[Информационная безопасность, IT-инфраструктура, Хранение данных, Хранилища данных] Блокировки хорошие и не очень
Автор
Сообщение
news_bot ®
Стаж: 6 лет 3 месяца
Сообщений: 27286
Привет! На связи Алексей Парфентьев, руководитель отдела аналитики «СёрчИнформ». В середине прошлого года здесь на Habr мы делились тем, что такое наша система файлового аудита (DCAP-система, если по-умному) FileAuditor. Ледоколом продолжаем разбивать лёд этого относительно нового рынка. В этом посте решил ответить на часто возникающие вопросы о применении системы файлового аудита, а также рассказать, что нового появилось в функционале. В последнем обновлении мы реализовали возможность блокировать доступ к конфиденциальным файлам. FileAuditor теперь соответствует тому, каким и должно быть DCAP-решение. 
А, напомню, что коллеги из Gartner говорят, что он должен уметь:1) Обнаруживать и классифицировать данные2) Мониторить привилегии и активность пользователей3) Защищать данныеВот мы и выполнили этот п.3.Ограничить операции с файлами можно для любого произвольного приложения, а также пересылки в программах. Как работают блокировки по меткам?FileAuditor, классифицируя файлы в хранилищах, расставляет метки: комтайна, грифы, ПДн и т.д. Программа поставляется с набором готовых политик для этих меток, можно ввести и собственные, если в вашем бизнесе есть какие-то нетипичные категории данных, которые нужно защищать. По этим меткам настраиваются разрешения и запреты: каким пользователям, за какими ПК и в каких приложениях можно открывать файл.
То есть: Запретили отправку файлов с меткой «ПДн» в Telegram – пользователь не сможет прикрепить такие документы во вложения и получит уведомление об ошибке.
Настройка правил блокировки в FileAuditorРазрешили работу в Word с документами «Коммерческая тайна» только директору – любой другой пользователь, даже если получит доступ к файлу, не сможет его открыть.
И т.д. Запреты/разрешения по меткам можно установить абсолютно для любых приложений – от браузера и почты до графического редактора или самописного корпоративного мессенджера.Метки наследуются: если пользователь переименует, скопирует, пересохранит текст документа в новом файле, FileAuditor автоматически применит все разрешения/запреты, которые были установлены для исходного файла. В итоге мы контролируем:· Пересылку файлов по внешним и внутренним каналам.· Доступ к файлу посторонних.· Нежелательные операции с файлом.Блокировки по меткам можно применять в DLPВ нашем КИБе, как во многих других DLP-системах, реализованы привычные контекстные и контентные блокировки «в разрыв» для отдельных каналов (почты, флешек и др.). Кто долго с нами, знает, как мы недолюбливаем саму практику блокировок.1) Система компрометируется – пользователь сложит 2+2 и сообразит, что если файл не уходит, то в деле служба безопасности. Начнет искать обходные пути. Но это полбеды. Все-таки есть категории данных, которые нужно защищать с помощью блокирования пересылки.2) Блокировки «в разрыв» долгие. DLP нужно проверить каждый файл на разрешения/запреты в момент отправки. Это тормозит процессы и перегружает систему.3) Более того, проверку файла DLP будет проводить каждый раз при попытке отправки. И каждый раз это будет занимать время и отнимать ресурсы.Блокировка по меткам этих недостатков не имеет.Так как вся информация собрана в метке, DLP просто считывает ее и мгновенно принимает решение – пропускать или блокировать. (Буквально мгновенно, ну если, конечно, вы не считаете важным рассчитать скорость распространения сигнала в проводниках платы и время на срабатывание триггеров в программе).В отличие от блокировки по каналам блокировка по меткам не зависит от того, какой версии тот или иной мессенджер или браузер. Для FileAuditor это не важно – ограничения работают не в канале связи, а в файловой системе, откуда он запрещает/разрешает приложениям прочитывать данные.Так что не нужно ждать, пока вендор внесет обновления в систему.
