Основная задача DLP-систем – борьба с утечками информации и защита от других внутренних инцидентов. Но, выстраивая защиту данных в компании, в первую очередь нужно понимать, как устроены бизнес-процессы и какая информация представляет ценность. Второй шаг – разобраться, где хранится эта информация и откуда может утечь. И только третий шаг – непосредственно защита.
Инструмент, который поможет на первых двух этапах, проанализирует информацию и категоризирует ее – это решение класса DCAP (Data-Centric Audit and Protection). Расскажу, почему DLP и систему для файлового аудита (DCAP) стоит использовать вместе.
Причина 1: Быстрый поиск
DCAP-системы классифицируют все документы в компании по контенту. Они сканируют хранилища и вычитывают файлы, затем относят их к разным категориям: персональные данные, финотчетность, договоры и т. д. Каждой категории присваивается метка, она ставится на файл с заданным содержимым на уровне характеристик в файловой системе (т. е. вручную такую метку не удалить). Метка становится как бы «обложкой» для файла, которая сообщает DLP об уязвимом контенте.
DLP «СёрчИнформ КИБ» бесшовно интегрируется с нашей же DCAP «СёрчИнформ FileAuditor». В одном интерфейсе можно настроить правила классификации, по которым DCAP разметит документы, а затем политики безопасности в DLP на основе этих меток.
Метки заменяют длинные «поисковые запросы» внутри политик и ускоряют быстродействие DLP, потому что ей не приходится самостоятельно «сканировать» каждый файл. Настройка сводится к двум кликам: например, оповещать об инциденте, если в канале «мессенджеры» пересылают файл с меткой «ПДн».
Причина 2: Профилактика случайных инцидентов
Если конфиденциальные документы хранятся хаотично, доступны тем, кому не нужны по прямым обязанностям – это риск, что кто-то прочтет их из любопытства или «расшарит» по незнанию. DCAP позволяет контролировать, чтобы данные хранились «как надо»: показывает, где лежат самые уязвимые данные, и кто имеет к ним доступ. Так ИБ-специалисту проще скорректировать пользовательские права доступа и убрать лишнее из общих папок.
DLP в свою очередь ищет кто и как нарушает или пытается нарушить правила. Таким образом, DCAP-система сужает для DLP фронт работ.
Причина 3: Выявление организационных проблем
DCAP дополняет картину инцидента тем, что невозможно отследить с DLP. Представим ситуацию, что у сотрудника нашелся не предназначенный ему документ, но DLP не увидела передачу файла. Как документ к нему попал, прояснит DCAP: покажет, что файл лежал в общей папке, а пользователь скопировал его к себе на ПК. В FileAuditor за это отвечают аудит прав доступа и журнал операций с файлами.
Файловый аудит выявляет организационные проблемы и нарушения правил работы с информацией. Людям всегда удобнее сделать копию грифованного документа, чтобы потом использовать как шаблон, хранить ее у себя на ПК, а не в специальной папке на сервере, чтобы была под рукой. Понимание таких «коротких путей», которыми идут сотрудники в обход регламентов, помогает эффективнее настроить контроль с DLP.
Причина 4: Управление доступом к контенту
Почти в любых DLP есть механизм eDiscovery для работы с данными в покое. Он хорош для простого поиска файлов, но не чтобы разобраться с правами доступа или действиями пользователей с информацией.
DCAP-решения разрешают/запрещают операции с файлами и доступ к местам их хранения. Это можно сделать вручную средствами ОС, но удобнее – в одном интерфейсе, а не в каждой директории отдельно. «СёрчИнформ FileAuditor» идет еще дальше и регулирует способы работы с данными. Например, для организаций из финансового сектора с 2023 года ввели ограничения: платежную информацию и персональные данные клиентов им нельзя передавать в мессенджерах даже для рабочих нужд. В FileAuditor можно настроить запрет на пересылку файлов с метками – в данном случае «ПДн» и «Платежная информация» (эти правила классификации преднастроены) – через выбранные мессенджеры и в любом другом приложении. Программы просто не смогут вычитать такие документы из файловой системы, это уникальный функционал FileAuditor.
DLP в этом случае выявляет более сложные схемы инсайдеров. Когда FileAuditor запретит пересылку конфиденциального документа, КИБ подстрахует от «расшаривания» пользователем отдельных критичных отрывков из него где-нибудь в соцсети. Нестандартные каналы утечки тоже будут под контролем. Например, КИБ распознает наведение смартфона с камерой на экран ПК. Для этого система задействует веб-камеру на ПК сотрудника, съемку можно включать принудительно, когда запускается критичный процесс (например, CRM) или открывается конфиденциальный документ.
То есть связка DLP+DCAP дает комплексный контроль и позволяет настраивать запреты максимально гибко. К тому же в обеих программах есть аудит блокировок – ИБ-служба всегда будет знать, кто пытался обойти ограничения.
Причина 5: Развитие культуры ИБ
Возможности DCAP и DLP помогают дисциплинировать коллектив. В «СёрчИнформ КИБ» можно информировать пользователя о правилах ИБ с помощью специального интерфейса. Он уведомляет о блокировках и дает сотруднику возможность запросить доступ к необходимым ему устройствам и документам. DCAP, в свою очередь, подсказывает пользователю, насколько информация в документе конфиденциальна.
Мы внедрили видимые метки с указанием уровня доступа, которые сотрудники могут самостоятельно расставлять на документы. Например, руководство готовит новые регламенты работы с поставщиками – и может поставить на инструкцию метку «Для служебного пользования». FileAuditor автоматически контролирует, что «ручные» метки расставлены правильно (скажем, что договоры с клиентами имеют гриф «Конфиденциально»). Постановку этих меток можно сделать обязательной: без них документ не получится отправить или сохранить.
В результате системы приучают пользователей анализировать контент и самим делать выводы, что он требует защиты. Сотрудники в курсе, что ведется контроль, это тоже дисциплинирующий фактор. Это страховка от инцидентов «по незнанию», а если пользователь проигнорировал предупреждения системы – подтверждение, что нарушение было намеренным.
Итого
DLP и DCAP дополняют и усиливают друг друга. Со связкой систем критичные нарушения станут реже, ведь ИБ-специалистам не придется разбираться с хаосом: неправильным хранением данных, избыточными правами доступа, нежелательными операциями с файлами. Значит, станет меньше пользовательских ошибок и лазеек для инсайдеров, эффективность защиты кратно вырастет.
Попробуйте решения «СёрчИнформ» для комплексной защиты конфиденциальных данных. Это бесплатно на 30 дней: КИБ и FA.
Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных
Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных