Классификация данных. Мониторинг использования критически важной информации на файловых серверах
Varonis DatAdvantage совместно с модулем Varonis Data Classification Framework помогает разрешить подобную проблему и ответить на следующие вопросы:
— где на файловом сервере или ресурсе SharePoint находятся важные (конфиденциальные, персональные и т.д.) данные?
— кто имеет доступ к этим данным?
— кто этими данными пользуется и как (копирование, удаление, изменение, открытие, переименование документа)?
— доступ к какой важной информации — избыточен?
Varonis не только позволяет понять масштаб проблемы с наличием конфиденциальных данных на файловом сервере, но и может дать рекомендации по изменению доступа к этим данным.
Механизм классификации данных устроен следующим образом. Пользователь системы задает правила, по которым он хочет искать конфиденциальную информацию. Поиск может быть осуществлен не только по содержимому файла, но и по его расширению (если мы, например, просто хотим найти где на файловом сервере содержится музыка или видео, которые могут отнимать занимать значительное количество дискового пространства). Для поиска по содержимому можно также создавать различные правила. Можно искать строку в документе, подгружать свои словари, по которым также будет происходить сверка, использовать уже предустановленные в системе правила и шаблоны, либо искать данные с помощью регулярных выражений (если мы, например, хотим найти паспортные данные или номера социального страхования). Следует также отметить, что при создании правила, пользователь всегда может проверить сразу работает оно, или нет. В интерфейсе Data Classification Framework предусмотрена возможность вбить искомый набор слов или символов и проверить, сработает ли на нем правило. Например, вы создали регулярное выражение, которое должно искать в документах серию и номер паспорта. Вы можете сразу проверить, будет ли правило работать так, как вам необходимо, и — убедиться, правильное ли регулярное выражение вы составили. Искать совпадение можно и в картинках, но для этого необходима интеграция с внешним механизмом распознавания документов.
Следует также отметить и гибкость настройки расписания сканирования. Поскольку при поиске внутри документов, нагрузка на файловых сервер может незначительно вырасти, искать совпадения по правилам классификатора можно в то время, в которое нагрузка минимальна (например, ночью). Вы можете задать время начала сканирования, его периодичность (например, каждый день, каждую неделю, через день и т.д.) и продолжительность. В том случае, если за отведенное время классификатор не успеет пройти по всему файловому серверу, то он начнет свою следующую итерацию с того места, где остановился, а также снова пройдет по тем документам, которые были изменены за время прошедшее с последнего сканирования. Важно отметить, что от количества правил классификации никоим образом не зависит нагрузка на файловый сервер, ибо все проверки на наличие определенной информации в документе происходят на стороне сервера Varonis. Вы также можете ограничить сам масштаб сканирования — например, не весь файловый сервер, а только его часть (какие-то определенные папки). Можно также изменять приоритет сканирования. Например, вы хотите, чтобы классификатор сначала искал данные в документах, которые доступны всем сотрудникам компании или в документах, которые были недавно изменены — возможность такого выбора существует.
Чем дольше работает классификатор, чем больше статистики он копит — тем явственнее становятся видны результаты его работы. Через определенное время вы уже четко понимаете, где на файловом сервере находится важная для вас информация, кто ей пользуется, какие данные находятся в общем доступе и какие действия по результатам классификации можно предпринять. Вы также можете прямо в системе расставить метки (или флаги — в терминологии Varonis) на папках, в которых конфиденциальные данные находится не должны (или наоборот, им там самое место). И тогда, если вдруг кто-то выложит в определенные папки, важные документы, то система просигнализирует вам об этом. Также как и о том, что, например, происходило за неделю в папках, где конфиденциальные данные как раз содержаться должны.
Важно понимать, что Varonis Data Classification Framework не блокирует процесс копирования или удаления важных данных. Но Varonis всегда сможет показать если кто-то выкладывает, копирует, удаляет важные данные с файлового сервера. Можно привести конкретный пример. Если мы знаем, что определенный сотрудник увольняется из компании, мы бы не очень хотели, чтобы он унес с собой еще и какую корпоративную информацию (список клиентов компании, финансовая отчетность и т.д.). Мы можем начать персональный контроль за этим сотрудником вплоть до его увольнения, чтобы проследить не будет ли он копировать информацию, чтобы унести ее с собой. Кроме того, мы всегда можем посмотреть, имеет ли он доступ к конфиденциальной информации, и если да, возможно, у него стоит этот доступ отнять еще до того момента, как он успеет что-нибудь сделать.
В вопросе классификации данных нельзя был слишком уверенным в том, что данные «никуда не утекут». Множества средств защиты не всегда является достаточной гарантией от человеческой ошибки. Многим часто кажется, что с ними такое не случится. Финансовая отчетность, зарплатные ведомости, или список клиентов компании — в общем доступе? Ситуация кажется странной или даже неправдоподобной. Но в нашей практике встречается довольно часто. Так вот для того, что таких ошибок было меньше и для уменьшения человеческого фактора и нужен Varonis Data Classification Framework.