Что мы узнали о файловой системе, когда просканировали ее с помощью FileAuditor
Searchinform
В компаниях обычно понимают важность правильного хранения файлов, но, несмотря на это, вопрос этот часто решается полумерами: базовыми техническими настройками (разделением ролей в AD) и административными мерами (требованиями хранить файлы только в определенных папках). Этого недостаточно, чтобы представлять реальную картину с файлами, и главное — защищать их. Мы решили на собственном примере показать возможности DCAP-системы FileAuditor. Для этого мы просканировали свои файловые хранилища, чтобы понять, что там можно найти и чем это чревато.
Что делает FileAuditor:
— Проводит классификацию данных. В общем документообороте ищет файлы, которые содержат критичную информацию, и присваивает соответствующую метку (персональные данные, коммерческая тайна, номера банковских карт и так далее).
— Фиксирует все операции, которые производят с этими файлами: кто создал, отредактировал, переместил, удалил — все что угодно.
— Проводит аудит прав пользователей, то есть автоматически отслеживает, какие файлы каким пользователям доступны. Позволяет управлять правами доступа сотрудников к файлам и директориям. Блокирует работу с файлами в любых приложениях — например, запрещает отправить документ во вложении в мессенджере.
— Архивирует критичные документы — делает теневые копии критичных файлов, найденных на ПК, сервере или в сетевых папках и сохраняет историю их редакций.
Скачайте «Белую книгу» про работу FileAuditor.■
Стартовые вводные
В рамках эксперимента предстояло проанализировать содержимое всех корпоративных хранилищ. В среднем на ПК каждого сотрудника по 750 Гб дискового пространства. Плюс есть сетевые диски, где хранятся общие документы по отделам.
Мы поставили перед FileAuditor задачи, которые обычно озвучивают наши клиенты:
— Как расходуется пространство хранилищ: не забиты ли диски неиспользуемым хламом, фотографиями, видео, музыкой и прочим мультимедиа, не имеющим отношения к работе.
— Кому доступны конфиденциальные файлы: что хранят у себя сотрудники и нет ли на их ПК документов, не предназначенных для их глаз; что творится в сетевых папках — кому открыты туда доступы, нет ли случаев, когда документы в папках начальства почему-то открыты подчиненным.
— Как сотрудники работают с документами: не пытаются ли в обход регламента расшарить к ним доступы коллегам, не имеющим на это полномочий? Не отправляют ли файлы нежелательным получателям?
1. Перерасход ресурсов при хранении файлов
Это первое, что мы искали. Логика такая: в рабочих процессах, особенно у технических специалистов, и без того задействуется много мощностей. При этом оборудование рано или поздно изнашивается и устаревает. А учитывая нынешние сложности с закупками «железа», имеет смысл относиться к ресурсам бережнее. Поэтому нужно было найти неиспользуемый, устаревший и просто ненужный хлам и разгрузить хранилища.
Для этого мы настроили три правила классификации: для неиспользуемых, устаревших документов и медиафайлов.
Старые документы. В FileAuditor мы создали правило поиска по дате обращения: к «хламу» относили файлы, которые не открывали и не изменяли на протяжении пяти лет.
Результат — 214 Гб неиспользуемых файлов. В среднем по 1,5 Гб на каждом компьютере.
В большинстве случаев это архивы документов. Часто неиспользуемыми оказываются файлы, переданные уволившимися сотрудниками при сдаче дел. Это условно-легитимные находки, так как часто без такого «наследства» сложно продолжать вести бизнес-процессы. Но были и явные нарушения. Например, у одного из менеджеров нашлось 11,3 Гб фото со стоков.
Что сделано по итогам. Чтобы решить проблему, ИБ-специалист попросил руководителей подразделений оценить, насколько важно сохранить те или иные архивы. По возможности личные ПК освободили, а документы, без которых никак не обойтись, сотрудники «запарковали» в сетевых папках.
