SearchInform FileAuditor

Основные статьи:

• DLP - Data Loss / Leak Prevention - Технологии предотвращения утечек конфиденциальной информации
• DCAP Data-Centric Audit and Protection аудит и защита данных

• FileAuditor классифицирует документы в реальном времени, находя критичную информацию и присваивая конфиденциальным документам метки.
• Программа проводит мониторинг операций с файлами и уведомляет об изменениях, внесенных в документы.
• Архивирование критичных документов гарантирует восстановление потерянной чувствительной информации.

2024

Представление версии для Linux

Компания «СёрчИнформ» 17 апреля 2024 года представила версию DCAP-системы FileAuditor для операционной системы Linux. У ИБ-специалистов появилась возможность контролировать любые хранилища данных, развернутые в средах свободно распространяемых, а также импортозамещенных операционных систем.

FileAuditor сканирует файловые хранилища, классифицирует данные по содержимому (ПДн, договоры, счета, файлы с паролями и т.д.) и присваивает категориям скрытые метки. По ним система определяет уязвимый контент и мониторит, где он хранится и кому доступен. Правила классификации настраиваются в простом конструкторе и поддерживают 8 интеллектуальных видов поиска, включая контентный анализ OCR. Поддерживается контроль сетевых папок и файловых серверов по сети, а также пользовательских ПК с помощью агента.

Мы работаем над тем, чтобы все наши продукты были кросс-платформенными и подходили для работы в импортозамещенных инфраструктурах. FileAuditor с самого начала обеспечивал аудит сетевых хранилищ на Linux, а теперь дает полноценный контроль на всех уровнях: от файловых серверов и общих папок до компьютеров пользователей, – сказал руководитель отдела аналитики «СёрчИнформ» Алексей Парфентьев.

Также в системе появились предустановленные правила классификации. Их больше 200, они охватывают основные виды персональных данных, финансовых документов, интеллектуальной собственности и др. Каждый из шаблонов можно модифицировать под свои нужды. Готовые правила упрощают работу ИБ-специалистов и помогают быстро и эффективно находить данные определенных категорий сразу, с первого включения и без специальной настройки.

Возможность изменять права доступа к файлу в один клик

В «СёрчИнформ FileAuditor» упрощено управление доступом к файлам для реагирования на инциденты. Об этом компания SearchInform сообщила 13 марта 2024 года.

Теперь DCAP-система позволит изменять права доступа в один клик и запрещать пользователям использовать и перемещать файлы.

До тех пор, пока ИБ-служба не переместит файл в безопасное хранилище, он будет изолирован: пользователи не смогут открыть, переместить или скопировать его, внести в него правки. Таким образом, FileAuditor позволит ИБ-специалистам уделить достаточное время расследованию нарушения и его нейтрализации.Цифровизация ТЭК: тренды, перспективы, крупнейшие ИТ-поставщики. Обзор TAdviser 15.3 т

Данная функция называется «Стать эксклюзивным владельцем». Она передаёт права доступа к файлу только ИБ-специалисту, работающему с FileAuditor.

Ранее в FileAuditor уже была возможность изменять права доступа, например, при помощи гибких контентных блокировок. Они позволяли запрещать работу с файлом в любом приложении, но не могли быстро изолировать файл, если было найдено нарушение. Теперь же такая возможность появилась, причем в один клик и сразу для всех пользователей, – сказал Алексей Парфентьев, руководитель отдела аналитики «СёрчИнформ».

Включить опцию можно из контекстного меню при выборе файла. При этом нужно убедиться, что у пользователей нет возможности повысить свои права доступа до уровня администратора, чтобы они не вернули доступ к выбранным файлам самостоятельно.

2023

Поддержка вычитки журналов Windows, Active Directory и СХД NetApp

DCAP-система «СёрчИнформ FileAuditor» поддержала аудит прав и операций с файлами в сетевых хранилищах, на которых не стоит агент – компонент системы, который устанавливается локально и обеспечивает контроль «на местах». Теперь программа вычитывает журналы Windows, где фиксируется пользовательская активность с файлами, а также журналы Active Directory с информацией об изменении прав пользователей. Об этом компания SearchInform (СёрчИнформ) сообщила 11 декабря 2023 года.

Ранее вычитка файловых операций была доступна только при установленном агенте, по сети осуществлялся только контентный анализ файлов в хранилищах. Интеграция позволяет быстро получать данные об операциях на сетевом уровне. А сведения из AD дополняют картину, показывая случаи, например, временного изменения прав пользователя администратором, его включения в привилегированную группу или несанкционированного отзыва прав.

Подчеркну значимость изменений, которые мы реализовали в FileAuditor. Во-первых, функциональная разница между агентской и серверной моделью сканирования хранилищ теперь отсутствует. Анализ файлов, категорирование, тегирование, файловые операции, изменения прав доступа – все это теперь доступно как при установке агента, так и без него. Во-вторых, мы расширяем список поддерживаемых хранилищ, – прокомментировал Алексей Парфентьев, руководитель отдела аналитики «СёрчИнформ».

Доработка позволяет контролировать СХД с нетипичными файловыми системами или в случаях, когда установка агента неудобна или невозможна – например, если требуется вычитка отдельной сетевой папки, а не всего хранилища. Безагентское сканирование экономит ресурсы. Таким же образом FileAuditor работает с NetApp – системой хранения, ранее недоступной для аудита. Вкупе с поддержкой FTP, SMB, DFS, NFS и NTFS, интеграцией со всей линейкой Huawei OceanStore и Dorado, это делает программу универсальной для контроля файловых хранилищ в любой инфраструктуре.

AAServer - компонент для ускорения анализа изображений

В «СёрчИнформ FileAuditor» появился компонент для ускорения анализа изображений. Об этом 6 декабря 2023 года сообщили представители компании «СёрчИнформ».

В частности, для извлечения текста из изображений при выполнении сетевого сканирования используется дополнительный компонент AAServer, специально созданный для анализа графики и медиа.

Графические файлы, например, сканы документов в PDF, рискуют остаться без защиты, если вовремя не определить критичность их содержимого. Однако контентный анализ для графики «тяжелый» и может значительно нагрузить систему.

«AAServer оптимизирует нагрузку: обработка графики может идти отдельно и не расходовать ресурсы основного сервера FileAuditor. А локальный анализ на файловых серверах теперь можно запустить в несколько потоков: файлы не будут «стоять» в одной очереди на обработку», – рассказал Алексей Парфентьев, руководитель отдела аналитики «СёрчИнформ».

Доработки значительно увеличивают производительность системы, снимая архитектурные ограничения, свойственные многим решениям класса. Компонент AAServer, как и перенос многопоточного анализа на агенты, позволяет с максимальной эффективностью использовать мощности вычислительного оборудования заказчика. Ранее производительность была ограничена только частью основного сервера DCAP, выделенной для анализа OCR.

Возможность сканировать почтовый сервер Microsoft Exchange

DCAP-система «СёрчИнформ FileAuditor» теперь может сканировать почтовый сервер MS Exchange и проводить контентный анализ всех писем, вложений и черновиков в корпоративной почте. Возможность реализована в рамках ноябрьского обновления продукта, сообщили 30 ноября 2023 года в компании SearchInform.

FileAuditor напрямую подключается к почтовому серверу и анализирует письма «в покое», причем даже те, которые не сохраняются локально. Например, если пользователь зайдет в рабочую почту с устройства, не находящегося под контролем систем защиты, и создаст черновик с конфиденциальными сведениями, это окажется в зоне видимости службы ИБ благодаря аудиту DCAP-системы.

«Контроль почты – базовая задача внутренней ИБ, ранее реализовать ее силами DCAP было невозможно, хотя почтовый сервер – то же хранилище данных. Благодаря FileAuditor служба ИБ видит сразу, какой информацией обмениваются в компании: система анализирует содержимое каждого письма и помечает в зависимости от категории контента», – пояснил Алексей Парфентьев, руководитель отдела аналитики «СёрчИнформ».

Интеграция позволяет контролировать отдельные почтовые ящики, почту группы пользователей или все ящики корпоративного домена. FileAuditor проводит анализ содержимого почты по контенту и оповещает службу ИБ, если найдет конфиденциальные сведения. А при использовании в составе платформы вместе с DLP «СёрчИнформ КИБ» возможности расширяются: нежелательную почту можно будет заблокировать по меткам FileAuditor.

Ранее «СёрчИнформ» сообщала о повышении производительности FileAuditor при обработке графики, а также при локальном сканировании файловых серверов.

Доступность на платформе «Эффективность.рф»

ИБ-решения «СёрчИнформ» доступны на платформе «Эффективность.рф». Об этом компания «СёрчИнформ» сообщила 6 июля 2023 года. «СёрчИнформ» представила для размещения на платформе 3 продукта и 3 услуги, в том числе и SearchInform FileAuditor. Подробнее здесь.

Интеграция с платформой ЕСР VeiL

Отечественный вендор ИБ-средств «СёрчИнформ» и предприятие НИИ Масштаб завершили интеграцию своих решений. DLP «СёрчИнформ КИБ» и DCAP-система «СёрчИнформ FileAuditor» прошли испытание совместимости с облачной платформой ЕСР VeiL. Об этом компания SearchInform сообщила 20 апреля 2023 года. Подробнее здесь.

Контроль корпоративных файловых серверов

Компания «СёрчИнформ» 25 апреля 2023 года представила обновление DCAP-системы «СёрчИнформ FileAuditor» – теперь в ней доступен контроль корпоративных файловых серверов, подключаемых по FTP-протоколу. File Transfer Protocol все еще часто встречается у корпоративных заказчиков и используется для передачи больших объемов информации: архивов, документов, баз данных, чертежей, программного обеспечения и других файлов большого размера. Поэтому файлы, передаваемые по FTP-соединению, нуждаются в полноценном контроле.

С точки зрения функциональности, сканирование по FTP-протоколу в «СёрчИнформ FileAuditor» работает так же, как сканирование сетевых папок, то есть не зависит от ОС файл-сервера.

FTP-сервера широко распространены и используются в компаниях для передачи «тяжелых» данных и документов, в том числе для обмена информацией с внешними адресатами. Поэтому данные, хранящиеся на подобных серверах, также требуют категоризации, классификации и защиты, – рассказал руководитель отдела аналитики «СёрчИнформ» Алексей Парфентьев.

Автоматическое обнаружение более 80 видов ПДн и офисных документов

Компания «СёрчИнформ» 17 марта 2023 года представила обновление DCAP-системы «СёрчИнформ FileAuditor». Программа предназначена для поиска, категоризации и защиты конфиденциальных файлов в хранилищах компаний. Теперь в системе появились предустановленные правила классификации офисных документов. Это облегчает работу ИБ-специалистов по поиску типовых документов определенных категорий.

