Доступ к конфиденциальной информации

Сегодня доступ к конфиденциальной информации стал критически важным фактором информационной безопасности организаций. Утечки данных из внутренних хранилищ происходят все чаще, причем значительная их часть связана с действиями инсайдеров или компрометацией учетных записей.

Не менее важна и регуляторная сторона вопроса. Законодательство требует обеспечить конфиденциальность критичных данных и строго ограничить круг лиц, имеющих к ним доступ. Например, на территории России использование и хранение данных пользователей регулируется 152-ФЗ — операторы обязаны принимать меры, предотвращающие несанкционированный доступ к таким сведениям. Выполнение этих требований не только помогает избежать юридических последствий, но и защищает репутацию компании. В итоге и бизнес, и регуляторы сходятся во мнении: нужен продуманный подход к управлению доступом к конфиденциальной информации — такой, который минимизирует риски утечек, внутренних инцидентов и несоблюдения закона при работе с чувствительными данными.

Виды информации

• Персональные данные. Сведения, с помощью которых можно идентифицировать конкретных людей. Это ФИО, телефонные номера, адреса, семейное положение, должности и др.
• Коммерческая тайна. Сведения, принадлежащие организации и используемые для ведения бизнеса и сохранения конкурентных преимуществ. Сюда могут относиться финансовые показатели (оборот, прибыль), данные о клиентах и контрагентах, сведения о разработках, технологиях и проектах компании.
• Государственная тайна. Информация, утрата которой способна нанести ущерб безопасности государства: данные в сфере обороны, разведки, внешней политики, экономики и др. К этой категории относятся, например, сведения о вооружениях, переговорах, бюджетных расходах в оборонной сфере.
• Профессиональная и служебная тайна. Сюда входят сведения ограниченного доступа, полученные в ходе профессиональной деятельности: врачебная тайна (медицинские диагнозы, истории болезней пациентов), нотариальная и адвокатская тайны, тайна переписки и телефонных переговоров и т. д.

Современный подход DCAP и использование решений Data Access Governance

Традиционные средства защиты информации (межсетевые экраны, системы предотвращения вторжений, антивирусы) в основном фокусируются на периметре сети и конечных устройствах. Однако современные подходы смещают фокус непосредственно на данные — особенно на их конфиденциальность и правила доступа. Концепция Data-Centric Audit and Protection (DCAP), принятая аналитиками Gartner, предполагает, что организация выстраивает защиту фокусируясь на ценности и чувствительности данных, а не только на инфраструктуре. DCAP — это и стратегия, и класс решений, объединяющий инструменты аудита данных, контроля действий пользователей с этими данными и защиты от инцидентов на уровне информации. В рамках такого подхода используются различные технологии: от DLP-систем (Data Loss Prevention) для контроля утечек до IRM/DRM (Information Rights Management) для управления доступом к документам, средств UEBA для анализа поведения пользователей и т. д. Все они нацелены на одно — обеспечить безопасность самих данных, особенно конфиденциальных, где бы они ни находились.

Одним из важных классов решений DCAP является Data Access Governance (DAG) — система управления доступом к конфиденциальной информации, в частности к неструктурированным и полуструктурированным (файлы, документы, почтовые вложения, файловые хранилища и пр.) данным. DAG-решения — это программные продукты, которые мониторят файловые серверы, системы совместной работы, каталоги пользователей (AD/LDAP) и позволяют выделить из общего объема информации критичные данные, требующие защиты от несанкционированного доступа. Подробнее о современных методах защиты корпоративных данных читайте в статье «Десериализация VIEWSTATE: как «недозакрытая» уязвимость играет на руку проправительственным группировкам».

Еще одна черта современного подхода — интеграция решений для получения комплексного эффекта. Изолированно даже лучшая DAG-платформа не даст нужного результата, если не объединить ее с другими элементами экосистемы кибербезопасности. Поэтому все чаще Data Access Governance интегрируется:

• С DLP-системами, чтобы связывать факты доступа к конфиденциальной информации с попытками их утечки. Например, в экосистеме Solar предусмотрена интеграция Solar DAG с DLP-платформой Solar Dozor.
• Системами управления учетными записями и правами (IdM/IAM). Интеграция DAG с решением Identity Management (например, Solar inRights) дает сквозной контроль: IdM отвечает за выдачу и отзыв учетных записей и ролей, а DAG — за соответствие выданных прав политикам доступа к данным.
• SIEM-решениями и SOC-мониторингом. Многие DAG-платформы передают данные о событиях доступа в SIEM по протоколу Syslog, где они коррелируются с другими событиями безопасности.

Solar DAG: описание, особенности, синергия

Среди российских решений класса Data Access Governance выделяется Solar DAG — решение, разработанное «Соларом» для управления правами доступа к неструктурированным корпоративным данным. Продукт предназначен для систематизации и контроля обращений к критичной информации, содержащейся в файлах, документах и хранилищах.

Solar DAG реализует широкий спектр возможностей, направленных на наведение порядка в системе доступа к файлам. Среди ключевых инструментов можно выделить:

• Анализ текущих прав. Решение дает визуальное представление о том, какие сотрудники или учетные записи имеют доступ к определенным данным, включая чувствительные и защищенные категории.
• Отслеживание изменений в режиме реального времени. Система фиксирует все действия, связанные с корректировкой прав, — будь то добавление пользователей в группы, назначение новых разрешений на объекты или ограничение ранее предоставленных привилегий. Solar DAG обеспечивает непрерывный контроль над эволюцией прав доступа и помогает вовремя реагировать на потенциальные отклонения.
• Аудит действий с данными. Решение ведет журнал всех операций над контролируемыми файлами: открытие, изменение, копирование, перемещение и удаление файлов фиксируется и связывается с учетными записями.
• Оповещение об инцидентах. Solar DAG не только собирает данные, но и реагирует на них. В решении настроены правила оповещения: при наступлении определенных событий безопасности (например, доступ рядового сотрудника к файлу с грифом «Коммерческая тайна» или массовое копирование конфиденциальных файлов) ответственные лица — офицеры безопасности, администраторы — мгновенно получают уведомление.

