BIS Journal №2(49)2023

14 июня, 2023

«Заглянуть под каждый камень». Пять причин использовать DLP вместе с DCAP

Основная задача DLP-систем – борьба с утечками информации и защита от других внутренних инцидентов. Но, выстраивая защиту данных в компании, в первую очередь нужно понимать, как устроены бизнес-процессы и какая информация представляет ценность. Второй шаг – разобраться, где хранится эта информация и откуда может утечь. И только третий шаг – непосредственно защита.

Инструмент, который поможет на первых двух этапах, проанализирует информацию и категоризирует ее – это решение класса DCAP (Data-Centric Audit and Protection). Расскажу, почему DLP и систему для файлового аудита (DCAP) стоит использовать вместе. 

 

Причина 1: Быстрый поиск

DCAP-системы классифицируют все документы в компании по контенту. Они сканируют хранилища и вычитывают файлы, затем относят их к разным категориям: персональные данные, финотчетность, договоры и т. д. Каждой категории присваивается метка, она ставится на файл с заданным содержимым на уровне характеристик в файловой системе (т. е. вручную такую метку не удалить). Метка становится как бы «обложкой» для файла, которая сообщает DLP об уязвимом контенте.

DLP «СёрчИнформ КИБ» бесшовно интегрируется с нашей же DCAP «СёрчИнформ FileAuditor». В одном интерфейсе можно настроить правила классификации, по которым DCAP разметит документы, а затем политики безопасности в DLP на основе этих меток.

Метки заменяют длинные «поисковые запросы» внутри политик и ускоряют быстродействие DLP, потому что ей не приходится самостоятельно «сканировать» каждый файл. Настройка сводится к двум кликам: например, оповещать об инциденте, если в канале «мессенджеры» пересылают файл с меткой «ПДн».

 

Причина 2: Профилактика случайных инцидентов

Если конфиденциальные документы хранятся хаотично, доступны тем, кому не нужны по прямым обязанностям – это риск, что кто-то прочтет их из любопытства или «расшарит» по незнанию. DCAP позволяет контролировать, чтобы данные хранились «как надо»: показывает, где лежат самые уязвимые данные, и кто имеет к ним доступ. Так ИБ-специалисту проще скорректировать пользовательские права доступа и убрать лишнее из общих папок.

DLP в свою очередь ищет кто и как нарушает или пытается нарушить правила. Таким образом, DCAP-система сужает для DLP фронт работ.

 

Причина 3: Выявление организационных проблем

DCAP дополняет картину инцидента тем, что невозможно отследить с DLP. Представим ситуацию, что у сотрудника нашелся не предназначенный ему документ, но DLP не увидела передачу файла. Как документ к нему попал, прояснит DCAP: покажет, что файл лежал в общей папке, а пользователь скопировал его к себе на ПК. В FileAuditor за это отвечают аудит прав доступа и журнал операций с файлами.

Файловый аудит выявляет организационные проблемы и нарушения правил работы с информацией. Людям всегда удобнее сделать копию грифованного документа, чтобы потом использовать как шаблон, хранить ее у себя на ПК, а не в специальной папке на сервере, чтобы была под рукой. Понимание таких «коротких путей», которыми идут сотрудники в обход регламентов, помогает эффективнее настроить контроль с DLP. 

 

Причина 4: Управление доступом к контенту

Почти в любых DLP есть механизм eDiscovery для работы с данными в покое. Он хорош для простого поиска файлов, но не чтобы разобраться с правами доступа или действиями пользователей с информацией. 

DCAP-решения разрешают/запрещают операции с файлами и доступ к местам их хранения. Это можно сделать вручную средствами ОС, но удобнее – в одном интерфейсе, а не в каждой директории отдельно. «СёрчИнформ FileAuditor» идет еще дальше и регулирует способы работы с данными. Например, для организаций из финансового сектора с 2023 года ввели ограничения: платежную информацию и персональные данные клиентов им нельзя передавать в мессенджерах даже для рабочих нужд. В FileAuditor можно настроить запрет на пересылку файлов с метками – в данном случае «ПДн» и «Платежная информация» (эти правила классификации преднастроены) – через выбранные мессенджеры и в любом другом приложении. Программы просто не смогут вычитать такие документы из файловой системы, это уникальный функционал FileAuditor. 