Шаблоны правил классификации СёрчИнформ

Чтобы начать работу, достаточно выбрать необходимое правило из списка. Для удобства шаблоны разделены на тематические группы, например: интеллектуальная собственность, финансовая информация и платежные данные, хранение паролей и т.д. В группах больше 80 категорий, в том числе десятки видов персональных данных, корреспонденции, документов с грифами, договоров, актов, счетов, кадровых, финансовых, налоговых документов и пр. Правила можно настроить под себя, а можно просто включить, и отработка начнется автоматически. После проверки по правилу FileAuditor присваивает файлам метки в соответствии с классификацией, по меткам затем легко искать документы в общем массиве или настраивать блокировки доступа, чтобы избежать утечек.

Обновление позволяет решить подавляющее большинство типовых задач при организации документооборота и безопасного хранения чувствительных к утечке файлов. Теперь для старта работы не нужно вникать в тонкие настройки, аудит начнется в один клик по заранее созданным правилам. Это экономит время и силы ИБ-специалистов по адаптации решения к реальным задачам бизнеса, – сказал руководитель отдела аналитики «СёрчИнформ» Алексей Парфентьев.

Создание правила по шаблону СёрчИнформ.

2022

Переход на СУБД PostgreSQL

«СёрчИнформ» 1 декабря 2022 года выпустила обновление DCAP-системы «СёрчИнформ FileAuditor», теперь вся информация о файловых операциях, правах доступа и результаты классификации документов записываются в базу данных PostgreSQL.

В 2022 году в сфере информационной безопасности произошли серьезные изменения: компаниям пришлось перестраивать процессы и активнее переходить на отечественные системы. Некоторым организациям потребовались защитные решения, которые не включают в себя никакие иностранные компоненты. Мы и раньше отвечали на этот запрос, и поддержка СУБД PostgreSQL – один из шагов к окончательной импортонезависимости. Теперь «СёрчИнформ FileAuditor» не зависит от иностранных решений ни на системном, ни на прикладном уровне, – рассказал Алексей Парфентьев, руководитель отдела аналитики «СёрчИнформ».

Сканирование файловых хранилищ по сети реализуется по протоколу SMB и не зависит от ОС. В DCAP также можно организовать контроль через веб-консоль, что дает возможность использовать систему на любой ОС и устройстве, где есть браузер.

Выпуск версии FileAuditor под MacOS

В обновленном релизе DCAP-системы «СёрчИнформ FileAuditor» появился функционал, который позволяет защищать документы на корпоративных устройствах с MacOS. Об этом сообщила компания SearchInform 29 июля 2022 года. В частности, ИБ-специалисты смогут находить любые уязвимые документы на ПК сотрудников благодаря полной индексации файловых хранилищ. А у пользователей появится возможность добавлять на файлы метки ручной классификации данных прямо из контекстного меню. Таким образом можно защитить файлы любых форматов, в том числе исполняемые – программы и приложения, а также архивы.

Ручные метки проставляются в виде грифов, которые прикрепляются к иконке файла – так сотрудники сразу видят, что документы не предназначены для чужих глаз. Метки можно кастомизировать: назвать их в соответствии с рекомендуемым уровнем доступа («Конфиденциально», «Для служебного пользования», «Общедоступные» и пр.), с содержимым документа («Договоры», «Коммерческие предложения») или любыми другими характеристиками («Для бухгалтерии», «К годовому отчету» и т.д.).

Пользователи, которым служба информационной безопасности предоставит такие права, смогут самостоятельно размечать документы, с которыми работают. Для этого достаточно нажать на ярлык файла правой кнопкой и выбрать нужную метку из контекстного меню. При этом ИБ-служба получает наглядный отчет о том, какие файлы получили ручные метки, и какие пользователи их ставили. А индексация всех файлов на ПК сотрудников позволит ИБ-службе быстро искать в них конфиденциальное содержимое, чтобы уточнить, правильно ли проставлены метки.

MacOS – одна из самых закрытых операционных систем, однако встроенных функций безопасности объективно не хватает, чтобы обеспечить нужный уровень конфиденциальности корпоративным клиентам. Поэтому в 2022 году мы адаптировали под MacOS DLP-систему «СёрчИнформ КИБ», теперь выпустили специальную версию FileAuditor. Компания отталкивалась от практических задач заказчиков: чтобы защититься полноценно, важно найти все уязвимые документы и дать рядовым пользователям понимание, что эта информация важная и не подлежит разглашению. Ручные метки однозначно это отражают. К тому же компании смогут вовлекать сотрудников в разметку документов – ведь владелец документа зачастую лучше всех понимает, насколько он конфиденциальный. Большая особенность в том, что разметить можно любые файлы, так что система предупреждений охватит все критичные данные без исключений, рассказал Алексей Парфентьев, руководитель отдела аналитики «СёрчИнформ»

Включение в национальный электронный каталог Индонезии

«SearchInform FileAuditor» и «SearchInform Risk Monitor» включены в национальный электронный каталог Индонезии. Об этом 3 июня 2022 года сообщила компания SearchInform.

Это система, с помощью которой государственные учреждения страны могут найти подробную информацию об интересующем их продукте, а также совершить электронную закупку. Размещение в системе поможет «СёрчИнформ» продвинуть российский софт в регионе, а также позволит ИT-решениям компании свободно участвовать в государственных тендерах. Перед включением в каталог ПО проходит проверку, далее его добавляют в национальный, отраслевой или региональный разделы.

В национальный электронный каталог были включены продукты, которые компания «СёрчИнформ» активно продвигает за рубежом. «SearchInform FileAuditor» – DCAP - система для автоматизированного аудита файловой системы, поиска нарушений прав доступа, изменений в данных, запрета действий с ними. «SearchInform Risk Monitor» – бренд, под которым «СёрчИнформ» продвигает свою DLP-систему за рубежом. Оба решения востребованы на рынках стран Латинской Америки, Ближнего Востока, Южной Африки и Юго-Восточной Азии, в том числе Индонезии.

