Что мы узнали о файловой системе, когда просканировали ее с помощью FileAuditor

Searchinform

19 Октября 2022 11:0519 Окт 2022 11:05 |
Поделиться

В компаниях обычно понимают важность правильного хранения файлов, но, несмотря на это, вопрос этот часто решается полумерами: базовыми техническими настройками (разделением ролей в AD) и административными мерами (требованиями хранить файлы только в определенных папках). Этого недостаточно, чтобы представлять реальную картину с файлами, и главное — защищать их. Мы решили на собственном примере показать возможности DCAP-системы FileAuditor. Для этого мы просканировали свои файловые хранилища, чтобы понять, что там можно найти и чем это чревато.

Что делает FileAuditor:

— Проводит классификацию данных. В общем документообороте ищет файлы, которые содержат критичную информацию, и присваивает соответствующую метку (персональные данные, коммерческая тайна, номера банковских карт и так далее).

— Фиксирует все операции, которые производят с этими файлами: кто создал, отредактировал, переместил, удалил — все что угодно.

— Проводит аудит прав пользователей, то есть автоматически отслеживает, какие файлы каким пользователям доступны. Позволяет управлять правами доступа сотрудников к файлам и директориям. Блокирует работу с файлами в любых приложениях — например, запрещает отправить документ во вложении в мессенджере.

— Архивирует критичные документы — делает теневые копии критичных файлов, найденных на ПК, сервере или в сетевых папках и сохраняет историю их редакций.

Скачайте «Белую книгу» про работу FileAuditor.

Стартовые вводные

В рамках эксперимента предстояло проанализировать содержимое всех корпоративных хранилищ. В среднем на ПК каждого сотрудника по 750 Гб дискового пространства. Плюс есть сетевые диски, где хранятся общие документы по отделам.

Мы поставили перед FileAuditor задачи, которые обычно озвучивают наши клиенты:

— Как расходуется пространство хранилищ: не забиты ли диски неиспользуемым хламом, фотографиями, видео, музыкой и прочим мультимедиа, не имеющим отношения к работе.

— Кому доступны конфиденциальные файлы: что хранят у себя сотрудники и нет ли на их ПК документов, не предназначенных для их глаз; что творится в сетевых папках — кому открыты туда доступы, нет ли случаев, когда документы в папках начальства почему-то открыты подчиненным.

— Как сотрудники работают с документами: не пытаются ли в обход регламента расшарить к ним доступы коллегам, не имеющим на это полномочий? Не отправляют ли файлы нежелательным получателям?

1. Перерасход ресурсов при хранении файлов

Это первое, что мы искали. Логика такая: в рабочих процессах, особенно у технических специалистов, и без того задействуется много мощностей. При этом оборудование рано или поздно изнашивается и устаревает. А учитывая нынешние сложности с закупками «железа», имеет смысл относиться к ресурсам бережнее. Поэтому нужно было найти неиспользуемый, устаревший и просто ненужный хлам и разгрузить хранилища.

Для этого мы настроили три правила классификации: для неиспользуемых, устаревших документов и медиафайлов.

Старые документы. В FileAuditor мы создали правило поиска по дате обращения: к «хламу» относили файлы, которые не открывали и не изменяли на протяжении пяти лет.

Результат — 214 Гб неиспользуемых файлов. В среднем по 1,5 Гб на каждом компьютере.

В большинстве случаев это архивы документов. Часто неиспользуемыми оказываются файлы, переданные уволившимися сотрудниками при сдаче дел. Это условно-легитимные находки, так как часто без такого «наследства» сложно продолжать вести бизнес-процессы. Но были и явные нарушения. Например, у одного из менеджеров нашлось 11,3 Гб фото со стоков.

Что сделано по итогам. Чтобы решить проблему, ИБ-специалист попросил руководителей подразделений оценить, насколько важно сохранить те или иные архивы. По возможности личные ПК освободили, а документы, без которых никак не обойтись, сотрудники «запарковали» в сетевых папках.

