Доступные правила: как распределить права пользователей, чтобы это работало?

Подходов к настройке и распределению доступа много: дискретный, мандатный, ролевой, атрибутивный. В любом из них ИБ-специалисты сталкиваются с проблемой: “на бумаге" правила доступа выглядят хорошо, а на деле выявляются риски. Как защититься от случайных нарушений и злоупотребления правами со стороны пользователей? Поможет связка DLP+DCAP.

Автор: Алексей Парфентьев, заместитель генерального директора по инновационной деятельности "СёрчИнформ"

Вкратце о проблеме

Главная задача матрицы доступа – оградить части инфраструктуры и места хранения данных от неправомерного использования. Но решить эту задачу "раз и навсегда" не получается. Во-первых, потому что компания и ее ИТ-системы, в которых распределяются права, – динамичная структура: меняются бизнес-процессы, инфраструктура, полномочия и задачи сотрудников. Чтобы разграничения не мешали бизнесу, права доступа нужно постоянно корректировать, согласовывать между системами и вносить исключения.

Во-вторых, потому что классические подходы к разграничению прав не учитывают человеческий фактор. Администраторы домена могут ошибиться при назначении пользовательских ролей или намеренно смошенничать. Пользователи с доступом могут вполне легитимно перенести данные из защищенного хранилища в открытую всем папку. Требуется постоянный контроль того, как сотрудники распоряжаются предоставленными им полномочиями.

Эти задачи можно автоматизировать дополнительными инструментами. Например, DCAP-системы возьмут на себя аудит пользовательских прав и операций. DLP усилит защиту от неправомерных действий пользователей за пределами домена и файловой системы. Но обо всем по порядку.

Возьмем задачу – актуализировать матрицу доступов – и разберемся, где при ее решении потребуется подстраховка.

Шаг 1. Сверить часы

Прежде всего нужно восстановить реальную картину, кому из действующих пользователей что доступно. И сверить идеальную матрицу, где расписано все как надо, с тем, как есть. Здесь нужна DCAP-система: в отличие от стандартных средств управления доменом, она покажет не статичную, а динамическую картину.

Например, DCAP "СёрчИнформ FileAuditor" отразит:

• Актуальные права пользователей к локальным и сетевым ресурсам. В отдельном отчете можно просматривать сводные данные, данные за период, для всех или конкретных директорий, по всем или выбранным пользователям и группам. Можно найти всех, кому предоставлены те или иные разрешения на файл – и для кого они закрыты. Например, так удобно находить неучтенные привилегированные учетки с полным доступом ко всем ресурсам. Аудит можно уточнить, просмотрев отчеты по владельцам ресурсов или запустив поиск разногласий в наследовании прав в сложной структуре папок.
• Операции пользователей с файлами в общих и локальных папках. Журнал подтягивается для каждого файла, его можно просмотреть за любой период. Аудит операций доступен и без привязки к конкретному объекту. Например, контроля требует любая операция удаления – система отразит все случаи, когда пользователи пытались это сделать, даже если операция была заблокирована или прервана. Аудит покажет, как сотрудники реально пользуются предоставленными им правами.
• Невостребованные доступы: файлы и папки без операций. Специальный отчет подсвечивает все "мертвые" ресурсы в инфраструктуре, к которым никто не обращается. Его также можно настроить в разрезе по пользователям, чтобы найти открытые директории, не нужные в работе.

Кроме того, DCAP анализирует хранение данных: собирает статистику о том, что и в каком объеме хранится на ПК сотрудников и в сетевых папках. FileAuditor классифицирует файлы в хранилищах по контенту, так что ИБ-специалист различает данные, требующие защиты, и файловый "мусор" или ненужные дубликаты.

DCAP отражает жизненный цикл данных, их участие в бизнес-процессах. Таким образом ИБ-специалисту легче приблизить директивные правила доступа к потребностям компании.

Шаг 2. Навести порядок По результатам аудита ИБспециалисту нужно:

• Исключить избыточные доступы к данным. Например, если сотрудник не обращался к открытой для него папке больше года или папка "Для руководства" по ошибке открыта стажерам кол-центра.
• Устранить мертвые души. Например, активные учетки уволенных сотрудников.
• Оптимизировать дисковое пространство: архивировать или удалить ползучие бэкапы и ненужные тяжелые файлы. Например, мультимедиа и игры, которые сотрудники хранят на рабочих ПК.