Мы работаем в Индонезии с 2019 года. Появление DLP и DCAP-систем в национальном каталоге, подтверждает их качество и востребованность, повышает доверие к бренду, а также открывает дополнительные возможности на рынке – участие в государственных тендерах. В планах и дальше увеличивать объем продаж в Индонезии и наращивать присутствие в Юго-Восточной Азии, поделился Сергей Ожегов, генеральный директор «СёрчИнформ».

2021

Интеграция меток конфиденциальности в MS Office

Компания «СёрчИнформ» 23 августа 2021 года представила обновление DCAP-системы «СёрчИнформ FileAuditor». Теперь система позволяет указать уровень конфиденциальности документов прямо в интерфейсе офисных приложений Microsoft Office. Например, если топ-менеджеры не хотят, чтобы документ с внутренними регламентами совета директоров смогли прочитать рядовые сотрудники, то смогут пометить соответствующие файлы – и система применит к ним требуемые ограничения.

Задачу решают метки, которые можно присвоить файлу при работе с ним в Word, Excel, PowerPoint и т.д. Метки FileAuditor проставляются в один клик в панели управления офисным редактором и позволяют вручную задать один из пяти уровней конфиденциальности: «Общедоступный», «Для служебного пользования», «Секретно», «Совершенно секретно» и «Особой важности».

Для каждой категории ручных меток доступны гибкие критерии защиты, которые в консоли FileAuditor централизованно настраивает служба ИБ. Например, можно установить правило, чтобы документы с меткой «Для служебного пользования» стало невозможно пересылать в Outlook, Telegram или любых других приложениях. Или запретить читать файл с меткой «Совершенно секретно» всем, кроме выбранных пользователей и групп. Также программа позволяет ограничить, на каких ПК и кому будет доступна расстановка таких меток – например, только высшему руководству компании.

Обычно DCAP-решения ориентированы на защиту документов в больших массивах данных – когда нет возможности вручную найти все файлы, содержащие конфиденциальную информацию. FileAuditor хорошо справляется с выявлением уязвимых документов и их защитой, в рамках системы реализована технология блокировки доступа к файлу в произвольных приложениях. Однако иногда искать ничего не требуется: нужно защитить конкретный важный документ прямо сейчас. Раньше ИБ-специалистам пришлось бы донастраивать систему, чтобы обнаружить и взять его под защиту. Мы пошли более коротким путем: автор документа сам может выставить метку конфиденциальности, по которой система поймет его ценность и применит правила контроля, – рассказал Алексей Парфентьев, руководитель отдела аналитики «СёрчИнформ».

«СёрчИнформ FileAuditor» находит и сортирует уязвимые документы в файловых хранилищах. На все документы с критичным содержимым (персональные данные, файлы с паролями, договоры, финансовая отчетность и пр.) программа автоматически ставит соответствующую метку и берет под контроль операции, которые с ними совершают пользователи. Система позволяет управлять доступом к заданным категориям файлов – запрещать чтение, изменение, пересылку документов. Ручные метки обогащают этот функционал и обеспечивают дополнительную защиту наиболее критичным файлам. Результаты ручной «разметки» и автоматической классификации можно комбинировать. Например, если документ из категории «Финансовые» получает метку «Совершенно секретно», то можно создать общее правило, по которому работать с файлом сможет только главный бухгалтер.

В FileAuditor служба информационной безопасности получает наглядный отчет, кто, когда устанавливал ручные метки и какие операции совершались с помеченными файлами. В частности, кто пытался открыть такие документы, не имея необходимых прав доступа. А рядовых пользователей ручные метки уведомляют о принятых в компании мерах безопасности. Открыв документ с меткой, сотрудник увидит грифы конфиденциальности в виде колонтитулов и водяных знаков. Если такой документ все же утечет за пределы компании, это будет свидетельствовать об умышленном сливе информации: сотрудник видел гриф «Для служебного пользования», знал, что документ не предназначен для чужих глаз, а значит пошел на нарушение осознанно. В случае судебного разбирательства с инсайдерами это послужит дополнительным доказательством.

Интеграция с OceanStor

Huawei и «СёрчИнформ» 16 апреля представили интегрированное решение OceanStor + FileAuditor. В линейке OceanStor более десятка решений для надежного хранения и сверхбыстрой обработки данных в корпоративной ИТ-инфраструктуре. Благодаря интеграции с FileAuditor в любых массивах данных внутри СХД можно автоматически выявить наиболее уязвимые (ПДн, коммерческую тайну, лог-файлы и пр.), разметить их по категориям и гибко настроить контроль за их жизненным циклом.

Системы хранения Huawei серии OceanStor популярны среди наших корпоративных заказчиков. Для того чтобы минимизировать постоянно растущие риски в области информационной безопасности совместно с нашим партнёром, компанией «СёрчИнформ» мы разработали комплексное решение, – комментирует Ван Цянь (Wang Qian), руководитель направления систем хранения данных, Huawei Enterprise в России. – Оно позволит нашим заказчикам повысить надежность и экономическую эффективность хранения, управления и обработки находящихся у них данных.

Интеграция OceanStor и FileAuditor дает пользователю готовое решение, чтобы хранить данные в порядке и безопасности. Особенно важно, что защита распространяется не только на данные внутри СХД, но и когда с ними взаимодействуют сторонние приложения. Например, FileAuditor позволит запретить открывать документы из хранилища OceanStor в текстовых редакторах или пересылать их в почте или мессенджерах. Получается, инциденты безопасности можно предотвратить заблаговременно, риск потери данных минимизируется – это то, чего ждут заказчики, – говорит Сергей Ожегов, генеральный директор «СёрчИнформ». – Данный результат – итог большой совместной работы, и мы рассчитываем, что наше сотрудничество с Huawei будет развиваться: впереди много планов, как сделать FileAuditor еще удобнее для пользователей СХД OceanStor.

