Решаем задачи DCAP

Ранее мы рассматривали DLP как эффективный инструмент контроля передачи информации.

Однако контролировать файлы можно еще на этапе их создания.

DCAP (Data-Centric Audit and Protection или аудит и защита данных) — это технология, позволяющая обнаруживать конфиденциальные файлы, отслеживать операции с ними и автоматически уведомлять в случае нарушения политик безопасности.

Другим словами, DCAP и DLP — это два взаимодополняющих способа защиты данных. DCAP контролирует данные «в покое», то есть при хранении, DLP — «в движении», а точнее при передаче. В SecureTower DCAP реализован через функции аудита файловых операций и модуль «Мониторинг файловых систем».

Задача от клиента — мониторинг операций с конкретным файлом

Аудит файловых операций — это возможность агента DLР-системы регистрировать все операции пользователя в файловой системе. Используется при поиске информации, мониторинге активности пользователей, создании политик безопасности и отчетности, настройке контролируемых действий с файлами и папками через Консоль администратора для конкретного профиля агента.

Отслеживаемые операции:

• с файлами: создание, чтение, запись, удаление, переименование, открытие, изменение прав доступа;
• с папками: создание, удаление, переименование, открытие, изменение прав доступа.

Итак, опишем задачу от клиента: необходимо отслеживать действия сотрудников с определенной папкой или файлом.

Для этого в SecureTower создаем политику безопасности. Прописываем путь к папке, указываем интересующие операции.

Прописываем электронную почту специалиста по инфобезопасности на вкладке «Настройки уведомления» для получения уведомления об инциденте и оперативного реагирования на него. При необходимости также можно использовать другие доступные каналы оповещения. DLP-система поддерживает отправку уведомлений в Telegram и передачу событий об инцидентах по протоколу Syslog.

Видим результат — выявлен факт удаления конфиденциального документа.

Более того, если мы выявили операцию с документом, есть возможность узнать, какими правами доступа обладает сотрудник к данному файлу. На это указывают соответствующие метки:

• R — чтение файла;
• W — запись файла;
• F — полный доступ к файлу;
• M — изменение файла.

Через модуль «Отчеты» можно сформировать отчет «Комплексный отчет по пользователю» по сотруднику для просмотра информации по всем операциям за выбранный период.

Также через «Конструктор отчетов» можно создать вручную новый отчет по пользователям с максимальной детализацией параметров, по которым необходимо отследить активность (на изображении снизу пример созданного отчета и отражение в нем количества событий работы с файлами и папками).

Итог: DLP SecureTower может вести аудит операций с файлами пользователей для контроля перемещения и использования файлов с чувствительной информацией и оценки работы сотрудников. 

Задача от клиента — соблюдение политики хранения информации на предприятии

Мониторинг файловых систем — используется для сканирования рабочих станций на предмет наличия конфиденциальных данных с возможностью выполнения удаленных действий с документами.

Например, имеем задачу от клиента: контроль проектировщиков. Поиск всех документов с расширением *dwg на определенной рабочей станции.

Открываем модуль Мониторинг файловых систем. Указываем расширение файла *dwg.

Результат — выявлено хранение чертежей другого подразделения, что является нарушением политики хранения информации.

Итог: как видно на картинке, система позволяет не только обнаружить документ, но и выполнить ряд действий с обнаруженными файлами (скрыть, переместить, удалить с компьютера), что позволяет обеспечивать хранение конфиденциальных документов только в разрешенных местах.

Вывод

Falcongaze SecureTower предлагает комплексный подход к защите информации:

• контроль и блокировка передачи информации;
• аудит того, что происходит с файлами внутри компании, который является основой для расследований;
• возможность проактивно находить «болевые точки» — места несанкционированного хранения данных — и оперативно их устранять.

Используя эти инструменты вместе, компания выстраивает многоуровневую защиту данных — от момента их создания и хранения до попытки передачи, что соответствует лучшим практикам в области информационной безопасности.