Перейти к содержимому. | Перейти к навигации

Персональные инструменты
Вход Регистрация
Вы здесь: Главная ЧИТАЛЬНЫЙ ЗАЛ Защита от инсайдеров и утечки информации Как навести порядок в файловой системе
Protectiva Compliance Manager
Навигация
 

Как навести порядок в файловой системе

Операции с документом
Пример правил контроля данных в FileAuditor
 
Пример правил контроля данных в FileAuditor
Почему важно «раскладывать по полкам» документы с конфиденциальными данными? Зачем следить за изменениями в их содержимом и хранить архив редакций? Можно ли вычислить откатчика по названию файлов на его ПК? Разбираемся на реальных примерах и объясняем, с чего начать мониторинг данных в покое.

Важная теория

Отслеживая перемещение корпоративных документов (читай: данные в движении), можно упустить защиту данных в покое. Некоторые DLP-системы способны показать, на каких серверах и ПК хранятся конфиденциальные файлы с помощью механизма eDiscovery. 
 
Но знания, что все прайс-листы лежат в одноименной папке недостаточно для их полноценной защиты. Необходимо выяснить, кто из сотрудников имеет к ней доступ, кто открывает, редактирует эти документы. Отдельный момент, что в excel-таблице «Работники» на самом деле могут храниться персональные данные VIP-клиентов, а в папке «Разобрать» – финансовые отчеты. Для решения всех этих задач используют специальный класс продуктов – DCAP.
 
DCAP-системы (Data-Centric Audit and Protection) проводят автоматизированный аудит данных в файловой системе, находят нарушения прав доступа и отслеживают изменения в значимых документах. Это помогает понять, сколько в компании ценных данных, где они хранятся, кто из сотрудников и как может их использовать.
 
Теперь к практике! Поделимся невыдуманными историями клиентов и расскажем на примере «СёрчИнформ FileAuditor», как DCAP-системы решают задачи заказчиков.   
 

Защита от случайного разглашения

 
Кейс. В общей сетевой папке нашли каталог, в котором хранились сканы паспортов – по ошибке или незнанию сотрудников, а на ПК пользователей обнаружили другие персональные данные. Такая неразбериха в документах – дополнительный риск столкнуться с санкциями Роскомнадзора или, что еще хуже, потерять ценные сведения. В этом случае до инцидента не дошло. Обнаружить и устранить проблему помог FileAuditor.
 
Как это работает?
 
Под «капотом» DCAP-систем находятся поисковые алгоритмы. От их количества и качества зависит функциональность решения. Чем мощнее поисковый «движок», тем более резво и действенно будет работать программа.
 
В FileAuditor сейчас четыре вида поиска – по тексту, регулярным выражениям, атрибутам, словарям. Задать условия поиска и выбрать объекты сканирования (файл, место хранения) можно при настройке Правил контроля данных. Для удобства пользователей в программе есть готовые шаблоны правил. 
 
По сути – это правила классификации документов по содержимому. Так можно разбить на категории всю значимую информацию в корпоративной сети – «Офисные файлы», «Контракты», «Прайсы», «Персональные данные» и т.д. Далее программа проводит сканирование и, если файл подпадает под правило, ставит на него условную «метку». 
 
Сканирование проводится в двух режимах – на сервере и на агенте. Для проверки можно использовать оба. В первом режиме программа проверяет данные в сетевых папках и на серверах, во втором – «просматривает» файлы на ПК сотрудников. Расписание проверок можно настроить. Причем программа в первую очередь проконтролирует измененные и новые файлы. А значит, найти нарушителя можно будет по «свежему следу».   
 
Результаты сканирования собраны в Консоли аналитика. Здесь отображается дерево папок и вложенных в них файлов с метками (их цвет задается при настройке правил). Теперь можно увидеть все документы с конфиденциальным содержимым и взять их под защиту, как поступила компания из первого кейса. 
 
Проверить ход сканирования позволяет Отчет об ошибках. Он отражает технические проблемы, с которыми столкнулась программа во время мониторинга конкретного файла или папки. Например, сервер, где они хранились, был не доступен. 
 
В Консоли аналитика можно отслеживать и права доступа к файлам и папкам. Программа вычитывает заданные в ОС права и отображает их в режиме «Просмотр файлов».
 
Понять, кому принадлежит документ или папка, помогает и Отчет о владельцах ресурсов, который доступен в Консоли. Он упрощает отслеживание новых объектов в файловой системе.

Что контролировать в первую очередь?
 
Создайте список файлов, которые нужно держать на особом контроле (файлы, содержащие коммерческую тайну, персданные, бухгалтерские документы и т.д.). Чтобы он был максимально полным, привлекайте к его составлению руководителей отделов или топ-менеджеров. 
 
Ниже несколько рекомендаций по созданию правил контроля данных в FileAuditor:
 
1. Отслеживайте документы с грифами («Для служебного пользования», «Секретно», «Коммерческая тайна» и т.п.). Используйте поиск по тексту – с учетом морфологии или по точному совпадению, либо по маске.
 
2. Контролируйте договоры, коммерческие предложения и соглашения. Оригиналы и версии легко найти по последовательности символов (Договор №29\) или по маске (договор.?, №*.docx).
 
3. Настройте поиск по регулярным выражениям (математическим «формулам») для мониторинга документов с персданными – номера паспортов, телефонов, платежных карт и т.п. 
 
Некоторые файлы и папки для экономии времени можно исключить из сканирования. Например, незачем тратить ресурсы ПО и время на анализ системных файлов. 
 
Список исключений в настройках FileAuditor гибко настраивается по категории, расширению, расположению и др. 
 

Пресечение утечек

 
Кейс. Перед увольнением маркетолог ритейл-компании скачал с файлового сервера на свой ПК дорогостоящее исследование рынка. Спустя время скачанный файл перестал попадать в категорию «коммерческая тайна». Получив уведомление от FileAuditor, служба безопасности изучила внесенные в документ изменения. Выяснилось, что сотрудник сократил и частично переписал содержимое, чтобы выдать исследование за собственное – собирался унести его на новое место работы. 
 
Как это работает?
 
В FileAuditor действия пользователей с файлами отображаются в Консоли аналитика в режиме «Операции». С помощью этой опции служба безопасности смогла восстановить хронологию действий сотрудника и собрать доказательства нарушения.

Как не упустить инцидент?
 
Для оперативного отслеживания инцидентов можно настроить отправку уведомлений о найденных нарушениях на email в AlertCenter. Это компонент DLP-системы «СёрчИнформ КИБ», с которым интегрируется FileAuditor. Включить оповещения о появлении новых критичных файлов или о работе с ними сотрудников из групп риска можно в несколько кликов.
 

Восстановление данных 

 
Кейс. IT-специалист перед увольнением решил отомстить: загрузил в сеть компании вредонос, который спустя месяц запустил форматирование корпоративных хранилищ. 

Удаление файлов с серверов заметили благодаря FileAuditor. Служба безопасности остановила выполнение вредоносной программы, все пострадавшие файлы восстановили из архивов FileAuditor.
 
Как это работает?
 
Восстанавливать удаленные документы или их исходные версии позволяет теневое копирование. В FileAuditor эта функция срабатывает для файлов, подпадающих под заданные правила. Они автоматически шифруются и копируются в хранилище. Чтобы оно не переполнилось, в программе реализована система дедупликации (метод сжатия данных, который исключает дублирование одинаковых копий). В хранилище попадает только один файл, а не все 50 его копий, которые пользователи «разнесли» по локальной сети. Разные версии одного файла при этом сохраняются. Так что можно проследить по шагам, как менялось его содержимое в окне предпросмотра. 
 
В настройках сканирования теневое копирование можно отключить, выбрав режим «только аудит». В этом случае программа будет фиксировать изменения в файлах, но просмотреть выбранный документ ИБ-специалист сможет только на удаленном ПК. Для этого достаточно кликнуть по контекстному меню.
 

Обнаружение мошеннических схем

 
Кейс. Компания заподозрила отдел закупок в получении взяток. FileAuditor выявил компьютеры нескольких сотрудников, на которых хранились документы с внутренними ценами. DLP показала, что эти файлы сотрудники регулярно отправляли на внешние адреса поставщиков. 
 
После изучения документов (они были в формате Excel) оказалось, что в таблицах был скрытый столбец, набранный белым шрифтом, в котором содержались закупочные цены, которые были в разы ниже розничных. 
 
Как это работает?
 
Кейс наглядно демонстрирует выгоды интеграции DCAP- и DLP-решений. Первые помогают найти зацепки, вторые – довести расследование до конца. В этом случае выйти на след взяточников помогло сканирование по правилу «Прайсы». 
 
Для профилактики подобных нарушений удобно использовать поиск по словарю. Например, система будет определять принадлежность к категории «банковская отчетность» всех документов, где одновременно встречается больше 5 слов из словаря финансовых терминов. В словарь можно включить профессиональную и жаргонную лексику (например, «бабки», «зеленые» и т.д.). Это позволит находить «рабочие» документы и черновики откатчиков.
 
А в вашей файловой системе – порядок? Проверьте во время бесплатного 30-дневного триала «СёрчИнформ FileAuditor».
Как стать участником |  Что может участник  |  Как работать с порталом  |  Реклама |  Авторские права  |  Контакты  |  Конкурсы  |  RSS  |  Форум
©2003 - 2020 GlobalTrust
Рейтинг@Mail.ru Rambler's Top100 Yandex