Медиафайлы — в компании не много процессов, где могли бы понадобиться музыка или видео. PR-отдел — исключение, в его задачи входит изготовление медиаконтента. В отношении других сотрудников исходили из того, что увлечение мультимедиа создает перерасход ресурсов — не только при хранении, но и, например, при скачивании через рабочий Wi-Fi. Искали по расширениям файлов.

Результат. Нашли больше 426 Гб «запрещенки», в топе нарушителей оказались разработчики и тестировщики. На двоих из них пришлась половина всего этого объема — у одного 144, у другого 75 Гб музыки. Для сравнения, во всем PR-отделе с их видеопродакшеном нашлось только 25 Гб медиа.

Были и полезные находки: записи рабочих конференций, обучающие видео от нашего учебного центра и «начитки» презентаций, с которыми наши спикеры выступают на мероприятиях.

Что сделано по итогам. Разбирались тоже точечно, здесь ИБ-специалисту помогала DLP-система, в которой он уточнял информацию: не мешает ли прослушивание музыки или просмотр видео исполнению других задач. В паре случаев пришлось поговорить с линейными руководителями, чтобы те напомнили сотрудникам о разумных пределах хранения личных файлов на рабочих ПК.

Документы на старых бланках (компреды, письма, брошюры в неактуальном дизайне). Выявление фактов хранения этих документов — это «заказ» от бизнес-департамента и пиарщиков. Несколько лет назад мы провели ребрендинг, у нас сменился логотип, иконки продуктов, фирменные цвета. При этом во внутреннем документообороте до сих пор встречаются документы на старых бланках. Особенно часто такими пересылками грешили далекие от маркетинговых вопросов разработчики — в старом дизайне готовили в том числе планы развития продуктов.

Чтобы найти такие случаи, в FileAuditor был настроен поиск по тексту слогана, который употреблялся в старом логотипе. Так как все бланки содержат лого в колонтитулах, система смогла найти документы разных типов, форматов и содержания.

Результат. Оказалось, устаревших шаблонов не так много — всего у двух сотрудников, причем в одном случае речь о тестировщике, который забивал старыми документами архивы для тестирования функционала продуктов.

Что сделано по итогам. По всей компании еще раз разослали бренд-бук с актуальным дизайном — для профилактики.

2. Угрозы бизнес-процессам

Анализ ситуации с документами выявляет и бизнес-риски. Компреды, маркетинговые отчеты, план разработки, результаты брейнштормов, рецептуры, исходные коды — в любой компании множество документов, нарушение доступа к которым критично. Также на потенциальные нарушения указывает и сам факт хранения некоторых файлов.

Такие нарушения мы искали и у себя.

Нарушение прав доступа. За эту проверку в FileAuditor отвечает группа отчетов: по владельцам ресурсов, для аудита наследования прав и классический журнал прав доступа.

Результат. Критичных нарушений мы не нашли. Наши сис-админы исправно модерируют группы пользователей и распределяют права по эталонной матрице доступа. Нашлись единичные ошибки в наследовании прав и, как правило, вызванные сбоями в офисном ПО.

И все же всплыла явная проблема в общих сетевых папках отделов. В идеальном мире доступ к ним должны иметь только сотрудники этих отделов, системные администраторы и начальник ИБ-отдела. Для обмена документами между отделами есть специальные папки — «буферы», открытые всем. Но оказалось, что пользовательские группы по отделам в AD нередко включали больше пользователей, чем фактическое число сотрудников этих отделов. Например, в одном из подразделений 14 человек, а в группе, которой был открыт доступ к сетевой папке — 20. Выяснилось, что дело в «неубитых учетках» бывших сотрудников.

В ряде случаев недоглядели системные администраторы. Например, недавно уволился сотрудник, его учетную запись из группы забыли удалить. Саму «учетку» при этом заблокировали, она не несла угрозы.

Но встретились и ситуации, когда аккаунты уволенных оставались рабочими — в основном для того, чтобы работали почтовые ящики экс-сотрудников, на которые оказались завязаны какие-то важные процессы.