Порядок в файлах и папках: контроль доступа и защита от утечек

В марте 2021 года TAdviser опубликовал совместный с «СёрчИнформ» материал, разъясняющий принципы работы DCAP-системы. Подробнее здесь.

Добавление защиты от несанкционированного доступа

В «СёрчИнформ FileAuditor» реализована защита от несанкционированного доступа, изменений и утечек данных. Об этом СёрчИнформ сообщила 3 марта 2021 года.

Теперь DCAP-система «СёрчИнформ FileAuditor» автоматически блокирует нежелательные действия с файлами в зависимости от их содержимого.

«СёрчИнформ FileAuditor» – решение для аудита файловых систем, программа контролирует конфиденциальные документы на ПК пользователей и отслеживает действия с ними. В последней версии ПО добавилась возможность блокировать доступ и пересылку конфиденциальных файлов в любых произвольных приложениях.

Задача решается с помощью меток, которые автоматически присваиваются файлам в зависимости от их категории – «коммерческая тайна», «ПДн», «договоры», «финансовая отчетность», «файлы с паролями» и пр. Затем по меткам настраиваются разрешения и запреты: каким пользователям, за какими ПК и в каких приложениях можно открывать и изменять. Например, в FileAuditor можно запретить отправку файлов с меткой «ПДн» по любому каналу – будь то корпоративный мессенджер или Telegram. Пользователь просто не сможет прикрепить такие документы во вложения и получит уведомление об ошибке. Можно разрешить работу в MS Office с документами из категории «Конфиденциально» только директору – тогда все остальные пользователи, даже получив доступ к такому файлу, не смогут его открыть.

При этом метки незаметны для пользователей и наследуются при различных действиях с файлами, включая копирование, переименование, смену расширения. FileAuditor автоматически перепроверяет наличие меток и устанавливает их на вновь создаваемые на базе конфиденциальных документов файлы. Это обеспечивает непрерывный контроль.

Стандартное для российского ИБ-рынка решение для защиты конфиденциальных файлов – блокировка их пересылки с помощью DLP. Но у этой технологии есть недостатки: она не спасает от несанкционированных правок или удаления файлов; кроме того, нужно постоянно поддерживать обновления ОС, браузеров, мессенджеров – иначе блокировки перестанут работать. В FileAuditor мы реализовали блокировку не только пересылки, но и работы с конфиденциальными файлами в любых произвольных приложениях – от почты до графического редактора. Можно не переживать, что система защиты не поддерживает корпоративный мессенджер, или обновленную ОС, ограничения FileAuditor работают глубже – на уровне получения данных из файловой системы, – говорит Лев Матвеев, председатель совета директоров «СёрчИнформ».

Дополнительная черта такого подхода – оперативность. Для сравнения: DLP вычитывают в отдельности каждый отправляемый файл, чтобы найти конфиденциальное содержимое и проверить, подходит ли он под критерии блокировки. На это уходит больше времени и ресурсов. В FileAuditor информация о том, разрешены или запрещены действия с файлом, собрана в метке – программа ее считывает и действует мгновенно. При этом FileAuditor работает автономно и может обеспечить защиту конфиденциальных файлов даже в тех компаниях, где не установлена DLP.

В связке же с DLP функционал программы кратно вырастает: под контролем будут попытки отправить не только файл целиком, но и выдержки из него – например, скопированный в сообщение или тело письма текст.

2020: Обзор СёрчИнформ FileAuditor

Представьте ситуацию: исследование, стоившее вам баснословных денег, вдруг оказывается в Сети – потому что вместо 10 топов доступ к нему получил весь коллектив, а кто-то и «расшарил», не увидев в документе большого секрета. Или руководство планирует «резать косты» за счет квартальных премий – а сотрудники увидели черновик плана в общей папке и подняли бунт. Или недовольный сисадмин удалил весь архив бухгалтерии за год – а налоговую отчетность подавать завтра. Что тут делать?

Все это серьезные инциденты ИБ, но, чтобы от них защититься, уже недостаточно отслеживать перемещение данных за пределы организации. Важно знать, кто и как работает с конфиденциальными файлами внутри, а кто – имеет доступ, который на практике им не нужен и несет потенциальный риск. На эти вопросы отвечает «СёрчИнформ FileAuditor» — первый отечественный продукт класса DCAP (data-centric audit and protection, аудит и защита с фокусом на данных).

Введение

Инструментов для контроля конфиденциальных документов вроде бы достаточно: решения типа eDiscovery находят их в любом уголке корпоративной ИТ-инфраструктуры, встроенные средства ОС управляют доступом к ним, DLP-системы устанавливают, кто из пользователей с ними взаимодействовал – например, распечатывал или отправлял.

Однако ни один из этих инструментов не справляется с задачей комплексно. Средства ОС разграничивают доступ к файлам как «контейнерам» данных, не учитывая наполнение – без понимания ценности содержащейся внутри информации это малоэффективно. eDiscovery не проводит аудит изменений и прав доступа. Наконец, DLP-решения не считают нарушением действия с конфиденциальными файлами, если они не покидают корпоративную сеть.

