BIS Journal №2(49)2023

14 июня, 2023

«Заглянуть под каждый камень». Пять причин использовать DLP вместе с DCAP

Основная задача DLP-систем – борьба с утечками информации и защита от других внутренних инцидентов. Но, выстраивая защиту данных в компании, в первую очередь нужно понимать, как устроены бизнес-процессы и какая информация представляет ценность. Второй шаг – разобраться, где хранится эта информация и откуда может утечь. И только третий шаг – непосредственно защита.

Инструмент, который поможет на первых двух этапах, проанализирует информацию и категоризирует ее – это решение класса DCAP (Data-Centric Audit and Protection). Расскажу, почему DLP и систему для файлового аудита (DCAP) стоит использовать вместе. 

 

Причина 1: Быстрый поиск

DCAP-системы классифицируют все документы в компании по контенту. Они сканируют хранилища и вычитывают файлы, затем относят их к разным категориям: персональные данные, финотчетность, договоры и т. д. Каждой категории присваивается метка, она ставится на файл с заданным содержимым на уровне характеристик в файловой системе (т. е. вручную такую метку не удалить). Метка становится как бы «обложкой» для файла, которая сообщает DLP об уязвимом контенте.

DLP «СёрчИнформ КИБ» бесшовно интегрируется с нашей же DCAP «СёрчИнформ FileAuditor». В одном интерфейсе можно настроить правила классификации, по которым DCAP разметит документы, а затем политики безопасности в DLP на основе этих меток.

Метки заменяют длинные «поисковые запросы» внутри политик и ускоряют быстродействие DLP, потому что ей не приходится самостоятельно «сканировать» каждый файл. Настройка сводится к двум кликам: например, оповещать об инциденте, если в канале «мессенджеры» пересылают файл с меткой «ПДн».

 

Причина 2: Профилактика случайных инцидентов

Если конфиденциальные документы хранятся хаотично, доступны тем, кому не нужны по прямым обязанностям – это риск, что кто-то прочтет их из любопытства или «расшарит» по незнанию. DCAP позволяет контролировать, чтобы данные хранились «как надо»: показывает, где лежат самые уязвимые данные, и кто имеет к ним доступ. Так ИБ-специалисту проще скорректировать пользовательские права доступа и убрать лишнее из общих папок.

DLP в свою очередь ищет кто и как нарушает или пытается нарушить правила. Таким образом, DCAP-система сужает для DLP фронт работ.

 

Причина 3: Выявление организационных проблем

DCAP дополняет картину инцидента тем, что невозможно отследить с DLP. Представим ситуацию, что у сотрудника нашелся не предназначенный ему документ, но DLP не увидела передачу файла. Как документ к нему попал, прояснит DCAP: покажет, что файл лежал в общей папке, а пользователь скопировал его к себе на ПК. В FileAuditor за это отвечают аудит прав доступа и журнал операций с файлами.

Файловый аудит выявляет организационные проблемы и нарушения правил работы с информацией. Людям всегда удобнее сделать копию грифованного документа, чтобы потом использовать как шаблон, хранить ее у себя на ПК, а не в специальной папке на сервере, чтобы была под рукой. Понимание таких «коротких путей», которыми идут сотрудники в обход регламентов, помогает эффективнее настроить контроль с DLP. 

 

Причина 4: Управление доступом к контенту

Почти в любых DLP есть механизм eDiscovery для работы с данными в покое. Он хорош для простого поиска файлов, но не чтобы разобраться с правами доступа или действиями пользователей с информацией. 

DCAP-решения разрешают/запрещают операции с файлами и доступ к местам их хранения. Это можно сделать вручную средствами ОС, но удобнее – в одном интерфейсе, а не в каждой директории отдельно. «СёрчИнформ FileAuditor» идет еще дальше и регулирует способы работы с данными. Например, для организаций из финансового сектора с 2023 года ввели ограничения: платежную информацию и персональные данные клиентов им нельзя передавать в мессенджерах даже для рабочих нужд. В FileAuditor можно настроить запрет на пересылку файлов с метками – в данном случае «ПДн» и «Платежная информация» (эти правила классификации преднастроены) – через выбранные мессенджеры и в любом другом приложении. Программы просто не смогут вычитать такие документы из файловой системы, это уникальный функционал FileAuditor. 

DLP в этом случае выявляет более сложные схемы инсайдеров. Когда FileAuditor запретит пересылку конфиденциального документа, КИБ подстрахует от «расшаривания» пользователем отдельных критичных отрывков из него где-нибудь в соцсети. Нестандартные каналы утечки тоже будут под контролем. Например, КИБ распознает наведение смартфона с камерой на экран ПК. Для этого система задействует веб-камеру на ПК сотрудника, съемку можно включать принудительно, когда запускается критичный процесс (например, CRM) или открывается конфиденциальный документ. 

То есть связка DLP+DCAP дает комплексный контроль и позволяет настраивать запреты максимально гибко. К тому же в обеих программах есть аудит блокировок – ИБ-служба всегда будет знать, кто пытался обойти ограничения.

 

Причина 5: Развитие культуры ИБ

Возможности DCAP и DLP помогают дисциплинировать коллектив. В «СёрчИнформ КИБ» можно информировать пользователя о правилах ИБ с помощью специального интерфейса. Он уведомляет о блокировках и дает сотруднику возможность запросить доступ к необходимым ему устройствам и документам. DCAP, в свою очередь, подсказывает пользователю, насколько информация в документе конфиденциальна. 

Мы внедрили видимые метки с указанием уровня доступа, которые сотрудники могут самостоятельно расставлять на документы. Например, руководство готовит новые регламенты работы с поставщиками – и может поставить на инструкцию метку «Для служебного пользования». FileAuditor автоматически контролирует, что «ручные» метки расставлены правильно (скажем, что договоры с клиентами имеют гриф «Конфиденциально»). Постановку этих меток можно сделать обязательной: без них документ не получится отправить или сохранить.  

В результате системы приучают пользователей анализировать контент и самим делать выводы, что он требует защиты. Сотрудники в курсе, что ведется контроль, это тоже дисциплинирующий фактор. Это страховка от инцидентов «по незнанию», а если пользователь проигнорировал предупреждения системы – подтверждение, что нарушение было намеренным. 

 

Итого

DLP и DCAP дополняют и усиливают друг друга. Со связкой систем критичные нарушения станут реже, ведь ИБ-специалистам не придется разбираться с хаосом: неправильным хранением данных, избыточными правами доступа, нежелательными операциями с файлами. Значит, станет меньше пользовательских ошибок и лазеек для инсайдеров, эффективность защиты кратно вырастет.

Попробуйте решения «СёрчИнформ» для комплексной защиты конфиденциальных данных. Это бесплатно на 30 дней: КИБ и FA.

Стать автором BIS Journal

Смотрите также

Подписаться на новости BIS Journal / Медиа группы Авангард

Подписаться
Введите ваш E-mail

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных

29.11.2023
«Мы рассчитывали, что наши крупнейшие цифровые платформы успеют…»
29.11.2023
Софт для управления разработкой подорожал до 3 млн рублей
29.11.2023
Мошенники активно используют карусель инфоповодов и техник для обмана граждан
29.11.2023
Количество жертв кибермошенников в «Чёрную пятницу» увеличилось
28.11.2023
Хакеры провели почти 290 тысяч успешных атак на клиентов банков
28.11.2023
«Тинькофф» запретил сотрудникам работать из других стран. Но есть исключения
28.11.2023
300 млрд рублей к 2027 году. В России появится акселератор для вывода игр за рубеж
28.11.2023
До 2030 года Россия потратит 25 млрд рублей на развитие кибербеза
28.11.2023
Клиенты банков теперь смогут переводить средства за рубеж через СБП
28.11.2023
Чёрная пятница — чёрный декабрь. Solar AURA — о мошенничестве в период распродаж

Стать автором BIS Journal

Поля, обозначенные звездочкой, обязательные для заполнения!

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных