Обзор СёрчИнформ FileAuditor, российской DCAP-системы для защиты данных


Обзор СёрчИнформ FileAuditor, российской DCAP-системы для защиты данных

«СёрчИнформ FileAuditor» — DCAP-система (Data-Centric Audit and Protection) для автоматизированного аудита файловых хранилищ, поиска нарушений прав доступа и отслеживания изменений в критически важных данных. Она защищает конфиденциальные документы от опасных действий сотрудников и наводит порядок в файловых хранилищах.

Сертификат AM Test Lab

Номер сертификата: 360

Дата выдачи: 23.11.2021

Срок действия: 23.11.2026

Реестр сертифицированных продуктов »

  1. Введение
  2. Архитектура «СёрчИнформ FileAuditor»
  3. Функциональные возможности «СёрчИнформ FileAuditor»
    1. 3.1. Сканирование файловых серверов и классификация данных в них
    2. 3.2. Аудит прав доступа к файлам
    3. 3.3. Контроль действий пользователей с файлами
    4. 3.4. Блокировка нежелательных действий с файлами
    5. 3.5. Интеграция DCAP с другими системами и продуктами
    6. 3.6. Архивирование критически важных документов
  4. Выводы

Введение

Объём файлов, которые хранятся в папках сотрудников или на файловых серверах компаний, растёт по экспоненте. ИБ-специалистам становится всё сложнее отследить, как много документов с конфиденциальным содержанием, сканов паспортов и других персональных данных (ПДн) среди этих файлов, кто имеет доступ к ним. Решать эту задачу вручную или неспециализированными средствами становится всё сложнее.

Частично вопрос сохранности обеспечивают DLP-системы с модулем eDiscovery. Но его возможности ограничены одной задачей — найти конфиденциальное содержимое на рабочих станциях сотрудников (например, обнаружить, что на компьютере менеджера по продажам лежит папка со сканами паспортов). Других подробностей о том, какие действия производились с этим файлом и кто ещё имеет к нему доступ, ИБ-специалист так не получит.

В случае когда нужны подробности, в дело вступает DCAP (Data-Centric Audit and Protection). Это класс программного обеспечения, которое позволяет провести аудит хранилищ компании, классифицировать (разметить) файлы в соответствии с необходимыми критериями по содержимому (контенту) документов, а не только атрибутам (контексту), фиксировать и ограничивать доступ и действия с файлами и папками по настроенным политикам безопасности.

Таким образом, DCAP-системы обеспечивают порядок в файловых системах и защиту документов от несанкционированных действий. Заметим, что федеральный закон № 152-ФЗ напрямую требует от операторов внедрять подобные инструменты для защиты ПДн. Рассмотрим, как с этими задачами справляется отечественная DCAP-система — «СёрчИнформ FileAuditor».

В материале разберём архитектуру системы, функциональные возможности и варианты интеграции с другими системами.

Архитектура «СёрчИнформ FileAuditor»

«СёрчИнформ FileAuditor» имеет классическую клиент-серверную архитектуру.

Серверная часть отвечает за установку и управление агентами: позволяет подключить / отключить агенты, выбрать для мониторинга компьютеры и отдельные папки на них и настроить правила сканирования. Здесь же происходит запись данных мониторинга в базы под управлением Microsoft SQL и настройка хранилищ для архивации критически важных файлов. На серверной стороне происходит сетевое сканирование.

Основные функции по сбору и анализу данных из файловых систем выполняют агенты и служба сетевого сканирования.

  • Агенты системы устанавливаются на конечных точках и позволяют производить мониторинг на уровне рабочих станций и / или на файловых серверах.
  • Служба сетевого сканирования контролирует сетевые хранилища, причём взаимодействует с ними по протоколу SMB, то есть сканирование возможно на любых устройствах вне зависимости от ОС.

Рисунок 1. Схема работы FileAuditor

Схема работы FileAuditor

 

Функциональные возможности «СёрчИнформ FileAuditor»

Итак, мы говорили, что DCAP-системы должны:

  1. Обнаруживать и классифицировать данные.
  2. Проводить мониторинг прав доступа.
  3. Отслеживать операции с данными.
  4. Обеспечивать защиту данных, запрещая нежелательные операции с ними.

Рассмотрим, как это реализовано в FileAuditor.

Сканирование файловых серверов и классификация данных в них

FileAuditor сканирует файловые хранилища и классифицирует все найденные файлы по названию, расположению, но главное — по содержимому. Программа умеет работать с контентом всех популярных форматов файлов (более 150), изображения распознаются с помощью встроенной OCR.

