Использование DLP-систем для решения актуальных проблем безопасности данных

Сергей Вахонин
Директор по решениям ЗАО “Смарт Лайн Инк"

Факторы появления угроз

Появление новых угроз обусловлено тремя основными факторами. Во-первых, это непосредственно связано с активным распространением модели BYOD (Bring Your Own Device, использование персональных устройств в рабочих целях), когда рабочая зона сотрудников смещается с полностью или хотя бы частично контролируемых рабочих станций в сторону личных неконтролируемых устройств – смартфонов, планшетов, лэптопов и домашних компьютеров. Отдельный акцент следует сделать на факторе мобилизации сотрудников, пользующихся корпоративными данными вне пределов корпоративной инфраструктуры.

Во-вторых, векторы внешних угроз корпоративной информационной безопасности (ИБ) за последнее десятилетие кардинально сместились от внешних атак в целях нанесения ущерба внешней IТ-инфраструктуре в сторону "охоты" за данными. И наконец, третьим и неустранимым, а потому важнейшим фактором инсайдерских утечек информации с корпоративных компьютеров была и остается дисциплина их пользователей. Этот фактор особенно актуален в свете того, что разработчики различных высокотехнологичных Web-сервисов и персональных устройств постоянно расширяют их возможности, предлагая пользователям все больше и больше соблазнов перенести используемые данные во внекорпоративные сети – как намеренно, в целях защищенного облачного хранения, так и случайно, в рамках общения в мессенджерах, социальных сетях и сервисах Web-почты, а также активно используя различные гаджеты.

Концепция BYOD

Тема консьюмеризации и модели BYOD как новой угрозы информационной безопасности является одним из наиболее активных трендов в области ИБ не случайно. Нет никаких сомнений в том, что концепция BYOD скоро сделает мобильной значительную часть работников, когда они будут активно использовать мобильное устройство для работы с почтой и информацией, хранимой внутри корпоративных серверов, через VPN и терминальные сессии. Остановить этот процесс не только невозможно, но и контрпродуктивно для бизнеса – использование персональных устройств, как правило, повышает работоспособность и производительность труда сотрудников, облегчает их мобильность, упрощает возможность практического использования корпоративных данных в различных ситуациях.

Альтернативой классическому подходу с защищенным хранением корпоративных данных на мобильных устройствах и применением решений класса MDM (Mobile Device Management) для управления мобильными устройствами является технология Virtual DLP, предполагающая выборочный контроль виртуальных и терминальных сред, когда сотрудник пользуется корпоративными данными удаленно, подключаясь к защищенной корпоративной среде в рамках терминальной сессии, получая полноценный рабочий стол или отдельное опубликованное приложение, но корпоративные данные при этом на личном устройстве не хранятся. В таком решении задача создания изолированной защищенной рабочей среды, не допускающей утечек данных при использовании различных решений виртуализации рабочих сред, перетекает в задачу создания DLP-политик для виртуальных сред. Эти политики должны обеспечить контроль потока данных между виртуальным рабочим столом или опубликованным приложением и перенаправленными на удаленные рабочие компьютеры периферийными устройствами, включая съемные накопители, принтеры, USB-порты и буфер обмена данными, а также осуществлять централизованное журналирование действий пользователя и теневое копирование переданных им файлов и данных.

Если же говорить о сотрудниках, использующих традиционные рабочие места в офисах, то на первый план выходит фактор использования высокотехнологичных сетевых сервисов и современных устройств хранения и передачи данных. И здесь снова встает вопрос о сочетании интересов бизнеса и безопасности – допустимость и контроль использования!

Приведем пример

В качестве примера такого сетевого сервиса рассмотрим повсеместно распространенный мессенджер Skype, который стал зачастую незаменимым бизнес-инструментом в силу удобства его использования для различного рода коммуникаций, включая обмен сообщениями, файлами и документами. Кроме того, Skype считается едва ли не самым защищенным средством сетевых коммуникаций благодаря встроенной подсистеме шифрования трафика и распределенной структуре Skype-сети.

