2021/04/02 13:08:26

Николай Казанцев, «Полисан»: Мы пробовали разные инструменты для аудита файлов, но было либо слишком дорого, либо неудобно

Компания «Полисан» протестировала и внедрила DCAP-систему отечественного производителя «СёрчИнформ» FileAuditor. Задача контроля файловых хранилищ особо остро встала после того, как в компании был введен режим коммерческой тайны. Начальник отдела информационной безопасности Николай Казанцев рассказал, почему его не устроили другие инструменты для защиты «данных в покое» и каких доработок ждет от FileAuditor.

Николай
Казанцев
Принято защищать информацию от утечек, но помимо «состояния утечки» у информации есть и «состояние покоя»

Николай, опишите проблему, из-за которой возникла необходимость в дополнительном программном обеспечении.

Николай Казанцев: Принято защищать информацию от утечек, но помимо «состояния утечки» у информации есть и «состояние покоя». Понимать, где хранятся защищаемые информационные активы для службы безопасности не менее важно, чем выявлять факты их слива. Поэтому вопрос контроля файлов – на файловых серверах и на рабочих станциях пользователей – стоял всегда.

Но особенно остро он возник в процессе внедрения режима коммерческой тайны, когда мы перешли от кибербезопасности к защите конкретных информационных объектов и потоков. То есть когда стали воспринимать безопасность не как оборону от «абстрактных хакеров», а начали внедрять комплексную защиту вполне определенных ценных для бизнеса данных.

При внедрении режима комтайны недостаточно настроить контроль ее утечки в DLP-системе. Нужно понимать, кто ее внутренний «владелец», в рамках каких процессов информация создается и обрабатывается, в каких видах документов/файлов содержится. Нужно построить свою информационную модель для каждого пункта из перечня сведений, составляющих коммерческую тайну.TAdviser выпустил Карту российского рынка цифровизации строительства 25.3 т

В большинстве случаев просто спросить у владельцев информации невозможно – люди просто не знают всей картины. Они знают только свой участок работы и в общих чертах представляют, какой отчет составляет комтайну, какой технический документ – относится к ноу-хау. В итоге мы не получаем информацию, какие документы для компании действительно ценные.

Это отражается на качестве защиты данных. Мы можем пытаться защищать какую-то абстракцию, а DLP-система будет завалена ложными сработками или, наоборот, пропускать инциденты.

Какие инструменты для аудита файловой системы пробовали?

Николай Казанцев: Ситуация с DCAP нетипичная. В случае с другими задачами инфобеза, у нас всегда был выбор готовых инструментов – антивирусы, межсетевые экраны, песочницы, DLP-системы. Для построения же data-centric security всегда чего-то не хватало. Мы пробовали разные технические инструменты, но удобных не попадалось.

Пробовали RMS-системы (Rights Management Systems). Продукты прошлого поколения имели очень узкое применение. Современные (тестировали Azure RMS) концептуально хороши, но все равно не универсальны и слишком трудоемки в плане организации процессов.

Пытались вести аудит обращения к файлам средствами операционной системы в связке с системами анализа логов. Но в этом случае нагрузка на файловые серверы неприемлемо высока, да и об удобстве работы говорить не приходится.

Пробовали Varonis – инструмент мощный, но для нас дороговат. Наверное, соотношение цена/качество подходит тем, у кого защита данных сосредоточена на безопасности файловых серверов. Но для большинства бизнесов защита данных в покое – это лишь одна из задач безопасности. Для них неприемлемо бросать огромные ресурсы на покупку только одного из нескольких необходимых программных решений.

Тестировали Netwrix Auditor, но он использовал «под капотом» тот же функционал журналирования ОС, что давало высокую нагрузку на серверы и рабочие станции.

Поэтому до закупки FileAuditor мы делали выбор в пользу временного решения из связки функционала DLP с другими инструментами.

Расскажите подробнее, как это работает.

Николай Казанцев: У нас внедрена DLP-система «СёрчИнформ КИБ», в ней есть модуль «индексация рабочих станций» (механизм e-Discovery), который находит файлы по заданным правилам во всем массиве рабочих станций и серверов. Анализ логов через модуль FileController давал представление, кто к ним обращается. Аудит прав доступа выполняли с помощью самописного скрипта и все это сгружали в систему аналитики данных (Power BI). Это позволяло нам составлять базовые профили информационных объектов: кто использует информацию, где она хранится, куда передается.

По базовому профилю вместе с владельцами информации определяли границы: где должен храниться файл, а где нет; кто может иметь доступ, как можно передавать информацию. Все отклонения прописывались в политики безопасности для DLP, сработки считались инцидентами.

По такому алгоритму мы и шли. Брали список того, что в нашей компании составляет коммерческую тайну, и прорабатывали каждый пункт.

Какие минусы в таком варианте решения задачи связкой DLP + анализ логов?

Николай Казанцев: Такой подход в некоторых ситуациях оправдывает себя. Но у него есть большие минусы, прежде всего – трудозатраты. Из-за этого на определенном этапе развития компании подход становится неприменим. Используя DLP и анализ логов с целью контроля файловых хранилищ, требуется постоянно объединять данные из разных источников. Условно, в компании со 100 рабочими станциями и одним файловым сервером – это несложно, а что делать, если их десятки и сотни?!

