DCAP-решение (data-centric audit and protection) для автоматизированного аудита файловой системы, поиска нарушений прав доступа и отслеживания изменений в критичных данных. Защищает конфиденциальные документы от опасных действий сотрудников и наводит порядок в файловых хранилищах.

В апреле 2024 года Роспатент зарегистрировал систему и способ перехвата файловых потоков от «СёрчИнформ» в качестве уникальной разработки. Эта технология лежит в основе DCAP-системы «СёрчИнформ FileAuditor» и позволяет осуществлять контроль данных в файловых хранилищах на драйверном уровне.

Обычные DCAP-системы классифицируют файлы по контенту и ограничивают доступ к ним, если не соблюдаются заданные условия. Большинство систем класса выстраивают ограничения на уровне прав пользователей в операционной системе: например, для чтения файла достаточно открыть его под учетной записью обычного пользователя, а для изменения уже потребуются права администратора. Такие ограничения можно настроить средствами ОС, однако действовать они будут на конкретные файлы/директории и для конкретных учеток.

В FileAuditor ограничения устроены иначе. Они действуют сразу для всех файлов заданной категории (например, содержащих персональные данные) и работают для процессов, которые пытаются получить доступ к файлу.

Например, блокировки в FileAuditor могут запретить доступ ко всем сканам паспортов посредством графических редакторов, чтобы исключить подделку документов. Чтобы реализовать такую блокировку, компоненты FileAuditor выступают как драйверы режима ядра. В отличие от пользовательского режима, эти драйверы не привязаны к учетным записям в операционной системе и взаимодействуют напрямую с файловыми потоками – последовательностями байтов, в которых файловые данные фактически «записаны» в память ПК.

FileAuditor встраивает в файловый поток свою метку контентной классификации, делая ее как бы «частью» файла, которую практически невозможно снять или удалить. Эта метка становится своего рода «инструкцией» для приложений, когда и как им можно взаимодействовать с файлом. При этом метки незаметны для пользователей и наследуются при различных действиях с файлами, включая копирование, переименование, смену расширения, перемещение. FileAuditor автоматически перепроверяет наличие меток и устанавливает их даже на файлы, которые заново создаются на базе конфиденциальных документов. Это обеспечивает непрерывный контроль. Запреты доступа действуют для любых приложений: достаточно задать условия блокировки и имя процесса, которому при их соблюдении доступ будет открыт или закрыт. Указать можно произвольный процесс, от службы в ОС до самописного корпоративного ПО. Блокировки применяются по меткам для выбранных пользователей, ПК, директорий, при наличии определенных атрибутов и другим критериям, которые можно гибко настроить.

Это совершенно нехарактерный для DCAP-решений подход: большинство ограничиваются привязкой «разграничения доступов» к формальным признакам, атрибутам файлов, например, имя, размер, расширение, месторасположение. Как только одна из характеристик изменится – блокировка перестанет действовать.          У нас разграничения привязаны к меткам, те – к контенту, то есть именно тому, что по-настоящему нуждается в защите. Ведь, например, проектному институту важно защищать конкретные чертежи, а не все файлы формата .DWG. В этом и состоит уникальность разработки.

FileAuditor отвечает на важные вопросы внутренней информационной безопасности:

Под «капотом» DCAP-систем находятся мощные и быстрые поисковые алгоритмы.

В FileAuditor сейчас четыре вида поиска – по тексту, регулярным выражениям, атрибутам, словарям. Задать условия поиска и выбрать объекты сканирования (файл, место хранения) можно при настройке Правил контроля данных. В программе есть готовые шаблоны правил классификации документов по содержимому. Можно разбить на категории всю значимую информацию в корпоративной сети – «Офисные файлы», «Контракты», Совет Директоров, «Прайсы», «Персональные данные» и т.д

Далее программа проводит по расписанию автоматическое сканирование и, если файл подпадает под правило, ставит на него условную «метку». Причем программа в первую очередь проконтролирует измененные и новые файлы. Результаты сканирования собраны в Консоли аналитика. Здесь отображается дерево папок и вложенных в них файлов с метками (их цвет задается при настройке правил). Теперь можно увидеть все документы с конфиденциальным содержимым и взять их под защиту.

В Консоли аналитика можно отслеживать и права доступа к файлам и папкам. Программа вычитывает заданные в ОС права и отображает их в режиме «Просмотр файлов».

FileAuditor расставляет метки на основе Правил контроля: Коммерческая тайна, грифы, ПДн и т.д. По ним настраиваются разрешения и запреты. Так, можно запретить отправку в мессенджере файла из категории «Коммерческая тайна». Запреты можно задать для всех или отдельных пользователей/ПК, а также настроить исключения. О файлах, попавших под блокировку, ИБ-специалисты узнают из оповещений на email.

Восстанавливать удаленные документы или их исходные версии позволяет теневое копирование, эта функция срабатывает для файлов, подпадающих под заданные правила. Они автоматически шифруются и копируются в хранилище. Чтобы оно не переполнилось, в программе реализована система дедупликации (метод сжатия данных, который исключает дублирование одинаковых копий). В хранилище попадает только один файл, а не все 50 его копий, которые пользователи «разнесли» по локальной сети. Разные версии одного файла при этом сохраняются.

В настройках сканирования теневое копирование можно отключить, выбрав режим «только аудит». В этом случае программа будет фиксировать изменения в файлах, но просмотреть выбранный документ специалист сможет только на удаленном ПК.

FileAuditor в формате сетевого сканирования работает со стандартами FTP, SFTP, SMB, DFS, NFS, поддерживает файловые журналы Windows, ActiveDirectory и NetApp, интегрируется с серверами Exchange. На локальном уровне агенты FileAuditor контролируют любые хранилища и ПК на Windows, Linux и MacOS, реализована бесшовная интеграция с СХД Huawei линеек OceanStore и Dorado. DCAP-система умеет анализировать документы в облачных хранилищах, подключаясь к ним по протоколу WebDAV: проводит аудит, вычитывает содержимое документов и размечает их по категориям.

В системе 400+ готовых правил автоматической классификации, также можно создать собственные. Благодаря такой разметке ясно, какие файлы требуют особого контроля и защиты, ИБ-специалисту при расследовании не нужно тратить время на изучение контента. Программе доступна вычитка таких популярных облачных хранилищ, как Яндекс Диск, Облако Mail.ru, NextCloud и др., которые работают на WebDAV.

Аналитический модуль FileAuditor визуализирует результаты сканирования файловой системы по заданным правилам. Программа наглядно демонстрирует:

1. Где работают DCAP системы: локальные и сетевые файловые системы, СХД, NAS, FTP, почтовые сервера и СУБД.

2. Как DCAP анализирует данные: встроенные шаблоны классификации, возможности кастомизации, технологии, виды данных.

3. Как DCAP защищает от утечек: разграничение прав доступа, методики построения обработки информации, «помощь» DLP.

4.Как DCAP помогает эффективно работать с информацией в больших массивах: отчетность, фильтрация, работа с интерфейсом.

Для оценки привлекательности продукта прикиньте бюджет на себя:

Лицензия для хранения конфиденциальной информации, персональных данных на 25 компьютеров сотрудников и хранения контента на сервере 1ТБ информации ( если вы имеете храилище) стоит всего

734 000 рублей!

Попробуйте Тестовый месяц бесплатно