Контакты
Подписка 2024

Классификация данных как фундамент ИБ

Александр Ветколь, 23/04/21

Бизнес выделяет немалые бюджеты на кибербезопасность, но количество утечек конфиденциальной информации только растет. Тому есть множество причин, и сегодня я расскажу об одной из важнейших – отсутствии актуальной классификации данных.

Автор: Александр Ветколь, ведущий системный инженер Varonis Systems

Необходимость разложить цифровую информацию по полочкам, на первый взгляд, с безопасностью не связана, но на самом деле это не так.

Простой пример: в среднестатистическом файловом хранилище со временем образуется сложная структура каталогов, в которых лежит множество документов.

Кто и куда их складывает, не всегда известно даже администраторам. Тем более непонятно, как настраивать и контролировать доступ пользователей к этому богатству.

На каждый файл и каждую папку отдельно права не раздашь, а если вручную вести гигантские Access Lists, неизбежны ошибки. К тому же сотрудники имеют привычку складывать все в первое попавшееся место, не задумываясь о конфиденциальности.

Насколько все плохо?

По данным нашего исследования [1], сотруднику в среднем доступны миллионы корпоративных файлов. Точное значение показателя зависит от размера и специфики бизнеса, но порядок именно таков, а в ряде случаев речь идет даже о десятках миллионов документов.

Примерно 20% сетевых папок доступны для всех пользователей, при этом около 39% организаций имеют более 10 тыс. устаревших, но еще активных учетных записей. Неудивительно, что в подобной ситуации у двух третей компаний более 1 тыс. конфиденциальных файлов открыто для каждого сотрудника, а у 60% респондентов обнаружилось не менее 500 паролей, срок действия которых никогда не истекает. Парольная политика не имеет прямого отношения к классификации данных, но она тоже иллюстрирует сложившийся бардак.

И чем крупнее организация, тем его больше.

Кроме файловых ресурсов домена Active Directory, в корпоративной инфраструктуре есть разнообразные информационные системы со своими базами данных. Настройка безопасного доступа к этим системам – отдельная головная боль. Компании покупают антивирусы, межсетевые экраны нового поколения, решения для поведенческого анализа и управления мобильными устройствами, а также другие дорогостоящие продукты для защиты информации. Прежде чем настраивать доступ, необходимо упорядочить хаос: хотя классификация данных сама по себе проблему не решит, она является основой любой эффективной системы обеспечения информационной безопасности.

Как решить проблему малой кровью?

Самый очевидный способ классифицировать данные – провести ручной аудит силами ИТ-департамента. Такой подход прекрасно работает в небольших фирмах с десятками пользователей.

В средних и крупных компаниях переложить проблему на хрупкие плечи сисадминов не получится: слишком много цифровой информации нажито непосильным трудом, а ее структура слишком сложна и разнообразна.

К тому же это не разовая работа, после первоначального наведения порядка возникнет задача актуализации сведений и мониторинга изменений.

Пользователи не любят соблюдать правила и будут постоянно "подсыпать в топку свежего уголька", да и конфигурация ресурсов в ИТ-инфраструктуре периодически меняется. За всем нужно следить: увы, грамотная классификация данных – это непрерывный процесс, а не законченный объект. Как, впрочем, и все, связанное с информационной безопасностью.

Чем поможет автоматизация?

На этом этапе мы приходим к необходимости внедрения специализированных решений, позволяющих не только провести разовый аудит, но и отслеживающих все изменения в реальном времени. В них используются разные методы: морфологический анализ, проставление специальных меток (O365/M365, Boldon James, TITUS) и тому подобные вещи – выбор набора технологий зависит от разработчика.

Система классификации с определенной периодичностью отслеживает изменения в документах, где бы те ни находились, разбирает по полочкам логику их построения и анализирует данные с использованием заданных правил.

Частота проверок сетевых ресурсов настраивается в зависимости от многих факторов, но стратегия подбирается таким образом, чтобы получать информацию об изменениях максимально оперативно.

Система классификации должна также взаимодействовать с другими информационными системами и облачными сервисами. В частности, большинство систем ЭДО и ERP хранят информацию в обычных файлах с определенной структурой и логикой размещения – они могут быть без особого труда проанализированы. В каких-то случаях требуется и прямой доступ – вариантов масса.

Необходима также интеграция со средствами обеспечения информационной безопасности и контроля доступа, поскольку одной только классификации недостаточно, ее еще нужно правильно применить, допустив к определенной категории информации только пользователей, которым та необходима для работы. Настроив взаимодействие с DLP, можно передавать туда критичные документы для снятия цифровых отпечатков и контроля прохождения похожих на внешнем периметре. Есть и другие примеры взаимодействия; важно понимать, что эффективно лишь продуманное применение всех мер в комплексе.

Как запустить процесс?

Внедрить подобную систему – титанический труд, а без предварительного планирования проект будет обречен на провал. Начинать, как ни странно, стоит с контроля за доступом к самим данным.

Всегда возможно, что при первичной классификации данные не будут маркированы как критичные, но, если, скажем, поведенческий анализ увидит подготовку к их "выносу", действия пользователя можно будет поставить на контроль, а классификацию изменить.

Даже в крупной организации может не оказаться необходимых ресурсов, чтобы пройти все шаги по внедрению автоматизированной классификации данных и настройке ее интеграции с прочими системами самостоятельно. Хорошим выбором будет обращение к специализирующемуся на информационной безопасности системному интегратору или (в зависимости от масштабов бизнеса заказчика) напрямую к разработчику продукта. В итоге вы узнаете о своих данных главное: где они лежат и в какой защите нуждаются.


  1. https://info.varonis.com/.../Varonis_Financial_Data_Risk_Repor%20(RU)_2021.pdf
Темы:СКУДЖурнал "Информационная безопасность" №1, 2021

Обеспечение кибербезопасности.
Защита АСУ ТП. Безопасность КИИ
Конференция | 28 июня 2024

Жми для участия
Обзоры. Спец.проекты. Исследования
Участвуйте в обзорах / исследованиях проекта "Информационная безопасность"!
Станьте автором журнала!
Статьи по той же темеСтатьи по той же теме

Хотите участвовать?

Выберите вариант!

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
Linux
4 июля. Защищенный удаленный доступ к ИТ-инфраструктуре
Участвуйте!

More...
Обзоры. Исследования. Спец.проекты
Обзоры и исследования проекта "Информационная безопасность"
Жми, чтобы участвовать