались бизнес‑процессы, так что эти находки мы отнесли к условно‑легитимным, но по факту к ним никто не притрагивался. Так что мы кинули клич по начальникам подразделений, чтобы отделы «запарковали» нужные им архивы в сетевых папках. А хлам с ПК велели удалить.

Дополнительно мы решили избавиться от всех документов в неактуальном дизайне — настоял PR. Несколько лет назад мы провели ребрендинг и сменили фирменный стиль, но по‑прежнему и во внутреннем документообороте, и в материалах для клиентов встречались файлы с устаревшим оформлением.

Задача оказалась посложнее: в FileAuditor нужно было найти документы разных форматов, типов, содержания. Поэтому настроили поиск по фразе — слогану из старого логотипа, который раньше обязательно размещался в колонтитулах.

Условия поиска документов с устаревшим слоганом
Условия поиска документов с устаревшим слоганом

Документов на старых бланках нашлось порядочно, зато всего у двух сотрудников. Один из них при этом тестировал на «старье» возможности КИБ и самого FileAuditor — забивал ими тестовые машины. Со вторым достаточно было провести беседу, и он старые шаблоны просто удалил. Остальным для профилактики пиарщики напомнили про бренд‑бук.

Неправильное хранение

Главная цель была найти у сотрудников документы, которых у них быть не должно. Для этого можно было проанализировать бизнес‑процессы — кто задействован в тех или иных операциях, куда перемещаются документы и кому предназначаются. Ищем по сотрудникам, все несовпадения с «эталоном» записываем в нарушения. Второй путь — отталкиваться от документов и фиксировать нарушения, если эти документы обнаруживаются не там, где нужно. Второй путь проще, когда речь о больших массивах и большом количестве сотрудников.

Когда ставили ТЗ, что искать, мы опирались на операционные риски. Например, любое хранение и обработка персданных строго регламентируются ФЗ-152, нарушения грозят штрафами. Еще учитывали вероятность мошенничества, «боковиков» и других угроз экономической безопасности. Итого искали документы из категории «ПД» и подозрительные файлы, которые указывали бы на махинации.

1. Поиск персданных

Проиллюстрируем задачу на поиске сканов паспортов. В эксперименте не участвовали ПК кадровиков и бухгалтерии, так что любая находка по этому правилу приравнивалась к нарушению — зачем другим сотрудникам хранить у себя паспорта?

В FileAuditor настроили поиск по регулярным выражениям (номер паспорта), плюс подключили OCR, чтобы вычитывать текст с изображений. Для верности уточнили запрос фразовым поиском: задали слова «Паспорт», «Выдан» и пр. И выставили атрибуты, чтобы под правило попадали только файлы графических форматов.

Настройка правила классификации по поиску паспортов
Настройка правила классификации по поиску паспортов

Коллектив у нас дисциплинированный, так что «сработок» по сути не было. Чужие персональные данные обнаружились у одного сотрудника, и у того по недоразумению. Выяснилось, проблема в общем сканере. В нем есть возможность сканировать сразу в папку определённого ПК. Компьютеры выбираются в МФУ из списка перед сканированием. Некоторые сотрудники ошибочно, на автомате, выбирали первый компьютер из списка. В итоге на этом ПК без ведома владельца (потому что сотрудники забывали ему сказать, а он сам в папку «Документы» не заглядывал) скопилась куча самых разных сканов. В том числе и паспорт, который мы нашли.

2. Поиск чужих уставов

Уставные документы сторонних компаний на ПК сотрудников — это риск, что они мошенничают: например, в сговоре с подрядчиком или ведут «боковой» бизнес.

В FileAuditor настроили правило на поиск похожих. Загрузили в качестве образца пример устава, в исключения задали название и реквизиты нашей компании — вуаля.

Настройка правила классификации
Настройка правила классификации

Нашлось несколько таких документов, все у тестировщиков. На проверку эти уставы оказались скачанными из сети «болванками» для ООО «Ромашка» — на них сотрудники тестировали поиск уставов в нашей же DLP и в самом FileAuditor.

Один из найденных тестовых уставов
Один из найденных тестовых уставов

Кстати, почти также настроены стандартные правила классификации, о которых мы говорили выше, с ними можно искать любые типовые документы — акты, счета‑фактуры и т. п., избегая ложно‑позитивных сработок. То есть решать с DCAP не только задачи безопасности (в данном случае экономической), но и обычной организации документооборота.

Немного выводов

Как и ожидалось, в ходе эксперимента недочеты у нас нашлись. Аудит пошел на пользу. Пусть не в гигантских объемах, но мы расчистили место на дисках, еще некоторый «буст» дали профилактические беседы — теперь, когда сотрудники в курсе, что мы проверяем хранение файлов, постараются держать их в порядке. К тому же аудит помог проверить «на прочность» бизнес‑процессы — некоторые мы скорректировали, получили пищу для ума на будущее.

Бороться с перерасходом ресурсов — не типичная задача для ИБ, но это только первый шаг. В следующих постах расскажем, как провели аудит доступов и разобрались с правами пользователей. Если интересно, в комментариях покажем в деталях, как настраивали те или иные правила. А пока рекомендуем наведаться в блог к @labyrinth : на примере поиска аддонов в браузеры он в подробностях разбирал, как настраивается и работает наш DCAP.

А если вдруг хотите попробовать его на себе — мы как раз раздаем лицензии бесплатно, принимаем заявки до 31 марта. FileAuditor будет у вас в полном доступе и функционале на три месяца, как раз успеете навести в порядок. Все подробности тут.

Комментарии (6)


  1. volchenkodmitriy
    00.00.0000 00:00
    +1

    Спасибо за статью! Классика жанра, вначале ИБ наводит свои правила, чистит, ограничивает, а потом вслед за ними идут сотрудники техподдержки и все "починяют" чтобы хоть как-то можно было работать. Например скидываются там сканы паспортов на один компьютер, а может это уже давно отлаженный бизнес процесс, где эти сканы с этого компьютера передаются, печатаются или как-либо ещё обрабатываются автоматически. Причем тот кто начинал, уже за этим компьютером не работает, а тот кто работает этого не знает, но тем не менее все было отлажено как часы, а теперь сотрудникам проблемы.


    1. SearchInform_team Автор
      00.00.0000 00:00

      Спасибо за обратную связь. Рады, что статья оказалась полезной.


  1. Ndochp
    00.00.0000 00:00

    17 компьютерах, в общей сложности на них лежало 33 машины общим весом 1,39 Тб. У четверых менеджеров их обнаружили по несколько штук, максимум было 8. Пришлось делать внушения и еще раз напоминать, что старые версии виртуальных машин нужно удалять.

    А после того как файлы лишние стерли диски заменили на поменьше? Или в чем экономия от внушения?
    Вот ставлю я себя на место этого менеджера (ну собственно я почти на нем и есть) — я регулярно заливаю себе бэкапы на машину и разворачиваю базу на поиграться. Пока диск не кончится я их не удаляю, ибо зачем? Как вижу, что места маловато — захожу и оптом убиваю.


    1. SearchInform_team Автор
      00.00.0000 00:00

      Спасибо за вопрос! Нет, диски никто не трогал и на поменьше не меняли. В статье описывали ситуацию, когда у менеджера накопился хлам, часть которого ему уже была не нужна, но вместо того, чтобы самостоятельно разобрать мусор, менеджер просил диск побольше. Если бы менеджеру был нужен диск побольше под его задачи, то ему его предоставили бы.

      Но он оказался не такой ответственный, как вы:

      Как вижу, что места маловато — захожу и оптом убиваю.

      и просто поленился почистить свой диск.


  1. polearnik
    00.00.0000 00:00
    +4

    а в чем смысл поиска мультимедии на компах сотрудников? аргументы притянуты за уши . если есть 750гигов места на среднем компе то логично его использовать . разрабы обычно слушают музыку в процессе работы. и довольно логично принести свою музыку чем нагружать интернет онлайн прослушиванием. ЛОгика поиска и удаления от меня ускользает


  1. sergeyns
    00.00.0000 00:00

     99% случаев выявляет ошибки в распределении прав доступа, неправильное хранение конфиденциальных файлов и перерасход ресурсов.

    Ну и что? Я бы удивился если бы нашли хоть одну компанию где такого нет. Ну и инструментов для аудита тоже не один..

     Выяснилось, проблема в общем сканере. В нем есть возможность сканировать сразу в папку определённого ПК. Компьютеры выбираются в МФУ из списка перед сканированием. Некоторые сотрудники ошибочно, на автомате, выбирали первый компьютер из списка. В итоге на этом ПК без ведома владельца (потому что сотрудники забывали ему сказать, а он сам в папку «Документы»

    А вот это как раз ваша проблема, а не сотрудника который на этом компе работал. У него может быть вообще не было прав увидеть те документы, который на его комп положил сканер. И вообще странные у вас сканеры с учетками с доступами к дискам. Шлите сканы по почте. Или напрямую в систему, где эти сканы должны храниться