28 Ноября, 2013

Предотвращение утечки данных с мобильных устройств

Vyunikova
Развитие информационных технологий подарило действительно уникальную возможность – решение бизнес-задач в любом месте в любой момент времени. Тот мобильный мир, о которым сравнительно недавно мечтали фантасты, уже стал явью. Каждый день мы сталкиваемся с людьми, работающими буквально «на ходу». Это подтверждает и перераспределение игроков на рынке персональных ПК и мобильных устройств, планшетов и смартфонов. В 2013 году российский рынок персональных компьютеров просел на треть, в то время как рынок планшетных вырос и составляет все более жесткую конкуренцию традиционным ПК.
Проблематика
Тенденция тотальной мобилизации (в корпоративном сегменте так называемая концепция BYON – Bring your own device) вызывает головную боль ИТ- и ИБ-служб, т.к. обеспечивать информационную безопасность, ее целостность становится все труднее: точек входа в периметр становится все больше и, как следствие, их все сложнее контролировать. Простой запрет доступа к корпоративной почте, внутренним ресурсам в ущерб мобильности не только не эффективен, но и наносит прямой ущерб производительности. Теперь уже необходимо защищать информацию, получаемую и передаваемую пользователями с помощью своих мобильных устройств.Традиционно за информацией, покидающей периметр компании, следили DLP-системы. Действительно, обеспечить наблюдение за основными каналами связи (почта, веб-трафик, программы быстрого обмена сообщениями, облачные хранилища информации и т. д.) не составляет труда. Достаточно выбрать подход к перехвату информации – мониторинг и уведомление ответственной службы компании или метод активной блокировки, когда информация, классифицированная как конфиденциальная, будет заблокирована в момент отправки по одному из каналов передачи, вывода на печать или записи на съемный USB-носитель. В последнем случае обычно используется программа-агент, которая в явном или скрытом виде занимается контролем на уровне рабочей станции пользователя. Используя различные средства администрирования не составляет труда установить такую программу на ПК сотрудника. Однако с мобильными пользователями, вписывающимися в концепцию BYON, так поступить не удастся. Во-первых, нельзя обязать сотрудников не использовать мобильные устройства. Во-вторых, шифрованные каналы связи не могут контролироваться без подмены сертификата (это касается как протокола HTTPS, так и многих программ, использующих SSL, например ICQ, Skype, Jabber и т. д.).Как решить
Очевидно, что практически нереально обязать сотрудников компании соблюдать осторожность с корпоративными данными, используя собственные мобильные устройства (достаточно вспомнить, что распространенность систем «антивор» – антивирусного ПО для мобильных платформ – оставляет желать лучшего). Поэтому необходимо обеспечить целый комплекс мер.
Производители систем-DLP понимают сложившуюся ситуацию и предлагают различные способы решения проблемы.
Простой способ
Во-первых, можно применить ряд простых организационных мер имеющимися средствами администрирования:
  • Настроить DMZ-зону для неавторизованных устройств, к которым можно отнести все устройства, подключаемые по беспроводной сети. Для этой зоны применить ряд ограничительных мер, например, доступ только к разрешенным веб-страницам, к общим файловым ресурсам корпоративной сети. Простой принцип – что не разрешено, то запрещено.
  • При использовании мобильных устройств запретить приложениям доступ по шифрованным каналам из корпоративной сети.
  • При удаленном доступе (например, RDP) в корпоративную сеть настроить запрет простого «перетаскивания» объектов из интерфейса программы удаленного доступа на устройство сотрудника.
  • Отключить возможность скачивать вложения писем из корпоративной почты (например, в Outlook Web Access это штатная возможность).
Очевидно, что данные ограничительные меры дадут иллюзию защищенности, но не помогут решить ряд проблем – доступ привилегированных пользователей (руководство), контроль пересылки вложений на личную почту сотрудников.Специализированные решенияSymantec DLP for Tablet
Ведущие производители систем ИБ понимают очевидную проблему и анонсируют различные решения, в т. ч. и DLP-системы. Одним из первых вендоров, разработавших специализированный модуль, стала американская компания Symantec, которая в 2011 году анонсировала первое решение в рамках комплексного продукта – Symantec DLP.Решение работает через VPN и позволяет маршрутизировать трафик, генерируемый мобильным устройством.Решение позволяет мониторить исходящие сообщения и вложения электронной почты (Gmail, Yahoo!, Mail и другие HTTP(S)), отслеживать web-трафик и исходящую на сайты и в социальные сети (Dropbox, Twitter, Facebook, в т. ч. и по HTTPS) информацию и удалять при этом из общего потока передаваемых данных конфиденциальную информацию.

