Почему важно «раскладывать по полкам» документы с конфиденциальными данными? Зачем следить за изменениями в их содержимом и хранить архив редакций? Можно ли вычислить откатчика по названию файлов на его ПК? Разбираемся на реальных примерах и объясняем, с чего начать мониторинг данных в покое.
Важная теория
Отслеживая перемещение корпоративных документов (читай: данные в движении), можно упустить защиту данных в покое. Некоторые DLP-системы способны показать, на каких серверах и ПК хранятся конфиденциальные файлы с помощью механизма eDiscovery.
Но знания, что все прайс-листы лежат в одноименной папке недостаточно для их полноценной защиты. Необходимо выяснить, кто из сотрудников имеет к ней доступ, кто открывает, редактирует эти документы. Отдельный момент, что в excel-таблице «Работники» на самом деле могут храниться персональные данные VIP-клиентов, а в папке «Разобрать» – финансовые отчеты. Для решения всех этих задач используют специальный класс продуктов – DCAP.
(Data-Centric Audit and Protection) проводят автоматизированный аудит данных в файловой системе, находят нарушения прав доступа и отслеживают изменения в значимых документах. Это помогает понять, сколько в компании ценных данных, где они хранятся, кто из сотрудников и как может их использовать.
Теперь к практике! Поделимся невыдуманными историями клиентов и расскажем на примере «СёрчИнформ FileAuditor», как DCAP-системы решают задачи заказчиков.
Защита от случайного разглашения
Кейс. В общей сетевой папке нашли каталог, в котором хранились сканы паспортов – по ошибке или незнанию сотрудников, а на ПК пользователей обнаружили другие персональные данные. Такая неразбериха в документах – дополнительный риск столкнуться с санкциями Роскомнадзора или, что еще хуже, потерять ценные сведения. В этом случае до инцидента не дошло. Обнаружить и устранить проблему помог FileAuditor.
Как это работает?
Под «капотом» DCAP-систем находятся поисковые алгоритмы. От их количества и качества зависит функциональность решения. Чем мощнее поисковый «движок», тем более резво и действенно будет работать программа.
В FileAuditor сейчас четыре вида поиска – по тексту, регулярным выражениям, атрибутам, словарям. Задать условия поиска и выбрать объекты сканирования (файл, место хранения) можно при настройке Правил контроля данных. Для удобства пользователей в программе есть готовые шаблоны правил.
Пример правил контроля данных в FileAuditor
По сути – это правила классификации документов по содержимому. Так можно разбить на категории всю значимую информацию в корпоративной сети – «Офисные файлы», «Контракты», «Прайсы», «Персональные данные» и т.д. Далее программа проводит сканирование и, если файл подпадает под правило, ставит на него условную «метку».
Сканирование проводится в двух режимах – на сервере и на агенте. Для проверки можно использовать оба. В первом режиме программа проверяет данные в сетевых папках и на серверах, во втором – «просматривает» файлы на ПК сотрудников. Расписание проверок можно настроить. Причем программа в первую очередь проконтролирует измененные и новые файлы. А значит, найти нарушителя можно будет по «свежему следу».
Результаты сканирования собраны в Консоли аналитика. Здесь отображается дерево папок и вложенных в них файлов с метками (их цвет задается при настройке правил). Теперь можно увидеть все документы с конфиденциальным содержимым и взять их под защиту, как поступила компания из первого кейса.
Цветные метки, «поставленные» программой на документ, отображаются в столбце Правила
Проверить ход сканирования позволяет Отчет об ошибках. Он отражает технические проблемы, с которыми столкнулась программа во время мониторинга конкретного файла или папки. Например, сервер, где они хранились, был не доступен.
В Консоли аналитика можно отслеживать и права доступа к файлам и папкам. Программа вычитывает заданные в ОС права и отображает их в режиме «Просмотр файлов».
Список пользователей с перечислением их прав доступа к выбранной папке и файлам в нейПонять, кому принадлежит документ или папка, помогает и Отчет о владельцах ресурсов, который доступен в Консоли. Он упрощает отслеживание новых объектов в файловой системе.
Что контролировать в первую очередь?
Создайте список файлов, которые нужно держать на особом контроле (файлы, содержащие коммерческую тайну, персданные, бухгалтерские документы и т.д.). Чтобы он был максимально полным, привлекайте к его составлению руководителей отделов или топ-менеджеров.
Ниже несколько рекомендаций по созданию правил контроля данных в FileAuditor:
1. Отслеживайте документы с грифами («Для служебного пользования», «Секретно», «Коммерческая тайна» и т.п.). Используйте поиск по тексту – с учетом морфологии или по точному совпадению, либо по маске.
