Журнал "Information Security/ Информационная безопасность" #1, 2021

Простой пример: в среднестатистиче- ском файловом хранилище со временем образуется сложная структура каталогов, в которых лежит множество документов. Кто и куда их складывает, не всегда известно даже администраторам. Тем более непонятно, как настраивать и конт- ролировать доступ пользователей к этому богатству. На каждый файл и каждую папку отдельно права не раздашь, а если вручную вести гигантские Access Lists, неизбежны ошибки. К тому же сотруд- ники имеют привычку складывать все в первое попавшееся место, не задумы- ваясь о конфиденциальности. Насколько все плохо? По данным нашего исследования 1 , сотруднику в среднем доступны мил- лионы корпоративных файлов. Точное значение показателя зависит от размера и специфики бизнеса, но порядок именно таков, а в ряде случаев речь идет даже о десятках миллионов документов. Примерно 20% сетевых папок доступ- ны для всех пользователей, при этом около 39% организаций имеют более 10 тыс. устаревших, но еще активных учетных записей. Неудивительно, что в подобной ситуации у двух третей ком- паний более 1 тыс. конфиденциальных файлов открыто для каждого сотрудника, а у 60% респондентов обнаружилось не менее 500 паролей, срок действия кото- рых никогда не истекает. Парольная политика не имеет прямого отношения к классификации данных, но она тоже иллюстрирует сложившийся бардак. И чем крупнее организация, тем его больше. Кроме файловых ресурсов домена Active Directory, в корпоративной инфра- структуре есть разнообразные инфор- мационные системы со своими базами данных. Настройка безопасного доступа к этим системам – отдельная головная боль. Компании покупают антивирусы, межсетевые экраны нового поколения, решения для поведенческого анализа и управления мобильными устройствами, а также другие дорогостоящие продукты для защиты информации. Прежде чем настраивать доступ, необходимо упоря- дочить хаос: хотя классификация данных сама по себе проблему не решит, она является основой любой эффективной системы обеспечения информационной безопасности. Как решить проблему малой кровью? Самый очевидный способ классифи- цировать данные – провести ручной аудит силами ИТ-департамента. Такой подход прекрасно работает в небольших фирмах с десятками пользователей. В средних и крупных компаниях перело- жить проблему на хрупкие плечи сисад- минов не получится: слишком много цифровой информации нажито непо- сильным трудом, а ее структура слишком сложна и разнообразна. К тому же это не разовая работа, после первоначального наведения порядка возникнет задача актуализации сведений и мониторинга изменений. Пользователи не любят соблюдать пра- вила и будут постоянно "подсыпать в топку свежего уголька", да и конфигу- рация ресурсов в ИТ-инфраструктуре периодически меняется. За всем нужно следить: увы, грамотная классификация данных – это непрерывный процесс, а не законченный объект. Как, впрочем, и все, связанное с информационной безопасностью. Чем поможет автоматизация? На этом этапе мы приходим к необхо- димости внедрения специализирован- ных решений, позволяющих не только провести разовый аудит, но и отслежи- вающих все изменения в реальном времени. В них используются разные методы: морфологический анализ, про- ставление специальных меток (O365/M365, Boldon James, TITUS) и тому подобные вещи – выбор набора технологий зависит от разработчика. Система классификации с определен- ной периодичностью отслеживает изме- нения в документах, где бы те ни нахо- дились, разбирает по полочкам логику их построения и анализирует данные с использованием заданных правил. Частота проверок сетевых ресурсов настраивается в зависимости от многих факторов, но стратегия подбирается таким образом, чтобы получать инфор- мацию об изменениях максимально оперативно. Система классификации должна также взаимодействовать с другими инфор- мационными системами и облачными сервисами. В частности, большинство систем ЭДО и ERP хранят информацию в обычных файлах с определенной струк- турой и логикой размещения – они могут быть без особого труда проанализиро- ваны. В каких-то случаях требуется и прямой доступ – вариантов масса. Необходима также интеграция со сред- ствами обеспечения информационной безопасности и контроля доступа, поскольку одной только классификации недостаточно, ее еще нужно правильно применить, допустив к определенной категории информации только пользо- вателей, которым та необходима для работы. Настроив взаимодействие с DLP, можно передавать туда критичные доку- менты для снятия цифровых отпечатков и контроля прохождения похожих на внешнем периметре. Есть и другие при- меры взаимодействия; важно понимать, что эффективно лишь продуманное при- менение всех мер в комплексе. Как запустить процесс? Внедрить подобную систему – титани- ческий труд, а без предварительного планирования проект будет обречен на провал. Начинать, как ни странно, стоит с контроля за доступом к самим данным. Всегда возможно, что при первичной классификации данные не будут марки- рованы как критичные, но, если, скажем, поведенческий анализ увидит подготовку к их "выносу", действия пользователя можно будет поставить на контроль, а классификацию изменить. Даже в крупной организации может не оказаться необходимых ресурсов, чтобы пройти все шаги по внедрению автоматизированной классификации данных и настройке ее интеграции с про- чими системами самостоятельно. Хоро- шим выбором будет обращение к спе- циализирующемуся на информационной безопасности системному интегратору или (в зависимости от масштабов биз- неса заказчика) напрямую к разработ- чику продукта. В итоге вы узнаете о своих данных главное: где они лежат и в какой защите нуждаются. l 26 • ТЕХНОЛОГИИ Классификация данных как фундамент ИБ изнес выделяет немалые бюджеты на кибербезопасность, но количество утечек конфиденциальной информации только растет. Тому есть множество причин, и сегодня я расскажу об одной из важнейших – отсутствии актуальной классификации данных. Необходимость разложить цифровую информацию по полочкам, на первый взгляд, с безопасностью не связана, но на самом деле это не так. Б Александр Ветколь, ведущий системный инженер Varonis Systems Ваше мнение и вопросы присылайте по адресу is@groteck.ru 1 https://info.varonis.com/hubfs/Whitepapers%20( RU)/Varonis_Financial_Data_Risk_ Report%20(RU)_2021.pdf