
Предотвращение утечки данных с мобильных устройств
Проблематика
Тенденция тотальной мобилизации (в корпоративном сегменте так называемая концепция BYOD – Bring your own device) вызывает головную боль ИТ- и ИБ-служб, т.к. обеспечивать информационную безопасность, ее целостность становится все труднее: точек входа в периметр становится все больше и, как следствие, их все сложнее контролировать. Простой запрет доступа к корпоративной почте, внутренним ресурсам в ущерб мобильности не только не эффективен, но и наносит прямой ущерб производительности. Теперь уже необходимо защищать информацию, получаемую и передаваемую пользователями с помощью своих мобильных устройств.
Традиционно за информацией, покидающей периметр компании, следили DLP-системы. Действительно, обеспечить наблюдение за основными каналами связи (почта, веб-трафик, программы быстрого обмена сообщениями, облачные хранилища информации и т. д.) не составляет труда. Достаточно выбрать подход к перехвату информации – мониторинг и уведомление ответственной службы компании или метод активной блокировки, когда информация, классифицированная как конфиденциальная, будет заблокирована в момент отправки по одному из каналов передачи, вывода на печать или записи на съемный USB-носитель. В последнем случае обычно используется программа-агент, которая в явном или скрытом виде занимается контролем на уровне рабочей станции пользователя. Используя различные средства администрирования не составляет труда установить такую программу на ПК сотрудника. Однако с мобильными пользователями, вписывающимися в концепцию BYON, так поступить не удастся. Во-первых, нельзя обязать сотрудников не использовать мобильные устройства. Во-вторых, шифрованные каналы связи не могут контролироваться без подмены сертификата (это касается как протокола HTTPS, так и многих программ, использующих SSL, например ICQ, Skype, Jabber и т. д.).
Как решить
Очевидно, что практически нереально обязать сотрудников компании соблюдать осторожность с корпоративными данными, используя собственные мобильные устройства (достаточно вспомнить, что распространенность систем «антивор» – антивирусного ПО для мобильных платформ – оставляет желать лучшего). Поэтому необходимо обеспечить целый комплекс мер.
Производители систем-DLP понимают сложившуюся ситуацию и предлагают различные способы решения проблемы.
Простой способ
Во-первых, можно применить ряд простых организационных мер имеющимися средствами администрирования:
- Настроить DMZ-зону для неавторизованных устройств, к которым можно отнести все устройства, подключаемые по беспроводной сети. Для этой зоны применить ряд ограничительных мер, например, доступ только к разрешенным веб-страницам, к общим файловым ресурсам корпоративной сети. Простой принцип – что не разрешено, то запрещено.
- При использовании мобильных устройств запретить приложениям доступ по шифрованным каналам из корпоративной сети.
- При удаленном доступе (например, RDP) в корпоративную сеть настроить запрет простого «перетаскивания» объектов из интерфейса программы удаленного доступа на устройство сотрудника.
- Отключить возможность скачивать вложения писем из корпоративной почты (например, в Outlook Web Access это штатная возможность).
Очевидно, что данные ограничительные меры дадут иллюзию защищенности, но не помогут решить ряд проблем – доступ привилегированных пользователей (руководство), контроль пересылки вложений на личную почту сотрудников.
Специализированные решения
Symantec DLP for Tablet
Ведущие производители систем ИБ понимают очевидную проблему и анонсируют различные решения, в т. ч. и DLP-системы. Одним из первых вендоров, разработавших специализированный модуль, стала американская компания Symantec, которая в 2011 году анонсировала первое решение в рамках комплексного продукта – Symantec DLP.
Решение работает через VPN и позволяет маршрутизировать трафик, генерируемый мобильным устройством.
Решение позволяет мониторить исходящие сообщения и вложения электронной почты (Gmail, Yahoo!, Mail и другие HTTP(S)), отслеживать web-трафик и исходящую на сайты и в социальные сети (Dropbox, Twitter, Facebook, в т. ч. и по HTTPS) информацию и удалять при этом из общего потока передаваемых данных конфиденциальную информацию.
На данный момент поддерживаются устройства, работающие под руководством операционной системы iOS (iPhone, iPad).
DLP-система для мобильных устройств уже стала реальностью, что позволяет использовать весь комплекс политик обращения с конфиденциальными данными и на мобильных корпоративных устройствах.
Как быть с пользователями за периметром?
McAfee Enterprise Mobility Management (McAfee EMM)
Спектр решаемых задач справедлив для полноценных решений комплексного управления информационной безопасностью. Корпоративные политики, разрабатываемые ИТ-службами и применяемые для ноутбуков, стационарных ПК, теперь могут быть доступны и мобильным устройствам.
Для правильной эксплуатации EMM-системы необходимо априори принять несколько основных правил:
- При утере устройства пользователи должны незамедлительно сообщить об этом в ответственную службу компании для незамедлительной блокировки доступа к корпоративным данным.
- Пользователи должны понимать, что на мобильное корпоративное устройство, которое они получили в свое распоряжение, распространяются все политики и правила, принятые внутри организации, т.е. это устройство является инструментом компании, а не личной «игрушкой».
- Устройства, которые используются в компании, не должны иметь возможности подключения съемных носителей, внесения изменений в список ПО самостоятельно – это позволит минимизировать риски использования пиратского ПО, а также способы обойти систему защиты.
- Отдельно необходимо решить вопрос с поддержкой EMM-системой устройств с пиратскими ОС (jailbreak).
McAfee EMM представляет собой систему, которая предустанавливает средства обеспечения безопасного доступа к установленным мобильным приложениям, обеспечивает защиту от вредоносных программ, строгую аутентификацию в корпоративных сервисах компании, масштабируемую архитектуру и функции формирования отчетности и инвентаризации парка мобильных устройств.
Решение интегрируется с платформой McAfee ePolicy Orchestrator (McAfee ePO), позволяет ИТ-службам применять политики безопасности, обеспечивая в то же время защиту устройств и корпоративной сети от вредоносных программ. Помогает снизить затраты на поддержку и управление мобильными устройствами.
Стоит отметить, что решением поддерживается большинство операционных систем, в их число входят iOS, Android, Blackberry, Windows Phone. Для двух последних версий продукта не предусмотрено агентской части, которую необходимо установить на смартфон. Администрирование осуществляется с помощью собственных средств ОС.
Некоторые возможности McAfee EMM:
- Управление различными мобильными устройствами (Android, iOS, Blackberry, Windows Phone).
- Управление конфигурацией ПО.
- Принудительное использование паролей.
- Инвентаризация устройств.
- Частичная блокировка функционала (Bluetooth, Wi-Fi).
- Удаленная блокировка и стирание данных (полное или частичное).
- Принудительное шифрование данных (полное или частичное).
- Контроль ActiveSync и возможность блокировки доступа к почте.
- Возможности массовой рассылки сообщений.
- Формирование ролей доступа к устройствам.
- Сбор логов, архивация SMS-сообщений и многое другое.
Обеспечение безопасности мобильных устройств системами EMM позволит IТ- и ИБ-службам контролировать такой непростую часть распределенного периметра, как мобильные устройства. Подобный функционал поможет компаниям снизить стоимость владения парком мобильных устройств, а также обеспечит централизованный контроль за безопасностью.
Выводы
Подводя итоги, можно сказать, что концепция BYOD актуальна как никогда, и простой комплекс мер позволит организациям минимизировать потенциальный ущерб от использования личных устройств внутри собственной сети компании. Тем самым можно убить двух зайцев – не потерять в общей мобильности и свободе доступа к работе «на бегу» и в тоже время обеспечить комплекс мер для защиты своей конфиденциальной информации.
В производстве решений DLP для мобильных пользователей сделан первый шаг – многие компании вслед за Symatec анонсируют разработку клиентов для мобильных устройств и перечень инструментов со временем будет только расти.
В то же время контроль корпоративных устройств, предоставляемых компанией-нанимателем сотрудникам для работы, предполагает куда больше инструментов не только контроля информации, но и защиты украденных устройств, шифрования и возможности инвентаризации и контроля программного обеспечения мобильных устройств, в независимости от привязки к операционной системе смартфонов.По материалам каталога программных решений.
По материалам каталога программных решений Softline direct