В итоге имеем вот что: · С появлением блокировок по меткам FileAuditor может применяться самостоятельно не только для аудита файловой системы и «уборки», но и для защиты файлов от несанкционированного доступа и утечек.· Этот защитный функционал существенно развивает и защитный функционал DLP, которая читает метки, что делает блокировки утечек почти молниеносными и не отнимающими ресурсы. · Сейчас связка, которую реализовали мы (из нашей DLP-системы и программы файлового аудита) не имеет аналога. Отдельно блокировки и метки есть в других DLP и DCAP-решениях, но они как правило не интегрируются между собой и не дают общего эффекта. Буду рад ответить на вопросы о функционале, его возможностях и ограничениях.
===========
Источник:
habr.com
===========
Похожие новости:
- [Хранение данных, Законодательство в IT, Сетевое оборудование, IT-компании] В Госдуму внесен законопроект о хранении операторами связи логов по всем сообщениям и медиафайлам пользователей 3 года
- [IT-инфраструктура, Apache, Big Data, DevOps] Итоговый проект для видеокурса и подкаст «Проблемная Kafka»
- [Информационная безопасность, WordPress, Разработка веб-сайтов, Системное администрирование, Контекстная реклама] WordPress автоматически отключит Google FLoC на веб-сайтах
- [Информационная безопасность] Security Week 16: атака на цепочку поставок в компании Codecov
- [Информационная безопасность, Сетевые технологии, Терминология IT, Сетевое оборудование] Что такое VPN, Proxy, Tor? Разбор
- [Информационная безопасность] FileAuditor на СХД Huawei
- [IT-инфраструктура, Виртуализация, Big Data] Вы нервно стоите на красный, хотя машин нет. Как сделать светофор умнее, а проезжать и загруженные перекрестки быстрее?
- [IT-инфраструктура, Серверное администрирование, Хранение данных] Большая битва серверов: 'Made in Russia' vs. 'Made in Taiwan'
- [Информационная безопасность, История IT] Подстава века или таинственная история взлома Ситибанка
- [Информационная безопасность, Законодательство в IT] Shodan: границы дозволенного или где кончается белая шляпа хакера
Теги для поиска: #_informatsionnaja_bezopasnost (Информационная безопасность), #_itinfrastruktura (IT-инфраструктура), #_hranenie_dannyh (Хранение данных), #_hranilischa_dannyh (Хранилища данных), #_dlp, #_serchinform (сёрчинформ), #_fileauditor, #_blokirovki (блокировки), #_fajlovyj_audit (файловый аудит), #_dcap, #_audit_fajlovyh_serverov (аудит файловых серверов), #_blog_kompanii_searchinform (
Блог компании SearchInform
), #_informatsionnaja_bezopasnost (
Информационная безопасность
), #_itinfrastruktura (
IT-инфраструктура
), #_hranenie_dannyh (
Хранение данных
), #_hranilischa_dannyh (
Хранилища данных
)
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Текущее время: 19-Май 16:33
Часовой пояс: UTC + 5
| Автор | Сообщение |
|---|---|
|
news_bot ®
Стаж: 6 лет 3 месяца |
|
|
Привет! На связи Алексей Парфентьев, руководитель отдела аналитики «СёрчИнформ». В середине прошлого года здесь на Habr мы делились тем, что такое наша система файлового аудита (DCAP-система, если по-умному) FileAuditor. Ледоколом продолжаем разбивать лёд этого относительно нового рынка. В этом посте решил ответить на часто возникающие вопросы о применении системы файлового аудита, а также рассказать, что нового появилось в функционале. В последнем обновлении мы реализовали возможность блокировать доступ к конфиденциальным файлам. FileAuditor теперь соответствует тому, каким и должно быть DCAP-решение.  А, напомню, что коллеги из Gartner говорят, что он должен уметь:1) Обнаруживать и классифицировать данные2) Мониторить привилегии и активность пользователей3) Защищать данныеВот мы и выполнили этот п.3.Ограничить операции с файлами можно для любого произвольного приложения, а также пересылки в программах. Как работают блокировки по меткам?FileAuditor, классифицируя файлы в хранилищах, расставляет метки: комтайна, грифы, ПДн и т.