Чтобы реально защитить конфиденциальные данные внутри организации, нужно постоянно отслеживать содержимое файлов и выделять среди них наиболее значимые, контролировать их перемещения, изменения, удаление, визуализировать, кто и как работает с ними в коллективе, и уведомлять о нарушении правил безопасности. Подобную детализацию при аудите файловых систем предоставляет «СёрчИнформ FileAuditor». Рассмотрим его возможности подробнее.

Архитектура решения

«СёрчИнформ FileAuditor» имеет классическую клиент-серверную архитектуру.

Серверная часть отвечает за установку и управление агентами: позволяет подключить/отключить агенты, выбрать для мониторинга компьютеры и отдельные папки на них и настроить правила сканирования. Здесь же происходит запись данных мониторинга в базы под управлением MS SQL и настройка хранилищ для архивации критически важных файлов.

Основные функции по сбору и анализу данных из файловых систем выполняют агентский компонент и служба сетевого сканирования.

Агенты системы устанавливаются в конечных точках и позволяют производить мониторинг на уровне рабочих станций и/или на файл-серверах. Служба сетевого сканирования контролирует сетевые хранилища, причем взаимодействует с ними по протоколу SMB – то есть сканирование возможно на любых устройствах вне зависимости от ОС.

Рис. 1. Схема работы FileAuditor

Функциональные возможности

FileAuditor решает следующие группы задач:

• Мониторинг файловых хранилищ.
• Обнаружение и классификация уязвимых данных.
• Архивирование критичных документов.
• Аудит прав доступа.
• Контроль действий пользователей.
• Управление инцидентами безопасности.

Разберем каждую из них подробнее.

Мониторинг хранилищ

FileAuditor ведет непрерывный мониторинг в конечных точках, чтобы оперативно выявлять изменения в файлах и папках. Можно гибко настроить границы мониторинга – от групп ПК и серверов до отдельных машин и каталогов.

При первом сканировании программа вычитывает всю структуру и содержимое файлов на контролируемых машинах. В дальнейшем в «поле зрения» системы попадают в первую очередь те файлы и папки, к которым обращались пользователи – открывали, редактировали, удаляли, создавали новые, переименовывали или перемещали. Причем изменения на ПК сотрудников отслеживаются в реальном времени, то есть ИБ-специалист всегда имеет актуальное представление о происходящем с данными в компании. Первичный контентный и контекстный анализ файлов тоже происходит прямо в конечных точках, функционал реализован на собственном поисковом движке. Несмотря на широкий «фронт работ», агенты незаметны для пользователей, не тормозят контролируемые машины. Это достигается благодаря настройкам:

• расписания проверок (например, только по окончании рабочего времени);
• условия проверок (например, только если загрузка ЦП меньше N%, только в отсутствии активных сессий и т.д.);
• скорости сканирования (ее можно снизить для облегчения нагрузки на инфраструктуру).

Некоторые файлы и папки для экономии времени можно исключить из сканирования. Например, незачем тратить ресурсы ПО и время на анализ системных файлов. Список исключений гибко настраивается по атрибутам, названию, расположению и др.

Рис. 2. Статистика сканирования в FileAuditor

Вся информация о ходе вычитки каталогов с файлами по правилам FileAuditor доступна на вкладке «Статистика сканирования». Доступна общая статистика по всем компьютерам и сетевым ресурсам, а также подробные отчеты о сканировании отдельных устройств. ИБ-специалисты могут просмотреть, когда прошло последнее сканирование и сколько оно длилось, сколько файлов было проверено и какой объем они занимают, в какие категории попадает информация в них и не было ли ошибок во время вычитки.

Классификация данных

В отличие от традиционных средств контроля файловых систем, FileAuditor классифицирует файлы не только по названию или расположению. Программа анализирует содержимое файлов, делит их на категории и выделяет среди них конфиденциальные. Для этого предварительно задаются правила классификации – какими ключевыми признаками должен обладать файл, чтобы попадать в ту или иную категорию.

Искать эти признаки программа может:

• По ключевым словам, фразам и последовательности символов (иноязычные вставки, @, №, $, % и т.д.). Поддерживается поиск «ключевиков» с морфологией, т.е. в измененных формах. Можно уточнить поиск, указав, сколько раз в документе должны встречаться искомые слова и фразы. Если искать сразу несколько ключевых слов, можно задать, какое расстояние в документе между ними допустимо, чтобы считать сочетание значимым.
• По словарям. В программе есть встроенный редактор, который автоматически преобразует в готовый словарь любой текст-образец, загружаемый пользователем. Этот вид поиска полезен для выделения тематических категорий документов: например, считать файл попадающим в категорию «финансовые документы», если в нем встретилось не менее 5 выражений из словаря бухгалтерской терминологии.
• По регулярным выражениям. В программе есть удобный редактор для создания регулярных выражений с виртуальной клавиатурой из готовых элементов формулы поиска, все они сопровождаются подробными комментариями. Можно создавать сложные регулярные выражения, когда в одном поиске скомбинированы несколько условий. Например, учитывать в правиле классификации только файлы, где одновременно встречаются не менее 5 комбинаций из номеров карты и трехзначных CVC/CVV-кодов. Кроме того, можно сразу убедиться, что запрос работает корректно: доступно поле проверки, где можно задать пример искомой комбинации символов и протестировать, распознает ли его система.

Рис. 3. Редактор регулярных выражений в FileAuditor

• По атрибутам. Критерий позволяет относить к правилу классификации только файлы определенного типа, размера, созданные или измененные в заданном интервале, хранящиеся в определенной директории и т.д.

Одно правило может сочетать сразу несколько видов поиска, критерии объединяются с помощью логических операторов. Для удобства в системе есть готовые шаблоны правил, которые легко адаптировать к потребностям организации. Также можно создать и использовать собственные шаблоны.

