Компаниям важно, чтобы личные данные сотрудников, конфиденциальная информация клиентов и документы с грифом «коммерческая тайна» были надежно защищены. С каждым годом такой информации становится больше и она подвергается все новым рискам. Параллельно ужесточаются наказания ответственных лиц за нарушения в отношении данных. Например, в Совете Федерации этим летом начали обсуждать закон, который предусматривает лишение свободы сроком до 10 лет и многомиллионные штрафы. Защита данных — тема обширная, выходящая за рамки статьи, поэтому сегодня я расскажу лишь об одном из инструментов, помогающих избежать некоторых рисков, связанных с хранением неструктурированных данных — о DCAP-системе.
Что такое DCAP
Раньше стратегии обеспечения безопасности данных строились вокруг защиты информации внутри БД компании (это, например, системы хранения, приложения по обработке данных). Но как только информация покидала внутренний контур, она становилась неструктурированной и неконтролируемой. Чтобы обезопасить ее, требовался иной подход.
Все изменилось с появлением DCAP (Data-Centric Audit and Protection).
Сам термин DCAP ввела в широкое употребление известная консалтинговая компания Gartner, специализирующаяся на IT-исследованиях. Аббревиатура прижилась на российском рынке и стала обозначать класс решений, объединяющий в себе функциональность аудита неструктурированных данных, поведенческого анализа и автоматизированного реагирования на выявленные угрозы.
DCAP-подход делает упор на безопасности самих данных (Data-Centric), а не сетей, оборудования или программного обеспечения. Инструмент DCAP анализирует именно неструктурированные данные — это стихийно генерируемая и, порой, хаотично перемещающаяся информация, которые всегда находятся под угрозой неправомерного использования. Она может быть представлена в виде текстового, аудио- и видеоконтента, файлов электронной почты, изображений и много другого. ИБ отделу сложно отследить, когда и куда были скопированы, например, сканы паспортов сотрудников из защищенной папки кадрового отдела. Трудно проконтролировать, не был ли расшарен договор, содержащий коммерческую тайну, в директорию с общим доступом. Разобраться со всем этим как раз и помогают DCAP-решения.
В центре внимания DCAP находятся:
поиск и классификация данных;
управление политиками безопасности;
мониторинг прав доступа пользователей к данным;
действия с этими данными;
аудит информационных ресурсов;
поведенческий анализ;
система оповещений и реагирования на события.
Системы класса DCAP позволяют обнаружить ценные для компании сведения, где бы те ни располагались в пределах корпоративной сети. Также становится проще определить пользователей, имеющих к ним доступ, и отследить, как именно используются данные.
Как DCAP-системы реализуют принцип CIA на практике
Идеология DCAP следует принятому в информационной безопасности принципу защиты данных. Он основывается на обеспечении доступности, целостности и конфиденциальности данных и сокращенно называется «триада CIA» (Confidentiality, Integrity, Availability).
Доступность (Availability)
Доступность данных подразумевает, что сотрудники, которые работают с информацией, могут беспрепятственно пользоваться ею в соответствии с правами доступа. Например, компания оперирует множеством критически важных документов. Это могут быть: техническая информация и чертежи, личные данные клиентов, финансовая отчетность.
Множество обстоятельств может вызвать риск потери доступности данных. Например, человеческая ошибка – сотрудник, у которого был доступ к чувствительным данным, мог случайно перезаписать или удалить важные файлы на сетевом хранилище. Без резервной копии такие данные восстановить будет невозможно, а это может нанести большой ущерб бизнес-процессам компании.
DCAP-решения позволяют обеспечивать доступность данных и минимизировать риски ошибок и других опасных факторов. В первую очередь DCAP выявляет конфиденциальную информацию и классифицирует ее по уровню рисков. Выявление и классификация происходят по содержимому и внешним атрибутам. Система обнаруживает в открытом доступе файлы со скан-копиями документов, удостоверяющих личность, платежные данные карт и другую информацию, которая считается конфиденциальной. Она распознает графические отпечатки большинства документов, попадающих в категорию персональных данных: паспорта, водительские удостоверения, СНИЛСы и другие.
