Классический подход к обеспечению информационной безопасности в нынешних условиях спасает лишь от небольшой части угроз. Корпоративные данные обрабатываются на огромном количестве разнообразных устройств (включая личные), и традиционная концепция защиты периметра с установкой антивирусных программ на компьютерах сотрудников стремительно устаревает. Смартфоны и планшеты имеют широкополосный доступ в интернет откуда угодно, что автоматически расширяет периметр до размеров всей планеты.
Вам будет интересно:Мобильность личная и рабочая, или Опасные связи
Стоит пользователю выйти за пределы корпоративной сети, и его возможности становятся почти безграничными, а жёсткий контроль доступа к данным внутри защищённого периметра — практически бесполезным. Без специальных решений вы не контролируете обработку информации на мобильном устройстве. А это значит, что злоумышленник всегда сможет переслать сохранённые файлы через общедоступный почтовый сервер или, скажем, просто скачать их на домашний компьютер по кабелю USB.
Вам будет интересно:Утечки информации, или Как не парализовать работу в компании изнутри
Современные средства должны обеспечивать безопасность на всех этапах работы с информацией и сегодня мы попробуем разобраться с актуальными способами предотвращения опасных для бизнеса утечек. Угрозы могут быть самыми разными: внутренний шпионаж (сотрудники-инсайдеры), целевые внешние атаки, просто удары по площадям с рассылкой фишинговых писем и зловредов или даже скачанные из официальных магазинов мобильные приложения с недокументированными возможностями — ваша система безопасности должна пресечь любые попытки неправомочного доступа к информации.
MDM, MCM и DLP
Для начала, конечно, необходимо иметь систему класса EMM (Enterprise Mobility Management), сочетающую функциональность MDM (от англ. Mobile device management), MAM (от англ. Mobile Application Management) и MCM (от англ. Mobile Content Management). Первая обеспечивает безопасный доступ к корпоративной информации (защищённые криптоконтейнеры, шифрование трафика в связке с клиентом VPN), но не позволяет анализировать передаваемые данные. Вторая позволяет создать белый и черный список приложений, обезопасив пользователей от маскирующихся под обычные приложения программ, крадущих данные, а также от использования пользователями теневых функций просмотрщиков файлов, позволяющих отправлять файлы в облачные хранилища. Третья, хоть и осуществляет контентную фильтрацию трафика, утечки данных определить не в состоянии.
Вам будет интересно:Проблемы с обновлением Windows 10 и способы их решения
Тут нам на помощь приходят DLP-решения: в связке со смежными продуктами (MDM и MCM) они могут, например, запретить отправку файлов в сторонние облачные хранилища, заставить пользователя работать через прокси, на котором настроены политики безопасности. У многих вендоров эти продукты связаны очень тесно и фактически являются частями интегрированного решения. Это уже не просто запрещающие доступ к определённым ресурсам системы фильтрации. Благодаря наличию DLP они могут глубже анализировать трафик и позволяют настраивать более тонкие правила, срабатывающие при попытках неправомерного обмена конфиденциальной информацией.
На российском рынке DLP в 2015 году лидировали отечественные компании: InfoWatch (1,46 млрд руб.), Solar Security (821 млн руб.) и SearchInform (703 млн руб.). Во вторую тройку попали компании Zecurion (652 млн руб.), DeviceLock (572 млн руб.) и «МФИ Софт» (139 млн руб.). Иностранным разработчикам существенную долю нашего рынка DLP занять не удалось.
Агентские и безагентские системы
Все DLP-решения можно условно разделить на два класса. Традиционные продукты не требуют установки специального агентского ПО на мобильные устройства, что ограничивает их возможности только анализом данных, что называется, в движении. Повторюсь, на своём телефоне или планшете пользователь (или вредоносная программа) может делать что угодно и как только он уходит из защищённого периметра, мобильный трафик становится недоступным для изучения.
Один из примеров DLP-решений – InfoWatch Traffic Monitor. Система распознаёт в потоке данных конфиденциальные документы даже по небольшому отрывку, предотвращает их утечку и защищает бизнес от действий внутренних злоумышленников и программ-шпионов. Решение контролирует электронную почту, веб-сёрфинг, средства общего доступа к файлам, системы обмена мгновенными сообщениями (включая SMS), голосовой трафик, использование внешних носителей и портов, а также доступ к микрофону и камере, снимки экрана и печать на локальных и сетевых принтерах. Таким образом, InfoWatch Traffic Monitor позволяет выявить мошенников, нелояльный персонал и находящихся в поиске работы сотрудников.
Эффективны только DLP-решения, предполагающие установку на устройство специального агентского ПО: они контролируют не только трафик внутри корпоративной сети, но и происходящие на устройстве события, что даёт нам возможность управлять политикой использования на нем корпоративной информации. Помимо прочего такие решения принудительно перенаправляют интернет-трафик через специальный корпоративный прокси-сервис вне зависимости от местонахождения телефона или планшета — это может создать пользователю некоторые неудобства, но позволят ему из любой точки планеты работать с корпоративными ресурсами «как в офисе» по защищённому каналу.
Solar Dozor (бывш. «Дозор-джет») — DLP-система, контролирующая коммуникации сотрудников, выявляющая ранние признаки корпоративного мошенничества и позволяющая проводить расследование инцидентов ИБ. Система решает классические задачи по мониторингу, фильтрации и анализу каждого сообщения на наличие конфиденциальной информации. Для выявления корпоративного мошенничества Solar Dozor накапливает переписку сотрудников, профилирует их действия с использованием статистических методов и в режиме реального времени контролирует даже незначительные аномалии в поведении персонала.
Для удалённого анализа хранящейся на устройстве информации нужен агент. Для контроля информации, которая с мобильного устройства распечатывается на домашний принтер, например, через Bluetooth, также нужен агент. Чтобы управлять политиками безопасности на мобильном устройстве и блокировать возможность отправки с него данных — снова нужен агент (в сочетании с корпоративным прокси-сервером или сервисом VPN). Безагентские DLP только анализируют входящий и исходящий трафик, они не позволяют контролировать действия пользователя на самом устройстве и если он скопирует данные на телефон — передать их наружу станет делом техники. По сути, такие системы реализуют старую концепцию защищённого периметра, которая давно устарела и не способна справиться с современными вызовами.
Проблемы и решения
Если на устройстве обрабатываются коммерческие данные, происходящее на нем необходимо контролировать — иначе никто не помешает инсайдеру (или шпионскому ПО) использовать украденную информацию сотней разных способов. Нам нужно решение, контролирующее не только трафик в пределах защищённого периметра, но для полноценного управления функциями мобильного устройства агентскому ПО требуется джейлбрейк в iOS или получение прав root в Android, что может создать определённые проблемы с обновлением прошивок.
Если вспомнить о личных телефонах и планшетах сотрудников, установка специальных приложений часто становится невозможный — убедить человека добровольно поставить на собственное устройство фактически шпионскую программу будет непросто. Тем более, эта программа может создавать ему определенные неудобства, вроде запрета пользоваться публичным Wi-Fi или передавать файлы через Bluetooth.
Есть также связанные с неприкосновенностью частной жизни вопросы, но юридические нюансы мы не будем обсуждать подробно. Их нужно так или иначе урегулировать и одним из выходов здесь является заключение договора: нужно, чтобы сотрудник официально подтвердил согласие на установку технических средств контроля. У компании также должны быть регулирующие работу с корпоративными данными внутренние акты: если их нет, то при обнаружении попыток отправки конфиденциальной информации куда-либо могут возникнуть сложности с доказательной базой. Лучше всего, конечно, использовать для работы корпоративные телефоны вместо личных — это снимает множество юридических и технических вопросов.
Журнал IT-Expert № 09/2017 [ PDF ] [ Подписка на журнал ]
Об авторах
Яков Гродзенский
Руководитель направления информационной безопасности компании «Системный софт»