Правила классификации можно применять ко всем файлам в корпоративной инфраструктуре или для отдельных машин/директорий. В результате вся значимая информация в пределах компании будет рассортирована по категориям – «Офисные файлы», «Контракты», «Прайсы», «Персональные данные» и т.д. Система обнаружит все файлы, относящиеся к ним, где бы они ни находились, и поставит на них соответствующие «метки».

Рис. 4. Цветная маркировка правил и подсветка ключевых фрагментов документа в FileAuditor

Эта разметка визуализируется в виде цветных маркеров. При просмотре содержимого файла в режиме «Только текст» подсвечиваются фрагменты, по которым программа определила принадлежность к заданной категории.

Архивирование критичных документов

Чтобы защитить документы от несанкционированных изменений, FileAuditor создает теневые копии файлов. Можно хранить несколько последних версий нужных файлов – по ним удобно отслеживать, как именно пользователи редактировали документ и не исказили ли содержимое. При желании нужную версию можно восстановить. Это гарантирует, что информация не будет потеряна, даже если документ случайно или намерено удалят. При этом все теневые копии хранятся в зашифрованном виде, так что не могут быть скомпрометированы в хранилище FileAuditor.

Программа сохраняет только те объекты, для которых заданы соответствующие настройки, поэтому сервер не перегружен копиями лишних файлов. Реализована и система дедупликации: если идентичные копии одного и того же файла обнаруживаются в нескольких точках сети, то в хранилище FileAuditor попадет только один экземпляр.

Кроме того, можно определить количество сохраненных версий каждого уникального файла, тогда устаревшие копии, с которыми пользователи перестали взаимодействовать, будут автоматически удаляться из выдачи. Чтобы хранилище не перегружалось, можно очистить теневые копии файлов, которые больше не нуждаются в контроле – если были удалены правила их контроля или они находились на машинах, которые исключили из мониторинга.

Аудит прав доступа

FileAuditor определяет права доступа пользователей к каждому документу благодаря вычитке сведений из ресурсов файловой системы. Вся нужная информация собрана в едином представлении – не приходится привлекать дополнительные инструменты. Аудитор видит:

• перечень групп и конкретных сотрудников, которым доступен файл;
• перечень операций, доступных каждому пользователю с конкретным файлом/директорией.

В программе есть фильтры, которые помогают конкретизировать выдачу для более детального анализа прав доступа. Для каждого файла можно найти всех пользователей с определенными разрешениями – например, всех сотрудников, кто может редактировать и удалять файл, или только тех, кому доступ к файлу запрещен. И наоборот: можно искать, какие файлы доступны или запрещены к использованию заданным пользователям/группам пользователей.

Наиболее полная информация о пользовательских разрешениях доступна в отчетах «Права доступа к ресурсам» и «Владельцы ресурсов». Последний особенно полезен, чтобы проконтролировать появление новых объектов в файловой системе и распределить права доступа к ним.

Рис. 5. Отчет «Права доступа к ресурсам» в FileAuditor

Контроль действий пользователей

FileAuditor предоставляет детальную информацию обо всех пользовательских операциях с файлами. Для каждого документа в контролируемых хранилищах можно просмотреть историю обращений: кто и когда открывал или редактировал искомый файл.

Рис. 6. Просмотр операций с файлом в FileAuditor

Кроме того, с помощью фильтров можно сузить выборку файлов в зависимости от того, какую критичную операцию необходимо отслеживать. Например, можно выбрать только документы, которые в заданный промежуток времени:

• были изменены;
• переименованы;
• перемещены;
• удалены;
• получили новые настройки прав доступа;
• попали под правило или перестали ему соответствовать.

Критерий «Контроль файла прекращен» указывает на ситуации, когда в документе исчезли признаки, по которым система определяла его принадлежность к той или иной категории. Например, если пользователи удалили из текста гриф «коммерческая тайна». Технически система перестанет считать такой файл конфиденциальным, однако зафиксирует операцию для дальнейшего расследования. Это помогает раскрывать инциденты, связанные с попытками кражи важных документов и обмана систем безопасности.

Рис. 7. Расследование инцидента в FileAuditor: сотрудник изменил содержимое документа, чтобы он перестал попадать под правило, и переместил его в папку «Не забыть унести»

Для самых критичных документов целесообразно настроить специальные политики безопасности, которые будут отслеживать заданные операции с файлами и оповещать аудиторов, кто и когда их совершил.

Управление инцидентами

Политики безопасности в FileAuditor помогают вовремя среагировать на нежелательные события с заданными категориями данных. Настроить автоматизированный поиск нарушений можно:

• по категории файла или папки (в соответствии с правилами классификации);
• по расположению;
• по типу;
• по расширению;
• по пользовательским правам доступа;
• по дате создания или изменения и т.д.

Например, можно создать политику, которая оповестит, если новые пользователи получили расширенные права доступа к документам из категории «Финансовая отчетность».

Рис. 8. Сработка политики безопасности FileAuditor: новые пользователи получили права на редактирование контролируемого документа

При срабатывании политики система отправит оповещение ИБ-специалисту и сохранит результаты поиска на вкладке «Инциденты». Там можно изучить срез по каждой сработке и сопутствующую информацию о попавших в поле зрения политики файлах: где и как они хранятся, к каким категориям относятся, кому принадлежат и кто еще имеет к ним доступ.

