Журнал "Information Security/ Информационная безопасность" #3, 2025

Главная задача матрицы доступа – оградить части инфраструктуры и места хранения данных от непра- вомерного использования. DCAP анализирует хране- ние данных: собирает стати- стику о том, что и в каком объеме хранится на ПК сотрудников и в сетевых папках. FileAuditor класси- фицирует файлы в хранили- щах по контенту, так что ИБ- специалист различает дан- ные, требующие защиты, и файловый "мусор" или ненужные дубликаты. Вкратце о проблеме Главная задача мат- рицы доступа – оградить части инфраструктуры и места хранения дан- ных от неправомерного исполь- зования. Но решить эту задачу "раз и навсегда" не получается. Во-первых, потому что ком- пания и ее ИТ-системы, в кото- рых распределяются права, – динамичная структура: меняют- ся бизнес-процессы, инфра- структура, полномочия и задачи сотрудников. Чтобы разграниче- ния не мешали бизнесу, права доступа нужно постоянно кор- ректировать, согласовывать между системами и вносить исключения. Во-вторых, потому что клас- сические подходы к разгра- ничению прав не учитывают человеческий фактор. Админи- страторы домена могут оши- биться при назначении пользо- вательских ролей или намерен- но смошенничать. Пользовате- ли с доступом могут вполне легитимно перенести данные из защищенного хранилища в открытую всем папку. Требу- ется постоянный контроль того, как сотрудники распоряжаются предоставленными им полно- мочиями. Эти задачи можно автомати- зировать дополнительными инструментами. Например, DCAP-системы возьмут на себя аудит пользовательских прав и операций. DLP усилит защиту от неправомерных действий пользователей за пределами домена и файловой системы. Но обо всем по порядку. Возьмем задачу – актуализи- ровать матрицу доступов – и разберемся, где при ее реше- нии потребуется подстраховка. Шаг 1. Сверить часы Прежде всего нужно восста- новить реальную картину, кому из действующих пользователей что доступно. И сверить иде- альную матрицу, где расписано все как надо, с тем, как есть. Здесь нужна DCAP-система: в отличие от стандартных средств управления доменом, она покажет не статичную, а динамическую картину. Например, DCAP "Сёрч- Информ FileAuditor" 1 отразит: l Актуальные права пользова- телей к локальным и сетевым ресурсам. В отдельном отчете можно просматривать сводные данные, данные за период, для всех или конкретных директорий, по всем или выбранным пользователям и группам. Можно найти всех, кому предоставлены те или иные разрешения на файл – и для кого они закрыты. Напри- мер, так удобно находить неучтенные привилегированные учетки с полным доступом ко всем ресурсам. Аудит можно уточнить, просмотрев отчеты по владельцам ресурсов или запу- стив поиск разногласий в насле- довании прав в сложной струк- туре папок. l Операции пользователей с файлами в общих и локальных папках. Журнал подтягивается для каждого файла, его можно просмотреть за любой период. Аудит операций доступен и без привязки к конкретному объ- екту. Например, контроля тре- бует любая операция удале- ния – система отразит все слу- чаи, когда пользователи пыта- лись это сделать, даже если операция была заблокирована или прервана. Аудит покажет, как сотрудники реально поль- зуются предоставленными им правами. l Невостребованные доступы: файлы и папки без операций. Специальный отчет подсвечи- вает все "мертвые" ресурсы в инфраструктуре, к которым никто не обращается. Его также можно настроить в разрезе по пользователям, чтобы найти открытые директории, не нуж- ные в работе. Кроме того, DCAP анализи- рует хранение данных: соби- рает статистику о том, что и в каком объеме хранится на ПК сотрудников и в сетевых пап- ках. FileAuditor классифициру- ет файлы в хранилищах по контенту, так что ИБ-специа- лист различает данные, тре- бующие защиты, и файловый "мусор" или ненужные дубли- каты. DCAP отражает жизненный цикл данных, их участие в биз- нес-процессах. Таким образом ИБ-специалисту легче прибли- зить директивные правила доступа к потребностям компа- нии. 24 • СПЕЦПРОЕКТ Доступные правила: как распределить права пользователей, чтобы это работало? одходов к настройке и распределению доступа много: дис- кретный, мандатный, ролевой, атрибутивный. В любом из них ИБ-специалисты сталкиваются с проблемой: “на бумаге" правила доступа выглядят хорошо, а на деле выявляются риски. Как защититься от случайных нарушений и злоупо- требления правами со стороны пользователей? Поможет связ- ка DLP+DCAP. П Алексей Парфентьев, заместитель генерального директора по инновационной деятельности “СёрчИнформ” Фото: СёрчИнформ 1 https://searchinform.ru/products/fileauditor/ SearchInform FileAuditor