Десять составляющих обеспечения безопасности файлов

file securityЗащита файлов имеет для организаций огромное значение – файлы доминируют в ЦОДах, на сетевых хранилищах и файловых серверах. Сегодня, по оценкам аналитиков, доля неструктурированных данных составляет около 80% от общего объема данных типовой компании, при этом количество файлов ежегодно возрастает примерно вдвое. Управление такими массивами данных вызывает затруднения не столько из-за их объема, сколько из-за непрозрачности и отсутствия полноценной системы контроля над файлами – и это несмотря на то, что файловые данные существуют уже не одно десятилетие.

Существует множество технологий по защите файлов: от списков контроля доступа к файловым системам (ACL) до решений по шифрованию и защите от утечек данных. Однако даже организации, применяющие эти технологии, сталкиваются с трудностями при защите своих файлов, поскольку не могут обеспечить трех ключевых требований:

  1. Эффективный мониторинг и аудит файловых операций
  2. Управление правами пользователей по доступу к файлам
  3. Автоматическое применение корпоративной политики к файловым данным

На этих трех факторах основывается зарождающийся рынок решений класса File Activity Monitoring (FAM), на них же базируется поэтапный подход к обеспечению безопасности файлов.

Учитывая объемы файловой информации, огромное количество технологий по защите файлов и ограниченный бюджет IT-отделов, необходимо четко определить, когда и какое решение следует применять, чтобы повысить безопасность и сократить материальные и производственные издержки. Одним из направлений, вызывающих большой интерес и широко освещаемых в СМИ, является защита от утечек данных (DLP). Продукты DLP занимают важное место в общей стратегии защиты файлов и особенно хорошо предотвращают случайные и непреднамеренные утечки. Тем не менее, процесс внедрения и настройки эффективных DLP-решений может оказаться достаточно длительным и сложным, поэтому рекомендуется производить его поэтапно.

Решения класса File Activity Monitoring поддерживают три основных уровня контроля над файловой информацией: непосредственный мониторинг операций с файлами, управление правами доступа пользователей и применение политик безопасности. Применяемые в FAM технологии дополняют традиционные решения по защите файлов, предоставляя возможность получения отчета о доступе каждого пользователя к каждому файлу, совмещая права доступа пользователей с корпоративными политиками и автоматически реагируя на нарушения.

Предотвращение утечек данных при помощи решений File Activity Monitoring

В отличие от решений DLP, работа FAM основывается на несколько другом подходе к защите от утечек. В таблице указаны различия между этими технологиями.

Параметр

DLP

FAM

Незаметность для пользователей

Непрозрачны для пользователей, изменяют их поведение. Требуют тщательной подготовки при планировании и внедрении.

Прозрачны для пользователей и файлов. Не требуют изменений в корпоративной политике и существующей инфраструктуре.

Идентификация владельца данных

Решения DLP не опознают владельцев информации.

Помогают определить владельцев файлов, которые могут облегчить задачу планирования и внедрения DLP.

Управление правами пользователей

Решения DLP не предусматривают управления правами пользователей.

Позволяют ограничить доступ к информации по принципу служебной необходимости. Контролируют текущие права и выявляют пользователей с избыточными правами.

Аудит активности доступа

Обычно контролируется только информация, помеченная как «критическая».

Ведут учет доступа всех пользователей ко всем файлам и показывают полную картину обращений.

Непреднамеренная и вредоносная деятельность

Нацелены в основном на предотвращение непреднамеренных утечек информации.

Предотвращают внутренние угрозы, ограничивая доступ к информации по принципу служебной необходимости, проводят мониторинг всех действий пользователей с файлами.

Рассмотрим десять шагов по защите файлов, а также проанализируем способы применения вышеуказанных и дополнительных технологий.

1. Защита ЦОДов и сетевых хранилищ

Файловые сервера коллективного доступа и сетевые хранилища, расположенные в ЦОДах, являются тем самым местом, где концентрируется важная информация большинства организаций. Поэтому установка эффективного FAM решения для защиты этой информации позволит существенно снизить риски утечки или модификации данных. К примеру, ограничив доступ к информации по принципу служебной необходимости («need-to-know»), можно предотвратить распространение уязвимой информации пользователями, которые с ней не работают. Продукты класса File Activity Monitoring непрерывно отслеживают фактический доступ к файлам и ведут подробные журналы учета, которые могут потребоваться в случае возникновения инцидентов безопасности.

