Контакты
Подписка 2022
МЕНЮ
Контакты
Подписка

Makves: спонтанные файловые хранилища под контролем

Роман Подкопаев, 08/12/21

Каждая организация ежедневно генерирует огромное количество данных, которые хранятся и перемещаются внутри периметра. Сотрудники непрерывно копируют и пересылают файлы, назначая новых владельцев, создавая уровни доступа. Некоторые из этих файлов могут оказаться критически важными – отсутствие полной картины прав доступа является серьезной угрозой информационной безопасности. Makves DCAP – эффективный инструмент автоматического мониторинга данных, с помощью которого можно оптимизировать работу ИТ-отдела и снизить финансовые и репутационные риски. Подробнее о нем – в интервью с Романом Подкопаевым, генеральным директором компании Makves.

Роман Подкопаев, генеральный директор компании Makves

– Роман, как понять, насколько остро в конкретной организации стоит проблема неструктурированных данных и неподконтрольных хранилищ файлов? И зачем вообще нужно эти данные структурировать?

– Для начала необходимо выявить источники проблемы. В каждой организации создается огромное количество документов, которые впоследствии объединяются в хранилища. Со временем сотрудники, которые имеют доступ к этим документам, меняются, в том числе меняются и айтишники, управляющие правами пользователей. В итоге из скопившихся файлов образуется хаос. На самом деле ни в одной организации сотрудники ИТи ИБ-подразделений не знают, где хранится конфиденциальная информация и кто из сотрудников имеет к ней доступ. Они думают, что знают, но на самом деле – нет. Потому что в любой момент любой сотрудник легко может переместить файлы из одной папки в другую, в которой может быть иной вид доступа, и все: система хранения нарушена, безопасность нарушена. Неконтролируемый доступ опасен тем, что файлы из папок с ограниченным доступом (с ограниченным кругом лиц, имеющим к ним доступ) становятся доступными всем сотрудникам компании, – это проблема безопасности.

Самым простым примером является нарушение хранения персональных данных. Приходит регулятор, проводит проверку. Выясняется, что персональные данные вместо того, чтобы храниться в нужном месте, хранятся в открытом доступе и видны всем сотрудникам компании. А это как минимум штрафы по ФЗ-152. Штрафы пока небольшие, но беда в том, что люди получают доступ к информации, которой владеть не должны. И как они эту информацию потом используют – неизвестно. Проблема достаточно серьезная, и чтобы понять, насколько она критична в конкретной компании, необходимо провести аудит с помощью автоматизированной системы.

– Как часто выявляются подобные нарушения, связанные с хранением и доступом?

– В 100% случаев в любой организации, в которой больше 10 человек, есть проблемы с доступом. Перед внедрением нашего решения мы проводим аудит рисков, связанных с хранением данных и доступом к ним. Когда мы приходим к заказчикам, то всегда спрашиваем их: "Вы правда думаете, что доступ у всех правильный?" И каждый раз по результатам аудита мы доказываем, что это далеко не так. Допустим, в организации 6 тыс. сотрудников и миллион файлов. Чтобы узнать, кто на самом деле имеет доступ к каждому из файлов, нужно открыть каждый файл, его свойства и посмотреть, какие пользователи добавлены конкретно к этому файлу. Даже если у нас есть настройки централизованной группы безопасности в Active Directory, то это не значит, что кто-то напрямую не дал доступ, а увидеть это можно только в свойствах файла. Поэтому без систем, которые могут совершать проверку автоматически, мы никоим образом не сможем выяснить масштаб проблемы.

– Можно ли приоритизировать разные данные и по каким критериям?

– Конечно, можно и нужно. Часто заказчики говорят: "А нам хотелось бы ставить метки" – чтобы пользователь сам ставил гриф "конфиденциально" на файл, который он создает. Но в этом случае пользователь может забыть поставить метку, специально или случайно.

Системы класса DCAP умеют читать файлы по их содержимому, сверять с определенными словарями, определять персональные данные и отличать банковскую тайну от коммерческой. Например, на производственных предприятиях есть свои категории документов – чертежи и химические растворы – это конфиденциальная информация. И это критерий. Таким заказчикам важно знать, где эти файлы находятся, кто к ним имеет доступ. Система позволяет автоматически проанализировать все файлы и сообщает, какие из них находятся в общем доступе, а к каким имеет доступ ограниченный круг лиц и кто конкретно.

– Расскажите о Makves DCAP.

– DCAP – Data Centric Audit and Protection. Makves DCAP – система аудита так называемых неструктурированных данных. Неструктурированные данные – это все, что находится не в базах данных, то есть "файловые помойки" из экселей, вордов, пдф и вообще чего угодно. Системы класса DCAP занимаются тем, что анализируют все эти "файловые помойки".