Преимущества решения Solar DAG

• Высокая производительность и масштабируемость. Solar DAG рассчитан на работу в крупных распределенных инфраструктурах. Производительность подтверждается тестами: система способна обрабатывать до 100 млн событий в сутки, а скорость контентного анализа (сканирования содержимого файлов) достигает 1,5 ТБ данных в день.
• Быстродействие аналитики и потоковая интеграция данных. Solar DAG собирает сведения о правах и событиях в потоковом режиме, т. е. практически в реальном времени. Данные от разных типов источников (файловые серверы Windows, хранилища на Linux, системы документооборота и т. д.) непрерывно стекаются в платформу, актуализируя модель доступа к конфиденциальной информации.
• Визуализация и наглядность результатов. Одно из преимуществ Solar DAG — понятные графические отчеты и панели мониторинга, которые позволяют в несколько кликов получить нужную информацию.
• Комплексное обеспечение безопасности за счет интеграции нескольких решений. Solar DAG может интегрироваться с DLP-системой Solar Dozor для предотвращения внутренних нарушений, IdM-платформой Solar inRights для управления учетными записями и полномочиями. Также активно развивается направление интеграции с PAM-решением для контроля привилегированного доступа.
• Следование требованиям регуляторов. Solar DAG — полностью отечественная разработка, что важно в условиях импортозамещения и необходимости соответствовать российским стандартам безопасности.
• Регулярное развитие и поддержка. За Solar DAG стоит сильная команда разработчиков и экспертов ГК «Солар», специализирующаяся на управлении доступом к конфиденциальной информации. В компании создан собственный центр экспертизы по этому направлению, что позволяет оперативно вносить в продукт актуальные изменения и внедрять новую функциональность.

Экспертиза Solar: центр, технологии, практики

Одно из конкурентных преимуществ Solar DAG — это экспертиза и лучшие практики, заложенные в продукт командой разработчиков. Как отмечалось выше, у компании «Солар» есть собственный центр экспертизы по управлению доступом к конфиденциальной информации. На практике это означает, что над решением работают специалисты, досконально знающие проблемы, связанные с контролем доступа в организациях разных отраслей, и постоянно отслеживающие новые угрозы и вызовы. Такой опыт отражается в функционале Solar DAG: в нем реализованы технологии, учитывающие современные векторы атак (например, механизмы обнаружения аномального поведения при доступе к файлам), и инструменты для удобного применения признанных best practices (лучших практик) в области доступа к конфиденциальной информации.

Контроль доступа

Сложность управления доступом к корпоративным данным во многом связана с многоуровневой системой предоставления прав. Пользователи могут входить в группы, группы — в другие группы, права могут выдаваться напрямую и через наследование. В таких условиях трудно вручную определить, почему у того или иного сотрудника имеется доступ к конкретному конфиденциальному файлу. Solar DAG радикально упрощает эту задачу, предоставляя средства визуализации маршрутов доступа к конфиденциальной информации и наследования прав. Подробнее об этом читайте в статье блога Solar: Интеллектуальная собственность: что это такое, понятие и защита.

Применение: отрасли, сценарии, эффективность

• Финансовые организации (банки, страховые компании). Им свойственно иметь огромные массивы персональных данных клиентов, финансовой информации, сведений, относящихся к коммерческой тайне. Регулятор (Центральный банк РФ) предъявляет строгие требования к защите этих данных, включая контроль доступа к конфиденциальной информации.
• Промышленные предприятия и телеком. В промышленности и телекоме конфиденциальная информация — это, помимо персональных данных сотрудников и клиентов, еще и технологии, проекты, сведения о сетевой инфраструктуре.
• Госсектор и критическая информационная инфраструктура. Государственные организации обрабатывают данные, которые могут иметь различные грифы секретности или относиться к служебной тайне. Контроль доступа здесь зачастую регламентирован нормативами вплоть до обязанности указывать конкретные должности, имеющие право на доступ к конфиденциальной информации.

Сценарии использования Solar DAG. Помимо отраслевой специфики можно выделить типовые сценарии, в которых система приносит максимальную пользу:

• Инвентаризация прав доступа. Многие компании начинают с проекта по аудиту текущих прав к файловым ресурсам. Solar DAG быстро сканирует все хранилища и выдает отчет: какие конфиденциальные файлы где находятся, кто имеет к ним доступ, какие права избыточны. Аудит следует проводить регулярно, поскольку данные на файловых хранилищах постоянно меняются и результаты проверок теряют актуальность.
• Непрерывный мониторинг и реагирование на изменения. Другой сценарий — использование Solar DAG на постоянной основе в составе Security Operations Center (SOC). Система в режиме реального времени присылает оповещения, например, о создании нового файла с номерами кредитных карт или о том, что администратор внезапно изменил права доступа к папке с персональными данными клиентов.
• Расследование инцидентов и форензика. Если утечка данных все же случилась, Solar DAG существенно облегчает «разбор полетов» — дает понимание, кто виноват и каким образом совершено нарушение.