2. Выделение важных данных

Защиту данных в ЦОДах или на файловых серверах логично начать с выделения файлов, которые определены как «критичные», и у которых известен владелец. Информация, попадающая в эту категорию, есть практически в каждой организации. В качестве примера можно привести упорядоченные файловые данные (номера кредитных карт, сведения о клиентах, персональные данные, финансовая информация), а также такую конфиденциальную информацию, как юридические документы, бизнес-планы и интеллектуальная собственность. Акцентирование внимания на таких файлах позволит получить незамедлительный результат. Во-первых, не придется тратить время на выяснение содержимого файлов (проводить контентный поиск), поскольку они находятся в заранее известном и важном хранилище (например, в сетевых папках ограниченного доступа). Во-вторых, будут известны владельцы этой информации, что позволит выработать правильную стратегию контроля и защиты данных.

3. Мониторинг обращений к файлам

Третий этап обеспечения безопасности файлов состоит в мониторинге всех обращений к критичным данным. При этом необходимо вести контрольный журнал, который в любой момент может быть использован для ситуационного анализа и реагирования на происшествия. Лидирующие решения в области File Activity Monitoring предоставляют возможность ведения непрерывного и незаметного для пользователей аудита фактов доступа, который не требует модификации серверов, клиентских компьютеров или приложений, а также не влияет на производительность систем. Помимо ведения контрольного журнала FAM позволяет получить полную картину того, кто использует или, наоборот, не использует конкретные файлы. Эти сведения помогают выявить пользователей с неправильно назначенными правами, а также обнаружить избыточные права доступа. Контрольный журнал также позволяет установить владельцев информации: ими, как правило, являются пользователи, чаще других обращающиеся к определенным файлам или папкам.

4. Классификация данных

Классификация файлов играет большую роль для управления критичными данными, она особенно важна для применения политик на основе классификационных признаков в решениях File Activity Monitoring. Выделив важную информацию на втором этапе, возможно отложить дополнительный контентный поиск критических файлов на более поздний срок. В любом случае, на втором этапе информацию допустимо определять как «уязвимую» на основании таких метаданных, как расположение и тип файлов (например, все файлы формата Excel в папке «Операции» классифицируются как «файлы, относящиеся к требованиям PCI DSS»).

5. Применение политик безопасности

Большинство FAM решений могут применять политики безопасности на основе множества параметров, таких как имя пользователя, пытающегося получить доступ, отдел, в котором он работает, время суток, расположение файла и его классификационный признак. Организациям следует использовать политики для автоматизации производственного процесса и получения сигнала о нарушениях или инцидентах. К примеру, можно настроить применение политик для случаев, когда доступ к файлам стандарта PCI пытаются получить пользователи, не имеющие на то разрешений, или если вносятся изменения в права доступа к уязвимым файлам. Политики безопасности, устанавливаемые на решениях File Activity Monitoring применяются в режиме реального времени и позволяют организациям незамедлительно реагировать на нарушения, блокируя доступ к файлам, если это необходимо.

6. Установление прав доступа по принципу служебной необходимости

Любая организация, использующая сетевые папки, по определению зависит от списков управления доступом (ACL) пользователей. Основной проблемой этого встроенного механизма безопасности является то, что ACL не поспевают за изменениями бизнеса и не поддерживают функцию доступа по принципу служебной необходимости. Поэтому на шестом этапе необходимо провести аудит и контроль прав пользователей на уровне ACL, что является ключевым функционалом решений File Activity Monitoring. С помощью него возможно анализировать списки управления доступом файловой системы, отображать права пользователей и групп из директорий (например, Active Directory или LDAP) и составлять подробную картину о том, кто имеет доступ к каким файлам, и какой характер этого доступа. Таким образом, облегчается задача выявления файлов, к которым назначены избыточные права доступа; например, сюда могут относиться файлы, открытые для групп «Все пользователи» и «Пользователи домена» в Active Directory.

Помимо этого FAM производят сопоставление данных аудита и информации о правах, позволяя организациям определять права доступа, которые были предоставлены, но никогда не использовались. К примеру, если у пользователя есть права на удаление информации из определенной папки, но он их никогда не использовал, вероятно, что они ему не нужны. Аналогично, если пользователь, обладающий правами доступа к какой-либо информации, никогда к ней не обращался, это может означать, что они являются избыточными, и их следует удалить из списка ACL.

На финальном этапе этого процесса следует привлечь к анализу прав доступа самих владельцев информации, которые должны провести оценку привилегий пользователей при обращении к их данным, определить, соответствуют ли они принципу служебной необходимости и внести свои коррективы.