Наш продукт, с одной стороны, достаточно молодой, а с другой – ему скоро исполнится три года. Российский рынок только развивается в этом направлении. Существует пласт американских решений, которым уже более 10 лет, они создали некие правила игры на рынке. В нашей стране пока что присутствует 2–3 российских DCAP-решения.

Makves DCAP собирает информацию из Active Directory, рабочих станций, файловых и почтовых серверов. Выявляет данные с чувствительной информацией и вносит их в список особо защищенных, формирует наглядную матрицу доступа пользователей к файлам, папкам и почтовым ящикам. Затем проводит аналитику и выдает выявленные нарушения.

Допустим, система обнаружила неактивную учетную запись сотрудника, возможно он давно уволен, а запись до сих пор не заблокирована – ее надо отключать. Или, например, у одних пользователей нет автоматической смены пароля, а другие вообще без пароля заходят, что неприемлемо. Система выдает рекомендации проверить прямые права, файлы с персональными данными, находящиеся в общем доступе, и проинспектировать дубликаты. Дубликаты опасны тем, что на практике оказываются копиями конфиденциальных документов в открытом доступе.

Makves DCAP может анализировать изменения в динамике, например: открыли файл, событие зафиксировано; переместили файл – событие зафиксировано; дали новому пользователю доступ, добавили права к новой папке – система увидела нетипичное поведение и уведомила оператора. Более того, Makves DCAP позволяет активно реагировать на нарушения. Например, позволяет обнаружить и предотвратить одну из самых распространенных угроз – вирус-шифровальщик. Допустим, обычно сотрудник компании совершает 50 действий с файлами в день, но вдруг начинает выполнять 500 в минуту – система фиксирует такую активность как аномальную и сразу же уведомляет об этом специалиста по информационной безопасности. При определенных настройках можно блокировать действия таких учетных записей. Makves DCAP может перезагрузить машину или полностью заблокировать пользователя, таким образом предотвратив угрозу.

– Чем грозит неконтролируемое хранилище данных в плане общей защищенности?

– Все привыкли, что опасность возникает лишь при пересечении информационного периметра компании. Другими словами, если нас хакеры не атакуют, инсайдеры ничего наружу не отправляют, то с безопасностью полный порядок. Но это не совсем так. Однажды выясняется, что внутри компании у всех общий доступ к коммерческой тайне. Или, например, у кого-то есть доступ к почте директора и этот кто-то ее читает.

Мы считаем, что утечка информации происходит не в момент пересечения данными периметра, а в момент получения человеком доступа к этой информации. По сути, если у всех сотрудников есть доступ ко всем файлам, то вся компания состоит из потенциальных инсайдеров. И конечно, повышается нагрузка на остальные системы защиты информации, которые контролируют периметр.

– Можно ли воспринимать DCAP как замену DLP?

– Я бы очень этого хотел, но это не так. Все-таки у каждого решения должна быть узкая специализация. У нашего продукта – специализированная ниша и конкретная задача. Ситуация с подобными системами на американском рынке показывает, что это ниша с четко очерченными границами: в ее ведении все, что происходит внутри периметра с файлами и правами доступа. Наши заказчики отмечают, что DCAP видит то, что не видит DLP, таким образом решения дополняют друг–друга.

– Можно ли сказать, что спрос на DCAP-системы уже сформировался?

– На российском рынке спрос на DCAP только начинает формироваться. Но как только мы показываем заказчикам результат пилотного развертывания в рамках "живой" ИТ-инфраструктуры и на их реальных данных, то сразу становится понятно, как обосновать необходимость внедрения такого решения. Когда, например, уволенный сотрудник полгода не только продолжает читать свою почту, но и к тому же имеет доступ к файлам внутри периметра, чего до установки нашей системы никто не замечал – это является серьезным аргументом.

– Кто ваши заказчики?

– Нашими заказчиками являются представители среднего и крупного бизнеса. Основной маркер для нас – наличие в компании зрелого отдела информационной безопасности или ИТ-отдела с руководителем. Потому что если всё в руках администратора или приходящего администратора (у того, кто не принимает важных решений, у которого нет заинтересованности в эффективной работе), то у заказчика не будет понимания, зачем ему необходим наш продукт. Крупный бизнес понимает, что Makves DCAP находится на стыке безопасности и ИТ и может оптимизировать работу этих подразделений.

– Планируете ли сертифицировать продукт?

– Да, получение сертификата ФСТЭК планируется в следующем году.

 

 

Темы:УправлениеЖурнал "Информационная безопасность" №5, 2021DCAPMakves
Статьи по той же темеСтатьи по той же теме

Хотите участвовать?

Выберите вариант!

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2022
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ

More...