DLP в этом случае выявляет более сложные схемы инсайдеров. Когда FileAuditor запретит пересылку конфиденциального документа, КИБ подстрахует от «расшаривания» пользователем отдельных критичных отрывков из него где-нибудь в соцсети. Нестандартные каналы утечки тоже будут под контролем. Например, КИБ распознает наведение смартфона с камерой на экран ПК. Для этого система задействует веб-камеру на ПК сотрудника, съемку можно включать принудительно, когда запускается критичный процесс (например, CRM) или открывается конфиденциальный документ. 

То есть связка DLP+DCAP дает комплексный контроль и позволяет настраивать запреты максимально гибко. К тому же в обеих программах есть аудит блокировок – ИБ-служба всегда будет знать, кто пытался обойти ограничения.

 

Причина 5: Развитие культуры ИБ

Возможности DCAP и DLP помогают дисциплинировать коллектив. В «СёрчИнформ КИБ» можно информировать пользователя о правилах ИБ с помощью специального интерфейса. Он уведомляет о блокировках и дает сотруднику возможность запросить доступ к необходимым ему устройствам и документам. DCAP, в свою очередь, подсказывает пользователю, насколько информация в документе конфиденциальна. 

Мы внедрили видимые метки с указанием уровня доступа, которые сотрудники могут самостоятельно расставлять на документы. Например, руководство готовит новые регламенты работы с поставщиками – и может поставить на инструкцию метку «Для служебного пользования». FileAuditor автоматически контролирует, что «ручные» метки расставлены правильно (скажем, что договоры с клиентами имеют гриф «Конфиденциально»). Постановку этих меток можно сделать обязательной: без них документ не получится отправить или сохранить.  

В результате системы приучают пользователей анализировать контент и самим делать выводы, что он требует защиты. Сотрудники в курсе, что ведется контроль, это тоже дисциплинирующий фактор. Это страховка от инцидентов «по незнанию», а если пользователь проигнорировал предупреждения системы – подтверждение, что нарушение было намеренным. 

 

Итого

DLP и DCAP дополняют и усиливают друг друга. Со связкой систем критичные нарушения станут реже, ведь ИБ-специалистам не придется разбираться с хаосом: неправильным хранением данных, избыточными правами доступа, нежелательными операциями с файлами. Значит, станет меньше пользовательских ошибок и лазеек для инсайдеров, эффективность защиты кратно вырастет.

Попробуйте решения «СёрчИнформ» для комплексной защиты конфиденциальных данных. Это бесплатно на 30 дней: КИБ и FA.

Стать автором BIS Journal

Смотрите также

Подписаться на новости BIS Journal / Медиа группы Авангард

Подписаться
Введите ваш E-mail

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных

13.09.2024
Невский экспресс. Питерские чиновники спускаются ниже радаров с помощью московского ПО
13.09.2024
Кибермошенники делают всё больше работы за жертву
13.09.2024
Fortinet не стала платить взломщику
13.09.2024
Moscow Forensics Day 2024 — кратко
13.09.2024
Инфляционное давление поднимается
12.09.2024
Объединение двух банков снизит затраты на ИТ-решения
12.09.2024
Платёжные данные в обмен на бусы. Хакеры заразили мерч Cisco
12.09.2024
Мошенники пугают отельеров понижением социального рейтинга
12.09.2024
Банк России готовится к массовому использованию цифрового рубля
12.09.2024
Остерегайтесь синдрома «мы всегда так делали». Как повысить эффективность SOC и избежать выгорания команды

Стать автором BIS Journal

Поля, обозначенные звездочкой, обязательные для заполнения!

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных