УДК 004.056

Разработка DCAP-модуля DLP-системы

Шашин Михаил Антонович – студент Санкт-Петербургского государственного университета телекоммуникаций имени профессора М. А. Бонч‑Бруевича.

Аннотация: Статья предоставляет важные сведения о том, какие требования определены для DCAP-системы, требуемый функционал для эффективного обеспечения безопасности файловой системы и защиты конфиденциальных данных от утечек и несанкционированного доступа, а также преимущества использования DCAP-системы с DLP-системой для обеспечения комплексной защиты от утечек данных.

Ключевые слова: DCAP-система, DLP-система, аудит файловой системы, групповые политики, права доступа.

Введение

Системы файлового аудита класса DCAP предназначены для автоматической идентификации и решения проблем, связанных с хранением и использованием данных.

Они структурируют содержимое файлового хранилища, определяют права доступа и выделяют данные, которые не должны быть общедоступными.

Они также могут выполнять удаленный сбор информации, анализировать доступы и классифицировать документы с конфиденциальной информацией.

DCAP также позволяет обнаруживать различные аномалии и мониторить подозрительное поведение без постоянного контроля отдельных пользователей.

DCAP (data-centric audit and protection) – это подход к защите информации, который сосредоточен на данных, а не на пользователях, приложениях или каналах передачи данных. DCAP позволяет определить, какие данные являются конфиденциальными, где они хранятся, кто имеет к ним доступ и какие политики безопасности должны быть применены. Он также включает в себя мониторинг и аудит данных, чтобы обнаружить любые изменения, которые могут указывать на злоумышленную деятельность. DCAP позволяет защитить конкретные данные, а не всю организацию в целом, что делает его масштабируемым и выгодным для бизнеса. DCAP-системы могут помочь компаниям навести порядок в файловых хранилищах, определить права доступа и выделить данные, которые не должны быть общедоступными. Они также могут выполнять удаленный сбор информации, анализировать доступы и классифицировать документы с конфиденциальной информацией.

Перед системами файлового аудита класса DCAP стоит три основных задачи:

  1. Обнаружение и классификация данных.
  2. Мониторинг пользовательских прав и обращений к данным.
  3. Защита данных от нежелательного доступа и использования.

То есть система должна анализировать содержимое файловых хранилищ, выделять в них чувствительную информацию и предотвращать действия пользователей, способные ей навредить.

Логика работы DCAP

Чтобы защитить данные в покое, службе ИБ нужно последовательно пройти несколько этапов. Для наглядности рассмотрим их последовательно.

Шаг 1. Определить чувствительную информацию

Перед началом поиска необходимо определить, какие виды документов используются в компании. Это можно сделать, исходя из бизнес-процессов или требований регулятора. В любой компании встречаются кадровые, бухгалтерские документы, финансовая отчетность, приказы начальства, клиентские договоры и базы контактов, и все они требуют контроля. Другой подход - руководствоваться требованиями регулятора. Например, если законом охраняются персональные данные, то необходимо искать номера паспортов, а если техническое описание объекта составляет тайну, то нужно искать в файлах его фрагменты. В DCAP-системе существуют шаблоны правил классификации, включающие универсальные типы данных, такие как ПДн, документы с грифом "коммерческая тайна" и другие. Эти шаблоны позволяют классифицировать данные с помощью нескольких поисковых алгоритмов, таких как поиск по ключевым словам, фразам, регулярным выражениям, атрибутам и другим.

DCAP-система содержит шаблоны правил классификации, которые включают универсальные типы данных, такие как ПДн, документы с грифом "коммерческая тайна", номера телефонов и кредитных карт, а также возможность создания новых категорий. В DCAP-системе можно использовать предустановленные шаблоны для модуля классификации, которые анализируют каждый документ на хранилищах данных. Кроме того, в DCAP-системе можно создавать неограниченное количество новых категорий, что позволяет более точно классифицировать данные.

Чтобы классифицировать данные, DCAP-система ищет внутри файлов признаки, по которым их можно отнести к той или иной категории. Для этого используется несколько поисковых алгоритмов:

  • по ключевым словам, фразам и последовательности символов;
  • по словарям;
  • по регулярным выражениям;
  • по степени схожести с заданным образцом;
  • по атрибутам;
  • по «ручным» меткам.

Все алгоритмы поиска могут быть объединены в сложные запросы, что позволяет, например, искать одновременно по фрагменту текста и атрибуту файла. Поиск будет работать и по документам нетекстовых форматов благодаря OCR-модулю, который позволяет алгоритмам анализировать контент отсканированных и сфотографированных документов.

Когда правила созданы, DCAP-система в соответствии с ними анализирует содержимое всех файлов в системе и автоматически ставит на них метки классификации. Эти метки выполняют сразу две важные функции.

Во-первых, они визуально маркируют нужный контент – при просмотре дерева папок в DCAP-системе у каждого файла, попавшего под правило, будет цветной «флаг» с названием категории. Службе ИБ не придется прочитывать каждый вручную, чтобы понять, что внутри. При этом пользователям такая метка будет не видна.

Во-вторых, метки «резюмируют» всю информацию о файле. Они хранятся в файловой системе и при обращении к файлу выполняют роль «инструкции», как его обрабатывать. Метка характеризует не атрибуты и свойства файла, а его содержимое. Поэтому она не исчезнет, если пользователь переименует или изменит расширение файла, а если скопирует его или пересохранит текст в новом документе – автоматически появится и на нём.

Автоматическую классификацию можно дополнить вручную. "Ручные" метки могут отражать рекомендуемый уровень доступа к файлу, такие как "Общедоступные", "Для служебного пользования" и другие. Название и формат отображения меток можно настроить. Пользователи могут устанавливать эти метки сами, если служба информационной безопасности предоставит им такое право. Это позволяет авторам документов лучше определить, насколько чувствительная информация содержится в них. Например, главный бухгалтер может установить метку "Для служебного пользования" на финансовый отчет уже при его создании.

Шаг 2. Определить границы поиска

Благодаря автоматической и ручной классификации файлов DCAP-система понимает, какие данные нужно защищать. Следующим этапом является обнаружение файлов, которые попадают в уязвимые категории, в общем массиве данных в компании. Для этого необходимо запустить мониторинг файлового хранилища, чтобы обеспечить возможность самостоятельного отслеживания текущих параметров.

Даже конфиденциальные документы могут быть обнаружены на компьютере обычного пользователя или в общей папке, доступной всей компании. Кроме того, множество конфиденциальных документов могут быть потеряны в множестве пользовательских файлов и папок. Поэтому необходимо контролировать все директории, где могут храниться важные файлы, и составить "карту" таких хранилищ. Если в результате аудита критические документы будут обнаружены в непредназначенных для них местах, необходимо принять меры для устранения этой проблемы. Для этого необходимо запустить мониторинг файлового хранилища, чтобы обеспечить возможность самостоятельного отслеживания текущих параметров.

Файловый аудитор использует агентский и сетевой режимы сканирования при помощи модулей, использующих библиотеку GFAL2 (Grid File Access Library ver.2) на серверной и клиентской части. Первый контролирует ПК и локальные сервера, второй - сетевые хранилища.

При первом сканировании программа вычитывает всю структуру и содержимое файлов в хранилищах. В мониторинг можно включить любое количество компьютеров и серверов, если требуется – сузить его до отдельных машин или даже папок. Кроме того, из сканирования можно исключить файлы и папки по заданным атрибутам. Например, чтобы не тратить ресурсы ПО на анализ системных файлов, можно задать в исключения соответствующую категорию объекта, его расширение, расположение и др.

DCAP-система проверяет только новые или измененные файлы, запуская проверку при обращении к файлу, например, при его открытии, редактировании, переименовании или перемещении. Это позволяет системе мгновенно обнаруживать появление новых конфиденциальных файлов в компании и немедленно приступать к их защите.

Мониторинг DCAP-системы происходит незаметно для пользователя: сканирование не влияет на производительность ПК и не мешает работе с файлами. Например, система не будет сканировать файл, пока он открыт у сотрудника. Кроме того, специалист по информационной безопасности может настроить проверку по окончании рабочего времени или установить условие: сканирование происходит только при загрузке ЦП менее N% и только в отсутствие активных сессий.

Система визуализирует все контролируемые директории, и для каждого файла в сканируемых папках доступна подробная информация: какие метки на файле установлены вручную и автоматически, кто, когда и как взаимодействовал с файлом в последний раз. Также можно просмотреть содержимое файла и узнать, почему система отнесла его к той или иной категории.

DCAP-система позволяет настраивать выдачу информации с помощью фильтров. Например, можно отображать только файлы на определенных ПК, с определенным названием, созданные или измененные за определенное время. Также можно искать по содержимому документов с метками, например, паспортные данные шефа среди всех файлов из категории "ПДн". Доступна фильтрация по атрибутам, владельцам документов, операциям с ними и системным событиям, таким как изменение прав доступа, прекращение контроля файла и другие.

Шаг 3. Определить, кто и как работает с данными – и кому это можно и нельзя

Для выявления рисков утечки информации необходимо иметь представление о слабых местах в жизненном цикле уязвимых документов. Поэтому специалисту по информационной безопасности необходимо иметь наглядное представление о том, кто, когда и как обращается к файлам. Важно иметь доступ ко всем операциям с файлами и папками с привязкой к конкретному пользователю.

DCAP-система регистрирует все действия пользователей в "умном" журнале. Для каждого документа доступна история обращений, включая информацию о времени создания, изменения, последнем открытии, а также о том, кто совершил эти действия. Также можно осуществлять поиск по отдельным операциям, например, отображать только переименованные документы.

Особого контроля требуют нежелательные действия: например, копирование контента, нерегламентированные правки или удаление содержимого потенциально могут обернуться проблемами для компании.

Для отслеживания подобных инцидентов можно задать политики безопасности, которые уведомят службу информационной безопасности в случае критических событий с файлами. Кроме того, к срабатыванию политики можно привязать запуск внешних скриптов.

Для отслеживания подобных инцидентов можно настроить политики безопасности не только по операциям, но и по системным событиям, например, если файл перестал попадать под правило, а также по изменению прав пользователей.

Мониторинг пользовательских привилегий – важнейшая задача DCAP. Система должна определять, какие документы нуждаются в дополнительной защите, и выявлять избыточные доступы.

DCAP-система осуществляет анализ прав доступа пользователей к файловой системе, что позволяет службе информационной безопасности видеть, какие сотрудники имеют доступ к критической информации. Эта информация представлена в удобном едином представлении, что упрощает процесс отслеживания и аудита. Аудитор видит полный список пользователей, имеющих доступ к файлу, а также операции, доступные им. Например, можно увидеть всех сотрудников, имеющих право на редактирование и удаление файла, или только тех, кому доступ к файлу запрещен. Также возможен поиск файлов, доступных или запрещенных для определенных пользователей.

Также есть возможность получить подробные отчеты о ресурсах. Отчеты "Права доступа к ресурсам" и "Владельцы ресурсов" содержат наиболее полную информацию о пользовательских разрешениях. Отчет "Владельцы ресурсов" помогает безопасно распределить права доступа к новым объектам (документам или папкам), появившимся в файловой системе. Отчет о наследовании прав отображает, как распределены права пользователей на подпапки и файлы внутри крупных директорий, указывает на ошибки наследования и позволяет обратить внимание на объекты, к которым заданы права, не соответствующие правилам доступа к родительским папкам. Эти отчеты позволяют аудитору видеть полный список пользователей, имеющих доступ к файлу, а также операции, доступные им. Например, можно увидеть всех сотрудников, имеющих право на редактирование и удаление файла, или только тех, кому доступ к файлу запрещен. Также возможен поиск файлов, доступных или запрещенных для определенных пользователей.

Чтобы правильно интерпретировать отчеты, полезно свериться с должностными инструкциями: кому из пользователей действительно положен доступ к данным, а кто пользуется им просто так – потому что может. Нужно ли строго следовать букве нормативов, решать вам. Но очевидно, что, например, возможность прочитать проекты приказов руководства до опубликования ни к чему линейному персоналу.

Шаг 4. Настроить защиту

DCAP без проактивной защиты файлов не DCAP. Третья важная функция этого класса решений – превентивная.

Чтобы посторонние не получили доступ к критичной информации, службе ИБ нужно настроить пользовательские права, задать белые/черные списки, запретить потенциально опасные действия: например, возможность прикрепить конфиденциальный документ к письму или сообщению в мессенджере.

Задачу решают контентные блокировки. В DCAP-системе для каждой категории документов можно задать ограничения: кому, на каких ПК и в каких приложениях с ними разрешено или запрещено работать. Блокировки применяются по меткам автоматической и ручной классификации.

DCAP-система способна ограничивать доступ к файлам через любые приложения, независимо от их версии, типа или происхождения, включая системные процессы и корпоративное программное обеспечение. Ограничения применяются в файловой системе, где система разрешает или запрещает приложениям доступ к данным. Например, если установлен запрет на чтение файлов с меткой "Финансовая отчетность" в MS Outlook для пользователей, не входящих в группу "Бухгалтерия", приложение не сможет открыть такой документ и, следовательно, не сможет прикрепить его в качестве вложения к письму при отправке.

Файловый аудитор системы может управлять правами пользователей, включая разрешения в операционной системе, непосредственно из своего интерфейса. Это позволяет гибко настраивать разрешения на конкретные операции с файлом (чтение, редактирование, исполнение, перемещение, копирование и т.д.), а также доступ к целым директориям. Эта функция помогает быстро решать проблемы, такие как неправильное назначение прав на файлы, например, когда пользователь получает права на файл, к которому у него нет доступа к родительской папке. Удаление избыточных прав можно осуществить одним нажатием с помощью кнопки в контекстном меню, что более быстро и удобно, чем ручная настройка через интерфейс операционной системы.

Еще одна защитная функция DCAP-системы – теневое копирование.

DCAP-система может архивировать и хранить заданное количество версий критичных файлов, что позволяет отслеживать историю изменений и оперативно восстанавливать важную информацию в случае ее кражи, шифрования, искажения или удаления. Эта функция обеспечивает сохранность данных и возможность восстановления информации в случае возникновения проблем с файлами.

DCAP-система может архивировать и хранить заданное количество версий критичных файлов, что позволяет отслеживать историю изменений и оперативно восстанавливать важную информацию в случае ее кражи, шифрования, искажения или удаления. Теневые копии хранятся в зашифрованном виде на сервере, и система сохраняет только те объекты, для которых заданы соответствующие настройки. Кроме того, эти копии формируют индекс, по которому становится доступен полнотекстовый поиск, что позволяет службе информационной безопасности искать информацию внутри архивированных файлов.

Количество сохраненных версий каждого уникального файла можно определить, чтобы устаревшие копии, с которыми пользователи перестали взаимодействовать, автоматически удалялись из хранилища.

Результаты работы DCAP

Файловый аудитор DCAP-системы помогает службе ИБ понять, как устроен корпоративный документооборот. Это позволяет легче навести порядок в файловых хранилищах и следить за соблюдением порядка, чтобы избежать инцидентов из-за потери, искажения или случайного распространения чувствительных данных. DCAP-система фиксирует все пользовательские операции в «умный» журнал, который позволяет просмотреть историю обращений к каждому документу, а также управлять правами пользователей прямо из своего интерфейса. Кроме того, DCAP-система может блокировать доступ к файлу через любое приложение вне зависимости от его версии, типа, происхождения, а также архивировать и хранить заданное количество версий критичных файлов для отслеживания истории изменений и оперативного восстановления важной информации в случае ее кражи, шифрования, искажения или удаления.

Использование DCAP-системы усиливает эффективность других инструментов информационной безопасности. Например, совместное использование DCAP и DLP систем обеспечивает комплексную защиту от утечек. DCAP ограничит доступ к файлам, а DLP отследит все случаи, когда пользователи попытаются отправить выдержки из них в сообщениях или письмах, или составит контентный маршрут пересылки важного файла между сотрудниками.

Список литературы

  1. Казанцев А. А. и др. Создание и управление Security Operations Center для эффективного применения в реальных условиях // Актуальные проблемы инфотелекоммуникаций в науке и образовании (АПИНО 2019). – 2019. – С. 590-595.
  2. Сахаров Д. В. и др. Использование математических методов прогнозирования для оценки нагрузки на вычислительную мощность IOT-сети // Научно-аналитический журнал «Вестник Санкт-Петербургского университета Государственной противопожарной службы МЧС России». – 2020. – №. 2. – С. 86-94.
  3. Гельфанд А. М., Гвоздев Ю. В., Штеренберг С. И. Исследования недостатков языков высокоуровнего программирования для осуществления скрытого вложения в исполнимые файлы // Актуальные проблемы инфотелекоммуникаций в науке и образовании. – 2015. – С. 295-297.
  4. Шемякин С. Н. и др. Теоретическая оценка использования математических методов прогнозирования загрузки виртуальной инфраструктуры // Наукоемкие технологии в космических исследованиях Земли. – 2021. – Т. 13. – №. 4. – С. 66-75.
  5. Гельфанд А. М. и др. Интернет вещей (IoT): угрозы безопасности и конфиденциальности // Актуальные проблемы инфотелекоммуникаций в науке и образовании (АПИНО 2021). – 2021. – С. 215-220.

Интересная статья? Поделись ей с другими: