Но вместе с преимуществами «мобилизации» у компании появляются новые проблемы. Возрастает нагрузка на ИТ-персонал, которому теперь необходимо обслуживать парк различных устройств. Особенно важно отметить возникающие проблемы информационной безопасности. Как только мобильные устройства получают доступ к корпоративным сервисам, возникают новые риски ИБ и варианты снижения уровня защиты. Здесь существуют три основных направления угроз.
Первое – это перехват трафика между корпоративной сетью и мобильными устройствами. На сегодняшний день растет число бесплатных Wi-Fi точек доступа в общественных местах. Обычно они слабо или вообще не защищены, и никем особо не контролируются. Перехватить трафик, который идет через подобные сети, не представляет никакого труда.
Второе – это кража либо утеря гаджета. Сам по себе факт утраты мобильного устройства как материальной ценности не является большой проблемой. Но то, что информация с него может попасть к людям, для которых она не предназначена, влечет за собой значительные риски репутации и прямых финансовых потерь.
И третий фактор – это угроза, исходящая от самого сотрудника: возможность передачи конфиденциальной информации третьим лицам по неконтролируемым каналам.
Тандем классики и модерна
На сегодняшний день многие производители средств информационной защиты публикуют в СМИ статьи с броскими заголовками, связанные с новыми решениями в области BYOD. Но не все они созданы специально для смартфонов и планшетов. В основном это старые, хорошо проверенные технологии, связанные с контролем доступа к сети, шифрованием каналов связи и анализом передаваемого трафика, которые позиционируются с учетом нынешних реалий.
В то же время уровень интеграции мобильных устройств в систему безопасности без использования специализированных средств контроля едва ли можно считать достаточным. Простой пример: компания эксплуатирует VPN-шлюз, к которому можно без проблем подключиться, например, с iPhone. Вся передаваемая информация при этом будет шифроваться, система по контролю доступа сможет определить, что это именно iPhone и он подключается из места, которое является обычным для этого устройства. Но если сотрудник потерял свой гаджет, и он не был защищен паролем, любой, кто его нашел, сможет воспользоваться корпоративными ресурсами без каких-либо ограничений.
В таких случаях для распространения и контроля политик безопасности используются MDM-системы (Mobile Device Management). Они разработаны специально для управления мобильными устройствами и призваны стать основным инструментом в процессе их интеграции в корпоративную среду. Функционал MDM-решений подразделяется на 4 основных направления: защита и управление устройством, защита доступа к корпоративной почте, управление ПО и мобильная DLP-защита конфиденциальной информации внутри устройства в основном от самих пользователей.
Защита и управление устройством ведется по нескольким направлениям. При подключении к серверу MDM на смартфон/планшет по указанию администратора налагаются политики безопасности, которые, в частности, предусматривают обязательную установку пароля определенной сложности и шифрование информации на устройстве, а также наличие всех необходимых настроек для подключения к сервисам компании. В дальнейшем сервер управления отслеживает исполнение политик и происходящие с гаджетом события. Ими может быть замена SIM-карты, jailbreak (взлом прошивки) устройства, установка нежелательного ПО или просто сообщение от пользователя о потере или краже. На основании анализа этой информации принимается решение о блокировке или очистке устройства.
После того как мы постарались обезопасить каналы связи и сам гаджет от злоумышленников, можно подумать и об угрозах, которые представляют сами сотрудники: о передаче информации третьим лицам по неконтролируемым каналам. Основной идеей защиты от такого рода проблем является контейнеризация корпоративных данных на устройстве, то есть помещение приложений, таких как почта или ПО для доступа к файловым ресурсам компании, в защищенный контейнер. Это позволяет запретить возможность открытия и пересылки почтовых вложений и корпоративных файлов через другие приложения, что дает нам возможность направить движение этой информации по контролируемым каналам – исключить ее попадание в личные облачные хранилища, социальные сети и публичные почтовые системы. В этом и состоит суть Mobile DLP-решений.
С помощью MDM мы можем обеспечить прохождение корпоративной информации по нужным нам каналам, в то же время подобные решения не позволяют анализировать ее. Поэтому здесь вступают в игру такие DLP-системы, как «Дозор-Джет» 5.0. Они предусматривают в своем составе необходимые компоненты для контроля каналов связи и ключевых информационных сервисов на предмет утечек информации. Как только инструменты обеспечения доступа с мобильных устройств правильно интегрированы в инфраструктуру компании, можно использовать для них стандартные и отработанные средства для контроля почтовых сообщений, например, с помощью интеграции с серверами Exchange и Lotus Notes, включения в активном режиме с блокировкой нарушающих политику безопасности сообщений. Аналогично становится возможно проводить анализ сетевых соединений по ряду протоколов, включая https, с точным и гранулярным контролем различных приложений и их данных: например, анализировать сообщения в социальных сетях, IM-протоколах и других популярных мессенджерах.