Медиафайлы — в компании не много процессов, где могли бы понадобиться музыка или видео. PR-отдел — исключение, в его задачи входит изготовление медиаконтента. В отношении других сотрудников исходили из того, что увлечение мультимедиа создает перерасход ресурсов — не только при хранении, но и, например, при скачивании через рабочий Wi-Fi. Искали по расширениям файлов.
Результат. Нашли больше 426 Гб «запрещенки», в топе нарушителей оказались разработчики и тестировщики. На двоих из них пришлась половина всего этого объема — у одного 144, у другого 75 Гб музыки. Для сравнения, во всем PR-отделе с их видеопродакшеном нашлось только 25 Гб медиа.
Были и полезные находки: записи рабочих конференций, обучающие видео от нашего учебного центра и «начитки» презентаций, с которыми наши спикеры выступают на мероприятиях.
Что сделано по итогам. Разбирались тоже точечно, здесь ИБ-специалисту помогала DLP-система, в которой он уточнял информацию: не мешает ли прослушивание музыки или просмотр видео исполнению других задач. В паре случаев пришлось поговорить с линейными руководителями, чтобы те напомнили сотрудникам о разумных пределах хранения личных файлов на рабочих ПК.
Документы на старых бланках (компреды, письма, брошюры в неактуальном дизайне). Выявление фактов хранения этих документов — это «заказ» от бизнес-департамента и пиарщиков. Несколько лет назад мы провели ребрендинг, у нас сменился логотип, иконки продуктов, фирменные цвета. При этом во внутреннем документообороте до сих пор встречаются документы на старых бланках. Особенно часто такими пересылками грешили далекие от маркетинговых вопросов разработчики — в старом дизайне готовили в том числе планы развития продуктов.
Чтобы найти такие случаи, в FileAuditor был настроен поиск по тексту слогана, который употреблялся в старом логотипе. Так как все бланки содержат лого в колонтитулах, система смогла найти документы разных типов, форматов и содержания.
Результат. Оказалось, устаревших шаблонов не так много — всего у двух сотрудников, причем в одном случае речь о тестировщике, который забивал старыми документами архивы для тестирования функционала продуктов.
Что сделано по итогам. По всей компании еще раз разослали бренд-бук с актуальным дизайном — для профилактики.
2. Угрозы бизнес-процессам
Анализ ситуации с документами выявляет и бизнес-риски. Компреды, маркетинговые отчеты, план разработки, результаты брейнштормов, рецептуры, исходные коды — в любой компании множество документов, нарушение доступа к которым критично. Также на потенциальные нарушения указывает и сам факт хранения некоторых файлов.
Такие нарушения мы искали и у себя.
Нарушение прав доступа. За эту проверку в FileAuditor отвечает группа отчетов: по владельцам ресурсов, для аудита наследования прав и классический журнал прав доступа.
Результат. Критичных нарушений мы не нашли. Наши сис-админы исправно модерируют группы пользователей и распределяют права по эталонной матрице доступа. Нашлись единичные ошибки в наследовании прав и, как правило, вызванные сбоями в офисном ПО.
И все же всплыла явная проблема в общих сетевых папках отделов. В идеальном мире доступ к ним должны иметь только сотрудники этих отделов, системные администраторы и начальник ИБ-отдела. Для обмена документами между отделами есть специальные папки — «буферы», открытые всем. Но оказалось, что пользовательские группы по отделам в AD нередко включали больше пользователей, чем фактическое число сотрудников этих отделов. Например, в одном из подразделений 14 человек, а в группе, которой был открыт доступ к сетевой папке — 20. Выяснилось, что дело в «неубитых учетках» бывших сотрудников.
В ряде случаев недоглядели системные администраторы. Например, недавно уволился сотрудник, его учетную запись из группы забыли удалить. Саму «учетку» при этом заблокировали, она не несла угрозы.
Но встретились и ситуации, когда аккаунты уволенных оставались рабочими — в основном для того, чтобы работали почтовые ящики экс-сотрудников, на которые оказались завязаны какие-то важные процессы.
Что сделано по итогам. ИБ-специалист вместе с руководителями отделов проанализировал каждый случай и принял решение избавляться от этой практики. Составили «белый список учеток», без которых совсем не обойтись (предложить свои исключения могли все сотрудники), а остальные заблокировали.
Устаревшие описания продуктов. Это технические и маркетинговые тексты о продуктах, вышедших из продажи или с неактуальными характеристиками. Если сотрудник использует такие документы в работе, он может вводить в заблуждение клиента.
Результат — нашлось 2726 таких документов. У PR-отдела обнаружился большой архив старых маркетинговых материалов, они же дублировались у менеджеров. Неактуальные технические описания нашлись у программистов, тестировщиков и даже инженеров техподдержки.
Что сделали в итоге. Напомнили сотрудникам в общей рассылке, где взять свежие версии документов. А еще завели практику прописывать в названиях дату, на которую актуален документ, и настоятельно попросили обращать внимание на статус каждого файла.
Уставы чужих компаний. Наличие таких документов на компьютере сотрудника может сигнализировать о потенциальном мошенничестве: боковой схеме, сговоре.
Результат. Нашлось несколько таких документов, у тестировщиков. На проверку эти уставы оказались скачанными из сети «болванками» для ООО «Ромашка» — на них сотрудники тестировали поиск уставов в нашей DLP-системе «СёрчИнформ КИБ» и в самом FileAuditor.■
Сканы паспортов. Любое хранение и обработка ПДн строго регламентируются ФЗ-152. Поэтому факт хранения сканов должен быть известен ИБ-специалисту и находиться на его жестком контроле.
Результат. Скан обнаружился только у одного сотрудника, и у того в корзине. В разговоре выяснилось, что файл попал к нему случайно, потому что коллега-новичок спутал настройки пересылки документов со сканера и направил снимок своего паспорта на чужой ПК. С ним провели беседу о том, что хранить сканы личных документов на компьютерах нельзя.
3. Что еще искали (и, к счастью, не нашли)
Анкеты клиентов перед тестированием. Регламент требует, чтобы они хранились только у менеджеров и сотрудников техподдержки, которые и вели «пилот». В анкете содержится чувствительные данные о клиенте. Если они попадают в руки пользователей, не связанных с проведением триалов, — это нарушение договоренностей с заказчиком.
Чтобы выявить нарушение при настройке правила в FileAuditor воспользовались поиском похожих — загрузили типовой шаблон отчета и задали процент схожести с оригиналом.
Что сделано по итогам. Дополнительно ИБ-специалист настроил блокировку передачи файлов нужных категорий по всем каналам кому-либо, кроме групп сотрудников с доступом. Блокировки в FileAuditor работают на уровне открытия файлов на диске и контролируют, каким процессам можно или нельзя вычитывать документы из файловой системы при заданных условиях. В том числе ограничения действуют для групп процессов: например, для всех распространенных браузеров и мессенджеров разом. Таким образом, даже те нарушители, у которых уже оказались не предназначенные им документы, не смогут передать их со своего ПК никаким способом.
А для верности в сетевом хранилище отдела продаж ИБ-специалист еще раз перепроверил настройки наследования прав (для этого в FileAuditor есть специальный отчет). В результате устранил ошибки, возникшие на программном уровне в файловой системе — несовпадения, когда из-за сбоя файлы в «закрытых» папках оказывались открыты кому-то вне группы доступа к директории.
Что в итоге
В эксперименте мы специально поставили перед программой тривиальные задачи, а не поиск запутанных инцидентов, и использовали базовый функционал решения. Как видите, даже в ИБ-компании с повышенными требованиями к собственным сотрудникам, нужны регулярные проверки.
Рискам подвержены абсолютно все компании, как бы высока ни была ИБ-культура. DCAP-система позволяет проводить первичный аудит ситуации с хранением файлов и доступами к ним, как мы описали в эксперименте. Далее система позволяет «поддерживать порядок»: расставляет метки по новым и измененным документам, блокирует операции с файлами, совершаемые в нарушении прав доступа.
Проверьте, как хранятся данные в вашей компании — запросите бесплатное тестирование FileAuditor.■
Полный текст статьи читайте на CNews