Поэтому с появлением единого продукта – FileAuditor[1] – работа с файловыми хранилищами вышла для нас на иной уровень, т.к. это решение объединяет и расширяет все перечисленные наработки «СёрчИнформ». Плюс в FileAuditor все сведено в одно место для решения конкретных задач аналитика. Работать стало быстрее, как следствие – больше устраненных инцидентов. Удобно, что функционал обращения к файлам вынесен в ту же панель, что и дерево каталогов, все в одном месте.

То, что «СёрчИнформ КИБ» и FileAuditor бесшовно интегрируются друг с другом, дает много возможностей. Для нас это стало определяющим при выборе решения.

Конечно, контроль передачи информационных активов (через базовые модули DLP) и «данных в покое» (через FileAuditor) – это отдельные процессы информационной безопасности. Но вместе они позволяют построить наиболее полную информационную модель вокруг конкретных данных. Мы понимаем, где они хранятся, кто их кому передает, даже в какой последовательности. Как следствие, обладая полным пониманием «нормального» процесса, легче обнаружить отклонения, которые могут оказаться инцидентами безопасности.

Приведите примеры, какие задачи решили для себя с помощью FileAuditor.

Николай Казанцев: Один из важных информационных активов в нашей компании – это набор файлов с техническими показателями по производству. Все сотрудники подразделения, которые работали с ними, уверяли, что хранят документы в одной папке и следовали регламентированному процессу. Когда проводили аудит с помощью FileAuditor, выяснили, что на компьютерах у пользователей находятся неучтенные устаревшие копии. Оказалось, что сотрудники сохраняли себе эти документы из банального удобства.

Мы пресекли этот процесс как небезопасный. Во-первых, грифованные документы покидали допустимые места хранения. Во-вторых, сотрудники могли использовать в работе устаревшие документы, что в случае производства может быть просто опасно. При этом бизнес-подразделения смогли пересмотреть процесс, подумать над тем, как сделать его более удобным для сотрудников. Это такой «побочный» эффект от аудита – оптимизация бизнес-процессов.

Другой «побочный» эффект – повышение культуры обращения с данными. Мы, например, увидели, что в большинстве случаев, когда тот или иной файл с комтайной оказывается на чужом ПК, причина не в злом умысле, а в халатности или лени сотрудника. Но все равно каждую ситуацию мы разбираем вместе с владельцем актива. Это в конечном счете повышает техническую защищенность компании. Но повышается и организационная культура. Владельцы и пользователи информации начинают лучше понимать, с какими данными работают и какие к ним предъявляются требования по защите.

Какие доработки по-вашему имеет смысл реализовать в FileAuditor?

Николай Казанцев: Я бы добавил побольше BI функционала, который бы внес больше наглядности в данные и интерактивности в работе. И конечно расширение возможностей контекстного поиска, которых достаточно в модуле DLP-системы «СёрчИнформ КИБ» AlertCenter. Они еще не все реализованы в FileAuditor.

Как можно эффективнее использовать функционал FileAuditor по-вашему?

Николай Казанцев: Заниматься наведением порядка на файловых серверах и рабочих станциях пользователей задача важная. Но без контроля каналов передачи информации (с помощью DLP) – это может быть неконструктивно. FileAuditor должен быть продолжением уже встроенной, в том числе на базе DLP, инфраструктуры безопасности компании.

Так же не стоит бросаться в защиту файловых ресурсов пока не определились с тем, что собственно следует защищать. В компании должно быть сформировано понимание, какие информационные активы для нее наиболее критичны.

Нужно понимать, что если для информационных активов (на уровне информации, а не железа и ПО) не определены владельцы из числа бизнес-подразделений, то работы по наведению порядка с файлами тоже будут затруднительны. Но кстати, тут появление FileAuditor как раз может помочь найти потенциальных владельцев. Программа быстро и наглядно покажет, какие сотрудники и подразделения интенсивнее всего работают с информацией. С большой вероятностью они либо являются владельцем данных, либо знают больше всего об этом бизнес-процессе.

В марте 2021 года в FileAuditor вышел обновленный функционал – блокировка по меткам. Он позволяет ограничить действия с файлами в любых приложениях. Насколько это важный функционал?

Николай Казанцев: Для многих компаний – это хороший и даже необходимый функционал. Но в нашей компании мы достаточно сдержано относимся к блокировке по содержимому. Для ряда информационных активов это легко реализовать т.к. данные содержатся в явно определенных и стандартизированных формах – трудно ошибиться, но в большинстве случаев «фолс-позитивов» больше, чем возможной пользы от блокировки. Также не стоит забывать про информационные обмены с контрагентами, в том числе коммерческой тайной: не каждая передача информационного актива вовне является инцидентом безопасности.

Поэтому «детект» более демократичен, чем «превент», меньше оказывает негативного воздействия на бизнес-процессы. Да, можно возразить, что при таком демократичном подходе у каждого работника есть возможность отправить вовне коммерческую тайну компании, но, как говорится, спрыгнуть с крыши можно только один раз.

Примечания