СОИБ. Проектирование. Защита файловых ресурсов
В сегодняшней заметке хотелось бы уделить
внимание комплексным решениям по защите файловых ресурсов.
Несмотря на тенденцию хранения ценной
информации в корпоративных приложениях и БД, в большинстве организаций всё
равно хранится чувствительная информация в виде файлов. Могу привести следующие
примеры:
·
даже если ценная информация хранится в БД,
периодически она выгружается оттуда для передачи в другие системы (платежная
информация хранится в АБС банка, но для межбанковских платежей используется
передача файлов)
·
ценная информация может выгружаться
пользователями из БД и сохраняться во временных файлах в рамках выполнения их
служебных обязанностей
·
бизнес приложения обычно формируют отчетность,
результаты анализа для руководителей в виде документов и именно эта информация
представляет наибольшую ценность
·
из сторонних организаций ценная информация
может поступать в виде файлов
·
могут обрабатываться сканы ценных бумажных
документов
·
ценная информация может изначально создавать в
виде документов и далее храниться т обрабатываться в виде файлов
Примеры типов организаций приводить не
буду. Это могут быть любые организации любой отрасли. Разница только в том, что
у одних файловые ресурсы хранятся централизованно в едином хранилище, у других
распределены по многим серверам и АРМ организации.
Могу добавить следующее утверждение –
если вы провели анализ и определили, что в БД у вас хранится не самая ценная
информация, то самая ценная хранится в виде файлов.
Для определения необходимых контрмер
нам будет нужен экспресс анализ рисков для активов связанных с файловыми
ресурсами. Вот он:
Рассмотрим контрмеры, которые можно
использовать для “нейтрализации” угроз:
·
Существенно ограничить доступ мы не можем – ведь
к нашим файловым серверам обращается широкий круг пользователей
·
Межсетевой экран частично может использоваться
для нейтрализации 1, 2 угрозы (неактуальных). Но не поможет нам с угрозами 3, 4 и 5 (так как не защищает на уровне файлового
сервиса, не анализирует права доступа к файлам, сами файлы)
·
Локальная система предотвращения вторжений совсем
слабо поможет с угрозой 3 и абсолютно не поможет с 4, 5 (так как не разбирает
запросы пользователей к файлам, не анализирует права доступа и содержимое
файлов)
·
Встроенные средства защиты файлового сервера
частично помогут с 3 угрозой . Для 4 и 5 угрозы можно включить детальный аудит
событий, но нет встроенных возможностей для их анализа. Если файловых серверов будет много, то
возникнут проблемы с централизованным сбором и регулярным анализом всех событий
доступа
·
Система DLP может использоваться для
нейтрализации угрозы 4, но не поможет с остальными.
В данном случае, наиболее подходящим средством,
понижающим риски до приемлемого уровня является специализированное средство защиты
файловых серверов (File
Firewall или FF) или средство аудита доступа к файлам (File Activity Monitoring
или
FAM)
Из представленных на российском
рынке мне известны и удалось найти информацию по следующим решениям:
·
Dell
ChangeAuditor for Windows File Servers (бывший Quest Software)
·
Netwrix Auditor
·
Microsoft
System Center Operations Manager
·
Imperva
File Activity Monitoring / File Firewall
Ниже приведу сравнение их возможностей
в очень крупную клетку (для общего развития пригодится, а если будет нужно
детальное - обращайтесь)
Типовые схемы подключения решений по
защите файловых ресурсов на примере IMPERVA
1. Анализ в режиме inline фильтрации
в разрыв трафика
2. Анализ копии трафика SPAN или RSPAN
3. Анализ информации от агентов
Статьи, которые может быть интересным
причитать в дополнение:
Комментарии
Хоть один человек в России есть?
Информации о партнерах/дистрибьюторах в России тоже не нашел.
http://sites.varonis.com/ru/company/contact
там есть московский тел
Мне (как наверное и большинству организаций)интересны производители, продукты которых без проблем можно купить в России стандартным способом и которые оказывают хотя-бы минимальные консультации на русском языке.
Контакт я увидел, свяжусь с производителем, запрошу документацию и добавлю в сравнение
Джет с Varonis активно работает.
Если система шифрования файлов будет:
- работать со всеми файловыми хранилищами компании,
- расшифровать файлы в прозрачном для пользователя режиме
- шифровать файлы без участия пользователей (при выгрузках и взаимодействиях между системамим)
- управлять доступом к файлам
- регистрировать все события доступа к файлам и изменения файлов и прав доступа
- оповещать в случае срабатывания определенных политик
- готовить гибкую отчетность по активности пользователей при работе с файлами
то такая система шифрования фактически будет включать в себя FAM и конечно будет подходить для обработки приведенных актуальных рисков.
особенно если будет интегрироваться с DLP
Что-то подобное сейчас делают в Infowatch Endpoint Security, но они пока на шаг позади. Ещё треть функций не реализована и консоли управления ES и DLP разные.
McAfee, в плане DLP, мне кажется слишком прост (простое изменение формата файла вводит его в заблуждение), но зато у них полная линейка.
RSA, Websence?
В рамках данной статьи мне было интересно рассмотреть возможности по управлению доступом к файлам, инвенторизации и классификации файловых хранилищ, аудита и анализа фактов доступа и изменений, хорошая отчетность.
Мое мнение что DLP тут дополняют а не заменяют решения FAM.
когда была использована учетная запись администратора, которой не должны пользоваться в обычное время;
когда в ресурсах только для чтения был изменен файл. и т.п.
С точки зрения DLP нарушение - это когда определенный конфиденциальный документ покидает периметр. Обнаруживать остальное DLP не заточено.
Кража контейнера - не важна (DLP и SIEM не надо), т.к. зашифровано.
Сетевые атаки на сервер решаются резервным копированием, т.е. цель "получить доступ к файлам" опять же не достигнута.
Нужно чтобы решение работало во всех из них и при этом не вносило существенных изменений с существующие технологические процессы.
При этом я рассматриваю только готовые решения, а не требующие разработки/доработки.
Потому что, умея программировать на С++ можно разработать себе любое приложение или средство защиты и ничего не покупать. Ну так идите и разработайте, зачем читать блоги про возможности существующих решений.
Про замену FW <-> FAM речи даже не идет. У каждого средства защиты своя область применения, а у каждой задачи по защите - есть свое оптимальное решение.
Сейчас наблюдается большой перекос в сторону бездумного пихания FW, AV, IPS, DLP, SIEM во все проекты подряд, всем организациям, вне зависимости от их эффективности и реальных задач СОИБ.
Например, часто ставят на периметре FW и IPS и считают что все угрозы на уровне сети устранены. В корпоративное же сети информационные потоки остаются совершенно бесконтрольными.
Ещё частенько ставят СЗИ от НСД которые только проводят идентификацию и аутентификацию пользователя при входе в ОС и больше ничего не делают, потому что детальные настройки неэффективно делаются для каждого пользователя в отдельности.
DLP работают в холостую, потому что при их внедрении забывают про большой кусок консалтинга, связанный с обследованием, определением перечня информации ограниченного доступа, выделением базы ключевых слов и сложных правил, ведения базы эталонов конфиденциальных документов.
Если задачи соответствуют приведенным в статье, то выбор прост - FAM. Дешевле, быстро будет внедрен, сразу будет генерировать полезную отчетность