В рубрику "DLP" | К списку рубрик | К списку авторов | К списку публикаций
Речь идет не о том, чтобы повально запрещать сетевые сервисы, потому что "у нас так нельзя", а о том, чтобы гибко контролировать коммуникации сотрудников через высокотехнологичные программы и сервисы, которые на самом деле чаще всего повышают эффективность бизнес-процессов и производительность сотрудников. Контроль сетевых коммуникаций – понятие широкое, включающее в себя не только возможность селективной блокировки тех сервисов, использование которых категорически недопустимо по внутренним правилам компании, но и возможность событийного протоколирования, включая создание точных копий передаваемых пользователями файлов и данных, и возможность тревожного оповещения службы ИБ при попытке нарушения политик информационной безопасности.
При этом эффективность политик контроля в DLP-решении определяется гибкостью в вопросах задания разрешенных и запрещенных типов вложений, ограничения коммуникаций по времени, избирательного применения политик к различным группам пользователей и т.д. Кроме того, исключительно важна полнота защитных реакций системы контроля на выявленные нарушения – имеются в виду блокировка отправки письма, детальное протоколирование действий пользователей, включая сохранение точных копий передаваемых писем и вложений, а также оперативное оповещение сотрудников службы ИБ организации о критически важных событиях. Следует также иметь в виду специфику работы мобильных сотрудников, покидающих офис компании с ноутбуками и лэптопами, а значит, выходящими за пределы периметра корпоративной сети и за пределы достижимости многих корпоративных средств ИБ, "заточенных" на работу внутри офиса.
Чаще всего проблема состоит не в использовании сетевых сервисов как таковых, а в ответе на вопросы: о чем пишут сотрудники, что за файлы они передают? Для поиска ответа на эти вопросы DLP-решение должно иметь возможность проверки содержания сообщений и вложений, передаваемых в соцсети и через мессенджеры файлов на наличие запрещенной к передаче информации. Только когда служба ИБ уверена, что в передаваемых сообщениях и вложениях нет ключевой для бизнеса информации либо что эта информация не предназначается неавторизованным лицам, процесс переписки сотрудников можно считать контролируемым.
В некоторых распространенных сегодня вариантах реализации системы контроля почты, социальных сетей, мессенджеров на базе сетевых DLP-серверов практически невозможно реализовать целый ряд требуемых задач, в том числе задачи управления доступом сотрудников к почтовым Web-сервисам, а также контроля использования сетевых сервисов в мобильном режиме – за пределами офиса.
Кроме того, инспекция сетевого трафика различных приложений, защищенных проприетарным шифрованием, на уровне сетевого шлюза будет попросту невозможна. Так, в вышеупомянутом сценарии сетецентричная DLP-система не способна как-либо контролировать использование электронной почты на базе протокола MAPI на защищаемых компьютерах, а также не обеспечивает протоколирование и теневое копирование сообщений или вложений. При работе вне корпоративной сети контроль сетецентричной DLP-системы попросту исчезает.
Такие особенности приводят в итоге к полной незащищенности организаций от неконтролируемых, недетектируемых и неотслеживаемых утечек конфиденциальных данных через Web-коммуникации по неконтролируемым защищенным протоколам и при работе сотрудников вне корпоративной сети.
Единственно возможным техническим решением без перечисленных критических функциональных недостатков является использование DLP-агентов, устанавливаемых на защищаемых настольных и портативных компьютерах сотрудников и перехватывающих почтовый трафик непосредственно на его источнике.
Рассмотрим далее решение задачи контроля переписки сотрудников, имея в виду в том числе вышеописанный сценарий.
Первый уровень контроля, реализуемый DLP-системой, должен предоставлять возможность выборочного ограничения использования каналов сетевых коммуникаций по отдельным пользователям и группам, при этом создаются точные копии переданных данных, предназначенные для последующего анализа. Далее должна быть функция, позволяющая выборочно задавать ограничения, например по возможности передачи только сообщений, но при этом ограничить передачу файлов и документов опять же для отдельных пользователей и групп. Высшим пилотажем в задаче создания гибких DLP-политик будет задание списков допустимых отправителей и получателей, а для Skype – разрешенных участников конференций, что позволит, в частности, свести "круг общения" сотрудников к авторизованным бизнес-контактам, а также гарантировать использование только корпоративных почтовых и Skype-аккаунтов в рабочих целях. И наконец, с помощью механизмов контентного анализа и фильтрации служба ИБ получает возможность контролировать содержимое исходящих сообщений в чатах, писем и вложенных файлов. Контент данных при этом анализируется на предмет соответствия корпоративным DLP-политикам в момент передачи непосредственно на хосте, а также отправляется тревожное сообщение для оперативного реагирования специалистами службы ИБ.
