вторник, 10 сентября 2013 г.

СОИБ. Проектирование. Защита файловых ресурсов

 В сегодняшней заметке хотелось бы уделить внимание комплексным решениям по защите файловых ресурсов.

Несмотря на тенденцию хранения ценной информации в корпоративных приложениях и БД, в большинстве организаций всё равно хранится чувствительная информация в виде файлов. Могу привести следующие примеры:
·        даже если ценная информация хранится в БД, периодически она выгружается оттуда для передачи в другие системы (платежная информация хранится в АБС банка, но для межбанковских платежей используется передача файлов)
·        ценная информация может выгружаться пользователями из БД и сохраняться во временных файлах в рамках выполнения их служебных обязанностей
·        бизнес приложения обычно формируют отчетность, результаты анализа для руководителей в виде документов и именно эта информация представляет наибольшую ценность
·        из сторонних организаций ценная информация может поступать в виде файлов
·        могут обрабатываться сканы ценных бумажных документов
·        ценная информация может изначально создавать в виде документов и далее храниться т обрабатываться в виде файлов

Примеры типов организаций приводить не буду. Это могут быть любые организации любой отрасли. Разница только в том, что у одних файловые ресурсы хранятся централизованно в едином хранилище, у других распределены по многим серверам и АРМ организации.

Могу добавить следующее утверждение – если вы провели анализ и определили, что в БД у вас хранится не самая ценная информация, то самая ценная хранится в виде файлов.

Для определения необходимых контрмер нам будет нужен экспресс анализ рисков для активов связанных с файловыми ресурсами. Вот он:


Рассмотрим контрмеры, которые можно использовать для “нейтрализации” угроз:
·        Существенно ограничить доступ мы не можем – ведь к нашим файловым серверам обращается широкий круг пользователей
·        Межсетевой экран частично может использоваться для нейтрализации 1, 2 угрозы (неактуальных). Но не поможет нам с угрозами  3, 4 и 5 (так как не защищает на уровне файлового сервиса, не анализирует права доступа к файлам, сами файлы)
·        Локальная система предотвращения вторжений совсем слабо поможет с угрозой 3 и абсолютно не поможет с 4, 5 (так как не разбирает запросы пользователей к файлам, не анализирует права доступа и содержимое файлов)
·        Встроенные средства защиты файлового сервера частично помогут с 3 угрозой . Для 4 и 5 угрозы можно включить детальный аудит событий, но нет встроенных возможностей для их анализа.  Если файловых серверов будет много, то возникнут проблемы с централизованным сбором и регулярным анализом всех событий доступа
·        Система DLP может использоваться для нейтрализации угрозы 4, но не поможет с остальными.

В данном случае, наиболее подходящим средством, понижающим риски до приемлемого уровня является специализированное средство защиты файловых серверов (File Firewall или FF) или средство аудита доступа к файлам (File Activity Monitoring или FAM)

Из представленных на российском рынке мне известны и удалось найти информацию по следующим решениям:
·        Dell ChangeAuditor for Windows File Servers (бывший Quest Software)
·        Netwrix Auditor 
·        Microsoft System Center Operations Manager
·        Imperva File Activity Monitoring / File Firewall

Ниже приведу сравнение их возможностей в очень крупную клетку (для общего развития пригодится, а если будет нужно детальное - обращайтесь)


Типовые схемы подключения решений по защите файловых ресурсов на примере IMPERVA

1. Анализ в режиме inline  фильтрации в разрыв трафика


2. Анализ копии трафика SPAN или RSPAN


3. Анализ информации от агентов



Статьи, которые может быть интересным причитать в дополнение:






19 комментариев:

Dmitry Shponko комментирует...

а почему не рассматривали Varonis® Data Governance Suite ?

Dmitry Shponko комментирует...

.

Сергей Борисов комментирует...

Да, спасибо за ссылку, не знал что у них есть российское представительство.
Хоть один человек в России есть?

Информации о партнерах/дистрибьюторах в России тоже не нашел.

Dmitry Shponko комментирует...

не сочтите за рекламу )
http://sites.varonis.com/ru/company/contact
там есть московский тел

Сергей Борисов комментирует...

Ну телефон это - ещё не показатель (может быть переадресация или сотрудник приезжающий в Россию несколько раз в год)

Мне (как наверное и большинству организаций)интересны производители, продукты которых без проблем можно купить в России стандартным способом и которые оказывают хотя-бы минимальные консультации на русском языке.

Контакт я увидел, свяжусь с производителем, запрошу документацию и добавлю в сравнение

Tomas комментирует...

"В данном случае, наиболее подходящим средством, понижающим риски до приемлемого уровня является специализированное средство защиты файловых серверов (File Firewall или FF) или средство аудита доступа к файлам (File Activity Monitoring или FAM)" - а системы шифрования файлов не подходят разве (и от пользователей "чужих" и от админов)?
Джет с Varonis активно работает.

Сергей Борисов комментирует...

Tomas, вы верно подметили.

Если система шифрования файлов будет:
- работать со всеми файловыми хранилищами компании,
- расшифровать файлы в прозрачном для пользователя режиме
- шифровать файлы без участия пользователей (при выгрузках и взаимодействиях между системамим)
- управлять доступом к файлам
- регистрировать все события доступа к файлам и изменения файлов и прав доступа
- оповещать в случае срабатывания определенных политик
- готовить гибкую отчетность по активности пользователей при работе с файлами

то такая система шифрования фактически будет включать в себя FAM и конечно будет подходить для обработки приведенных актуальных рисков.

