Возможности DCAP-систем на примере «СёрчИнформ FileAuditor»

Дата: 08.12.2020. Автор: СёрчИнформ. Категории: Статьи по информационной безопасности
Возможности DCAP-систем на примере «СёрчИнформ FileAuditor»

Утечки чувствительных данных связаны не только с действиями злоумышленников, но и с тем, что конфиденциальная информация в компаниях нередко хранится в незащищенных местах – на компьютерах сотрудников, в общих сетевых папках и т.п. Найти, классифицировать и обезопасить все ценные сведения помогают системы класса DCAP (data-centric audit and protection). Покажем их возможности на примере решения FileAuditor – разработки компании «СёрчИнформ».

Вначале опишем задачи, для которых предназначены DCAP-системы, и поясним, как их успешное решение с помощью системы FileAuditor отражается на повышении качества бизнес-процессов.

  1. Поиск и классификация данных

Первое, что следует сделать для защиты конфиденциальных сведений – найти разбросанные по ПК и серверам данные и определить, какие из них содержат уязвимую к утечке информацию. Эту работу выполняют агенты на конечных устройствах и служба сетевого сканирования. Последняя взаимодействует с сетевыми хранилищами по протоколу SMB, поэтому сканирование возможно на любых устройствах вне зависимости от ОС.

Схема работы FileAuditor

Схема работы FileAuditor

Работа агентов и службы сетевого сканирования не тормозит контролируемые машины и незаметна для пользователей. Это достигается благодаря настройкам:

  • расписания проверок (например, только по окончании рабочего времени);
  • условия проверок (например, только если загрузка ЦП меньше N%, только в отсутствии активных сессий и т.д.);
  • скорости сканирования (ее можно снизить для облегчения нагрузки на инфраструктуру).

Кроме того, некоторые файлы и папки для экономии времени можно исключить из сканирования. Например, незачем тратить ресурсы ПО и время на анализ системных файлов. Список исключений гибко настраивается по атрибутам, названию, расположению и др.

За поиск, индексацию и анализ содержимого сканируемых файлов отвечает собственный движок компании «СёрчИнформ» – SearchServer. В его интерфейсе настраивается поиск по тексту с учетом морфологии, а также по регулярным выражениям и атрибутам (типу, размеру, времени создания, местоположению файла и т.д.).

Редактор регулярных выражений в FileAuditor

Редактор регулярных выражений в FileAuditor

Результаты сканирования выдаются в виде «библиотеки», где видны расположение файлов и выделенная цветом категория – Персональные данные, Финансовые документы и т.д. Кликнув на документ, мы увидим, когда он попал под правило и почему. Система подсветит, по каким признакам сочла файл подходящим под заданную категорию.
Цветная маркировка правил и подсветка ключевых фрагментов документа в FileAuditor
Цветная маркировка правил и подсветка ключевых фрагментов документа в FileAuditor

  1. Аудит файлов и операций пользователей с ними

После того, как данные прошли классификацию, и система разметила все, что подлежит пристальному контролю, FileAuditor запускает процесс постоянного мониторинга. После этого появление и изменение важных документов на любом ПК или сервере и изменение доступа к ним уже не останется незамеченным. Результаты мониторинга можно увидеть в сводном отчете или специальных политиках безопасности, которые пришлют оповещение при каждом важном событии с искомыми категориями файлов.

Сработка политики безопасности FileAuditor: новые пользователи получили права на редактирование контролируемого документа
Сработка политики безопасности FileAuditor: новые пользователи получили права на редактирование контролируемого документа

Система контролирует не только сами файлы с чувствительной для бизнеса информацией, но и тех, кто с ними работает – создает, сохраняет, изменяет, открывает или редактирует. При анализе FileAuditor определяет, кто работал с файлами – сопоставляет действие  с доменным именем пользователя и параллельно проверяет его на соответствие корпоративным политикам безопасности.

Особенно критичные события можно дополнительно контролировать вручную. Например, отслеживать несанкционированный перевод документа из разряда конфиденциальных в обычные.

Расследование инцидента в FileAuditor: сотрудник изменил содержимое документа, чтобы он перестал попадать под правило, и переместил его в папку «Не забыть»
Расследование инцидента в FileAuditor: сотрудник изменил содержимое документа, чтобы он перестал попадать под правило, и переместил его в папку «Не забыть»

  1. Теневое копирование

При необходимости FileAuditor копирует файлы с критичными данными на сервер, где они хранятся в зашифрованном виде. При этом видна история последних изменений документов. Это позволяет оперативно восстановить всю важную информацию в случае ее кражи, шифрования злоумышленником или ликвидации (случайной или злонамеренной). Благодаря функции дедупликации и тому, что программа сохраняет только те документы, по которым настроены политики безопасности, сервер не перегружен копиями лишних файлов.

  1. Интеграция с DLP

Совместное использование этих систем кратно усилит уровень ИБ, так как под контролем окажутся не только внутренняя экосистема, но и внешний периметр организации. FileAuditor покажет, у кого конфиденциальные документы хранятся в нарушение политик безопасности, а DLP-система позволит отследить, кто, когда, кому отправлял файлы, и наглядно продемонстрирует это по контентным маршрутам.

Интеграция также откроет пользователю гибридный функционал обоих систем. Например, в DLP «СёрчИнформ КИБ» ИБ-специалист сможет запретить передачу по тем или иным каналам документов, попадающих в заданные в FileAuditor категории – заблокировать любые попытки отправить файл из категории «Финансовые документы» в облако или поделиться документом с маркером «Коммерческая тайна» в мессенджере.

Если компания уже использует для защиты данных DLP «СёрчИнформ КИБ», для активации FileAuditor не придется дополнительно устанавливать агентское и серверное ПО. Достаточно обновить систему и активировать соответствующую опцию.

Также FileAuditor поддерживает интеграцию с SIEM и SOC.

Итого: что компания получает с DCAP?

Вышеописанный функционал DCAP-системы FileAuditor позволяет:

  • Надежно охранять доступ к коммерческой тайне и конфиденциальной информации;
  • Избежать штрафов регуляторов за неправильное хранение и оборот персональных данных;
  • Восстанавливать важные файлы – утраченные по неосторожности или из-за целенаправленных диверсий;
  • Избавиться от информационного мусора.

Попробовать все возможности решения можно бесплатно в течение месяца. Для этого нужно оставить заявку на сайте вендора.

СёрчИнформ

Об авторе СёрчИнформ

Российская компания, производитель программного обеспечения для защиты от утечек информации, контроля продуктивности сотрудников за ПК и управления событиями информационной безопасности.
Читать все записи автора СёрчИнформ

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *