Сергей Вахонин, 11/06/19
Смотри – но не смей трогать,
трогай – но не пробуй на вкус,
пробуй – но не смей глотать.
К/ф "Адвокат дьявола"
Широкое распространение концепции Bring Your Own Device (BYOD, использование персональных устройств в рабочих целях) уже привело к резкому повышению мобильности работников, когда они активно используют персональные мобильные устройства для работы с почтой и корпоративной информацией. Однако с точки зрения обеспечения ИБ возникает дилемма между предоставлением доступа к служебной почте и корпоративной информации и обеспечением ее защиты при использовании на мобильных устройствах.
Работаю везде на своем устройстве, в чем проблемы, шеф?
Очевидно, что использовать установленные на личных планшетах и смартфонах мессенджеры и почтовые клиенты для рабочих коммуникаций (чатов и переписки) – удобно, но не безопасно. В то время как эти же коммуникации у ответственной службы ИБ так или иначе контролируются и защищаются на полноценных рабочих станциях, при использовании личных устройств возникает целый ряд проблем: проблема доступа к корпоративным серверам и ресурсам с неконтролируемых устройств, вопрос предоставления доступа к актуальной конфиденциальной информации, проблема безопасного хранения корпоративных данных на личных устройствах, т.е. целый комплекс рисков. Попытка "завернуть" трафик с мобильного устройства через контролируемый корпоративный шлюз не всегда реализуема, ведь мы же говорим о личных устройствах. Кроме того, оно еще и может быть использовано как точка доступа, что дает сотруднику шанс обойти корпоративные сетевые средства ИБ. Да, контролировать коммуникации с личных устройств в целях защиты корпоративной информации от утечки или утраты крайне тяжело. В то же время информационный обмен должен быть контролируемым, или же возникают вопросы по уровню и степени доверия и ответственности за утечки.
Что делать? Запрещать? Это непродуктивно, резко падает и производительность труда, и лояльность сотрудников. Да и с реализацией запрета тоже возникают вполне понятные трудности.
Махнуть рукой и допустить риски как неизбежные, заодно и не связываться с личной собственностью? Однако устройство-то личное, а вот данные, которые могут через него проходить, вполне так себе корпоративные и не принадлежат сотруднику ни в каком смысле, а следовательно обязаны быть под контролем и защитой службы ИБ. В конце концов, не стоит решать утопичную задачу "устранить утечки раз и навсегда", надо решать задачу сведения риска утечек до приемлемого минимума.
Ограничивать и контролировать? Видимо, да. Но что и как? Устанавливать специализированные ИБ-решения на личные устройства сотрудников? Это и технически выглядит не самой тривиальной задачей, а есть еще и организационная, и правовая стороны вопроса. Нарушает ли такая установка права сотрудника как гражданина? Имеет ли работодатель права и возможности отслеживать все личные устройства сотрудников (сегодня одно, завтра другое...)? Есть вариант с предоставлением корпоративных мобильных устройств, как правило, морально и технически устаревших; мало кому во времена демонстрации атрибутов статусности и успеха ради захочется вынимать из кармана непонятный смартфон зеленого цвета с урезанным набором приложений.
Итак, любая служба безопасности, будучи действительно, а не на словах, обеспокоенной безопасностью корпоративных данных на мобильных устройствах, внимательно смотрит в сторону специализированных решений для BYOD-устройств в целях обеспечения безопасности корпоративных данных. Рынок, в свою очередь, предлагает множество самых разнообразных решений: Mobile Device Management (MDM), средства шифрования для мобильных ОС, решения класса Application Wrapper, в которых технологии изолирующих контейнеров для мобильных приложений позволяют обеспечить защиту информации при утере мобильного устройства, а все почтовые коммуникации корпоративных приложений – перенаправить через VPN-туннель в офисную сеть организации, где для контроля контента "контейнерной" почты используется DLP-шлюз.
Независимо от принятого решения о допустимости применения BYOD-устройств в организации или их запрете стоит задача либо контролировать попавшие на персональное устройство корпоративные данные и их дальнейшее движение, либо обеспечить невозможность неконтролируемого хранения и попадания данных на устройство.
Безопасно храним данные на личном устройстве?
Действительно, системы класса Mobile Device Management (MDM) предлагают удаленное обновление политик безопасности (без подключения к корпоративной сети), распространение приложений и данных, управление конфигурацией для обеспечения всех устройств необходимыми ресурсами. Часто указывается также способность самоуничтожения всего программного обеспечения и данных с мобильного устройства в случае злонамеренного неавторизованного удаления с него MDM-приложения. Однако до того момента, пока на BYOD-устройствах не появятся действительно многопользовательские операционные среды с поддержкой низкоуровневых интерфейсов для доступа СЗИ независимых производителей, реальные возможности MDM-решений по контролю исходящих потоков данных на мобильных устройствах остаются принципиальной проблемой.
Сильными сторонами MDM-систем являются такие функции, как надежная парольная защита устройства, шифрование встроенной памяти и карт хранения данных либо "контейнеризация" данных приложений, управляемое уничтожение данных с устройства в случае потери или кражи. Однако же на практике по крайней мере функцию удаленного уничтожения данных можно реализовать только при условии, что устройство появится в Сети и будет обнаружено управляющей частью MDM-системы – т.е. приходится полагаться на удачу или низкую техническую квалификацию вора или человека, нашедшего такое "защищенное" мобильное устройство, и на то, что при этом корректно сработают функции шифрования и парольной защиты. Мимоходом напомню и о задаче резервного копирования данных, принадлежащих компании. Если новые документы и данные создаются на BYOD-устройстве, организация вынуждена полагаться на сознательность сотрудника, надеясь, что он самостоятельно позаботится о создании резервных копий.
Уже сама практика хранения данных на BYOD-устройствах порождает риск утечки данных, независимо от наличия на устройстве агента MDM-системы. Данные ограниченного доступа могут быть попросту отправлены непосредственно с мобильного устройства по сетевым каналам (почта, социальные сети, мессенджеры) или на подключаемые внешние устройства печати и хранения данных (большинство смартфонов отлично дружит с дополнительными картами памяти).
Означает ли все вышесказанное, что MDM-решения не нужны или бесполезны? Конечно, нет. Более того, в некоторых случаях будет предпочтительнее использовать именно MDM-системы для защиты данных на мобильных устройствах, например в сценариях, когда сотруднику "в поле" потребуется иметь доступ к корпоративным данным вследствие низкой пропускной способности канала или полного отсутствия сетевого подключения, а значит должна быть возможность защищенно хранить корпоративные данные локально на персональных мобильных устройствах.
Безопасно передаем данные с личного устройства?
В качестве решения этой проблемы предлагается использовать DLP-агенты, которые, как правило, перенаправляют все почтовые коммуникации через VPN-туннель в офисную сеть организации, где для контроля контента почты используется DLP-шлюз. Другой вариант, применимый в ограниченном сегменте критически важных ИС, – дорогостоящие "защищенные телефоны", которые, по сути, есть специализированные программно-аппаратные MDM-решения на базе урезанной версии Android.
Здесь надо четко понимать, что надежное функционирование DLP-агентов также не гарантировано: отключив не защищенный на уровне ОС DLP-агент, пользователь отключит и контроль передаваемых данных. Кроме того, сетецентричные DLP-решения, стоящие за корпоративными шлюзами и VPN-туннелями, во многих продуктах ограничены функцией мониторинга почтовых коммуникаций, а для протоколов MAPI и Lotus и вовсе неприменимы: проприетарное шифрование в этих протоколах принципиально исключает возможность анализа содержимого почтовых сообщений после их отправки. В случае MAPI и Lotus анализ контента возможен только до момента отправки, что требует использования агентской DLP-архитектуры и перехвата сообщений посредством внедрения собственного кода в адресное пространство процессов почтового клиента.
Смотрим, но ничего не трогаем?
А можно ли сделать так, чтобы пользователь на личном устройстве не хранил и не мог хранить корпоративные данные, но имел бы возможность пользоваться почтой и другими корпоративными приложениями? Да еще и чтобы не мог перекидывать защищаемые данные из корпоративных ИС и почты на карту памяти или в другие приложения через буфер обмена? Можно.
Такой подход реализуется посредством предоставления удаленного доступа к корпоративным серверам в целом и служебной почте в частности – через терминальные сессии. Стерильная рабочая среда, предоставленная через терминальный доступ, должна содержать ограниченный набор приложений и бизнес-инструментарий, необходимый и достаточный для выполнения сотрудниками их служебных задач. Почтовый клиент для работы с корпоративной почтой публикуется как виртуализованное приложение: например, в среде Citrix XenApp пользователь может работать с почтовым клиентом с любого устройства, включая мобильные. Для этого на личном устройстве самим пользователем или ИТ-подразделением организации устанавливается терминальный клиент (например, Citrix Receiver) или же вместо него может использоваться любой Web-браузер, поддерживающий HTML5.
На стороне пользователя в организационном плане модель доступа к почтовому клиенту через терминальную сессию реализуется достаточно просто: Citrix Receiver доступен и в App Store, и в Play Market, устанавливается и настраивается элементарно, инструкцию можно сделать понятной даже для чайников.
В итоге пользователь работает не с данными напрямую, а с картинкой как результатом обработки данных на стороне корпоративного сервера. Разумеется, работать с полноценным почтовым клиентом на миниатюрном смартфоне будет невозможно. Но если взять в качестве виртуализованного почтового клиента более компактное в плане насыщенности разными интерфейсными элементами приложение, вооружиться устройством с качественным экраном большей диагонали, то ситуация резко изменяется. На экране планшета даже полноценный Outlook становится действительно пригодным для использования. А если уж сотруднику по роду деятельности нужен мобильный доступ к почтовым коммуникациям, почему бы не обеспечить его приличным планшетом или легким ультрабуком? Это еще и дешевле, чем специализированные смартфоны с урезанной прошивкой.
Остается вопрос: что делать с буфером обмена и перенаправляемыми устройствами? Ведь данные из почты или с корпоративного файл-сервера можно, например, через clipboard перекинуть на личное устройство, сохранить на карте памяти, переслать через другое сетевое приложение... Среды терминального доступа позволяют в какой-то степени ограничить использование перенаправленных устройств и буфера обмена, однако, как правило, решают эту задачу довольно грубо, без гибкости по отношению к пользователям и без учета содержимого потоков данных внутри терминальной сессии.
Для решения этой задачи следует использовать специализированное решение класса DLP, обеспечивающее контроль перенаправленных в терминальную сессию устройств и буфера обмена данными между терминальным сервером (виртуальной средой или приложением) и клиентским устройством, а также анализ содержимого передаваемых данных.
Вторая важная задача для DLP-системы – контроль сетевых коммуникаций (в частности, почты), исходящих из приложений в среде виртуализации. DLP-система должна выполнять перехват почтовых сообщений, передаваемых файлов и данных и в режиме реального времени осуществлять проверку контекста (наличие вложений, проверку почтовых идентификаторов) и контента (содержимого писем и вложений) сообщений на их соответствие DLP-политикам, заданным для пользователя.
В случае выявления нарушения операция передачи данных ограниченного доступа должна быть заблокирована в целях предотвращения их утечки, при этом должна создаваться соответствующая запись в журнале, теневая копия передаваемого сообщения с вложениями, тревожное оповещение.
Полноценный DLP-агент, установленный на терминальном сервере или в виртуальной рабочей среде, позволит обеспечить исполнение функций контроля непосредственно в точке возникновения трафика, а значит, и перехват, и защиту данных до их шифрования проприетарными протоколами как в почте, такой, например, как MAPI, так и в мессенджерах (например, Private Conversations в Skype). Кроме того, только в агентской модели DLP-системы возможна проверка содержимого данных, передаваемых через буфер обмена и съемные накопители, перенаправленных с личного устройства в терминальную сессию рабочего стола или приложения.
И это все?
Итак, одним из наиболее эффективных решений по защите данных в концепции BYOD является предоставление доступа к информационным активам компании через удаленное подключение. В этом случае BYOD-устройство использует корпоративные данные без локального хранения их на устройстве, строго в рамках терминальных сессий с подключением к серверам компании, которые, в свою очередь, защищены DLP-системой, функционирующей на терминальном сервере или в виртуальных Windows-средах. Такой подход называется Virtual Data Leak Prevention (Virtual DLP) и включает в себя выполнение ключевых задач безопасности:
- безопасная обработка данных – исключена локальная обработка данных на BYOD-устройствах;
- безопасное хранение данных – защищаемые корпоративные данные могут быть доступны только в виртуальной среде;
- контроль передачи данных – DLP-система, функционирующая в виртуальной среде, обеспечивает контентную фильтрацию содержимого файлов и данных, проходящих через коммуникационные каналы, и контекстный контроль каналов.
Внимательный читатель спросит: так что, автор предлагает установить DLP-систему на терминальный сервер, и проблема BYOD будет решена? Нет, разумеется. DLP здесь только одно из слагаемых эффективной защиты, которая, в свою очередь, может быть эффективной только в случае применения комплекса технических и организационных средств. К тому же выше автор уже упоминал, что даже самые уязвимые MDM-решения порой необходимы, ведь связь с терминальными серверами не всегда возможно обеспечить.
Эффективный комплекс для обеспечения защиты от утечки информации с BYOD-устройств должен включать в себя MDM-систему для контроля локальных приложений на устройствах, удаленного уничтожения данных, обеспечения надежной парольной защиты устройства и шифрования данных и т.п., приложение для удаленного подключения мобильного устройства через Интернет к виртуальной среде (например, Citrix Receiver), защищенный VPN-туннель, виртуальную рабочую среду и/или виртуализованное приложение, в которых доступны необходимые для работы приложения и данные; и, наконец, DLP-систему, обеспечивающую собственно предотвращение утечек данных, будучи интегрированной в виртуальную рабочую среду в целях контроля доступных в этой виртуальной среде каналов передачи данных (электронная почта, Web-сайты, мессенджеры, канал печати, перенаправленные в виртуальную среду устройства, буфер обмена).
При этом для большинства сценариев "полная" модель Virtual DLP является более надежной и компромиссной, нежели реальный риск потерять данные ограниченного доступа вследствие применения только одной из составляющих вышеописанного комплекса и, как следствие, столкнуться с риском утечки данных и следующих за ней проблем.