Выявленные проблемы хранения и распределения прав можно точечно исправить прямо в интерфейсе программы. Например, переназначить права на папку или файл. Но если требуется большая работа, лучше вести ее в контроллере домена. В этом случае DCAP подстрахует от злоупотреблений суперпользователей. FileAuditor интегрирован с Active Directory и контролирует действия администраторов по созданию учеток, выдаче прав и т.д. Можно настроить уведомления на критичные действия, чтобы ИБ-специалист вовремя узнал об ошибке и успел ее исправить.

Шаг 3. Исключить риски

Даже когда права в домене распределены должным образом, остаются уязвимости. Вот с чем это связано.

1. Стандартные средства управления правами позволяют открыть пользователю разные виды доступа. Например, разрешить запуск и чтение файла, но запретить запись и сохранение. Но даже если доступ к файлу закрыт, оказавшись в папке, пользователь может просто перенести его в другое место – там запреты действовать не будут. Другой пример: открыв файл, который ему запрещено редактировать, пользователь спокойно скопирует его содержимое.
2. Пользователи с легитимным доступом могут распорядиться им неправильно. Стандартные средства не предусматривают сценариев, когда сотруднику можно работать с файлом, но нельзя его "расшаривать" коллегам или отправлять за пределы компании. Поэтому для подстраховки нужны жесткие и контролируемые сценарии работы с данными. Отладить их помогают блокировки в DCAP и DLP.

DCAP "СёрчИнформ FileAuditor" опирается на контентную классификацию файлов. Поэтому блокирует доступ не к конкретным объектам в директориях, а ко всем документам с выбранным содержимым.

Кроме того, система определяет, в каких приложениях пользователи могут работать с такими файлами. Благодаря этому, например, работа с данными клиентов вне зависимости от их расположения будет доступна только пользователям из группы "Сейл-менеджеры". У всех остальных они просто не откроются. А сами "сейлы" не смогут прикрепить клиентскую базу в почте, мессенджере или отправить в облако, чтобы снизить риск утечки.

DLP и вовсе минимизирует риски. Такие системы контролируют каналы передачи информации, в том числе внутри компании. Это исключает и сливы конкурентам, и пересылку данных из "закрытой" папки коллегам без доступа. Кроме того, DLP работают там, где управление доменными правами бессильно. Например, DLP "СёрчИнформ КИБ" запретит распечатку документов, их запись на флешки и в буфер обмена. Заодно система позволяет подстраховаться от злоупотреблений внутри корпоративных хранилищ. Например, запретить запись в общие папки файлов с конфиденциальным контентом. Защитить папку на локальном ПК ото всех пользователей, кроме выбранного, – даже от администраторов с неограниченными правами. Или вовсе отключить кому-либо доступ к сетевым папкам как к внешнему устройству.

Шаг 4. Учесть потребности

Чтобы налаженная система доступов оставалась гибкой, ИБ-специалисту нужно оперативно подстраиваться под изменения в компании. Невозможно заранее предусмотреть все варианты, когда понадобится расширить права кому-либо из пользователей. Но можно облегчить работу с этими исключениями. Например, позволив сотрудникам прямо запрашивать их у ИБ, как только возникнет необходимость.

В системах "СёрчИнформ" есть интерфейс пользователя, с помощью которого сотрудники получают уведомления о действующих запретах и сработавших блокировках. Если кому-либо понадобился доступ к "закрытому" файлу, папке или устройству, он может сформировать запрос и обосновать свою потребность – например, задачей от руководства. ИБ-специалист получает запрос сразу и принимает решение: какие операции с объектом разрешить сотруднику и на какое время. Работу пользователя с предоставленными разрешениями можно проконтролировать – КИБ позволяет в реальном времени просматривать происходящее на его экране.

Это удобно, чтобы не разбираться с бесконечными исключениями в AD, а по истечении заданного периода все запреты восстановятся. При этом сотрудники смогут беспрепятственно выполнять свою работу. А если что-то пойдет не так, пока доступ предоставлен, его можно тут же отозвать.

Что в итоге?

Распределить доступы пользователей так, чтобы они раз и навсегда соответствовали идеальной матрице – идея утопическая. Однако с комбинацией инструментов – от классических средств до DLP и DCAP – можно добиться оптимального результата и соблюсти баланс между безопасностью и удобством для бизнеса.

DCAP-система поможет навести порядок в корпоративных хранилищах, обнаружить и устранить огрехи в распределении прав. DLP проконтролирует, как это работает, и застрахует от нарушений. Вместе системы сформируют сценарии безопасной работы с данными для всех сотрудников с учетом их реальных потребностей и полномочий в компании.

Попробуйте связку продуктов "СёрчИнформ" – это бесплатно на 30 дней.