Важно отметить, что перехват и последующая расшифровка трафика Skype на уровне корпоративных сетевых шлюзов являются невозможными. Можно глобально запретить использование Skype в корпоративной сети, но как это будет сочетаться с требованиями бизнеса, когда Skype является одним из бизнес-инструментов? Это означает, что DLP-решения, основанные на серверной архитектуре, без установки отдельных агентов для контроля Skype на хостах не способны предоставить службам ИБ требуемую гибкость, сочетающую возможность использования этого сервиса в рабочих целях отдельными сотрудниками или группами и предотвращение или хотя бы мониторинг утечек данных через этот канал, если передаваемая информация не соответствует корпоративной политике информационной безопасности. Кроме того, глобальный запрет Skype на корпоративном сетевом уровне повлечет поиск сотрудниками других средств для обмена мгновенными сообщениями и VoIP-коммуникаций, а значит, потребуются новые решения для обеспечения информационной безопасности.

Используя именно хостовый контроль сетевых сервисов и протоколов, включая Skype, посредством устанавливаемых на всех контролируемых компьютерах агентов DLP-решения, служба ИБ может реализовать различные сценарии противодействия утечкам корпоративных данных через Skype – от тотального запрета его использования до пассивного режима, когда ведется только мониторинг передаваемых данных и их сохранение для последующего анализа службой ИБ. Между этими крайностями должны быть возможны любые сочетания контроля и мониторинга, включающие выборочное разрешение или блокировку чатов и передачи файлов в Skype, разрешение или запрещение голосовых и видеоконференций между пользователями, в том числе с указанием возможных или недопустимых участников разговора и т.д.

DLP-система, реализованная с применением технологии контроля сетевых сервисов на уровне хоста, то есть в точке возникновения сетевого трафика, позволяет службам ИБ создавать гибкие DLP-политики, обеспечивающие различные методы создания эшелонированной системы контроля множества сетевых сервисов и протоколов, причем не ограничиваясь функционированием DLP-системы внутри корпоративной сети.

Уровни контроля

Рассмотрим далее решение задачи контроля сетевых сервисов на примере Skype, имея в виду необходимость контроля мобильных сотрудников, как упомянуто выше.

Первый уровень контроля, реализуемый DLP-системой, должен предоставлять возможность выборочного ограничения использования Skype отдельными пользователями и группами пользователей, что сводит область применения этого сервиса (и любых других сетевых сервисов и протоколов) только до тех сотрудников, которым это необходимо для выполнения производственных задач. Далее должна быть возможность выборочно задать ограничения, например по возможности передачи только сообщений, но при этом запретить передачу файлов и документов и осуществление аудио- и видеоконференций (опять же для отдельных пользователей и групп). Более того, высшим пилотажем в задаче создания гибких DLP-политик будет задание списков разрешенных участников Skype-конференций (допустимых отправителей и получателей), что позволит, в частности, свести круг общения сотрудников к бизнес-контактам, а также гарантировать использование только корпоративных Skype-аккаунтов в рабочих целях. И наконец, с помощью механизмов контентного анализа и фильтрации служба ИБ получает возможность контролировать содержимое исходящих сообщений в чатах, сообщений, передаваемых по сети файлов, когда содержимое передаваемых данных анализируется в момент передачи непосредственно на хосте на предмет соответствия корпоративным DLP-политикам, а по итогам анализа создается точная копия переданных данных, предназначенная для последующего анализа, и отправляется тревожное сообщение для оперативного реагирования специалистами службы ИБ.

Подведем итог

Для эффективного предотвращения утечек данных в условиях, когда сотрудники организаций имеют возможность использовать персональные мобильные устройства, работать вне офиса или в домашних условиях, стоит обратить внимание на DLP-решения, обеспечивающие гранулированный контроль устройств и сетевых сервисов независимо от местонахождения сотрудников и используемых ими рабочих сред. То есть те решения, которые способны перехватывать, анализировать и фильтровать сетевой трафик и обращения к подключаемым устройствам непосредственно на рабочих станциях, а также предоставлять контроль трафика и перенаправляемые устройства в терминальных средах.