СОИБ. Проектирование. Защита файловых ресурсов

В сегодняшней заметке хотелось бы уделить внимание комплексным решениям по защите файловых ресурсов. Несмотря на тенденцию хранения ценной информации в корпоративных приложениях и БД, в большинстве организаций всё равно хранится чувствительная информация в виде файлов.

Могу привести следующие примеры:

  • даже если ценная информация хранится в БД, периодически она выгружается оттуда для передачи в другие системы (платежная информация хранится в АБС банка, но для межбанковских платежей используется передача файлов)
  • ценная информация может выгружаться пользователями из БД и сохраняться во временных файлах в рамках выполнения их служебных обязанностей
  • бизнес приложения обычно формируют отчетность, результаты анализа для руководителей в виде документов и именно эта информация представляет наибольшую ценность
  • из сторонних организаций ценная информация может поступать в виде файлов
  • могут обрабатываться сканы ценных бумажных документов
  • ценная информация может изначально создавать в виде документов и далее храниться т обрабатываться в виде файлов

Примеры типов организаций приводить не буду. Это могут быть любые организации любой отрасли. Разница только в том, что у одних файловые ресурсы хранятся централизованно в едином хранилище, у других распределены по многим серверам и АРМ организации. 

Могу добавить следующее утверждение – если вы провели анализ и определили, что в БД у вас хранится не самая ценная информация, то самая ценная хранится в виде файлов. 

Для определения необходимых контрмер нам будет нужен экспресс анализ рисков для активов связанных с файловыми ресурсами. Вот он: 

 

Рассмотрим контрмеры, которые можно использовать для “нейтрализации” угроз:

  • Существенно ограничить доступ мы не можем – ведь к нашим файловым серверам обращается широкий круг пользователей
  • Межсетевой экран частично может использоваться для нейтрализации 1, 2 угрозы (неактуальных). Но не поможет нам с угрозами  3, 4 и 5 (так как не защищает на уровне файлового сервиса, не анализирует права доступа к файлам, сами файлы)
  • Локальная система предотвращения вторжений совсем слабо поможет с угрозой 3 и абсолютно не поможет с 4, 5 (так как не разбирает запросы пользователей к файлам, не анализирует права доступа и содержимое файлов)
  • Встроенные средства защиты файлового сервера частично помогут с 3 угрозой . Для 4 и 5 угрозы можно включить детальный аудит событий, но нет встроенных возможностей для их анализа.  Если файловых серверов будет много, то возникнут проблемы с централизованным сбором и регулярным анализом всех событий доступа
  • Система DLP может использоваться для нейтрализации угрозы 4, но не поможет с остальными. 

В данном случае, наиболее подходящим средством, понижающим риски до приемлемого уровня является специализированное средство защиты файловых серверов (FileFirewall или FF) или средство аудита доступа к файлам (File Activity Monitoringили FAM) 

Из представленных на российском рынке мне известны и удалось найти информацию по следующим решениям:

  • Dell ChangeAuditor for Windows File Servers (бывший Quest Software)
  • Netwrix Auditor 
  • Microsoft System Center Operations Manager
  • Imperva File Activity Monitoring / File Firewall 

Ниже приведу сравнение их возможностей в очень крупную клетку (для общего развития пригодится, а если будет нужно детальное - обращайтесь)

 

Типовые схемы подключения решений по защите файловых ресурсов на примере IMPERVA

1. Анализ в режиме inline  фильтрации в разрыв трафика

 

2. Анализ копии трафика SPAN или RSPAN

 

 

3. Анализ информации от агентов

Если вы заметили ошибку, выделите необходимый текст и нажмите Ctrl+Enter, чтобы сообщить об этом редакции    Система Orphus

RSS: Новое в блогах на Anti-Malware.ru Новое в блогах