В апреле 2024 года Роспатент зарегистрировал систему и способ перехвата файловых потоков от «СёрчИнформ» в качестве уникальной разработки. Эта технология лежит в основе DCAP-системы «СёрчИнформ FileAuditor» и позволяет осуществлять контроль данных в файловых хранилищах на драйверном уровне.
DCAP-системы классифицируют файлы по контенту и ограничивают доступ к ним, если не соблюдаются заданные условия. Большинство систем класса выстраивают ограничения на уровне прав пользователей в операционной системе: например, для чтения файла достаточно открыть его под учетной записью обычного пользователя, а для изменения уже потребуются права администратора. Такие ограничения можно настроить средствами ОС, однако действовать они будут на конкретные файлы/директории и для конкретных учеток. В FileAuditor ограничения устроены иначе. Они действуют сразу для всех файлов заданной категории (например, содержащих персональные данные) и работают для процессов, которые пытаются получить доступ к файлу. Например, блокировки в FileAuditor могут запретить доступ ко всем сканам паспортов посредством графических редакторов, чтобы исключить подделку документов.
«Чтобы реализовать такую блокировку, компоненты FileAuditor выступают как драйверы режима ядра. В отличие от пользовательского режима, эти драйверы не привязаны к учетным записям в операционной системе и взаимодействуют напрямую с файловыми потоками – последовательностями байтов, в которых файловые данные фактически «записаны» в память ПК. FileAuditor встраивает в файловый поток свою метку контентной классификации, делая ее как бы «частью» файла, которую практически невозможно снять или удалить. Эта метка становится своего рода «инструкцией» для приложений, когда и как им можно взаимодействовать с файлом»,– рассказывает руководитель отдела аналитики «СёрчИнформ» Алексей Парфентьев.
При этом метки незаметны для пользователей и наследуются при различных действиях с файлами, включая копирование, переименование, смену расширения, перемещение. FileAuditor автоматически перепроверяет наличие меток и устанавливает их даже на файлы, которые заново создаются на базе конфиденциальных документов. Это обеспечивает непрерывный контроль. А запреты доступа действуют для любых приложений: достаточно задать условия блокировки и имя процесса, которому при их соблюдении доступ будет открыт или закрыт. Указать можно произвольный процесс, от службы в ОС до самописного корпоративного ПО. Блокировки применяются по меткам для выбранных пользователей, ПК, директорий, при наличии определенных атрибутов и другим критериям, которые можно гибко настроить.
«Это совершенно нехарактерный для DCAP-решений подход: большинство ограничиваются привязкой «разграничения доступов» к формальным признакам, атрибутам файлов. Это, например, имя, размер, расширение, месторасположение. Как только одна из характеристик изменится – блокировка перестанет действовать. У нас разграничения привязаны к меткам, те – к контенту, то есть именно тому, что по-настоящему нуждается в защите. Ведь, например, проектному институту важно защищать конкретные чертежи, а не все файлы формата .DWG. В этом и состоит уникальность нашей разработки», – подчеркивает Алексей Парфентьев.
«СёрчИнформ» впервые представил FileAuditor в 2019 году, технология защиты от несанкционированного доступа посредством контроля файловых потоков появилась в 2021-м. Сегодня DCAP-решение подходит для аудита и защиты хранилищ на Linux, Windows и MacOS, а также сетевых хранилищ и облаков по распространенным протоколам.