вторник, 10 сентября 2013 г.

СОИБ. Проектирование. Защита файловых ресурсов

 В сегодняшней заметке хотелось бы уделить внимание комплексным решениям по защите файловых ресурсов.

Несмотря на тенденцию хранения ценной информации в корпоративных приложениях и БД, в большинстве организаций всё равно хранится чувствительная информация в виде файлов. Могу привести следующие примеры:
·        даже если ценная информация хранится в БД, периодически она выгружается оттуда для передачи в другие системы (платежная информация хранится в АБС банка, но для межбанковских платежей используется передача файлов)
·        ценная информация может выгружаться пользователями из БД и сохраняться во временных файлах в рамках выполнения их служебных обязанностей
·        бизнес приложения обычно формируют отчетность, результаты анализа для руководителей в виде документов и именно эта информация представляет наибольшую ценность
·        из сторонних организаций ценная информация может поступать в виде файлов
·        могут обрабатываться сканы ценных бумажных документов
·        ценная информация может изначально создавать в виде документов и далее храниться т обрабатываться в виде файлов

Примеры типов организаций приводить не буду. Это могут быть любые организации любой отрасли. Разница только в том, что у одних файловые ресурсы хранятся централизованно в едином хранилище, у других распределены по многим серверам и АРМ организации.

Могу добавить следующее утверждение – если вы провели анализ и определили, что в БД у вас хранится не самая ценная информация, то самая ценная хранится в виде файлов.

Для определения необходимых контрмер нам будет нужен экспресс анализ рисков для активов связанных с файловыми ресурсами. Вот он:


Рассмотрим контрмеры, которые можно использовать для “нейтрализации” угроз:
·        Существенно ограничить доступ мы не можем – ведь к нашим файловым серверам обращается широкий круг пользователей
·        Межсетевой экран частично может использоваться для нейтрализации 1, 2 угрозы (неактуальных). Но не поможет нам с угрозами  3, 4 и 5 (так как не защищает на уровне файлового сервиса, не анализирует права доступа к файлам, сами файлы)
·        Локальная система предотвращения вторжений совсем слабо поможет с угрозой 3 и абсолютно не поможет с 4, 5 (так как не разбирает запросы пользователей к файлам, не анализирует права доступа и содержимое файлов)
·        Встроенные средства защиты файлового сервера частично помогут с 3 угрозой . Для 4 и 5 угрозы можно включить детальный аудит событий, но нет встроенных возможностей для их анализа.  Если файловых серверов будет много, то возникнут проблемы с централизованным сбором и регулярным анализом всех событий доступа
·        Система DLP может использоваться для нейтрализации угрозы 4, но не поможет с остальными.

В данном случае, наиболее подходящим средством, понижающим риски до приемлемого уровня является специализированное средство защиты файловых серверов (File Firewall или FF) или средство аудита доступа к файлам (File Activity Monitoring или FAM)

Из представленных на российском рынке мне известны и удалось найти информацию по следующим решениям:
·        Dell ChangeAuditor for Windows File Servers (бывший Quest Software)
·        Netwrix Auditor 
·        Microsoft System Center Operations Manager
·        Imperva File Activity Monitoring / File Firewall

Ниже приведу сравнение их возможностей в очень крупную клетку (для общего развития пригодится, а если будет нужно детальное - обращайтесь)


Типовые схемы подключения решений по защите файловых ресурсов на примере IMPERVA

1. Анализ в режиме inline  фильтрации в разрыв трафика


2. Анализ копии трафика SPAN или RSPAN


3. Анализ информации от агентов



Статьи, которые может быть интересным причитать в дополнение: