Системы аудита и защиты данных (DCAP, Data Centric Audit and Protection) заняли важное место среди инструментов ИБ-специалистов. Они классифицируют информацию на компьютерах и серверах, контролируют, какие пользователи работают с файлами, и — главное — управляют доступом к ним.
По сути, DCAP создают базу для выстраивания ИБ в компании: позволяют устроить хранение данных «как надо» и затем следить, чтобы правила не нарушались. Но не все DCAP одинаково полезны. На примере бизнес-кейса расскажу, как подходы систем к распределению прав доступа влияют на уровень защиты.
Классический подход
В фармацевтической компании вводили режим коммерческой тайны, после чего встала необходимость настроить защиту документов под грифом «Для служебного пользования» (ДСП). В классическом варианте, чтобы дать доступ к документам только пользователям с допуском, нужно настроить запреты по формату, расположению в какой-то папке или другим контекстным признакам.
Но контекстное разграничение имеет серьезную слабину. Разберемся с азов. Изменение прав «по контексту» — это изменение свойств объекта файловой системы. Свойства объекта иначе называются атрибутами. Это характеристики, которые «описывают» файл как некий контейнер для информации, но только внешне: как называется контейнер, где лежит, сколько весит, когда и кем создан/изменен и т. п. Распределяя доступы только по внешним признакам, классические DCAP не учитывают реальную ценность документа. Ведь для компании критична утечка не просто файлов, скажем, формата DWG, а именно чертежей новой продукции.
В упомянутой фармкомпании важным активом были файлы с техническими показателями по производству. Все сотрудники, которые работали с ними, уверяли, что хранят документы только в специальной папке. В рамках тестирования «классической» DCAP доступ к этой папке и файлам внутри настроили соответствующим образом — закрыли для всех, кроме профильного отдела. Но тут же DCAP выявила, что сотрудники отдела обходят запреты: для банального удобства сохраняют копии этих документов на своих ПК или в других общих хранилищах. А при переносе из защищенной папки все ограничения прав доступа «исчезали».
Ситуация типичная, и при стандартном подходе риск не обойти. Если пользователь с легитимным доступом переименует конфиденциальный файл, скопирует его содержимое в новый, переместит его в другую директорию, доступы придется вручную настраивать заново, а конфиденциальное содержимое может быть скомпрометировано. И обычные DCAP не помогут, так как между плановым сканированием контента и изменением атрибута файла\папки происходит значительная задержка. В это время данные остаются без защиты.
Альтернатива — потоковый анализ контента
Контентная аналитика — одна из базовых функций DCAP. Они должны вычитывать содержимое всех файлов в хранилищах и размечать их по категориям. Разметка позволяет системе не штудировать файл каждый раз, чтобы понять, что внутри. Это ускоряет и облегчает работу. Например, если нужно, чтобы у ИБ-подразделения была наглядная картина: сколько в компании документов с тем же грифом ДСП и где конкретно они хранятся.
К тому же и права пользователей обычно требуется распределять не к конкретным документам, а к типам контента — например, закрыть доступ к финотчетности всем, кроме бухгалтеров. При этом просто забрать права на просмотр общей папки бухгалтерии у условных менеджеров мало, ведь, как мы выяснили, файлы оттуда могут отправить, скопировать, перенести. Но если настроить доступы на базе предполагаемого содержания, проблема будет решена: ограничения подействуют именно на контент. То есть сколько бы ни создавалось копий конфиденциального документа, система перед открытием проанализирует каждый и не даст открыть его кому не положено, а после проверки поставит определенную метку, чтобы просто ускорить последующую работу.
Еще один плюс контентных меток в том, что они не привязаны к характеристикам файла и даже администраторам не видны, они работают через альтернативные файловые потоки, поэтому их нельзя удалить. Защита надежней.
Наконец, разграничение прав по контенту позволяет включать указания, с помощью каких программ сотруднику можно обрабатывать файл. Например, нам нужно, чтобы все документы ДСП оставались внутри компании. Задается ограничение: можно открывать документы в MS Word, но нельзя в любых браузерах, мессенджерах и почтовых клиентах. Так, если настроен запрет на отправку файлов с меткой «Финансовая отчетность» в MS Outlook у заданной группы сотрудников/на указанных ПК, документ не прикрепится во вложение письма при отправке.
Самые продвинутые DCAP позволяют блокировать доступ к файлам через любые приложения, вне зависимости от версии и происхождения — хоть через самописное ПО, просто по имени процесса.
Максимальная эффективность
В итоге выбор настраивать защиту по контенту или контексту — зависит от задачи. Например, защищать файлы бэкапов достаточно по расширению, без ресурсоемкой аналитики содержания. Ведь во всей компании они могут потребоваться разве что администраторам. А вот документы требуется защищать с контентными проверками. Ведь содержание файла с одним и тем же расширением (и даже названием) может быть как безобидное, так и суперконфиденциальное.
Удобно, когда обе функции реализованы в одном интерфейсе. Ряд DCAP это умеет, и показывает максимальную эффективность. Еще большую защиту дает интеграция DCAP с DLP. Например, когда DCAP выявит конфиденциальный документ и запретит его пересылку, DLP дополнительно подстрахует от отправки пользователем отрывков из документа, скажем, в мессенджере. Но это уже совсем другая история — у DLP все же своя «зона ответственности», тогда как DCAP фокусируется именно на защите файлов.
Сегодня DCAP активно движутся в сторону такого гибридного подхода. Встроенные инструменты в них позволяют вычислить и устранить ошибки в распределении доступов и наследовании прав, задать эталонную матрицу доступов в файловой системе или заблокировать возможность работать с файлом вне безопасного бизнес-процесса. Такие DCAP-системы решают базовую задачу ИБ: навести порядок в файловой системе, чтобы не было ситуаций, когда конфиденциальные данные доступны кому не надо.