Вычитывая содержимое, программа расставляет метки, которые покажут, к какой категории относится тот или иной документ: «Финансовая отчётность», «Коммерческая тайна», «Персональные данные», «Офисные файлы» и т. д.

Результаты сканирования и классификации удобно представлены в отчёте. Каждая категория может выделяться своим цветом. Это позволяет увидеть, где и какие данные хранятся в компании, в том числе конфиденциальные, персональные, ограниченного доступа и т. д.

Документы могут относиться как к одной категории, так и к нескольким. В нижнем поле отображается информация по выбранному документу. Так, на иллюстрации подсвечены фрагменты текста, которые относят файл к категории «Персональные данные».

 

Рисунок 2. Представление результатов классификации файлов

Представление результатов классификации файлов

 

На скриншоте выше мы видим отображение результата классификации в режиме «Только текст». Также можно выбрать режим «Просмотр файлов» (файл будет отображаться в «родном» формате) и в режиме «Операции» (удобно, когда надо восстановить хронологию действий с документом; подробнее об этом — в разделе «Контроль действий пользователей с файлами»).

 

Рисунок 3. Просмотр операций с файлом в FileAuditor

Просмотр операций с файлом в FileAuditor

 

Готовые правила и индивидуальные настройки поиска по файловым серверам

Программа поставляется с готовыми шаблонами правил классификации, которые можно адаптировать под цели организации — например, создать категорию файлов с данными о VIP-клиентах. Программа классифицирует файлы по заданным правилам, используя следующие виды поиска:

  • Поиск по заданным ключевым словам, фразам и последовательности символов. В зависимости от настройки программа будет искать точное соответствие и / или формы слов. Можно указать предположительное количество искомых слов и фраз в документе, задавать поиск нескольких ключевых слов, уточняя допустимое расстояние в файле между ними, чтобы считать сочетание значимым.
  • Поиск по встроенным словарям, например финансовому, техническому, маркетинговому. В FileAuditor реализован редактор, в котором можно создать свой словарь, загрузив любой текст-образец. Этот тип поиска нужен для разделения файлов по тематике: например, документ попадёт в категорию «Финансовые документы», если он будет содержать не менее пяти фраз из словаря бухгалтерских терминов.
  • По регулярным выражениям, таким как ИНН, номер банковской карты, паспорта и других документов. Для создания регулярных выражений в системе есть удобный редактор с виртуальной клавиатурой из готовых элементов формулы поиска. Есть также возможность формировать сложные регулярные выражения, когда в одном поиске собрано несколько условий — например, учитывать только те файлы, в которых есть не менее пяти комбинаций из номеров банковской карты и трёхзначных кодов. В FileAuditor реализована валидация регулярных выражений, чтобы снижать число ложных срабатываний. Также можно протестировать, насколько корректно работает запрос: в поле проверки ввести пример искомого набора символов и увидеть, распознает ли его система.

Рисунок 4. Редактор регулярных выражений в FileAuditor

Редактор регулярных выражений в FileAuditor

 

  • Поиск по настроенным атрибутам. По этому критерию к правилу классификации будут отнесены документы определённого размера, типа, созданные или изменённые в заданном интервале, хранящиеся в конкретной папке и т. д. Например, так можно быстро найти все чертежи в AutoCAD, которые хранятся в компании, или все документы созданные во время «удалёнки».
  • Поиск похожих. С его помощью можно находить документы с похожими на оригинал формой и содержанием. Чтобы настроить поиск похожих, достаточно вставить в окно поиска текст типового коммерческого предложения и указать процент «схожести» эталонного и найденного документов. Это запатентованный вид поиска компании «СёрчИнформ».
  • Поиск по меткам. Можно отыскать файлы, которые уже отнесены к той или иной категории. Доступен поиск по ручным меткам (подробнее о них ниже), а также по меткам других систем. Реализована возможность считывать метки Microsoft Information Protection по запросу клиента.

Все правила поиска настраиваются очень гибко. Можно совмещать несколько типов поиска; критерии объединяются с помощью логических операторов «и» / «или» / «не». Применять правила можно как ко всем документам в корпоративной инфраструктуре, так и к отдельным машинам / директориям.

Ручные метки для обозначения уровня конфиденциальности документов

Уровень конфиденциальности документов в FileAuditor можно указать и вручную. Вендор реализовал два варианта:

1. Через контекстное меню (при щелчке правой кнопкой мыши) — эта функция доступна для всех файлов.

 

Рисунок 5. Проставление метки конфиденциальности на файл через контекстное меню

Проставление метки конфиденциальности на файл через контекстное меню

 

2. Через интерфейс программы (нативное меню) — для приложений Microsoft Office (Word, Excel, Outlook), в дальнейшем перечень программ будет расширяться.

На скриншоте ниже показан пример реализации групп конфиденциальности. Метки можно назвать как угодно — например, задать общепринятое наименование вроде «Для служебного пользования» или указать категорию, которая подходит конкретной компании, наподобие «Только для бухгалтерии и Сергея Петровича».

 

Рисунок 6. Редактор индивидуальных меток

Редактор индивидуальных меток

 

Это упрощает процесс разграничения доступа к файлам, так как задействуются сотрудники, которые понимают ценность документа. Например, если топ-менеджеры не хотят, чтобы рядовые сотрудники смогли прочитать важный договор или другие документы, они могут поставить нужную метку, и система применит требуемые ограничения. Метка будет отображаться в виде водяного знака, её содержание можно настроить под себя.

 

Рисунок 7. Ручные метки в FileAuditor, примеры названий меток

Ручные метки в FileAuditor, примеры названий меток

 

Нагрузка при сканировании и его скорость

Все сведения о ходе вычитки каталогов по правилам можно найти на вкладке «Статистика сканирования», где кроме общих данных есть подробные отчёты о сканировании отдельных устройств. ИБ-специалисты имеют возможность узнать, сколько файлов было проверено и какой объём те занимают, когда прошло последнее сканирование и сколько оно длилось, в какие категории попадает информация и не было ли ошибок во время вычитки.

 

Рисунок 8. Отчёт о статистике сканирования в FileAuditor

Отчёт о статистике сканирования в FileAuditor

 

Во время первого сканирования FileAuditor вычитывает всё содержимое файлов на контролируемых ПК и их структуру.

Далее система в режиме реального времени проверяет те файлы, которыми пользуются сотрудники: открывают, редактируют, удаляют, создают, переименовывают и перемещают. Если файл не менялся, агент видит это и не тратит на него время.

Если говорить о конкретных цифрах, то «СёрчИнформ» приводит такие данные о тесте у клиента: 70 ТБ информации система в первый раз индексировала порядка 10 дней, а второе сканирование этого же объёма заняло порядка 30 минут.

Работа агентов и службы сканирования незаметна для пользователей и не тормозит их ПК. Это происходит благодаря настройке:

  • расписания проверок (например, только по окончании рабочего времени);
  • условий проверок (например, только если загрузка ЦП меньше N%, только в отсутствие активных сессий и т. д.);
  • скорости сканирования (её можно снизить для облегчения нагрузки на инфраструктуру).

Рисунок 9. Настройка параметров сканирования

Настройка параметров сканирования

 

Помимо этого, можно исключить из сканирования некоторые папки и файлы. Список исключений настраивается по атрибутам, расположению, названиям файлов и т. д.

Аудит прав доступа к файлам

FileAuditor показывает права доступа пользователей к каждому документу и папке с помощью сведений из ресурсов файловой системы. Благодаря этому ИБ-специалисту не нужно использовать дополнительные инструменты, он сразу видит группы и сотрудников, которые имеют доступ к документу и которым тот запрещён, а также перечень операций, доступных каждому пользователю / каждой группе с конкретным файлом / конкретной директорией.

 

Рисунок 10. Отчёт «Права доступа к ресурсам» в FileAuditor

Отчёт «Права доступа к ресурсам» в FileAuditor

 

Подробная информация о правах доступа находится в отчётах «Права доступа к ресурсам» и «Владельцы ресурсов». Последний полезен, если нужно контролировать создание новых объектов в файловой системе и распределять права доступа к ним.

В 2021 году появился новый вид отчёта о правах доступа, который более наглядно демонстрирует информацию о наследовании прав по каждой папке для каждого пользователя или каждой группы. По этому отчёту ИБ-специалист видит, что для какого-то ресурса даны избыточные права, например. Можно также выбрать все подобные документы с помощью фильтра, чтобы исправить ситуацию с неправильным наследованием буквально в два щелчка мышью.

Установить или изменить права на документы можно сразу в консоли файлового аудитора: при нажатии правой кнопки мыши выпадет меню, где можно выбрать необходимый уровень доступа. Это быстрее и проще, чем исправление прав через меню «Проводника» — все изменения для всей сети можно внести из одной точки.

 

Рисунок 11. Изменение прав доступа через контекстное меню в «дереве» файлов

Изменение прав доступа через контекстное меню в «дереве» файлов

 

Контроль действий пользователей с файлами

После первичной классификации данных FileAuditor запускает процесс постоянного мониторинга. Теперь каждая манипуляция с документом будет зафиксирована: вся история изменения содержимого, перемещения, открытия или изменения доступа и прочее. Контроль операций работает на драйверном уровне, что технологически сильно отличается от вычитки журналов EventLog, которые можно удалить и которые фиксируют не все операции.

