«Мобильность» как угроза
Во-первых, это широкое распространение гаджетов среди сотрудников компаний и де-факто зависимость эффективности их деятельности от возможности нормально работать с данными на этих устройствах.
Во-вторых, просто бешеная изменчивость этого рынка, выражающаяся во всё увеличивающемся количестве вариантов ПО и аппаратных платформ гаджетов. Поднебесная империя и другие более мелкие страны-производители совершенно не дают спокойно жить. Выпускаются новые модели (анонсируются, минимум, 2 новых поколения устройств каждый год), версии ОС и варианты средств взаимодействия с окружающим миром – каналов связи (вспомним Near Field Communication чипы, доступные с недавнего времени), новые протоколы взаимодействия, версии ITunes и других программ для работы с документами, музыкой и т.д.
В-третьих, наблюдается постоянная сетевая активность, используются внешние ресурсы. Пользователи гаджетов могут и используют всевозможное ПО для обмена информацией. Корпоративные ограничения некоторых компаний по работе с файлами через USB-подключение привели к тому, что каждое уважающее себя приложение содержит модуль обмена данными (в том числе документами) через беспроводную сеть. Dropbox, File.net, Yandex.disk, Google Drive, SkyDrive, RetroShare – всё это конкурирующие платформы обмена и синхронизации данных между несколькими точками: одной такой точкой может быть корпоративное рабочее место, а другой – мобильное устройство.
Но и это еще не всё. Сотрудники пользуются и корпоративной, и домашней почтой с одного устройства, причем средств надежного разделения в рамках гаджета, как правило, нет. Отметим, что практически любое действие на самой популярной платформе на сегодняшний день – Android – приводит к обмену данными с серверами Google. Потенциально это уже утечка: например, поисковые фразы от точно идентифицированного пользователя могут представлять достаточно большой интерес для внешнего наблюдателя. Интриги добавляет и тот факт, что специальные средства обмена сообщениями (например, WhatsApp) позволяют обходить контроль средств безопасности за счет отсутствия клиентов под стандартные ОС и сложного шифрования. Все общение происходит за пределами периметра безопасности и контроля технических средств.
Появились и новые каналы утечки: кроме сетевых взаимодействий и подключения в качестве USB-накопителя, устройства дают возможность использовать специализированные ПО или протоколы обмена данными и синхронизации, такие как MTP (Media Transfer Protocol), Apple ITunes, Samsung Kies. В определенный момент такой функционал появляется на подавляющем большинстве корпоративных устройств в ходе цикла обновлений, и мы уже не можем контролировать их, т.к. они сменили канал взаимодействия. Это несколько усложняет работу тех средств, которые доступны на обычных платформах (Windows и DLP-система).
И последнее, но не менее важное: поскольку гаджеты запускают приложения в безопасном экранированном окружении, реализуемые средства защиты по большей части оказываются отрезаны от данных всех остальных приложений. Приходится констатировать, что на текущий момент разумных средств для организации контроля именно данных приложений не реализовано. Думаем, что в будущем ситуация изменится: из игрушек миллионов гаджеты превращаются в основу экономического благосостояния компаний, которую необходимо защищать на должном уровне.
Без доступа к внешним сервисам, будь то файлообменники, соцсети, поисковые системы или почта, мобильное устройство теряет большую часть своей привлекательности. Остается дорогая коробочка, которая греется, требует электричества, денег и дает возможность «кидаться птичками» в популярной игре. В то же время с доступом в сеть каждое устройство является потенциальной дырой в безопасности компании.
Залатать дыры
Когда мы разобрались с источниками и нюансами угроз, можно говорить и о способах их нивелирования. Уже сегодня средства контроля позволяют управлять некоторыми из рисков, которые предъявляют мобильные устройства, такими как потеря гаджета и offline извлечение данных, а также удаленная очистка почты и контактов. При этом соответствующее решение может быть внедрено в самой компании или предоставляться в виде услуги его производителем. Здесь мы можем говорить о технологиях Sybase Afaria и MobileIron, поскольку реализовали несколько пилотов с их использованием.
К сожалению, в настоящий момент контроль содержимого самих данных на устройстве невозможен, что ограничивает модель безопасности популярных мобильных платформ. Но при этом есть возможность контролировать профили безопасности, накладывать ограничения на использование программ или организовывать корпоративный магазин проверенных приложений для снижения рисков. В ряде случаев можно контролировать факт получения root, а также реализовывать принудительное шифрованное соединение с сетью через корпоративный VPN- шлюз.
При некоторых затратах на внедрение VPN и ограничениях работы с устройством можно добиться контроля сетевого трафика между гаджетом и внешним миром. Схема легко дополняется существующими средствами контроля SSL, сообщений в соцсетях и электронной почте. При этом ее можно реализовать с использованием уже знакомых компонентов – «Дозор-Джета», Blue Coat ProxySG, Symantec Data Loss Prevention. При грамотной организации управления доступом к данным в компании вы получите нужный результат. Конечно, есть и ограничения: контролируется только сетевой трафик устройств, весь трафик требуется пропускать через инфраструктуру компании, а требования к надежности и резервируемости решений значительно повышаются.
Контроль несетевого обмена реализуется агентами на рабочих станциях – средствами DLP-систем. Это отработанные технологии с давней историей применения. К сожалению, они не всегда готовы к новым протоколам синхронизации, а также предъявляют повышенные требования к рабочим местам (как минимум в части ресурсов). Кроме того, не контролируется движение данных с устройства за пределами сформированного периметра безопасности.
Если говорить о контроле содержимого данных, то мы видим, что он возможен только с ограничениями, накладываемыми описанными выше подходами. Гарантировать отсутствие утечки и 100%-ную информированность службы ИБ о целенаправленном выносе данных через мобильное устройство пока достаточно сложно. Мы предлагаем начинать с классификации информации и ограничения доступа к ней: если «горячие» данные гуляют в почте, лучше это прекратить. Так вы сделаете первый шаг к уменьшению рисков утечки. Можно внедрить собственный корпоративный сервис файлообмена или каким-то другим образом предоставлять доступ к данным без их сохранения на устройстве, при этом установить повышенные требования к авторизации (VDI и т.д.). Корпоративные порталы могут стать решением этой задачи, т.к. они позволяют организовать мандатный доступ к данным способом, не зависящим от того, на какой ОС работает браузер.
На текущий момент доступны решения, которые контролируют каналы от устройств (доступ через корпоративный VPN), позволяют управлять шифрованием для устройства (средствами его ОС) и другими настройками доступного для данной операционной системы профиля безопасности (контроль парольной защиты, требование отсутствия root, использование белого списка приложений). Существуют решения, которые предоставляют собственный защищенный контейнер для всех критичных типов данных, хотя это несколько усложняет привычную работу пользователя.
Есть и другой вариант обеспечения мобильной безопасности – двигаться по пути ужесточения политики использования устройств: разделять корпоративные и личные гаджеты, жестко контролировать нарушения периметра и мужественно переживать связанные с этим жалобы сотрудников. На данный момент очевидно, что окончательного ответа в этой теме не найдено.