Рис. 1. Схема работы

На данный момент поддерживаются устройства, работающие под руководством операционной системы iOS (iPhone, iPad).DLP-система для мобильных устройств уже стала реальностью, что позволяет использовать весь комплекс политик обращения с конфиденциальными данными и на мобильных корпоративных устройствах.Как быть с пользователями за периметром? McAfee Enterprise Mobility Management (McAfee EMM) Спектр решаемых задач справедлив для полноценных решений комплексного управления информационной безопасностью. Корпоративные политики, разрабатываемые ИТ-службами и применяемые для ноутбуков, стационарных ПК, теперь могут быть доступны и мобильным устройствам.Для правильной эксплуатации EMM-системы необходимо априори принять несколько основных правил:
  • При утере устройства пользователи должны незамедлительно сообщить об этом в ответственную службу компании для незамедлительной блокировки доступа к корпоративным данным.
  • Пользователи должны понимать, что на мобильное корпоративное устройство, которое они получили в свое распоряжение, распространяются все политики и правила, принятые внутри организации, т.е. это устройство является инструментом компании, а не личной «игрушкой».
  • Устройства, которые используются в компании, не должны иметь возможности подключения съемных носителей, внесения изменений в список ПО самостоятельно – это позволит минимизировать риски использования пиратского ПО, а также способы обойти систему защиты.
  • Отдельно необходимо решить вопрос с поддержкой EMM-системой устройств с пиратскими ОС (jailbreak).
McAfee EMM представляет собой систему, которая предустанавливает средства обеспечения безопасного доступа к установленным мобильным приложениям, обеспечивает защиту от вредоносных программ, строгую аутентификацию в корпоративных сервисах компании, масштабируемую архитектуру и функции формирования отчетности и инвентаризации парка мобильных устройств.Решение интегрируется с платформой McAfee ePolicy Orchestrator (McAfee ePO), позволяет ИТ-службам применять политики безопасности, обеспечивая в то же время защиту устройств и корпоративной сети от вредоносных программ. Помогает снизить затраты на поддержку и управление мобильными устройствами.Стоит отметить, что решением поддерживается большинство операционных систем, в их число входят iOS, Android, Blackberry, Windows Phone. Для двух последних версий продукта не предусмотрено агентской части, которую необходимо установить на смартфон. Администрирование осуществляется с помощью собственных средств ОС.Некоторые возможности McAfee EMM:
  • Управление различными мобильными устройствами (Android, iOS, Blackberry, Windows Phone).
  • Управление конфигурацией ПО.
  • Принудительное использование паролей.
  • Инвентаризация устройств.
  • Частичная блокировка функционала (Bluetooth, Wi-Fi).
  • Удаленная блокировка и стирание данных (полное или частичное).
  • Принудительное шифрование данных (полное или частичное).
  • Контроль ActiveSync и возможность блокировки доступа к почте.
  • Возможности массовой рассылки сообщений.
  • Формирование ролей доступа к устройствам.
  • Сбор логов, архивация SMS-сообщений и многое другое.
Обеспечение безопасности мобильных устройств системами EMM позволит IТ- и ИБ-службам контролировать такой непростую часть распределенного периметра, как мобильные устройства. Подобный функционал поможет компаниям снизить стоимость владения парком мобильных устройств, а также обеспечит централизованный контроль за безопасностью.
Выводы
Подводя итоги, можно сказать, что концепция BYOD актуальна как никогда, и простой комплекс мер позволит организациям минимизировать потенциальный ущерб от использования личных устройств внутри собственной сети компании. Тем самым можно убить двух зайцев – не потерять в общей мобильности и свободе доступа к работе «на бегу» и в тоже время обеспечить комплекс мер для защиты своей конфиденциальной информации.
В производстве решений DLP для мобильных пользователей сделан первый шаг – многие компании вслед за Symatec анонсируют разработку клиентов для мобильных устройств и перечень инструментов со временем будет только расти.
В то же время контроль корпоративных устройств, предоставляемых компанией-нанимателем сотрудникам для работы, предполагает куда больше инструментов не только контроля информации, но и защиты украденных устройств, шифрования и возможности инвентаризации и контроля программного обеспечения мобильных устройств, в независимости от привязки к операционной системе смартфонов.По материалам каталога программных решений.

http://services.softline.ru/analytics/predotvrashenie-utechki-dannyih-s-mobilnyih-ustroiistv
или введите имя

CAPTCHA