особенно если будет интегрироваться с DLP

Сергей Борисов комментирует...

Кстати забыл отметить в статье что некоторые FAM и FF системы могут интегрироваться с DLP для классификации файлов и интегрироваться с SIEM чтобы передавать в них агрегированные и классифицированные по степени опасности события

Tomas комментирует...

Сергей, а есть подобные системы с шифрованием?

Сергей Борисов комментирует...

Не уверен, что есть такие системы шифрования. Из тех решений, с которыми я хорошо знаком, ближе всех по функциям стоит McAfee Total Protection for Data (включает Encryption for files and folders и DLP Endpoint)

Что-то подобное сейчас делают в Infowatch Endpoint Security, но они пока на шаг позади. Ещё треть функций не реализована и консоли управления ES и DLP разные.

Сергей Борисов комментирует...

Ещё приходилось прорабатывать решение на Microsoft RMS, но для аналогичных функций нужно накручивать дополнительные плагины, производители которых не имеют представительств в России. В итоге проблемы с поставкой, поддержкой. Такой вариант мне не нравится, но я слежу за новостями от Microsoft, возможно они выпустят новую версию со всеми функциями на борту.

Tomas комментирует...

Вообще я как раз RMS и имел ввиду, но практики по нему не имею :(
McAfee, в плане DLP, мне кажется слишком прост (простое изменение формата файла вводит его в заблуждение), но зато у них полная линейка.
RSA, Websence?

Сергей Борисов комментирует...

Не хотел бы в рамках данной заметки обсуждать возможности DLP.

В рамках данной статьи мне было интересно рассмотреть возможности по управлению доступом к файлам, инвенторизации и классификации файловых хранилищ, аудита и анализа фактов доступа и изменений, хорошая отчетность.

Мое мнение что DLP тут дополняют а не заменяют решения FAM.

Сергей Борисов комментирует...

С точки зрения FAM - нарушение, это когда доступ к папке или файлу получил пользователь, который не должен был получать к ней/нему доступ;
когда была использована учетная запись администратора, которой не должны пользоваться в обычное время;
когда в ресурсах только для чтения был изменен файл. и т.п.

С точки зрения DLP нарушение - это когда определенный конфиденциальный документ покидает периметр. Обнаруживать остальное DLP не заточено.

Tomas комментирует...

Сергей, тогда у Вас слишком уж узко обозначено то, с чем борется FAM (риски), т.к. для обозначенных неприемлемых рисков подойдет и создание большого контейнера TrueCrypt,скажем в 1 Тб, а в нем еще контейнеры для каждого управления, отдела, группы.. сотрудника. Пароли хранить в KeePass и конвертах на охране (для ЧС). Не спорю, неудобно! Но, так админ не видит что в папках (можно еще и скрытые контейнеры делать), пользователь отдела А не видит информации по отделу Б, раз уж мы говорим о том, что средства AD могут быть проломлены.
Кража контейнера - не важна (DLP и SIEM не надо), т.к. зашифровано.
Сетевые атаки на сервер решаются резервным копированием, т.е. цель "получить доступ к файлам" опять же не достигнута.

Сергей Борисов комментирует...

Кроме угроз я описал ещё и ситуации, когда возникает задача защиты файлов.
Нужно чтобы решение работало во всех из них и при этом не вносило существенных изменений с существующие технологические процессы.

При этом я рассматриваю только готовые решения, а не требующие разработки/доработки.
Потому что, умея программировать на С++ можно разработать себе любое приложение или средство защиты и ничего не покупать. Ну так идите и разработайте, зачем читать блоги про возможности существующих решений.

Tomas комментирует...

Сергей, я не говорю, что FAM не нужен, я понимаю, что это новация, удобство.... FW, AV, IPS, DLP, SIEM, FW BD, FW F... - каждое решение в отдельности требует компетентного администратора, что влечет за собой расходы, большие, чем стоимость самого FAW. По степени сложности администрирования какое решение проще? Есть ли единая консоль управления несколькими устройствами?

Сергей Борисов комментирует...

А я наоборот говорю что DLP там как из пушки по воробьям, если нужен просто контроль использования файловых серверов.

Сергей Борисов комментирует...

FAM в управлении удобен, централизованно можно управлять всеми функциями, никаких особых навыков для обычного администрирования не требуется. Достаточно понимания прав доступа к файлам и папкам.

Про замену FW <-> FAM речи даже не идет. У каждого средства защиты своя область применения, а у каждой задачи по защите - есть свое оптимальное решение.

Сейчас наблюдается большой перекос в сторону бездумного пихания FW, AV, IPS, DLP, SIEM во все проекты подряд, всем организациям, вне зависимости от их эффективности и реальных задач СОИБ.

Например, часто ставят на периметре FW и IPS и считают что все угрозы на уровне сети устранены. В корпоративное же сети информационные потоки остаются совершенно бесконтрольными.

Ещё частенько ставят СЗИ от НСД которые только проводят идентификацию и аутентификацию пользователя при входе в ОС и больше ничего не делают, потому что детальные настройки неэффективно делаются для каждого пользователя в отдельности.

DLP работают в холостую, потому что при их внедрении забывают про большой кусок консалтинга, связанный с обследованием, определением перечня информации ограниченного доступа, выделением базы ключевых слов и сложных правил, ведения базы эталонов конфиденциальных документов.

Если задачи соответствуют приведенным в статье, то выбор прост - FAM. Дешевле, быстро будет внедрен, сразу будет генерировать полезную отчетность