Всем перечисленным выше требованиям к DLP-системе в полной мере отвечает российский программный комплекс DeviceLock Endpoint DLP Suite, агенты которого работают непосредственно на защищаемых компьютерах и обеспечивают инспекцию и протоколирование коммуникационных приложений независимо от используемых ими портов и способа выхода в Интернет. Принципиальным преимуществом такой архитектуры является реализация защитных действий по блокировке и протоколированию почтовых отправлений, переписки и передачи файлов в социальных сетях и через службы мгновенных сообщений в момент отправки данных по сети "на лету", непосредственно на рабочем компьютере сотрудника – будь то полноценная рабочая станция, мобильный лэптоп или даже удаленное BYOD-устройство в терминальной среде на базе продуктов Microsoft, Citrix или VMware. В результате работоспособность DLP-системы DeviceLock в целом никак не зависит от доступности корпоративной сети или подключения к серверам, что позволяет службам ИБ обеспечить безопасность почтовых коммуникаций сотрудников даже в условиях, когда их бизнес-функции требуют мобильности.
Комплекс DeviceLock DLP Suite включает в себя взаимодополняющие функциональные компоненты DeviceLock, NetworkLock, ContentLock и Device-Lock Search Server, лицензируемые в любых комбинациях на основе базисного компонента DeviceLock. Задача комплекса – гибкий контроль и предотвращение утечек через порты и устройства, подключаемые к рабочим компьютерам, и контроль различных каналов сетевых коммуникаций. При этом DeviceLock DLP использует современные технологии контентной фильтрации для проверки содержимого файлов и данных, передаваемых по всем контролируемым каналам.
Компонент NetworkLock позволяет контролировать и протоколировать использование на рабочих станциях сетевых протоколов и коммуникационных приложений независимо от используемых ими портов – включая различные виды электронной почты и Web-почты; службы мгновенных сообщений, социальные сети, блог-хостинги и файлообменные ресурсы, протоколы HTTP и FTP и другие каналы сетевых коммуникаций. Встроенный в NetworkLock "белый список" сетевых протоколов делает контроль почты максимально гибким – по типам Web-сервисов, адресам отправителей и получателей, доменным именам, диапазонам IP-адресов, маскам сетей, а также по произвольной комбинации контролируемых параметров.
Компонент ContentLock реализует механизмы контентного анализа электронной почты и Web-почты, служб мгновенных сообщений, социальных сетей и передаваемых по сети файлов, канала печати, съемных носителей и других типов устройств.
С помощью комплекса DeviceLock DLP служба ИБ может реализовать различные сценарии противодействия утечкам корпоративных данных через сетевые коммуникации и локальные каналы – от тотального запрета использования отдельных каналов до пассивного режима наблюдения, когда ведется только мониторинг передаваемых данных и их сохранение для последующего анализа службой ИБ. Между этими крайностями – любые сочетания технологий контроля и мониторинга, включающие выборочное разрешение или блокировку передачи файлов по контролируемым службой ИБ-каналам для отдельных пользователей и групп; ограничения, основанные на недопустимом содержимом передаваемых файлов и данных; логика принятия решения на основании данных о получателях почты или сообщений в чатах; теневое копирование только представляющих интерес для службы ИБ файлов и данных; тревожные оповещения по ключевым инцидентам и т.д.
Технологические решения, предлагаемые DeviceLock для DLP-защиты обычных и виртуальных рабочих сред, позволяют уменьшить информационные риски и обеспечить неукоснительное исполнение сотрудниками политик безопасности как внутри компании, так и за ее пределами, в том числе и ответить на вопрос: о чем и кому пишут сотрудники.
В ближайшее время ожидается выпуск новой версии комплекса DeviceLock 8, в которой появится поддержка распознавания текста в рисунках (например, сканах документов), контроль Outlook Web App, а также новый компонент комплекса – DeviceLock Discovery Server, предназначенный для сканирования компьютеров пользователей и систем хранения данных, размещенных как внутри, так и вне корпоративной сети, в целях выявления нарушений политик безопасности. Бета-версия DeviceLock 8 уже доступна для ознакомления на сайте www.devicelock.com.
Опубликовано: Журнал "Information Security/ Информационная безопасность" #3, 2014