Блокировки хорошие и не очень
Привет!
На связи Алексей Парфентьев, руководитель отдела аналитики «СёрчИнформ». В середине прошлого года здесь на Habr мы делились тем, что такое наша система файлового аудита (DCAP-система, если по-умному) FileAuditor. Ледоколом продолжаем разбивать лёд этого относительно нового рынка.
В этом посте решил ответить на часто возникающие вопросы о применении системы файлового аудита, а также рассказать, что нового появилось в функционале.
В последнем обновлении мы реализовали возможность блокировать доступ к конфиденциальным файлам. FileAuditor теперь соответствует тому, каким и должно быть DCAP-решение.
А, напомню, что коллеги из Gartner говорят, что он должен уметь:
1) Обнаруживать и классифицировать данные
2) Мониторить привилегии и активность пользователей
3) Защищать данные
Вот мы и выполнили этот п.3.
Ограничить операции с файлами можно для любого произвольного приложения, а также пересылки в программах.
Как работают блокировки по меткам?
FileAuditor, классифицируя файлы в хранилищах, расставляет метки: комтайна, грифы, ПДн и т.д. Программа поставляется с набором готовых политик для этих меток, можно ввести и собственные, если в вашем бизнесе есть какие-то нетипичные категории данных, которые нужно защищать.
По этим меткам настраиваются разрешения и запреты: каким пользователям, за какими ПК и в каких приложениях можно открывать файл.
То есть:
Запретили отправку файлов с меткой «ПДн» в Telegram — пользователь не сможет прикрепить такие документы во вложения и получит уведомление об ошибке.
Настройка правил блокировки в FileAuditorРазрешили работу в Word с документами «Коммерческая тайна» только директору — любой другой пользователь, даже если получит доступ к файлу, не сможет его открыть.
И т.д.
Запреты/разрешения по меткам можно установить абсолютно для любых приложений — от браузера и почты до графического редактора или самописного корпоративного мессенджера.
Метки наследуются: если пользователь переименует, скопирует, пересохранит текст документа в новом файле, FileAuditor автоматически применит все разрешения/запреты, которые были установлены для исходного файла.
В итоге мы контролируем:
· Пересылку файлов по внешним и внутренним каналам.
· Доступ к файлу посторонних.
· Нежелательные операции с файлом.
Блокировки по меткам можно применять в DLP
В нашем КИБе, как во многих других DLP-системах, реализованы привычные контекстные и контентные блокировки «в разрыв» для отдельных каналов (почты, флешек и др.).
Кто долго с нами, знает, как мы недолюбливаем саму практику блокировок.
1) Система компрометируется — пользователь сложит 2+2 и сообразит, что если файл не уходит, то в деле служба безопасности. Начнет искать обходные пути. Но это полбеды. Все-таки есть категории данных, которые нужно защищать с помощью блокирования пересылки.
2) Блокировки «в разрыв» долгие. DLP нужно проверить каждый файл на разрешения/запреты в момент отправки. Это тормозит процессы и перегружает систему.
3) Более того, проверку файла DLP будет проводить каждый раз при попытке отправки. И каждый раз это будет занимать время и отнимать ресурсы.
Блокировка по меткам этих недостатков не имеет.
Так как вся информация собрана в метке, DLP просто считывает ее и мгновенно принимает решение — пропускать или блокировать. (Буквально мгновенно, ну если, конечно, вы не считаете важным рассчитать скорость распространения сигнала в проводниках платы и время на срабатывание триггеров в программе).
В отличие от блокировки по каналам блокировка по меткам не зависит от того, какой версии тот или иной мессенджер или браузер. Для FileAuditor это не важно — ограничения работают не в канале связи, а в файловой системе, откуда он запрещает/разрешает приложениям прочитывать данные.
Так что не нужно ждать, пока вендор внесет обновления в систему.
В итоге имеем вот что:
· С появлением блокировок по меткам FileAuditor может применяться самостоятельно не только для аудита файловой системы и «уборки», но и для защиты файлов от несанкционированного доступа и утечек.
· Этот защитный функционал существенно развивает и защитный функционал DLP, которая читает метки, что делает блокировки утечек почти молниеносными и не отнимающими ресурсы.
· Сейчас связка, которую реализовали мы (из нашей DLP-системы и программы файлового аудита) не имеет аналога. Отдельно блокировки и метки есть в других DLP и DCAP-решениях, но они как правило не интегрируются между собой и не дают общего эффекта.
Буду рад ответить на вопросы о функционале, его возможностях и ограничениях.