Интеграция гаджетов в рамках DLP-системы дает возможность описывать политику безопасности в границах инфраструктуры компании в единых терминах и получать сводные статистические данные независимо от того, были ли события порождены в стационарных или мобильных устройствах. При этом средства MDM позволяют достигать значительных успехов при контроле специфических для переносных устройств параметров и сценариев безопасности. Администраторы ИБ могут осуществлять гибкий контроль при минимальных затратах времени и практически без дополнительной нагрузки на ресурсы.
В заключение хотелось бы сказать, что для построения эффективной защиты корпоративных данных при использовании мобильных устройств необходимо взять на вооружение весь спектр уже имеющихся средств, которые применяются в компании в случае с ПК. Нужно дополнить существующие решения возможностями систем MDM, которые позволят консолидировать в одном месте всю информацию о гаджетах. Необходимо лишь учесть некоторые особенности мобильных OS, а также тот факт, что устройство может принадлежать как компании, так и лично сотруднику. Все это ведет к увеличению числа переменных при разработке единой концепции их использования, и справиться с такой задачей могут только те, кто имеет большой опыт в комплексной защите информации.
Экспертное мнение
Дмитрий Михеев, эксперт Центра информационной безопасности компании «Инфосистемы Джет».
Когда общаешься с заказчиком, довольно часто вырисовывается следующая картина: сначала разговор идет о необходимости обезопасить компанию от утечек, а затем о том, что контролировать нужно и мобильные устройства – незаметно и чтобы никогда не ломалось. Одним словом, функционал требуется «такой же, но с перламутровыми пуговичками».
Набор ожиданий нормального безопасника нормального безопасника – это желание спокойствия и уверенности. Они так нужны ему (или, представьте себе, ей) в жизни, и в работе: чтобы все было аккуратно, нормы соблюдались, а сотрудники были довольными собой и своим делом безвредными личностями. Стремление к счастью никто не отменял, в то же время текущая ситуация с контролем угроз является довольно суетливым и хаотично меняющимся зоопарком. Что же можно предложить для очередного маленького шага к обычному счастью специалиста по безопасности? Постоянное появление новых источников рисков вынуждает признать, что жизнь в XXI веке не только прекрасна, но и удивительна. Еще какие-то 2–3 года назад картина в отношении средств контроля была совсем другой. И в течение ближайших нескольких лет всё еще не раз поменяется, при этом задачи обеспечения ИБ никуда не денутся. В то же время компании не сидят на месте – они закупают технику и софт для контроля рисков, отлаживают политики. Но если к вам неожиданно, как зима в России, нагрянула новая вселенная, такая как использование мобильных устройств для работы, то невольно опускаются руки. Неужели всё, что так долго строили и настраивали – впустую, и придется начинать сначала?
Нет, не придется. Так как задачи никуда не исчезли, а стремление к счастью не покидает, игроки рынка ищут новые решения, которые не потребуют забыть «наше все», нажитое непосильным трудом на благо капиталистической родины. Отсюда – больший, чем когда-либо, интерес компаний к продуктам, обладающим возможностью сопряжения, объединяющим результаты работы в рамках одной, уже знакомой, парадигмы.
Понимая все это, в 5-й версии «Дозор-Джет» мы, кроме всего прочего, сделали доступными новые механизмы интеграции существующих систем в рамках задач DLP. Мы развили самые разные направления: от более плотной интеграции с SIEM-системами, например, с HP ArcSight за счет разработки собственного коннектора, до создания штатных интерфейсов взаимодействия с базами данных, например, со СКУД. На подходе интеграция с новыми для DLP-систем средствами хранения данных, более точная – филигранная – работа с политикой ИБ компании, в том числе за счет учета новых стандартных ситуаций. «Дозор-Джет» стал более продвинутым и хитрым продуктом.
Новая версия способна получать информацию и при общении с мобильными устройствами в ряде сценариев: может контролировать протокол MTP для Android и активность iTunes в случае iOS, регистрирует работу ряда облачных сервисов по сети. Удалось ли нам немного облегчить жизнь? Мне кажется, да. Конечно, мы на этом не остановимся.