Контакты
Подписка 2022
МЕНЮ
Контакты
Подписка

Bring Your Own Device... и ничего не трогай?

Сергей Вахонин, 11/06/19

 

 

Смотри – но не смей трогать,
трогай – но не пробуй на вкус,
пробуй – но не смей глотать.
К/ф "Адвокат дьявола"

vakhoninШирокое распространение концепции Bring Your Own Device (BYOD, использование персональных устройств в рабочих целях) уже привело к резкому повышению мобильности работников, когда они активно используют персональные мобильные устройства для работы с почтой и корпоративной информацией. Однако с точки зрения обеспечения ИБ возникает дилемма между предоставлением доступа к служебной почте и корпоративной информации и обеспечением ее защиты при использовании на мобильных устройствах.

 

Работаю везде на своем устройстве, в чем проблемы, шеф?

Очевидно, что использовать установленные на личных планшетах и смартфонах мессенджеры и почтовые клиенты для рабочих коммуникаций (чатов и переписки) – удобно, но не безопасно. В то время как эти же коммуникации у ответственной службы ИБ так или иначе контролируются и защищаются на полноценных рабочих станциях, при использовании личных устройств возникает целый ряд проблем: проблема доступа к корпоративным серверам и ресурсам с неконтролируемых устройств, вопрос предоставления доступа к актуальной конфиденциальной информации, проблема безопасного хранения корпоративных данных на личных устройствах, т.е. целый комплекс рисков. Попытка "завернуть" трафик с мобильного устройства через контролируемый корпоративный шлюз не всегда реализуема, ведь мы же говорим о личных устройствах. Кроме того, оно еще и может быть использовано как точка доступа, что дает сотруднику шанс обойти корпоративные сетевые средства ИБ. Да, контролировать коммуникации с личных устройств в целях защиты корпоративной информации от утечки или утраты крайне тяжело. В то же время информационный обмен должен быть контролируемым, или же возникают вопросы по уровню и степени доверия и ответственности за утечки.

Что делать? Запрещать? Это непродуктивно, резко падает и производительность труда, и лояльность сотрудников. Да и с реализацией запрета тоже возникают вполне понятные трудности.

Махнуть рукой и допустить риски как неизбежные, заодно и не связываться с личной собственностью? Однако устройство-то личное, а вот данные, которые могут через него проходить, вполне так себе корпоративные и не принадлежат сотруднику ни в каком смысле, а следовательно обязаны быть под контролем и защитой службы ИБ. В конце концов, не стоит решать утопичную задачу "устранить утечки раз и навсегда", надо решать задачу сведения риска утечек до приемлемого минимума.

Ограничивать и контролировать? Видимо, да. Но что и как? Устанавливать специализированные ИБ-решения на личные устройства сотрудников? Это и технически выглядит не самой тривиальной задачей, а есть еще и организационная, и правовая стороны вопроса. Нарушает ли такая установка права сотрудника как гражданина? Имеет ли работодатель права и возможности отслеживать все личные устройства сотрудников (сегодня одно, завтра другое...)? Есть вариант с предоставлением корпоративных мобильных устройств, как правило, морально и технически устаревших;  мало кому во времена демонстрации атрибутов статусности и успеха ради захочется вынимать из кармана непонятный смартфон зеленого цвета с урезанным набором приложений.

Итак, любая служба безопасности, будучи действительно, а не на словах, обеспокоенной безопасностью корпоративных данных на мобильных устройствах, внимательно смотрит в сторону специализированных решений для BYOD-устройств в целях обеспечения безопасности корпоративных данных. Рынок, в свою очередь, предлагает множество самых разнообразных решений: Mobile Device Management (MDM), средства шифрования для мобильных ОС, решения класса Application Wrapper, в которых технологии изолирующих контейнеров для мобильных приложений позволяют обеспечить защиту информации при утере мобильного устройства, а все почтовые коммуникации корпоративных приложений – перенаправить через VPN-туннель в офисную сеть организации, где для контроля контента "контейнерной" почты используется DLP-шлюз.

Независимо от принятого решения о допустимости применения BYOD-устройств в организации или их запрете стоит задача либо контролировать попавшие на персональное устройство корпоративные данные и их дальнейшее движение, либо обеспечить невозможность неконтролируемого хранения и попадания данных на устройство.

Безопасно храним данные на личном устройстве?

Действительно, системы класса Mobile Device Management (MDM) предлагают удаленное обновление политик безопасности (без подключения к корпоративной сети), распространение приложений и данных, управление конфигурацией для обеспечения всех устройств необходимыми ресурсами. Часто указывается также способность самоуничтожения всего программного обеспечения и данных с мобильного устройства в случае злонамеренного неавторизованного удаления с него MDM-приложения. Однако до того момента, пока на BYOD-устройствах не появятся действительно многопользовательские операционные среды с поддержкой низкоуровневых интерфейсов для доступа СЗИ независимых производителей, реальные возможности MDM-решений по контролю исходящих потоков данных на мобильных устройствах остаются принципиальной проблемой.

Сильными сторонами MDM-систем являются такие функции, как надежная парольная защита устройства, шифрование встроенной памяти и карт хранения данных либо "контейнеризация" данных приложений, управляемое уничтожение данных с устройства в случае потери или кражи. Однако же на практике по крайней мере функцию удаленного уничтожения данных можно реализовать только при условии, что устройство появится в Сети и будет обнаружено управляющей частью MDM-системы – т.е. приходится полагаться на удачу или низкую техническую квалификацию вора или человека, нашедшего такое "защищенное" мобильное устройство, и на то, что при этом корректно сработают функции шифрования и парольной защиты. Мимоходом напомню и о задаче резервного копирования данных, принадлежащих компании. Если новые документы и данные создаются на BYOD-устройстве, организация вынуждена полагаться на сознательность сотрудника, надеясь, что он самостоятельно позаботится о создании резервных копий.

Уже сама практика хранения данных на BYOD-устройствах порождает риск утечки данных, независимо от наличия на устройстве агента MDM-системы. Данные ограниченного доступа могут быть попросту отправлены непосредственно с мобильного устройства по сетевым каналам (почта, социальные сети, мессенджеры) или на подключаемые внешние устройства печати и хранения данных (большинство смартфонов отлично дружит с дополнительными картами памяти).

Означает ли все вышесказанное, что MDM-решения не нужны или бесполезны? Конечно, нет. Более того, в некоторых случаях будет предпочтительнее использовать именно MDM-системы для защиты данных на мобильных устройствах, например в сценариях, когда сотруднику "в поле" потребуется иметь доступ к корпоративным данным вследствие низкой пропускной способности канала или полного отсутствия сетевого подключения, а значит должна быть возможность защищенно хранить корпоративные данные локально на персональных мобильных устройствах.

Безопасно передаем данные с личного устройства?

В качестве решения этой проблемы предлагается использовать DLP-агенты, которые, как правило, перенаправляют все почтовые коммуникации через VPN-туннель в офисную сеть организации, где для контроля контента почты используется DLP-шлюз. Другой вариант, применимый в ограниченном сегменте критически важных ИС, – дорогостоящие "защищенные телефоны", которые, по сути, есть специализированные программно-аппаратные MDM-решения на базе урезанной версии Android.

Здесь надо четко понимать, что надежное функционирование DLP-агентов также не гарантировано: отключив не защищенный на уровне ОС DLP-агент, пользователь отключит и контроль передаваемых данных. Кроме того, сетецентричные DLP-решения, стоящие за корпоративными шлюзами и VPN-туннелями, во многих продуктах ограничены функцией мониторинга почтовых коммуникаций, а для протоколов MAPI и Lotus и вовсе неприменимы: проприетарное шифрование в этих протоколах принципиально исключает возможность анализа содержимого почтовых сообщений после их отправки. В случае MAPI и Lotus анализ контента возможен только до момента отправки, что требует использования агентской DLP-архитектуры и перехвата сообщений посредством внедрения собственного кода в адресное пространство процессов почтового клиента.

