По вполне понятным причинам те приёмы защиты, которые применяются для предотвращения утечек информации через корпоративную сеть, неэффективны в случае с ноутбуками. Поэтому для контроля лэптопов применяются так называемыеendpoint-решения (от английского endpoint– крайняя точка). Эти решения отличаются тем, что работают не на удалённом сервере, как обычные компоненты подавляющего большинства DLP-систем, а на самом портативном компьютере. То есть, они работоспособны независимо от того, к какой сети подключен компьютер (и подключен ли вообще). Но при этом endpoint-решения ведут себя по-разному внутри корпоративной сети и вне нее.
Находясь в рамках защитного контура, endpoint-модуль на ноутбуке постоянно поддерживает связь с центральными компонентамиDLP-системы, передавая им перехваченную информацию и сверяясь с заданными политиками информационной безопасности. Но как только ноутбук отключается от корпоративной сети, модуль переходит в режим автономной работы. В этом режиме он собирает данные о действиях пользователя, сохраняя информацию о переданных документах, написанных сообщениях и других входящих и исходящих данных на самом лэптопе. Затем, когда сотрудник вернётся со своим переносным компьютером в офис, все данные будут переданы для анализа соответствующему компоненту системы защиты, и специалисты по безопасности смогут узнать обо всех нарушениях корпоративных политик, которые потенциально могли привести к утечкам информации.
Конечно, такая защита не так эффективна, как защита корпоративной сети, однако она позволяет своевременно узнавать о возможных инцидентах, связанных с информационной безопасностью, и предотвращать их последствия. При этом модуль, работающий на ноутбуке, может устанавливаться таким образом, чтобы пользователь, работающий за компьютером, ничего не подозревал о его наличии.
Нужно отметить, что страхи по поводу утечек информации, которые не могут быть остановлены подобной системой, обычно преувеличены. Следует помнить, что наиболее опасны заранее спланированные систематические утечки, которые endpoint-модуль как раз выявляет с большой степенью достоверности. С отсутствием возможности блокировать случайные утечки (например, отправленные по неосторожности не тому адресату письма), увы, придётся смириться.
Роман Идов,
ведущий аналитик компании SearchInform
