Журнал "Information Security/ Информационная безопасность" #2, 2019

Классическая аналогия из жизни: все знают, что ГИБДД должна всемерно предотвращать нарушение правил ДД, а не отлавли- вать нарушителей. Стоящие на дороге после знака с ограничением скорости люди в погонах вызывают раздражение у всех водите- лей, среди которых есть и ИБ-профессионалы. Но почему-то в рамках своей профессиональной деятель- ности частенько эти же граждане делают ровно то же: вместо того, чтобы пред- отвратить нарушение, зани- маются показательной пор- кой нарушителей ИБ, используя средства монито- ринга сетевых коммуника- ций, почему-то именуемых DLP. Не стоит забывать, что даже простое подключение мобильных устройств к рабочим станциям уже порождает угрозу утечки данных; службы локальной синхронизации легко "обес- печат" неконтролируемую передачу данных из, напри- мер, Outlook’а на рабочем компьютере на мобильное устройство. Единственная возможная "заглушка" тра- диционными средствами контроля доступа к локаль- ным интерфейсам – это пол- ностью блокировать подсо- единения мобильных устройств к компьютеру на уровне USB-портов. Грамот- ное решение? DLP-система с функцией контроля прото- колов локальной синхрони- зации, позволяющая под- ключать мобильные устрой- ства только указанным пользователям и на указан- ных компьютерах и синхро- низировать только разре- шенные типы объектов (когда, например, содержи- мое календарей – можно, а файлы, почту – нельзя). Причем в идеале – с воз- можностью контентной фильтрации синхронизируе- мых данных, созданием теневых копий и прочим классическим "арсеналом" полноценных DLP-систем. Receiver доступен и в App Store, и в Play Market, устанавливается и настраивается элементарно, инструкцию можно сделать понятной даже для чайников. В итоге пользователь работает не с данными напрямую, а с кар- тинкой как результатом обра- ботки данных на стороне корпо- ративного сервера. Разумеется, работать с полноценным поч- товым клиентом на миниатюрном смартфоне будет невозможно. Но если взять в качестве вир- туализованного почтового кли- ента более компактное в плане насыщенности разными интер- фейсными элементами прило- жение, вооружиться устройством с качественным экраном боль- шей диагонали, то ситуация резко изменяется. А если уж сотруднику по роду деятельности нужен мобильный доступ к поч- товым коммуникациям, почему бы не обеспечить его приличным планшетом или легким ультра- буком? Это еще и дешевле, чем специализированные смартфоны с урезанной прошивкой. Остается вопрос: что делать с буфером обмена и перенаправ- ляемыми устройствами? Ведь данные из почты или с корпора- тивного файл-сервера можно, например, через clipboard пере- кинуть на личное устройство, сохранить на карте памяти, пере- слать через другое сетевое при- ложение... Среды терминального доступа позволяют в какой-то степени ограничить использо- вание перенаправленных устройств и буфера обмена, однако, как правило, решают эту задачу довольно грубо, без гибкости по отношению к поль- зователям и без учета содержи- мого потоков данных внутри тер- минальной сессии. Для решения этой задачи сле- дует использовать специализи- рованное решение класса DLP, обеспечивающее контроль пере- направленных в терминальную сессию устройств и буфера обмена данными между терми- нальным сервером (виртуальной средой или приложением) и кли- ентским устройством, а также анализ содержимого передавае- мых данных. Вторая важная задача для DLP-системы – контроль сете- вых коммуникаций (в частности, почты), исходящих из приложе- ний в среде виртуализации. DLP-система должна выполнять перехват почтовых сообщений, передаваемых файлов и данных и в режиме реального времени осуществлять проверку контекс- та (наличие вложений, проверку почтовых идентификаторов) и контента (содержимого писем и вложений) сообщений на их соответствие DLP-политикам, заданным для пользователя. В случае выявления наруше- ния операция передачи данных ограниченного доступа должна быть заблокирована в целях предотвращения их утечки, при этом должна создаваться соот- ветствующая запись в журнале, теневая копия передаваемого сообщения с вложениями, тре- вожное оповещение. Полноценный DLP-агент, уста- новленный на терминальном сер- вере или в виртуальной рабочей среде, позволит обеспечить исполнение функций контроля непосредственно в точке возник- новения трафика, а значит, и перехват, и защиту данных до их шифрования проприетарными протоколами как в почте, такой, например, как MAPI, так и в мес- сенджерах (например, Private Conversations в Skype). Кроме того, только в агентской модели DLP-системы возможна проверка содержимого данных, переда- ваемых через буфер обмена и съемные накопители, перена- правленных с личного устройства в терминальную сессию рабочего стола или приложения. И это все? Итак, одним из наиболее эффективных решений по защи- те данных в концепции BYOD является предоставление досту- па к информационным активам компании через удаленное под- ключение. В этом случае BYOD- устройство использует корпора- тивные данные без локального хранения их на устройстве, стро- го в рамках терминальных сес- сий с подключением к серверам компании, которые, в свою оче- редь, защищены DLP-системой, функционирующей на терми- нальном сервере или в вирту- альных Windows-средах. Такой подход называется Virtual Data Leak Prevention (Virtual DLP) и включает в себя выполнение ключевых задач безопасности: l безопасная обработка данных – исключена локальная обработка данных на BYOD-устройствах; l безопасное хранение данных – защищаемые корпоративные данные могут быть доступны только в виртуальной среде; l контроль передачи данных – DLP-система, функционирую- щая в виртуальной среде, обес- печивает контентную фильтра- цию содержимого файлов и данных, проходящих через ком- муникационные каналы, и кон- текстный контроль каналов. Внимательный читатель спро- сит: так что, автор предлагает установить DLP-систему на тер- минальный сервер, и проблема BYOD будет решена? Нет, разу- меется. DLP здесь только одно из слагаемых эффективной защиты, которая, в свою оче- редь, может быть эффективной только в случае применения комплекса технических и орга- низационных средств. К тому же выше автор уже упоминал, что даже самые уязвимые MDM- решения порой необходимы, ведь связь с терминальными серверами не всегда возможно обеспечить. Эффективный комплекс для обеспечения защиты от утечки информации с BYOD-устройств должен включать в себя MDM- систему для контроля локаль- ных приложений на устрой- ствах, удаленного уничтожения данных, обеспечения надежной парольной защиты устройства и шифрования данных и т.п., приложение для удаленного подключения мобильного устройства через Интернет к виртуальной среде (например, Citrix Receiver), защищенный VPN-туннель, виртуальную рабочую среду и/или виртуали- зованное приложение, в кото- рых доступны необходимые для работы приложения и данные; и, наконец, DLP-систему, обес- печивающую собственно пред- отвращение утечек данных, будучи интегрированной в вир- туальную рабочую среду в целях контроля доступных в этой вир- туальной среде каналов пере- дачи данных (электронная почта, Web-сайты, мессендже- ры, канал печати, перенаправ- ленные в виртуальную среду устройства, буфер обмена). При этом для большинства сценариев "полная" модель Vir- tual DLP является более надеж- ной и компромиссной, нежели реальный риск потерять данные ограниченного доступа вслед- ствие применения только одной из составляющих вышеописан- ного комплекса и, как след- ствие, столкнуться с риском утечки данных и следующих за ней проблем. l 40 • ТЕХНОЛОГИИ Ваше мнение и вопросы присылайте по адресу is@groteck.ru