Для профилактики инцидентов можно заранее заблокировать нежелательные действия пользователей. Запреты можно задать для всех или отдельных пользователей/ПК, а также настроить исключения. Например, запретить чтение файлов из категории «Коммерческая тайна» всем пользователям, кроме топ-менеджмента. О заблокированных попытках доступа/изменений ИБ-специалисты смогут узнать из результатов аудита.

Еще больше блокировок доступно при интеграции FileAuditor с DLP-системой «СёрчИнформ КИБ».

Возможности интеграции

FileAuditor – самостоятельный продукт, при этом может интегрироваться с другими системами информационной безопасности. Программа взаимодействует с DLP-системами любых производителей, а с решением «СёрчИнформ КИБ» интегрируется бесшовно в рамках единого интерфейса.

Совместное использование кратно усиливает уровень ИБ, так как под контролем оказываются не только внешний периметр организации, но и внутренняя экосистема. FileAuditor покажет, у кого конфиденциальные документы хранятся в нарушение политик безопасности, а DLP-система позволит отследить, кто, когда, кому отправлял файлы, и наглядно продемонстрирует это по контентным маршрутам.

Кроме того, в КИБ можно запретить передачу по тем или иным каналам документов, попадающих в заданные в FileAuditor категории. Например, запретить любые попытки отправить файл из категории «Финансовые документы» в облако или поделиться документом с маркером «Коммерческая тайна» в мессенджере.

Также FileAuditor поддерживает интеграцию с SIEM и SOC.

Выводы

На российском рынке только начинают появляться отечественные решения, которые бы полностью брали под контроль файловую систему в компании. «СёрчИнформ FileAuditor» — первая полнофункциональная разработка такого рода в классе DCAP.

Программа позволяет структурировать информацию, создает наглядную картину того, как много конфиденциальных файлов хранится в системе, кто к ним обращается и имеет ли на это право. А интегрирование FileAuditor с DLP-системами и другими инструментами информационной безопасности обеспечивает комплексное расследование обстоятельств нарушений.

Доступно бесплатное тестирование полнофункциональной версии «СёрчИнформ FileAuditor» на инфраструктуре заказчика.

Достоинства:

• Работа по протоколу SMB независимо от ОС (для сетевого сканирования).
• Полностью отечественный продукт – аналитическая компонента (поисковый движок) собственной разработки.
• Высокие скорости обработки данных при низкой загрузке хранилищ (сбор и анализ данных сканирования производится на агентах без предварительной записи в БД).
• Возможности проактивного управления инцидентами с файлами и папками (контентные блокировки, кастомизация правил контроля для разных категорий документов/пользователей).
• Удобная визуализация состояния файловых систем (цветовая маркировка файлов по контенту, журнал событий, отчеты о владельцах и правах доступа к ресурсам, статистика сканирований и т.д.).
• Архивирование критичной информации (теневое копирование последних версий файлов из заданных категорий).
• Хорошие возможности интеграции – с DLP, SIEM-системами, SOC и другими решениями для информационной безопасности.

Недостатки:

• Управление только из приложения (нет web-интерфейса).
• Требуются лицензии на стороннее ПО (серверная ОС Windows).
• В текущей версии отсутствует возможность прямой настройки разрешений файловой системы (NTFS).

2019: Коммерческий релиз «СёрчИнформ FileAuditor»

3 сентября 2019 года компания «СёрчИнформ» объявила о коммерческом релизе продукта – «СёрчИнформ FileAuditor». Решение относится к классу DCAP-продуктов (аудит и защита неструктурированных данных) и позволяет контролировать файлы, которые содержат критичные данные, отслеживать изменения в них (создан, изменен, «расшарен», перемещен, удален) и делать теневую копию последних редакций. Система показывает, кто из пользователей совершал эти действия, обнаруживает нарушения прав доступа.

По информации компании, возможности не ограничиваются только файлами — для папок также доступна аналитика содержимого в ней контента или измененных прав. Благодаря программе у ИБ-специалиста появляется наглядное представление о том, что происходит в файловой системе. Это решает задачу контроля передачи конфиденциальной информации пользователям, не имеющим прав доступа к ней.

«СёрчИнформ FileAuditor» позволяет навести порядок в файловой системе и быстро реагировать на опасные ситуации. Например, такая была обнаружена после тестовой установки софта у одного из заказчиков – крупного ритейлера. Файл с исследованием рынка, которое стоило организации 100 тысяч долларов, оказался в доступе у 300 сотрудников вместо ограниченного круга в несколько десятков. Если бы модуль был установлен раньше, проблему удалось бы предотвратить. рассказал Лев Матвеев, председатель совета директоров «СёрчИнформ»

Система отслеживает местонахождение конфиденциальных данных с помощью нескольких видов поиска: по тексту, регулярным выражениям, атрибутам файла (типу, размеру, местоположению). Возможно создавать комплексные поисковые запросы, например, искать по фрагменту текста и атрибуту файла одновременно, а также по выбранным директориям и компьютерам пользователей. Анализ данных «СёрчИнформ FileAuditor» производит как на локальных ПК, так и на серверах, что позволяет снизить расходы на закупку оборудования для хранения данных.

Классический DLP-подход, когда чувствительные данные не должны покидать корпоративный периметр, уже не является достаточным. Современные бизнес-процессы требуют, чтобы периметры были выделены даже внутри организации, когда доступ к данным ограничен в зависимости от роли сотрудника. Но встроенные средства разграничения доступа не выдерживают никакой критики, ведь сотрудник, который имеет право работать с документом, может перенести ее в общедоступную папку. Для защиты именно от таких инцидентов и применяется «СёрчИнформ FileAuditor». рассказал Алексей Парфентьев, руководитель отдела аналитики «СёрчИнформ»