Поделиться
«СерчИнформ» запатентовала технологию перехвата файловых потоков
В апреле 2024 г. Роспатент зарегистрировал систему и способ перехвата файловых потоков от «СерчИнформ» в качестве уникальной разработки. Эта технология лежит в основе DCAP-системы «СерчИнформ FileAuditor» и позволяет осуществлять контроль данных в файловых хранилищах на драйверном уровне. Об этом CNews сообщили представители «СерчИнформ».
DCAP-системы классифицируют файлы по контенту и ограничивают доступ к ним, если не соблюдаются заданные условия. Большинство систем класса выстраивают ограничения на уровне прав пользователей в операционной системе: например, для чтения файла достаточно открыть его под учетной записью обычного пользователя, а для изменения уже потребуются права администратора. Такие ограничения можно настроить средствами ОС, однако действовать они будут на конкретные файлы/директории и для конкретных учеток. В FileAuditor ограничения устроены иначе. Они действуют сразу для всех файлов заданной категории (например, содержащих персональные данные) и работают для процессов, которые пытаются получить доступ к файлу. Например, блокировки в FileAuditor могут запретить доступ ко всем сканам паспортов посредством графических редакторов, чтобы исключить подделку документов.
«Чтобы реализовать такую блокировку, компоненты FileAuditor выступают как драйверы режима ядра. В отличие от пользовательского режима, эти драйверы не привязаны к учетным записям в операционной системе и взаимодействуют напрямую с файловыми потоками – последовательностями байтов, в которых файловые данные фактически «записаны» в память ПК. FileAuditor встраивает в файловый поток свою метку контентной классификации, делая ее как бы «частью» файла, которую практически невозможно снять или удалить. Эта метка становится своего рода «инструкцией» для приложений, когда и как им можно взаимодействовать с файлом», – сказал руководитель отдела аналитики «СерчИнформ» Алексей Парфентьев.
При этом метки незаметны для пользователей и наследуются при различных действиях с файлами, включая копирование, переименование, смену расширения, перемещение. FileAuditor автоматически перепроверяет наличие меток и устанавливает их даже на файлы, которые заново создаются на базе конфиденциальных документов. Это обеспечивает непрерывный контроль. А запреты доступа действуют для любых приложений: достаточно задать условия блокировки и имя процесса, которому при их соблюдении доступ будет открыт или закрыт. Указать можно произвольный процесс, от службы в ОС до самописного корпоративного ПО. Блокировки применяются по меткам для выбранных пользователей, ПК, директорий, при наличии определенных атрибутов и другим критериям, которые можно гибко настроить.
«Это совершенно нехарактерный для DCAP-решений подход: большинство ограничиваются привязкой «разграничения доступов» к формальным признакам, атрибутам файлов. Это, например, имя, размер, расширение, месторасположение. Как только одна из характеристик изменится – блокировка перестанет действовать. У нас разграничения привязаны к меткам, те – к контенту, то есть именно тому, что по-настоящему нуждается в защите. Ведь, например, проектному институту важно защищать конкретные чертежи, а не все файлы формата .DWG. В этом и состоит уникальность нашей разработки», – отметил Алексей Парфентьев.
«СерчИнформ» впервые представил FileAuditor в 2019 г., технология защиты от несанкционированного доступа посредством контроля файловых потоков появилась в 2021 г. Сегодня DCAP-решение подходит для аудита и защиты хранилищ на Linux, Windows и MacOS, а также сетевых хранилищ и облаков по распространенным протоколам.
***
«СерчИнформ» – российский разработчик средств информационной безопасности. Создает инструменты для комплексной защиты данных: на уровне ИТ-инфраструктуры («СерчИнформ SIEM»), рабочих станций пользователей и каналов передачи информации (DLP-система «СерчИнформ КИБ»), файловой системы (DCAP-программа «СерчИнформ FileAuditor»). Клиенты – более 4000 компаний по всей России и еще 20+ странах мира. Входит в НП «Руссофт», член АПКИТ. Имеет лицензии на деятельность ФСБ и ФСТЭК России.
Короткая ссылка