Смотрим, но ничего не трогаем?

А можно ли сделать так, чтобы пользователь на личном устройстве не хранил и не мог хранить корпоративные данные, но имел бы возможность пользоваться почтой и другими корпоративными приложениями? Да еще и чтобы не мог перекидывать защищаемые данные из корпоративных ИС и почты на карту памяти или в другие приложения через буфер обмена? Можно.

Такой подход реализуется посредством предоставления удаленного доступа к корпоративным серверам в целом и служебной почте в частности – через терминальные сессии. Стерильная рабочая среда, предоставленная через терминальный доступ, должна содержать ограниченный набор приложений и бизнес-инструментарий, необходимый и достаточный для выполнения сотрудниками их служебных задач. Почтовый клиент для работы с корпоративной почтой публикуется как виртуализованное приложение: например, в среде Citrix XenApp пользователь может работать с почтовым клиентом с любого устройства, включая мобильные. Для этого на личном устройстве самим пользователем или ИТ-подразделением организации устанавливается терминальный клиент (например, Citrix Receiver) или же вместо него может использоваться любой Web-браузер, поддерживающий HTML5.

На стороне пользователя в организационном плане модель доступа к почтовому клиенту через терминальную сессию реализуется достаточно просто: Citrix Receiver доступен и в App Store, и в Play Market, устанавливается и настраивается элементарно, инструкцию можно сделать понятной даже для чайников.

В итоге пользователь работает не с данными напрямую, а с картинкой как результатом обработки данных на стороне корпоративного сервера. Разумеется, работать с полноценным почтовым клиентом на миниатюрном смартфоне будет невозможно. Но если взять в качестве виртуализованного почтового клиента более компактное в плане насыщенности разными интерфейсными элементами приложение, вооружиться устройством с качественным экраном большей диагонали, то ситуация резко изменяется. На экране планшета даже полноценный Outlook становится действительно пригодным для использования. А если уж сотруднику по роду деятельности нужен мобильный доступ к почтовым коммуникациям, почему бы не обеспечить его приличным планшетом или легким ультрабуком? Это еще и дешевле, чем специализированные смартфоны с урезанной прошивкой.

Остается вопрос: что делать с буфером обмена и перенаправляемыми устройствами? Ведь данные из почты или с корпоративного файл-сервера можно, например,  через clipboard перекинуть на личное устройство, сохранить на карте памяти, переслать через другое сетевое приложение... Среды терминального доступа позволяют в какой-то степени ограничить использование перенаправленных устройств и буфера обмена, однако, как правило, решают эту задачу довольно грубо, без гибкости по отношению к пользователям и без учета содержимого потоков данных внутри терминальной сессии.

Для решения этой задачи следует использовать специализированное решение класса DLP, обеспечивающее контроль перенаправленных в терминальную сессию устройств и буфера обмена данными между терминальным сервером (виртуальной средой или приложением) и клиентским устройством, а также анализ содержимого передаваемых данных.

Вторая важная задача для DLP-системы – контроль сетевых коммуникаций (в частности, почты), исходящих из приложений в среде виртуализации. DLP-система должна выполнять перехват почтовых сообщений, передаваемых файлов и данных и в режиме реального времени осуществлять проверку контекста (наличие вложений, проверку почтовых идентификаторов) и контента (содержимого писем и вложений) сообщений на их соответствие DLP-политикам, заданным для пользователя.

В случае выявления нарушения операция передачи данных ограниченного доступа должна быть заблокирована в целях предотвращения их утечки, при этом должна создаваться соответствующая запись в журнале, теневая копия передаваемого сообщения с вложениями, тревожное оповещение.

Полноценный DLP-агент, установленный на терминальном сервере или в виртуальной рабочей среде, позволит обеспечить исполнение функций контроля непосредственно в точке возникновения трафика, а значит, и перехват, и защиту данных до их шифрования проприетарными протоколами как в почте, такой, например, как MAPI, так и в мессенджерах (например, Private Conversations в Skype). Кроме того, только в агентской модели DLP-системы возможна проверка содержимого данных, передаваемых через буфер обмена и съемные накопители, перенаправленных с личного устройства в терминальную сессию рабочего стола или приложения.

И это все?

Итак, одним из наиболее эффективных решений по защите данных в концепции BYOD является предоставление доступа к информационным активам компании через удаленное подключение. В этом случае BYOD-устройство использует корпоративные данные без локального хранения их на устройстве, строго в рамках терминальных сессий с подключением к серверам компании, которые, в свою очередь, защищены DLP-системой, функционирующей на терминальном сервере или в виртуальных Windows-средах. Такой подход называется Virtual Data Leak Prevention (Virtual DLP) и включает в себя выполнение ключевых задач безопасности:

  • безопасная обработка данных – исключена локальная обработка данных на BYOD-устройствах;
  • безопасное хранение данных – защищаемые корпоративные данные могут быть доступны только в виртуальной среде;
  • контроль передачи данных – DLP-система, функционирующая в виртуальной среде, обеспечивает контентную фильтрацию содержимого файлов и данных, проходящих через коммуникационные каналы, и контекстный контроль каналов.

Внимательный читатель спросит: так что, автор предлагает установить DLP-систему на терминальный сервер, и проблема BYOD будет решена? Нет, разумеется. DLP здесь только одно из слагаемых эффективной защиты, которая, в свою очередь, может быть эффективной только в случае применения комплекса технических и организационных средств. К тому же выше автор уже упоминал, что даже самые уязвимые MDM-решения порой необходимы, ведь связь с терминальными серверами не всегда возможно обеспечить.

Эффективный комплекс для обеспечения защиты от утечки информации с BYOD-устройств должен включать в себя MDM-систему для контроля локальных приложений на устройствах, удаленного уничтожения данных, обеспечения надежной парольной защиты устройства и шифрования данных и т.п., приложение для удаленного подключения мобильного устройства через Интернет к виртуальной среде (например, Citrix Receiver), защищенный VPN-туннель, виртуальную рабочую среду и/или виртуализованное приложение, в которых доступны необходимые для работы приложения и данные; и, наконец, DLP-систему, обеспечивающую собственно  предотвращение утечек данных, будучи интегрированной в виртуальную рабочую среду в целях контроля доступных в этой виртуальной среде каналов передачи данных (электронная почта, Web-сайты, мессенджеры, канал печати, перенаправленные в виртуальную среду устройства, буфер обмена).

При этом для большинства сценариев "полная" модель Virtual DLP является более надежной и компромиссной, нежели реальный риск потерять данные ограниченного доступа вследствие применения только одной из составляющих вышеописанного комплекса и, как следствие, столкнуться с риском утечки данных и следующих за ней проблем.

 

 

 

Темы:DeviceLockСмарт Лайн ИнкСергей ВахонинКонтроль доступаBYOD
Статьи по той же темеСтатьи по той же теме

  • Bring Your Enterprise Home. Кибербезопасность корпоративного уровня дома у сотрудников
    Кент Лэндфилд, Главный специалист по разработке политики стандартов и технологий компании McAfee
    Важно переосмыслить безопасность домов и квартир, а также разработать стандарты их защиты
  • Что такое IAM и как его выбрать?
    Михаил Ванин, Генеральный директор “РЕАК СОФТ”
    Раннее внедрение IAM позволит избежать появления приложений, вход в которые требовал бы лишних усилий. На что в сервисах IAM стоит обратить внимание?
  • Кто контролирует контролера?
    Об особенностях контроля привилегированных пользователей на промышленных предприятиях, а также о сложностях внедрение и результатах редакции журнала Information Security рассказал руководитель отдела информационных систем Группы компаний ЕПК – Николай Чуприн.
  • Цифровые отпечатки на страже персональных данных
    Сергей Вахонин, Директор по решениям DeviceLock, Inc. (“Смарт Лайн Инк”)
    Статья Сергея Вахонина, директора по решениям DeviceLock, Inc. ("Смарт Лайн Инк")

Хотите участвовать?

Выберите вариант!

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2022
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ

More...