д. Программа поставляется с набором готовых политик для этих меток, можно ввести и собственные, если в вашем бизнесе есть какие-то нетипичные категории данных, которые нужно защищать. По этим меткам настраиваются разрешения и запреты: каким пользователям, за какими ПК и в каких приложениях можно открывать файл.  То есть: Запретили отправку файлов с меткой «ПДн» в Telegram – пользователь не сможет прикрепить такие документы во вложения и получит уведомление об ошибке.  Настройка правил блокировки в FileAuditorРазрешили работу в Word с документами «Коммерческая тайна» только директору – любой другой пользователь, даже если получит доступ к файлу, не сможет его открыть.  И т.д. Запреты/разрешения по меткам можно установить абсолютно для любых приложений – от браузера и почты до графического редактора или самописного корпоративного мессенджера.Метки наследуются: если пользователь переименует, скопирует, пересохранит текст документа в новом файле, FileAuditor автоматически применит все разрешения/запреты, которые были установлены для исходного файла. В итоге мы контролируем:· Пересылку файлов по внешним и внутренним каналам.· Доступ к файлу посторонних.· Нежелательные операции с файлом.Блокировки по меткам можно применять в DLPВ нашем КИБе, как во многих других DLP-системах, реализованы привычные контекстные и контентные блокировки «в разрыв» для отдельных каналов (почты, флешек и др.). Кто долго с нами, знает, как мы недолюбливаем саму практику блокировок.1) Система компрометируется – пользователь сложит 2+2 и сообразит, что если файл не уходит, то в деле служба безопасности. Начнет искать обходные пути. Но это полбеды. Все-таки есть категории данных, которые нужно защищать с помощью блокирования пересылки.2) Блокировки «в разрыв» долгие. DLP нужно проверить каждый файл на разрешения/запреты в момент отправки. Это тормозит процессы и перегружает систему.3) Более того, проверку файла DLP будет проводить каждый раз при попытке отправки. И каждый раз это будет занимать время и отнимать ресурсы.Блокировка по меткам этих недостатков не имеет.Так как вся информация собрана в метке, DLP просто считывает ее и мгновенно принимает решение – пропускать или блокировать. (Буквально мгновенно, ну если, конечно, вы не считаете важным рассчитать скорость распространения сигнала в проводниках платы и время на срабатывание триггеров в программе).В отличие от блокировки по каналам блокировка по меткам не зависит от того, какой версии тот или иной мессенджер или браузер. Для FileAuditor это не важно – ограничения работают не в канале связи, а в файловой системе, откуда он запрещает/разрешает приложениям прочитывать данные.Так что не нужно ждать, пока вендор внесет обновления в систему.  В итоге имеем вот что: · С появлением блокировок по меткам FileAuditor может применяться самостоятельно не только для аудита файловой системы и «уборки», но и для защиты файлов от несанкционированного доступа и утечек.· Этот защитный функционал существенно развивает и защитный функционал DLP, которая читает метки, что делает блокировки утечек почти молниеносными и не отнимающими ресурсы. · Сейчас связка, которую реализовали мы (из нашей DLP-системы и программы файлового аудита) не имеет аналога. Отдельно блокировки и метки есть в других DLP и DCAP-решениях, но они как правило не интегрируются между собой и не дают общего эффекта. Буду рад ответить на вопросы о функционале, его возможностях и ограничениях. =========== Источник: habr.com =========== Похожие новости:
Блог компании SearchInform ), #_informatsionnaja_bezopasnost ( Информационная безопасность ), #_itinfrastruktura ( IT-инфраструктура ), #_hranenie_dannyh ( Хранение данных ), #_hranilischa_dannyh ( Хранилища данных ) |
|
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Текущее время: 19-Май 16:33
Часовой пояс: UTC + 5