Что сделано по итогам. ИБ-специалист вместе с руководителями отделов проанализировал каждый случай и принял решение избавляться от этой практики. Составили «белый список учеток», без которых совсем не обойтись (предложить свои исключения могли все сотрудники), а остальные заблокировали.

Устаревшие описания продуктов. Это технические и маркетинговые тексты о продуктах, вышедших из продажи или с неактуальными характеристиками. Если сотрудник использует такие документы в работе, он может вводить в заблуждение клиента.

Результат — нашлось 2726 таких документов. У PR-отдела обнаружился большой архив старых маркетинговых материалов, они же дублировались у менеджеров. Неактуальные технические описания нашлись у программистов, тестировщиков и даже инженеров техподдержки.

Что сделали в итоге. Напомнили сотрудникам в общей рассылке, где взять свежие версии документов. А еще завели практику прописывать в названиях дату, на которую актуален документ, и настоятельно попросили обращать внимание на статус каждого файла.

Уставы чужих компаний. Наличие таких документов на компьютере сотрудника может сигнализировать о потенциальном мошенничестве: боковой схеме, сговоре.

Результат. Нашлось несколько таких документов, у тестировщиков. На проверку эти уставы оказались скачанными из сети «болванками» для ООО «Ромашка» — на них сотрудники тестировали поиск уставов в нашей DLP-системе «СёрчИнформ КИБ» и в самом FileAuditor.

Сканы паспортов. Любое хранение и обработка ПДн строго регламентируются ФЗ-152. Поэтому факт хранения сканов должен быть известен ИБ-специалисту и находиться на его жестком контроле.

Результат. Скан обнаружился только у одного сотрудника, и у того в корзине. В разговоре выяснилось, что файл попал к нему случайно, потому что коллега-новичок спутал настройки пересылки документов со сканера и направил снимок своего паспорта на чужой ПК. С ним провели беседу о том, что хранить сканы личных документов на компьютерах нельзя.

3. Что еще искали (и, к счастью, не нашли)

Анкеты клиентов перед тестированием. Регламент требует, чтобы они хранились только у менеджеров и сотрудников техподдержки, которые и вели «пилот». В анкете содержится чувствительные данные о клиенте. Если они попадают в руки пользователей, не связанных с проведением триалов, — это нарушение договоренностей с заказчиком.

Чтобы выявить нарушение при настройке правила в FileAuditor воспользовались поиском похожих — загрузили типовой шаблон отчета и задали процент схожести с оригиналом.

Что сделано по итогам. Дополнительно ИБ-специалист настроил блокировку передачи файлов нужных категорий по всем каналам кому-либо, кроме групп сотрудников с доступом. Блокировки в FileAuditor работают на уровне открытия файлов на диске и контролируют, каким процессам можно или нельзя вычитывать документы из файловой системы при заданных условиях. В том числе ограничения действуют для групп процессов: например, для всех распространенных браузеров и мессенджеров разом. Таким образом, даже те нарушители, у которых уже оказались не предназначенные им документы, не смогут передать их со своего ПК никаким способом.

А для верности в сетевом хранилище отдела продаж ИБ-специалист еще раз перепроверил настройки наследования прав (для этого в FileAuditor есть специальный отчет). В результате устранил ошибки, возникшие на программном уровне в файловой системе — несовпадения, когда из-за сбоя файлы в «закрытых» папках оказывались открыты кому-то вне группы доступа к директории.

Что в итоге

В эксперименте мы специально поставили перед программой тривиальные задачи, а не поиск запутанных инцидентов, и использовали базовый функционал решения. Как видите, даже в ИБ-компании с повышенными требованиями к собственным сотрудникам, нужны регулярные проверки.

Рискам подвержены абсолютно все компании, как бы высока ни была ИБ-культура. DCAP-система позволяет проводить первичный аудит ситуации с хранением файлов и доступами к ним, как мы описали в эксперименте. Далее система позволяет «поддерживать порядок»: расставляет метки по новым и измененным документам, блокирует операции с файлами, совершаемые в нарушении прав доступа.

Проверьте, как хранятся данные в вашей компании — запросите бесплатное тестирование FileAuditor.

Полный текст статьи читайте на CNews