2. Контролируйте договоры, коммерческие предложения и соглашения. Оригиналы и версии легко найти по последовательности символов (Договор №29) или по маске (договор.?, №*.docx).
3. Настройте поиск по регулярным выражениям (математическим «формулам») для мониторинга документов с персданными – номера паспортов, телефонов, платежных карт и т.п.
Настройка поиска по регулярным выражениям документов, которые содержат номер платежной карты
Некоторые файлы и папки для экономии времени можно исключить из сканирования. Например, незачем тратить ресурсы ПО и время на анализ системных файлов.
Список исключений в настройках FileAuditor гибко настраивается по категории, расширению, расположению и др.
Добавление системных файлов и папок в список исключений
Пресечение утечек
Кейс. Перед увольнением маркетолог ритейл-компании скачал с файлового сервера на свой ПК дорогостоящее исследование рынка. Спустя время скачанный файл перестал попадать в категорию «коммерческая тайна». Получив уведомление от FileAuditor, служба безопасности изучила внесенные в документ изменения. Выяснилось, что сотрудник сократил и частично переписал содержимое, чтобы выдать исследование за собственное – собирался унести его на новое место работы.
Как это работает?
В FileAuditor действия пользователей с файлами отображаются в Консоли аналитика в режиме «Операции». С помощью этой опции служба безопасности смогла восстановить хронологию действий сотрудника и собрать доказательства нарушения.
Просмотр операций с договором: пользователь сначала переименовал файл, а затем неоднократно его открывал
Как не упустить инцидент?
Для оперативного отслеживания инцидентов можно настроить отправку уведомлений о найденных нарушениях на email в AlertCenter. Это компонент DLP-системы «СёрчИнформ КИБ», с которым интегрируется FileAuditor. Включить оповещения о появлении новых критичных файлов или о работе с ними сотрудников из групп риска можно в несколько кликов.
Просмотр инцидента по политике безопасности: документы, попадающие под правило «Упоминания паролей»
Восстановление данных
Кейс. IT-специалист перед увольнением решил отомстить: загрузил в сеть компании вредонос, который спустя месяц запустил форматирование корпоративных хранилищ.
Удаление файлов с серверов заметили благодаря FileAuditor. Служба безопасности остановила выполнение вредоносной программы, все пострадавшие файлы восстановили из архивов FileAuditor.
Как это работает?
Восстанавливать удаленные документы или их исходные версии позволяет теневое копирование. В FileAuditor эта функция срабатывает для файлов, подпадающих под заданные правила. Они автоматически шифруются и копируются в хранилище. Чтобы оно не переполнилось, в программе реализована система дедупликации (метод сжатия данных, который исключает дублирование одинаковых копий). В хранилище попадает только один файл, а не все 50 его копий, которые пользователи «разнесли» по локальной сети. Разные версии одного файла при этом сохраняются. Так что можно проследить по шагам, как менялось его содержимое в окне предпросмотра.
В настройках сканирования теневое копирование можно отключить, выбрав режим «только аудит». В этом случае программа будет фиксировать изменения в файлах, но просмотреть выбранный документ ИБ-специалист сможет только на удаленном ПК. Для этого достаточно кликнуть по контекстному меню.
Обнаружение мошеннических схем
Кейс. Компания заподозрила отдел закупок в получении взяток. FileAuditor выявил компьютеры нескольких сотрудников, на которых хранились документы с внутренними ценами. DLP показала, что эти файлы сотрудники регулярно отправляли на внешние адреса поставщиков.
После изучения документов (они были в формате Excel) оказалось, что в таблицах был скрытый столбец, набранный белым шрифтом, в котором содержались закупочные цены, которые были в разы ниже розничных.
Как это работает?
Кейс наглядно демонстрирует выгоды интеграции DCAP- и DLP-решений. Первые помогают найти зацепки, вторые – довести расследование до конца. В этом случае выйти на след взяточников помогло сканирование по правилу «Прайсы».
Для профилактики подобных нарушений удобно использовать поиск по словарю. Например, система будет определять принадлежность к категории «банковская отчетность» всех документов, где одновременно встречается больше 5 слов из словаря финансовых терминов. В словарь можно включить профессиональную и жаргонную лексику (например, «бабки», «зеленые» и т.д.). Это позволит находить «рабочие» документы и черновики откатчиков.
Словарь финансовых терминов и понятий
А в вашей файловой системе – порядок? Проверьте во время бесплатного 30-дневного триала «СёрчИнформ FileAuditor».
