Блокировки хорошие и не очень20.04.2021 10:03

Привет!

На связи Алексей Парфентьев, руководитель отдела аналитики «СёрчИнформ». В середине прошлого года здесь на Habr мы делились тем, что такое наша система файлового аудита (DCAP-система, если по-умному) FileAuditor. Ледоколом продолжаем разбивать лёд этого относительно нового рынка.

В этом посте решил ответить на часто возникающие вопросы о применении системы файлового аудита, а также рассказать, что нового появилось в функционале.

В последнем обновлении мы реализовали возможность блокировать доступ к конфиденциальным файлам. FileAuditor теперь соответствует тому, каким и должно быть DCAP-решение.

f21c51c6a0a4ee71ee9d8137222f9400.jpg

А, напомню, что коллеги из Gartner говорят, что он должен уметь:

1)     Обнаруживать и классифицировать данные

2)     Мониторить привилегии и активность пользователей

3)     Защищать данные

Вот мы и выполнили этот п.3.

Ограничить операции с файлами можно для любого произвольного приложения, а также пересылки в программах.

Как работают блокировки по меткам?

FileAuditor, классифицируя файлы в хранилищах, расставляет метки: комтайна, грифы, ПДн и т.д. Программа поставляется с набором готовых политик для этих меток, можно ввести и собственные, если в вашем бизнесе есть какие-то нетипичные категории данных, которые нужно защищать.

По этим меткам настраиваются разрешения и запреты: каким пользователям, за какими ПК и в каких приложениях можно открывать файл.

 То есть:

 Запретили отправку файлов с меткой «ПДн» в Telegram — пользователь не сможет прикрепить такие документы во вложения и получит уведомление об ошибке.

Настройка правил блокировки в FileAuditorНастройка правил блокировки в FileAuditor

Разрешили работу в Word с документами «Коммерческая тайна» только директору — любой другой пользователь, даже если получит доступ к файлу, не сможет его открыть.

03f143763e32603ac33bb996793426c5.jpg

И т.д. 

Запреты/разрешения по меткам можно установить абсолютно для любых приложений — от браузера и почты до графического редактора или самописного корпоративного мессенджера.

Метки наследуются: если пользователь переименует, скопирует, пересохранит текст документа в новом файле, FileAuditor автоматически применит все разрешения/запреты, которые были установлены для исходного файла.

В итоге мы контролируем:

·       Пересылку файлов по внешним и внутренним каналам.

·       Доступ к файлу посторонних.

·       Нежелательные операции с файлом.

Блокировки по меткам можно применять в DLP

В нашем КИБе, как во многих других DLP-системах, реализованы привычные контекстные и контентные блокировки «в разрыв» для отдельных каналов (почты, флешек и др.).

Кто долго с нами, знает, как мы недолюбливаем саму практику блокировок.

1)     Система компрометируется — пользователь сложит 2+2 и сообразит, что если файл не уходит, то в деле служба безопасности. Начнет искать обходные пути. Но это полбеды. Все-таки есть категории данных, которые нужно защищать с помощью блокирования пересылки.

2)     Блокировки «в разрыв» долгие. DLP нужно проверить каждый файл на разрешения/запреты в момент отправки. Это тормозит процессы и перегружает систему.

3)     Более того, проверку файла DLP будет проводить каждый раз при попытке отправки. И каждый раз это будет занимать время и отнимать ресурсы.

Блокировка по меткам этих недостатков не имеет.

Так как вся информация собрана в метке, DLP просто считывает ее и мгновенно принимает решение — пропускать или блокировать. (Буквально мгновенно, ну если, конечно, вы не считаете важным рассчитать скорость распространения сигнала в проводниках платы и время на срабатывание триггеров в программе).

В отличие от блокировки по каналам блокировка по меткам не зависит от того, какой версии тот или иной мессенджер или браузер. Для FileAuditor это не важно — ограничения работают не в канале связи, а в файловой системе, откуда он запрещает/разрешает приложениям прочитывать данные.

Так что не нужно ждать, пока вендор внесет обновления в систему.

d34fb50ac8dd375127c73601b6f99da7.jpg

 В итоге имеем вот что:

·       С появлением блокировок по меткам FileAuditor может применяться самостоятельно не только для аудита файловой системы и «уборки», но и для защиты файлов от несанкционированного доступа и утечек.

·       Этот защитный функционал существенно развивает и защитный функционал DLP, которая читает метки, что делает блокировки утечек почти молниеносными и не отнимающими ресурсы. 

·       Сейчас связка, которую реализовали мы (из нашей DLP-системы и программы файлового аудита) не имеет аналога. Отдельно блокировки и метки есть в других DLP и DCAP-решениях, но они как правило не интегрируются между собой и не дают общего эффекта.

Буду рад ответить на вопросы о функционале, его возможностях и ограничениях.

© Habrahabr.ru