Zabezpieczenie przed nieautoryzowanym usuwaniem plików – jak skutecznie zadbać o bezpieczeństwo zasobów przechowywanych na serwerach sieciowych?

CASE STUDY #HV11

Problem

Firma handlowa, która miała dwie główne lokalizacje i kilkaset sklepów w  całym kraju, podczas przeprowadzanego audytu bezpieczeństwa zidentyfikowała istotny problem. Dotyczył on monitorowania i zabezpieczenia plików udostępnianych na serwerach sieciowych. Administratorzy nie mieli kontroli nad operacjami przeprowadzanymi na plikach przez pracowników. Wynikało to, m.in. ze zróżnicowanego poziomu uprawnień użytkowników. Praktycznie codziennie zdarzały się przypadki nieumyślnego usunięcia plików z serwerów, z którymi pracowali użytkownicy z różnych struktur przedsiębiorstwa. Bieżąca i jednoznaczna identyfikacja dokumentów, które zostały usunięte oraz sprawców usunięcia, nie była możliwa.

Oczekiwania Klienta

Ograniczenie możliwości usunięcia istotnych danych (raportów, wykresów, projektów, regulaminów) zapisywanych w zasobach współdzielonych – serwerach plików.

Zarząd firmy nie chce bardziej obciążać pracą działu IT. Pracownicy działu IT nie mają czasu na przywracanie wybranych plików z kopii zapasowych. Istnieje konieczność zachowania ciągłości pracy.

Wymagane jest dowolne definiowanie praw do plików w poszczególnych katalogach, mimo pełnych praw nadanych przez domenę, np. wybrani pracownicy mają prawo do modyfikacji wybranych plików w katalogu, a inne pliki mogą jedynie odczytywać.

W przypadku zmian uprawnień użytkowników, poszczególnych działów lub objęcia ochroną dodatkowych zasobów sieciowych, administrator IT musi mieć możliwość wprowadzenia ich w infrastrukturze w ciągu 24 godzin.

Wszystkie działania naruszające zdefiniowane i wdrożone polityki bezpieczeństwa muszą być zapisywane (logowane), a w przypadku określonej grupy pracowników – administrator musi być dodatkowo powiadomiony przez wiadomość e-mail.

Rozwiązanie

Polityka File Move Copy

Wdrożyliśmy system Hyprovision DLP z aktywną polityką File Move Copy, która objęła wszystkie istotne zasoby na serwerach plików (tzw. monitorowanie operacji na plikach). Stworzyliśmy wspólnie z działem IT czarną listę plików. Określiliśmy grupy komputerów (ustalenie praw dla komputerów) oraz użytkowników (ustalenie praw dla użytkowników), którym aktywowano politykę monitorowania i blokowania usuwania plików z serwerów. Dystrybucję (instalację) polityk rozpoczęliśmy od komputerów w sklepach, następnie zainstalowaliśmy je na komputerach poszczególnych działów w głównych lokalizacjach.

Blokada usunięcia pliku

Ochrona pliku przed jego usunięciem działa niezależnie od ustawień domeny (AD) oraz dostępności internetu. Polityka jest zapisywana lokalnie na komputerze użytkownika, a blokada działa od razu po instalacji polityki na stacji roboczej.

Zmiana uprawnień (polityk)

Cały proces zmiany uprawnień dla użytkowników w systemie Hyprovision DLP czy poszczególnych działów administrator przeprowadza w 30 minut.

      Rezultat

  • Próba usunięcia pliku z zasobów sieciowych przez nieautoryzowanego użytkownika jest monitorowana, blokowana (jeśli istnieje taka potrzeba) i logowana w konsoli administratora Hyprovision DLP (monitorowanie operacji na plikach).
  • Incydent generowany w wyniku nieautoryzowanego procesu usunięcia jest logowany w systemie (monitorowanie operacji na plikach).
  • Akcja usunięcia pliku z zasobów sieciowych przez nieautoryzowanego użytkownika na dowolnej stacji roboczej jest blokowana (ustalenie praw dla komputerów, ustalenie praw dla użytkowników).
  • W zależności od konfiguracji użytkownik może być powiadamiany o wystąpieniu incydentu (powiadomienia użytkownika). Treść komunikatu (wyskakujące okienko pop-up) jest definiowana przez administratora.
  • Administrator jest powiadamiany o wystąpieniu incydentu w konsoli administracyjnej. Powiadomienia administratora mogą mieć dodatkowo formę wiadomości e-mail (powiadomienia administracyjne).
  • Można nadawać bardzo złożone uprawnienia do konkretnych plików (wg maski) w katalogu dla wybranych użytkowników, w wybranych dniach i godzinach, niezależnie od ustawień domeny.

Wnioski: Szkolenia prowadzone za pomocą funkcjonalności systemu Hyprovision DLP (e-Learning) skutecznie podnoszą świadomość potencjalnych zagrożeń.

Kontrola operacji na plikach znajdujących się i trafiających do zasobów sieciowych objęła monitorowanie prób ich usunięcia oraz blokadę tej akcji. Pierwszy i najważniejszy etap zabezpieczenia plików na serwerach został zrealizowany. Kontrolę nad serwerami plików można następnie rozszerzyć o monitorowanie ich:

  • otwarcia,
  • modyfikacji,
  • edycji,
  • zapisu.

Aby dystrybuowana i realizowana przez system Hyprovision DLP polityka bezpieczeństwa okazała się skutecznie wdrożona i miała realny wpływ na podniesienie świadomości użytkowników zarekomendowaliśmy:

  • uruchomienie funkcji e-Learning, która pozwoli na stworzenie i regularnie dystrybuowanie do użytkowników szkoleń przypominających o najważniejszych zasadach pracy z plikami na serwerach,
  • okresowe tworzenie raportów najczęściej pojawiających się incydentów w celu analizy i wprowadzenia środków zaradczych,
  • okresowe tworzenie raportów użytkowników powodujących incydenty bezpieczeństwa,
  • okresowe rozmowy z pracownikami, którzy generują incydenty bezpieczeństwa.

Raport z działania opisanej reguły stanowi jednoznaczną i obiektywną podstawę do dalszych działań, mających na celu poprawę skuteczności realizacji wdrożonych polityk bezpieczeństwa.

Dołącz do zadowolonych użytkowników Hyprovision DLP

Umów prezentację!