Контроль информации в состоянии покоя и предотвращение утечек

Системы предотвращения утечек следят только за передачей файлов. Если файл никто не трогает, DLP его не видит. Даже если в этом файле, годами лежащем на рабочем столе, пароли от всей корпоративной инфраструктуры или персональные данные клиентов. Штрафы регуляторам, финансовые убытки – вероятный финал такой небрежности. Разберемся, как обнаружить критичные файлы в покое и взять их под контроль до того, как они уплывут наружу.

Автор: Максим Чеплиев, менеджер продукта Staffcop, эксперт Контур.Эгиды

Показательный случай произошел в конце 2024 г. в компании из сферы инфобезопасности. Злоумышленники проникли в сеть через уязвимость в корпоративном VPN. Внутри на рабочем столе одного из инженеров по безопасности лежал обычный текстовый файл с резервными кодами восстановления многофакторной аутентификации . Универсальные ключи на случай, когда основной способ подтверждения недоступен, позволили злоумышленникам обойти MFA. Дальше хакеры зашли в управляющую консоль с правами инженера, отметили инциденты безопасности как решенные, отключили изоляцию зараженных хостов и запустили удаление агентов системы безопасности на зараженных машинах. Одного файла хватило, чтобы рухнула вся система защиты.

Передачи информации за периметр не было, DLP не зафиксировал угрозу. Именно поэтому недостаточно контролировать только движение файлов. Нужно регулярно проверять, что именно хранится на компьютерах сотрудников и файловых серверах – до того, как файл уйдет наружу.

Кроме описанного случая с резервными кодами MFA, есть и другие типичные сценарии, когда хранение конфиденциальных данных на рабочих станциях создает риски утечки:

1. Проблема: персональные данные в открытом доступе. Сканер находит на рабочей станции бухгалтера в папке "Загрузки" Excel-файл со списком паспортных данных всех сотрудников, а на компьютере кадровика – незашифрованную базу с адресами и телефонами. Если политика безопасности требует хранения ПДн только на защищенных файловых серверах, такое обнаружение становится основанием для немедленных мер.
2. Проблема: коммерческая тайна и интеллектуальная собственность. В конструкторских бюро и инженерных подразделениях критично знать, не хранятся ли чертежи или исходные коды на локальных дисках, в общих сетевых папках с открытым доступом или на рабочих столах. Сканер выявляет такие файлы по расширениям (.dwg, .stp, .cad) и по ключевым словам внутри (названия проектов, заказчиков, технологические параметры).
3. Проблема: файлы с паролями на виду. Сотрудники часто пренебрегают корпоративными политиками и менеджерами паролей, сохраняя учетные данные в текстовых файлах, документах Word или на отсканированных стикерах. Попадание такого файла в сеть или на флешку дает злоумышленнику прямой доступ к системам. Сканер по регулярным выражениям находит строки вида "пароль:", "login:", "pass:" и оповещает администратора. Администратор может настроить собственные регулярные выражения и использовать списки реальных паролей, если он управляет выдачей прав, – так найдется больше, чем по стандартным ключевым словам.
4. Проблема: вредоносные скрипты в маскировке. Сканер анализирует содержимое .bat-, .ps1-, .vbs-, .py-файлов, даже если они переименованы в .txt или .doc. Подозрительные скрипты – например, с вызовами команд передачи данных на внешний сервер – выделяются в отдельный отчет. Даже если скрипт запланирован на определенное время, профилактическое сканирование раскроет его присутствие.

Что такое файловый сканер и как он работает с данными?

Файловый сканер ищет конфиденциальную или критичную информацию, утечка которой нанесет ущерб: пароли, паспортные данные, чертежи, финансовые отчеты. Типовой алгоритм состоит из пяти шагов.

Шаг 1. Настройка правил. Администратор указывает, что искать: по расширениям файлов, ключевым словам, регулярным выражениям или словарям (например, "паспорт", "серия", "номер").

Шаг 2. Проверка директорий. С заданной периодичностью сканер автоматически проходит по рабочим станциям и файловым серверам, проверяя указанные папки.

Шаг 3. Сбор данных. На центральный сервер отправляется информация о каждом найденном файле: расположение, размер, атрибуты, хэш-сумма, а для текстовых форматов – еще и извлеченное содержимое.

Шаг 4. Автоматическая фильтрация. Сервер распределяет файлы по категориям на основе настроек. Можно провести поверхностный анализ – по имени или расширению. А можно углубленный: заглянуть внутрь документа и определить, что перед ним не просто "документ1.docx", а список сотрудников с паспортными данными. Исходный код программы, переименованный в "отчет_бухгалтерии.xls", сканер тоже не обманет: он прочитает содержимое, распознает скрипт и покажет его в отчете, даже если название не вызывает подозрений.

Шаг 5. Отчет администратору. Сканер формирует классифицированные перечни: файлы, которые стоит защитить, удалить или переместить в контролируемое хранилище. Для самых важных документов администратор устанавливает метки – после этого DLP-модуль контролирует и блокирует все операции с ними (копирование, передача, изменение).

Чтобы не нагружать основную инфраструктуру, анализ лучше вынести на отдельный сервер. Он работает в автоматическом режиме, сканируя указанные директории и форматы, а результаты отображаются в общей консоли вместе с событиями DLP. Такой подход позволяет совмещать контроль движения файлов и контроль информации в покое без потери производительности.

Глубина анализа: форматы, содержание, категории

Как уже сказано выше, файловый сканер анализирует не только имя и расширение, но и содержимое – поиск важных файлов ведется по трем направлениям. Такой подход называется углубленным анализом (в отличие от поверхностной проверки по имени или типу файла). В таблице мы собрали шпаргалку для настройки самых простых правил. В процессе аудита самой информации можно настроить более эффективные инструменты.

Табл. Шпаргалка для настройки простых правил анализа файлов

Что делать с результатами сканирования?

Отчет сканера – не просто список плохо лежащих файлов. Это дорожная карта для точечных или глобальных улучшений инфобезопасности. Вот несколько примеров, что на практике можно сделать с полученной информацией.

1. Выявить неправомерный доступ. Сканер показывает документы, которые хранятся не на своем месте и доступны не тем пользователям. Например, файл с персональными данными на локальном диске бухгалтера с открытыми правами на чтение для всех. Возможное решение: переместить файл на защищенный сервер, настроить доступ по принципу минимальных привилегий или удалить копию.
2. Обнаружить небезопасное хранение. Открытые сетевые папки, локальные диски без шифрования, забытые расшаренные ресурсы – все это попадает в отчет с конкретными адресами (папка X на компьютере Y). Возможное решение: закрыть общий доступ, включить шифрование диска или перенести данные в контролируемое хранилище.
3. Пересмотреть политики безопасности. Теоретические правила часто расходятся с реальностью: например, чертежи положено хранить только в защищенном хранилище, а инженеры годами держат их на рабочих столах. Возможное решение: скорректировать политику (если хранение на рабочих столах допустимо с дополнительными мерами) или изменить поведение сотрудников через контроль и обучение.
4. Изменить внутренние процессы. Массовое хранение паролей в текстовых файлах – сигнал к изменению рабочих практик. Финансовые отчеты на общем файловом ресурсе – повод пересмотреть регламенты. Возможное решение: внедрить корпоративный менеджер паролей, ввести обязательное шифрование для финансовых документов, настроить автоматическую очистку загрузок.
5. Взять под контроль критически важные файлы. Самые ценные документы (чертежи, исходные коды, базы персональных данных) администратор помечает метками. Возможное решение: после установки меток DLP-модуль начинает отслеживать каждое движение файла: кто открыл, скопировал, отправил по почте или на флешку.

Заключение

Информация в состоянии покоя остается за пределами внимания большинства DLP-систем: они следят за движением файлов, но не проверяют то, что годами хранится на дисках. Между тем именно такие забытые файлы нередко становятся источником серьезных инцидентов – от утечки персональных данных до компрометации учетных записей и обхода механизмов защиты. Файловый сканер как раз закрывает этот пробел: он позволяет обнаружить документы, о которых служба ИБ могла даже не догадываться, выявить небезопасные практики хранения данных и взять под контроль критически важную информацию еще до ее выхода за пределы компании.

Файловый сканер – это новый компонент Staffcop, ориентированный на контроль информации в режиме покоя. Он устанавливается отдельно, но работает в единой веб-консоли со Staffcop и использует общую систему управления и анализа событий. Такой подход позволяет объединить два сценария защиты: контроль того, какие данные уже находятся внутри инфраструктуры, и контроль их дальнейшего перемещения. В результате служба ИБ получает более полную картину обращения с информацией: где хранятся чувствительные файлы, кто с ними работает, как они перемещаются и какие действия требуют дополнительного контроля или ограничений.

Реклама. 16+. АО "ПФ "СКБ Контур". ОГРН 1026605606620, 620144, Екатеринбург, ул. Народной Воли, 19А. Erid: 2SDnjdnywBY