DCAP-система проводит аудит и мониторинг учетных записей и выданных прав, и на основе этих данных выстраивает прозрачную матрицу доступа. В результате сотрудникам ИБ-отдела будет доступна подробная информация о том, какие данные считаются критически важными, где они расположены и кто имеет к ним право доступа. В случае инцидента DCAP-системы помогут выявить нарушителя и принять меры в режиме реального времени. Таким образом будет обеспечена доступность данных в соответствии с политиками управления доступом компании.
Целостность (Integrity)
Целостность информации означает, что данные не были изменены при выполнении операций над ними, а если и были, то только пользователями с надлежащим уровнем прав. Множество компаний также встречается с риском нарушения целостности данных. Например, создается огромное число копий важных документов, и с каждой новой копией становится все сложнее отследить оригинал файла или его актуальную версию, которая нужна сотрудникам или клиентам компании. Использование неподходящей версии презентации продукта или отправка прайс-листа с устаревшими данными могут привести к проблемам в бизнес-процессах и даже подрыву репутации компании.
Но несоблюдение целостности информации грозит не только хаосом в копиях важных данных. Внутри компании может действовать злоумышленник, который изменяет данные в критически важных отчетах, договорах или счетах с целью нанести вред компании или получить выгоду от своих действий. При этом изменения будут выглядеть полностью легитимно для других пользователей, что как раз отличает нарушение целостности данных от нарушения их доступности. Найти такого вредителя среди сотрудников без специализированного решения – очень трудоемкая задача, которая не всегда может завершиться успешно.
Конфиденциальность (Confidentiality)
Поэтому мы говорим еще и о конфиденциальности информации, предполагающая обеспечение доступа только ограниченному кругу лиц, которые должны работать с этой информацией в соответствии со своими должностными обязанностями. Нарушение конфиденциальности приводит к серьезным последствиям — в первую очередь, к утечкам данных и связанных с этим штрафами.
DCAP-системы позволяют увидеть обычное поведение пользователей, а также отследить подозрительные действия и события системы. Так можно выявлять потенциальные атаки и быстро реагировать на них. Известно, что просмотр журналов событий занимает слишком много времени. Чтобы оперативно выяснять, кто действительно обращается к конфиденциальным данным и нормально ли для пользователя такое поведение, необходимы средства автоматизации, которые предоставляют DCAP-решения.
Значительную угрозу для нарушения конфиденциальности информации несут и копии файлов. Файлы, содержащие коммерческую тайну, производственную документацию секретного характера или персональные данные, часто становятся жертвой утечек по причине того, что один из сотрудников создал копию документа в папке общего доступа. Сотрудники могут распространять важные данные даже без злого умысла или могут стать жертвой социальной инженерии, например, фишинга. Риск утечки данных становится практически неизбежным, когда у компании нет контроля и понимания того, что происходит с ее данными, где они находятся и кто имеет к ним доступ.
DCAP-системы помогают не только вовремя обнаружить уязвимость, но и предотвратить распространение атак. При выявлении угрозы сотрудники ИБ-отдела могут принудительно завершить сессию пользователя, инициировать смену пароля, блокировать АРМ или учетную запись. Если инцидент все же произошел, то при его расследовании важно понимать, кто и каким образом получил доступ к информации. DCAP-системы в режиме онлайн фиксируют все события, связанные с файлами и папками, а также действия с электронной почтой и изменения прав доступа.
Также в современных DCAP-решениях есть система рекомендаций, которая позволяет удалять дубликаты файлов, отслеживать права доступа к файлам с чувствительной информацией, очищать хранилища от неиспользуемых файлов. Все эти действия можно производить прямо в интерфейсе системы. Если сотрудники ИБ-отдела заметили подозрительную активность, они могут в любой момент проверить файловые хранилища на «захламленность» или отключить доступ к важным данным.
________________________________
Подробнее о защите данных приглашаю поговорить при личной встрече на конференции «Защита данных: сохранить все», которая состоится 23 октября в ЦДП в Москве по адресу: ул. Покровка, 47. Я буду участвовать в дискуссии о расследовании инцидентов утечки данных. Вместе с представителями Skillbox, Бастион, Weblock и Eqvanta мы обсудим самое горячее. Присоединяйтесь. По промокоду datasec-15 — скидка на участие 15%.