7. Отслеживание изменений в правах доступа

После установления прав доступа к информации по принципу служебной необходимости, основной проблемой является поддержание этого принципа в актуальном состоянии. Права доступа к информации постоянно меняются, поскольку меняются должностные обязанности сотрудников, добавляются новые файлы и реализуются проекты, для которых необходимо сотрудничество с другими пользователями. Помимо этого, изменения в правах доступа часто вносятся подразделениями Help Desk без привлечения службы безопасности и владельцев информации. Единственной возможностью отслеживания таких изменений является автоматический мониторинг. Установив соответствующие настройки на решении FAM, служба безопасности и владельцы файлов смогут в режиме реального времени получать всю информацию об изменениях, вносимых в права доступа к уязвимой корпоративной информации, а также пресекать их при необходимости.

8. Определение критичности файлов на основании особенностей их применения

Предприняв меры по защите заведомо уязвимой информации, следует сфокусировать внимание на других данных. Логично продолжить с файлов, которыми активно пользуются владельцы, выявленные на предыдущих этапах. Посредством контрольного журнала решений File Activity Monitoring возможно составлять и предоставлять владельцам отчеты о файлах, которыми они наиболее часто пользуются, а затем провести с ними действия, описанные в этапах 4-7.

9. Определение критичности файлов на основании их содержимого

Для определения уязвимой информации, которая еще не была выявлена на предыдущих этапах, необходимо провести анализ содержимого файлов (content discovery). Большинство компаний, применяющих эту процедуру в отношении неструктурированных данных, полагаются на DLP решения, которые позволяют обнаруживать критичные данные в качестве основного или дополнительного функционала. Также можно использовать прикладные решения по контентному анализу файлов, продукты для корпоративного поиска, технологии e-Discovery и т.д. Определив с их помощью уязвимые данные, с ними необходимо провести действия, описанные в этапах 4-7.

10. Выход за пределы ЦОДа

Мониторинг и ограничение доступа к файловой информации в местах их централизованного хранения является отправной точкой для обеспечения безопасности файлов. Защитив эту информацию по шагам, описанным выше, организации могут направить свои усилия на файлы, хранящиеся на компьютерах пользователей. Наиболее популярным подходом к обеспечению безопасности этих данных, являются решения DLP, которые поддерживают такие функции как мониторинг и контроль копирования информации на съемные носители, вывод на печать, сканирование исходящих электронных сообщений и т.п. В качестве альтернативных средств можно использовать решения для управления доступом к данным (Data Access Management), которые позволяют отслеживать, например, кто из пользователей имеет права на просмотр конфиденциального документа, его редактирование или копирование содержимого.

Несмотря на тот факт, что производители постоянно совершенствуют свои решения, контроль информации на конечных устройствах остается серьезной проблемой. Стандартные подходы обычно предусматривают установку агентских решений по защите файлов на компьютеры пользователей, что часто приводит к административным и техническим сложностям, связанным с взаимовоздействием этих программ и других приложений. Основной опасностью является то, что как только уязвимая информация попадает из ЦОДа или сетевого хранилища на мобильное устройство, портативный или стационарный компьютер, ее разглашение предотвратить особенно сложно, поскольку количество каналов утечки сразу возрастает. К примеру, пользователи, имеющие доступ к конфиденциальной информации, могут сделать фотографии с экрана, записать ее на бумаге или просто запомнить.

Выводы

Обеспечение безопасности файлов является ключевой задачей для организаций, сталкивающихся с ростом объема неструктурированных уязвимых данных. Учитывая непрозрачную структуру файлов, организации зачастую тратят крупные суммы денег на технологии, которые не могут полноценно защитить данные от инсайдеров и не соответствуют необходимым требованиям политик безопасности.

Сочетание рассмотренного поэтапного подхода и решений типа File Activity Monitoring позволит улучшить защиту критичной информации и сократить издержки по устранению последствий инцидентов. Информацию необходимо защищать там, где она чаще всего хранится – в центрах обработки данных, на файловых серверах и сетевых хранилищах, что позволит обеспечить максимальный уровень ее безопасности.


Более подробную информацию о наших решениях по обеспечению безопасности файлов Вы сможете получить, обратившись по адресу info@sovit.net, заполнив форму обратной связи или позвонив по телефону +7 (495) 120-2530.



СОВИТ

Аналитика

Архив

Новости

Архив