Алексей
Парфентьев

руководитель отдела аналитики "СёрчИнформ"
© ComNews
19.10.2020

Защита данных от инсайдерских рисков – это работа в рамках одного из двух подходов:
- контроль каналов, по которым информация перемещается;
- мониторинг источников (т.е. тех мест, к которым обращаются за информацией).

Если простыми словами первый подход про то, чтобы предотвращать копирование данных на флешку, отправку по почте, т.е. когда дошло до дела. Второй – про предотвращение утечки или мошенничества еще "на подлете" – когда инсайдер только обратился к файлам или базам данных с опасными намерениями.

Как правильнее защищать данные?

Казалось бы, если есть возможность "подлетного" контроля, то так и нужно решать задачу. Часто это оказывается достаточным, решается с помощью систем двух классов: DCAP (мониторят файловые системы) и DAM (мониторят действия с базами данных). Обе программы выполняют функцию защиты так называемых "данных в покое".

Вот такой пример для иллюстрации подхода я обнаружил в российской судебной практике. К сотруднику УФМС по одной из российских областей обратился знакомый, который попросил скрыть информацию о двух правонарушениях в своем досье в базе данных "Мигрант". Работник знал, что это можно сделать удаленно, подключился к базе из дома и заблокировал необходимые данные. За это получил вознаграждение 5000 рублей.

Чтобы предотвратить этот инцидент, достаточно было увидеть, что сотрудник обращается к базе данных и производит в ней противоправное действие. С этим помогло бы DAM-решение.

А вот пример, как DCAP-система выявила мошенничество. Это кейс нашего заказчика. "СёрчИнформ FileAuditor" выявил компьютеры нескольких сотрудников, на которых хранились прайс-листы, где помимо отпускных цен значились и закупочные. Это конфиденциальная информация, распространять ее бесконтрольно даже внутри компании запрещено, тем более за пределы. Если клиенты узнают закупочные цены, они будут вооружены аргументами и смогут отстаивать максимальные скидки. Для продавца это упущенная прибыль.

Визуально прайс выглядел обычно, так как столбец с ценами был набран белым шрифтом. Но FileAuditor указывал, что закупочные цены в документе точно содержатся. ИБ-специалист заподозрил мошенничество, продолжил расследование с помощью DLP-системы и узнал, что сотрудники пересылали эти прайс-листы внешним адресатам. Дальнейшее расследование подтвердило догадки, что продавцы и покупатели были в сговоре. План был классический: менеджер продавца согласовывал для покупателя большой дисконт – под разными предлогами. Разницу представитель покупателя обещал частично "вернуть" менеджеру продавца, который скидку и согласовывал. В итоге менеджер и покупатель были "в плюсе", а вот компания-продавец теряла прибыль. Выявлять это нарушение сложно, ущерб может исчисляться тысячами и миллионами – в зависимости от размеров бизнеса.

Получается, контроль источников информации позволяет ИБ-специалисту обнаружить инцидент на самом раннем этапе – намерений, а не разбираться с его последствиями. Но один лишь такой контроль не позволяет провести более подробное расследование, собрать доказательства инцидента и, главное, сделать выводы на будущее, чтобы инцидент не повторялся. В данном кейсе ИБ-специалист ужесточил политику безопасности в DLP о пересылке документов с закупочными ценами.

Так какой подход в защите данных правильнее? Комплексный. Не все можно решить одной DLP (мониторингом каналов передачи данных). Но не все решается и контролем источников. Зато применяемые вместе эти подходы дают супер-эффект. DCAP-система видит признак нарушения, DLP – собирает доказательства и позволяет сделать выводы, как изменить бизнес-процесс и сделать его более прозрачным.

Что такое DCAP и DAM

Пока в организациях чаще реализована защита данных на уровне каналов с помощью DLP-систем. Для российского рынка это давно известный продукт, обкатанный во всех отраслях, а потому уже зрелый.

Ситуация с DCAP- и DAM-решениям другая. Существование этих программ для рынка не новость, но все же применяются они реже и преимущественно в банках и телекоме. Там давно осознали, что без специальных программ проблему мошенничества с информацией не предотвратить. Но когда-то и антивирусы были программой не для всех, а сейчас их функции "вшиты" в операционки и браузеры.

Так же произойдет и с контролем данных в покое. Массовое распространение DCAP- и DAM-решений уже начинается, потому что появляются удобные в применении отечественные продукты. В прошлом году мы выпустили FileAuditor и решение стало первым отечественным решением в своем классе.

FileAuditor помогает разобраться:

  • Какие документы содержат критич­ную для бизнеса информацию?
  • Сколько в компании таких данных и где они находятся?
  • Кто имеет к ним доступ и может их редактировать?

Такие задачи могут стоять и перед ИТ-службой компании: DCAP спасает от бар­дака в файловой системе, потому что каж­дому документу присваивается категория ("договоры", "прайсы", "персональные данные", "исследования" и т. д.). Не глав­ная, но полезная функция программ этого класса – теневое копирование докумен­тов, что позволяет без проблем восстано­вить их, если что-то случится. Но в первую очередь программа – инструмент ИБ-специалистов.

Вот как выглядит логика работы FileAuditor:

  • Находит файл.
  • Проверяет его по правилам и дела­ет служебную метку (персданные, до­говор и т. д.).
  • При необходимости копирует файл в хранилище.
  • Логирует все действия с файлами и папками.
  • Вычитывает права доступа для фай­лов и папок.
  • При последующих проверках си­стема сканирует только измененные и вновь добавленные файлы.

В этом году мы выпустили и свое DAM-решение для мониторинга баз данных – "СёрчИнформ DataBase Monitor". Зада­ча у него насущная, так как БД – это главный информационный актив бизнесов. Мошенникам интересен и весь мас­сив, и точечный доступ к отдельным данным. DAM-система позволяет справиться с этой угрозой, например, наш DataBase Monitor фиксирует:

  • Кто обращается к базам данных и с какой целью?
  • Какую информацию выгружают из баз данных и в каком объеме?
  • Какие изменения пользователи вносят в базы данных?

Оба решения быстро приобретают поклонников в самых разных отраслях. Мы уже скопили десятки кейсов применения и описали их в "белых книгах", скачать их можно на сайте. Там же оставляйте заявку и исследуйте возможности FileAuditor и DataBase Monitor 30 дней бесплатно.