Для каждого документа в контролируемых хранилищах можно просмотреть историю обращений: кто и когда открывал или редактировал искомый файл. Также по фильтрам поиска можно выбрать, какую критически важную операцию необходимо отслеживать. Это поможет уменьшить выборку документов. Например, можно выбрать файлы, которые в интересующий нас период времени были изменены, переименованы, перемещены или удалены, получили новые настройки прав доступа, подпали под правило или перестали ему соответствовать.

 

Рисунок 12. Операции с файлами

Операции с файлами

 

Настройка политик безопасности

Работу по поиску инцидентов можно автоматизировать, настроив политики безопасности. Например, можно создать политику, которая уведомит ИБ-специалиста, если к файлам категории «Финансовая отчётность» получат права доступа новые пользователи, которые раньше такой возможности не имели. Программа сохранит результаты поиска на вкладке «Инциденты».

В этом разделе можно также изучить срез по каждому срабатыванию и сопутствующие сведения о файлах: где и как хранятся, к каким категориям относятся, кому принадлежат, кто имеет к ним доступ.

Пример другой важной политики — «Контроль файла прекращён». Она сигнализирует, что были удалены из файла или заменены важные признаки принадлежности к той или иной категории. Технически файл перестанет подпадать под правило, но система продолжит фиксировать действия с ним. Это поможет предотвратить и расследовать инцидент, если пользователь случайно удалил из документа информацию, которая делала его конфиденциальным, или изменил её так, чтобы обмануть систему безопасности.

 

Рисунок 13. Системное сообщение о том, что контроль файла прекращён

Срабатывание политики безопасности в FileAuditor

 

Работник поменял содержимое файла, чтобы тот больше не подпадал под правило, и перенёс его в папку «Не забыть унести»

Блокировка нежелательных действий с файлами

FileAuditor позволяет блокировать действия сотрудников с файлами. Ограничения настраиваются по тем меткам автоматической классификации (контентно-контекстного анализа) и ручной классификации, которые мы рассмотрели выше.

Например, можно запретить читать файл с меткой «Для служебного пользования» всем кроме выбранных пользователей и групп. Также можно ограничить круг пользователей, которым будет доступно чтение (как в описанном примере) или любая другая функция.

Таким образом, реализована блокировка не только пересылки конфиденциальных файлов, но и работы с ними в любых приложениях — от почты (в том числе веб-почты и черновиков) до графического редактора или самописного корпоративного мессенджера.

Если у сотрудника нет доступа, но он хочет переслать или открыть документ, он получит уведомление об ошибке.

Это — блокировка по содержимому, и она защищает от ситуаций, когда файл по ошибке был переложен из папки ограниченного доступа в общую сетевую папку, например: даже если он оказался в общем доступе, пользователи без прав не смогут его открыть, программа выдаст ошибку.

 

Рисунок 14. Результат блокировки

Результат блокировки

 

Метки наследуются: если пользователь переименует или скопирует файл, FileAuditor автоматически применит все разрешения и запреты, которые были установлены для исходного документа. Если сотрудник сохранит текст документа в новом файле, тот получит метку конфиденциальности при новом сканировании.

Итак, FileAuditor позволяет защититься от:

  • пересылки файлов по внешним и внутренним каналам,
  • доступа посторонних лиц к файлу,
  • нежелательных операций с файлом.

Блокировки по меткам реализуются и в DLP-системе за счёт их вычитывания. Подробнее об этом — в разделе «Интеграция с другими системами».

Интеграция DCAP с другими системами и продуктами

FileAuditor — самостоятельный продукт, однако он может интегрироваться с другими системами обеспечения ИБ. Это повышает уровень защиты информации в компании.

DCAP-система FileAuditor бесшовно интегрируется с DLP-системой «СёрчИнформ КИБ» в рамках единого интерфейса. Если компания уже является пользователем DLP-системы «СёрчИнформ», для активации FileAuditor ей понадобится сделать минимальные донастройки.

В свою очередь КИБ считывает метки, поставленные на файлы в FileAuditor, и может применять блокировки по содержимому файла. Такие контентные блокировки имеют множество преимуществ перед традиционными, которые применяются в большинстве DLP-систем. Обычно DLP нужно проводить проверку каждый раз при попытке отправки файла, что занимает время и ресурсы. Механизм блокировки по метке, в которой уже собрана вся необходимая информация, другой. DLP просто считывает метку и мгновенно принимает решение — пропускать или блокировать.

В отличие от блокировки по каналам блокировка по меткам не зависит от версии мессенджера или браузера. Не нужно ждать, чтобы вендор обновил возможности блокировки под новую версию Skype, например.

Кроме этого, FileAuditor поддерживает интеграцию с SIEM (по Syslog) и SOC (например, с R-Vision по API). Таким образом соответствующие системы получают информацию о событиях из файлового аудитора — срабатываниях политик безопасности.

Файловый аудитор также интегрирован с файловыми хранилищами Huawei линейки OceanStor и Dorado. Благодаря интеграции с FileAuditor в любых массивах данных внутри СХД можно автоматически выявить наиболее уязвимые (ПДн, коммерческую тайну, лог-файлы и пр.), разметить их по категориям и гибко настроить контроль за их жизненным циклом.

Архивирование критически важных документов

Это одна из полезных «побочных» функций FileAuditor. В отличие от систем резервного копирования файловый аудитор позволяет настроить бэкап только файлов с нужным содержанием. Это позволяет не перегружать сервер лишними копиями. Также реализована система дедупликации файлов: если в нескольких точках сети обнаруживаются копии одного документа, FileAuditor заносит в хранилище только одну.

FileAuditor может создавать теневые копии документов для их защиты от несанкционированных изменений. Копии будут храниться в зашифрованном виде и не смогут быть скомпрометированы в хранилище.

При этом видна история последних изменений документов. Это даёт возможность быстро восстановить информацию в случае её кражи, шифрования злоумышленником или ликвидации (случайной или злонамеренной).

Кроме того, программа может определять количество версий каждого уникального файла и удалять из выдачи те, с которыми пользователи перестали взаимодействовать. Чтобы не перегружать хранилище, можно удалить теневые копии документов, которые больше не нужно контролировать.

Выводы

Компании больше не могут контролировать сохранность документов в ручном режиме, и DCAP-системы получили распространение как ответ на этот вызов. Эксперты считают, что DCAP могут стать базовыми программными продуктами, которые будут обеспечивать защиту данных, помогая сформировать картину того, какие вообще есть файлы в организации и кто имеет к ним доступ. Отталкиваясь от этой информации, ИБ-службы могут выстраивать эффективную защиту.

«СёрчИнформ FileAuditor» — один из немногих представителей отечественных вендоров на рынке DCAP-систем. Это самостоятельный продукт, который тем не менее имеет тесную интеграцию со сторонними системами, в первую очередь — с DLP «СёрчИнформ КИБ», благодаря чему та получает функции быстрой и точной блокировки пересылки конфиденциальной информации.

Программные продукты могут применяться для решения как основных задач, так и нетиповых.

Достоинства:

  • FileAuditor закрывает все задачи по защите файлов в рамках требований к DCAP-системам (сканирование файловых хранилищ, классификация данных по заданным категориям, мониторинг прав доступа, отслеживание операций с данными), а сверх того обеспечивает блокировку нежелательных действий. Все возможности реализованы в рамках единого решения.
  • Гибкая настройка правил сканирования.
  • Полноценный глубокий контентно-контекстный анализ файлов благодаря собственному высокопроизводительному поисковому ядру.
  • Динамический (непрерывный) мониторинг действий с файлами, что обеспечивает оперативную реакцию на любые изменения в файловой системе.
  • Гибкая настройка разрешений на операции с файлами на базе контента или контекста.
  • Нативная поддержка русского языка как в плане анализа, так и в интерфейсе, русскоязычная техподдержка напрямую от разработчика.
  • Низкие аппаратные требования.
  • Бесшовная интеграция с продуктами «СёрчИнформ».

Недостатки:

  • Первое сетевое сканирование может быть длительным, его скорость зависит от состава файловых хранилищ. Последующие сканирования, напротив, осуществляются быстро.
  • Отсутствие агентов для операционных систем Linux и macOS. Вендор заявляет о возможности защиты файловых хранилищ в этом случае на сетевом уровне. Агенты анонсированы в ближайших релизах.
  • Необходимость покупки системного ПО, т. к. сервер FileAuditor сейчас не поддерживает работу на свободно распространяемых ОС.
  • Теневые копии документов могут занимать существенные ресурсы СХД.

Реестр сертифицированных продуктов »

Записаться на демонстрацию
Запросить пробную версию
Запросить цены
Задать вопрос
Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.
Лаборатория AM Test Lab готова провести независимую экспертизу и добровольную сертификацию любого продукта или сервиса по информационной безопасности и подготовить его профессиональный обзор. Для получения дополнительной информации необходимо оформить запрос.