В 2020 году мы выпустили свою DCAP — «СёрчИнформ FileAuditor» для контроля и защиты данных в покое. С тех пор сотни раз презентовали заказчикам, как система полезна «в быту» и помогает держать в порядке корпоративные хранилища. У клиентов собрали статистику: аудит, мол, в 99% случаев выявляет ошибки в распределении прав доступа, неправильное хранение конфиденциальных файлов и перерасход ресурсов. Но прежде всего мы тестируем продукты на себе. Сегодня решили поделиться несколькими кейсами о том, как проверяли собственные файловые хранилища, и показать, что цифра — не преувеличение.

Наш начИБ Алексей Дрозд (aka@labyrinth) рассказывает, как мы поставили эксперимент на себе и что обнаружили.

Стартовые данные

Основных задач у любой DCAP две: поиск файлов и управление доступом к ним. В этом посте мы поговорим о первой. У нас стояла задача инвентаризации файловых хранилищ. Эксперимент начали с того, чтобы выяснить, как используется дисковое пространство и как хранятся критичные категории документов. Озадачили FileAuditor.

Он действует по следующей логике:

• Сканирует все хранилища и классифицирует файлы в них по содержимому: например, «персданные» или «исходные коды», и присваивает соответствующие метки.

• Мониторит все операции с файлами: кто, когда и что именно делал с документом, например, перемещал или переименовывал.

• Вычитывает пользовательские права и находит ошибки в распределении доступов к файлам и папкам, позволяет управлять правами пользователей на совершение определенных операций: «чтение», «изменение», «удаление» и т. п.

• Блокирует нежелательные действия с файлами по заранее заданным правилам, например, запрещает открывать их с помощью выбранных приложений или прикреплять во вложения в переписке.

• «Бэкапирует» нужные категории файлов на случай их порчи или утери.

Программа работает через агенты на пользовательских ПК, сетевые папки сканирует, что логично, с помощью сетевой службы. «Фронт работ» для системы составил 170 ПК, на каждом в среднем по 750 Гб памяти. Несколько подразделений, плюс общие сетевые папки по отделам.

Заранее оговоримся, что описываем здесь в основном специфические задачи, либо актуальные конкретно для нашей компании, либо нечасто встречающиеся — чтобы показать, как именно настраивали систему. Подавляющее большинство типовых вопросов, вроде категоризации разных видов ПДн, корреспонденции, документов с грифами, договоров, актов, счетов и пр. еще до старта эксперимента «закрыли» с помощью предустановленных правил классификации в FileAuditor. Их в решении больше 80, если что, расскажем о них в комментариях. А пока к делу.

Перерасход ресурсов

Начали с прикладных задач — некоторые менеджеры жаловались на то, что на машинах мало места. Прежде чем выделять им допресурсы, решили проанализировать, чем забиты их компьютеры. Из клиентских кейсов мы знали, что с FileAuditor освобождают до 40% объема файловых хранилищ, в основном за счет удаления копий, устаревших документов и откровенного «мусора», не имеющего отношения к работе. Было подозрение, что здесь история та же.

Для ревизии настроили несколько правил. Чтобы централизованно смотреть, сколько документов попали в категорию и сколько они весят, в каждом случае мы использовали отчет «Статистика по ПК» и уже по нему оценивали результаты.

1. Поиск тяжелых файлов

Самое весомое, что могло храниться у менеджеров — виртуальные машины с нашими продуктами, они используют их для живых демонстраций клиентам. У сейлов, работающих на внутренний рынок, должна была быть только последняя русскоязычная виртуалка. У зарубежных — соответственно, английская.

Периодически мы выпускаем обновления в виде новых виртуалок, т.к. это более универсальный подход, чем писать инструкции, как перенастроить и что куда добавить в старые. Но менеджеры могли забыть или полениться удалить старые файлы — учитывая, что каждая виртуалка весит по 40–60 Гб, это объяснило бы нехватку места.

В FileAuditor создали «лобовое» правило классификации — по расширению для виртуальных машин «.vdi». Сканирование запустили на всех ПК, но при анализе результатов не учитывали машины тестировщиков и разработки — для них нормально хранить у себя по нескольку сред.

Образы виртуалок нашли на 17 компьютерах, в общей сложности на них лежало 33 машины общим весом 1,39 Тб. У четверых менеджеров их обнаружили по несколько штук, максимум было 8. Пришлось делать внушения и еще раз напоминать, что старые версии виртуальных машин нужно удалять.

2. Поиск мультимедиа

Исходили из того, что прямая необходимость работать с аудио и видео есть только у пиарщиков — они готовят медиаконтент. В остальных случаях это риск нерационального использования ресурсов компании: мультимедиа много весят, то есть снова забивают диски, а если их еще и качают в огромных количествах с рабочего Wi‑Fi — без надобности нагружают сеть.

В FileAuditor создали правило классификации по расширениям файлов — mp4, wav, avi и пр. Сканирование запустили на всех ПК и в сетевых папках, но при анализе результатов не учитывали хранилища PR.

Нашли больше 626 Гб потенциального мусора, в топе нарушителей оказались разработчики и тестировщики. На двоих из них пришлась треть всего этого объема — у одного 144, у другого 75 Гб музыки. Для сравнения, во всем PR‑отделе с их видеопродакшеном хранится только 25 Гб медиа.

Остальное — условно‑легитимные находки, например, пару сотен Гб занял «ползучий бэкап» записей внутренних обучений. Это вебинары, которые мы проводим для сейлов и других нетехнических подразделений по обновлениям продуктов, потом по ним принимаем экзамен, так что записи выкладываем. Некоторые сохраняют их с NAS на локальные ПК и, опять же, забывают удалить. Из необычного: у сотрудников, которые работают 10+ лет, нашли древние презентации софта и фотки с первых корпоративов. Это настоящая историческая ценность, потому что общий архив стал формироваться позже и там этих данных не было. Находки перенесли туда во имя ностальгии.

3. Поиск устаревших документов

От топ‑менеджмента была задача — зачистить компы от неактуальной техдокументации. Например, описания с упоминанием продуктов, вышедших из продажи, неактуальных характеристик, старых названий — например, «контроллеры» в КИБ раньше назывались «снифферы», и пр. Если такие документы есть в обороте, это может ввести в заблуждение заказчиков, запутать рабочие процессы, создает простор для махинаций. А если такие файлы лежат, но не используются — это мертвый груз, от которого можно без потерь избавиться.

Искали по двум параметрам. Во‑первых, в FileAuditor задали правила классификации по тексту: названиям продуктов, с одной стороны, и устаревшим значениям технических требований, с другой. Старыми мы признавали, например, то, где написано sniffer, а не controller. Но со sniffer могли встретиться разные слова, поэтому дополнили правило поиском по последовательности символов.

Во‑вторых, задали правило классификации по атрибутам: последнее обращение к файлу более 5 лет назад — чтобы найти неиспользуемые файлы.

В общей сложности нашлось 2726 устаревших документов. У пиарщиков в сетевой папке обнаружился большой архив старых маркетинговых материалов, они же дублировались у менеджеров. Другое дело, что неактуальные технические описания нашлись у программистов, тестировщиков и даже инженеров техподдержки. Некоторые документы активно использовались: по истории операций видно, кто и когда с ними работал. К счастью, заказчикам устаревшие файлы не пересылали, но для подстраховки мы все равно сделали рассылку по компании с рекомендациями, где найти актуальную документацию по продуктам.

Неиспользуемые файлы нашли абсолютно у всех, правда, в общей сложности всего 214 Гб. В большинстве случаев это архивы документов. Часто — «наследство» от бывших сотрудников. По идее передача дел должна способствовать тому, чтобы не останавливались бизнес‑процессы, так что эти находки мы отнесли к условно‑легитимным, но по факту к ним никто не притрагивался. Так что мы кинули клич по начальникам подразделений, чтобы отделы «запарковали» нужные им архивы в сетевых папках. А хлам с ПК велели удалить.

Дополнительно мы решили избавиться от всех документов в неактуальном дизайне — настоял PR. Несколько лет назад мы провели ребрендинг и сменили фирменный стиль, но по‑прежнему и во внутреннем документообороте, и в материалах для клиентов встречались файлы с устаревшим оформлением.

Задача оказалась посложнее: в FileAuditor нужно было найти документы разных форматов, типов, содержания. Поэтому настроили поиск по фразе — слогану из старого логотипа, который раньше обязательно размещался в колонтитулах.

Документов на старых бланках нашлось порядочно, зато всего у двух сотрудников. Один из них при этом тестировал на «старье» возможности КИБ и самого FileAuditor — забивал ими тестовые машины. Со вторым достаточно было провести беседу, и он старые шаблоны просто удалил. Остальным для профилактики пиарщики напомнили про бренд‑бук.

Неправильное хранение

Главная цель была найти у сотрудников документы, которых у них быть не должно. Для этого можно было проанализировать бизнес‑процессы — кто задействован в тех или иных операциях, куда перемещаются документы и кому предназначаются. Ищем по сотрудникам, все несовпадения с «эталоном» записываем в нарушения. Второй путь — отталкиваться от документов и фиксировать нарушения, если эти документы обнаруживаются не там, где нужно. Второй путь проще, когда речь о больших массивах и большом количестве сотрудников.

Когда ставили ТЗ, что искать, мы опирались на операционные риски. Например, любое хранение и обработка персданных строго регламентируются ФЗ-152, нарушения грозят штрафами. Еще учитывали вероятность мошенничества, «боковиков» и других угроз экономической безопасности. Итого искали документы из категории «ПД» и подозрительные файлы, которые указывали бы на махинации.

1. Поиск персданных

Проиллюстрируем задачу на поиске сканов паспортов. В эксперименте не участвовали ПК кадровиков и бухгалтерии, так что любая находка по этому правилу приравнивалась к нарушению — зачем другим сотрудникам хранить у себя паспорта?

В FileAuditor настроили поиск по регулярным выражениям (номер паспорта), плюс подключили OCR, чтобы вычитывать текст с изображений. Для верности уточнили запрос фразовым поиском: задали слова «Паспорт», «Выдан» и пр. И выставили атрибуты, чтобы под правило попадали только файлы графических форматов.

Коллектив у нас дисциплинированный, так что «сработок» по сути не было. Чужие персональные данные обнаружились у одного сотрудника, и у того по недоразумению. Выяснилось, проблема в общем сканере. В нем есть возможность сканировать сразу в папку определённого ПК. Компьютеры выбираются в МФУ из списка перед сканированием. Некоторые сотрудники ошибочно, на автомате, выбирали первый компьютер из списка. В итоге на этом ПК без ведома владельца (потому что сотрудники забывали ему сказать, а он сам в папку «Документы» не заглядывал) скопилась куча самых разных сканов. В том числе и паспорт, который мы нашли.

2. Поиск чужих уставов

Уставные документы сторонних компаний на ПК сотрудников — это риск, что они мошенничают: например, в сговоре с подрядчиком или ведут «боковой» бизнес.

В FileAuditor настроили правило на поиск похожих. Загрузили в качестве образца пример устава, в исключения задали название и реквизиты нашей компании — вуаля.

Нашлось несколько таких документов, все у тестировщиков. На проверку эти уставы оказались скачанными из сети «болванками» для ООО «Ромашка» — на них сотрудники тестировали поиск уставов в нашей же DLP и в самом FileAuditor.

Кстати, почти также настроены стандартные правила классификации, о которых мы говорили выше, с ними можно искать любые типовые документы — акты, счета‑фактуры и т. п., избегая ложно‑позитивных сработок. То есть решать с DCAP не только задачи безопасности (в данном случае экономической), но и обычной организации документооборота.

Немного выводов

Как и ожидалось, в ходе эксперимента недочеты у нас нашлись. Аудит пошел на пользу. Пусть не в гигантских объемах, но мы расчистили место на дисках, еще некоторый «буст» дали профилактические беседы — теперь, когда сотрудники в курсе, что мы проверяем хранение файлов, постараются держать их в порядке. К тому же аудит помог проверить «на прочность» бизнес‑процессы — некоторые мы скорректировали, получили пищу для ума на будущее.

Бороться с перерасходом ресурсов — не типичная задача для ИБ, но это только первый шаг. В следующих постах расскажем, как провели аудит доступов и разобрались с правами пользователей. Если интересно, в комментариях покажем в деталях, как настраивали те или иные правила. А пока рекомендуем наведаться в блог к @labyrinth : на примере поиска аддонов в браузеры он в подробностях разбирал, как настраивается и работает наш DCAP.

А если вдруг хотите попробовать его на себе — мы как раз раздаем лицензии бесплатно, принимаем заявки до 31 марта. FileAuditor будет у вас в полном доступе и функционале на три месяца, как раз успеете навести в порядок. Все подробности тут.