Тенденция BYOD продолжает набирать популярность, причем теперь уже на двух уровнях — пользовательском и корпоративном. Активный переход к BYOD неминуемо порождает спрос на новый ИТ-инструментарий — средства для защиты корпоративной информации на личных портативных устройствах сотрудников.
Наиболее серьезные опасения у предприятий и организаций вызывает риск утечки и несанкционированного доступа к конфиденциальным корпоративным данным. К примеру, среди причин увеличения количества утечек в госсекторе в 2012 году специалисты аналитического центра InfoWatch назвали массовое использование мобильных устройств, к которому службы информационной безопасности государственных и муниципальных организаций по всему миру оказались явно не готовы. В случае, когда риски оборачиваются реальными инцидентами, компании несут серьезные финансовые потери: если стоимость утечки одной записи персональных данных для России и составляет около 2500 руб., то совокупные потери компаний при этом выше в десятки раз. Например, компании финансового сектора в результате утечки 1000 записей персональных данных теряют в среднем около 150 млн руб. Поэтому защита от угроз BYOD стала настоящим вызовом для специалистов по информационной безопасности.
К защите от утечек через личные портативные устройства сотрудников следует подходить так же серьезно, как и к построению общей системы информационной безопасности в компании. Необходимо провести классификацию данных, определить, какая информация является конфиденциальной, а какая — публичной. Затем нужно составить модель угроз и модель нарушителя и соответствующим образом разработать политику безопасности. Например, документы для служебного пользования будут доступны гораздо более широкому кругу лиц, чем конфиденциальные данные. На заключительном этапе следует довести правила политики безопасности до сотрудников и, если это необходимо, провести обучение.
Ключевые угрозы мобильности
Большинство аналитических агентств считают, что одну из самых серьезных угроз для безопасности бизнеса сегодня представляют потеря и кража портативных устройств, в особенности корпоративных ноутбуков. Возможно, воров привлекают сами устройства, но в результате их добычей часто становятся и конфиденциальные данные компаний. Наиболее надежным способом сокращения этих рисков является шифрование информации, хранящейся на корпоративном или личном ноутбуке сотрудника — такую функциональность уже предлагает ряд отечественных и зарубежных вендоров. Речь идет о шифровании в фоновом, абсолютно незаметном для пользователя режиме (так называемое прозрачное шифрование), и в случае попадания устройства «не в те руки» данные в зашифрованном виде не будут иметь для злоумышленника никакой ценности.
Другая серьезная проблема служб информационной безопасности — угроза инсайда, причем как злонамеренного, так и обусловленного неинформированностью или небрежным отношением пользователей к политикам ИБ. На фоне всеобщего признания актуальности данных рисков российский рынок DLP, согласно данным компании Anti-Malware.ru, вошел в фазу быстрого роста и в ближайшие пару лет будет расти на десятки процентов в год.
Защита информации от утечек в результате внутренних угроз условно сводится к двум методам: ограничение доступа к корпоративным данным и отслеживание трафика (с помощью копирования или блокирующего режима работы, так называемой работы в разрыв). Очевидно, что наибольшая эффективность достигается при их совокупном использовании, для чего и применяются функциональные возможности DLP-систем.
Требования к архитектуре DLP в эпоху мобильности
Самая правильная с нашей точки зрения концепция защиты от утечек с мобильных устройств основана на перенаправлении трафика с мобильных устройств в домашнюю VPN-сеть и его анализе средствами DLP-системы в рамках корпоративной сети. Разумеется, наиболее эффективное использование такого решения возможно только при наличии соответствующих политик ИБ — в частности, использования соединений HTTP, HTTPS, SMTP исключительно посредством подключения по VPN к корпоративной локальной сети.
Пока подобные решения преимущественно ориентированы на пользователей устройств компании Apple. Единственной, но очень серьезной проблемой этих решений являются системные ограничения платформы iOS, которые не допускают использования агентов, что не дает полной гарантии выполнения политики ИБ по использованию VPN. Сотрудник может скопировать корпоративную информацию на устройство и, отсоединившись от сети VPN, в дальнейшем использовать ее по своему усмотрению, поэтому до сих пор наиболее безопасным является создание мобильных рабочих мест на базе привычных ноутбуков.
Системы контроля информационных потоков должны действовать комплексно и охватывать максимальное количество возможных каналов утечки, одновременно обеспечивая гибкость настройки для соответствия требованиям принятых в компании регламентов, отраслевых стандартов и регулирующих норм российского законодательства в сфере ИБ. Для решения данных задач разработаны и успешно применяются на практике технологии защиты конфиденциальной информации от утечки и несанкционированного распространения. Такого рода системы обычно состоят из шлюзовой части и агента для защиты информации на рабочих станциях.
Системы защиты конфиденциальной информации отслеживают и анализируют данные, отправляемые за пределы организации через корпоративную и веб-почту, Интернет (в том числе по защищенному протоколу HTTPS), а также системы мгновенного обмена сообщениями и Skype. Кроме того, они позволяют руководителю службы безопасности контролировать отправку файлов на принтеры и копирование информации на съемные носители. При обнаружении нарушения политики безопасности процесс передачи документа и данных может быть заблокирован.
Технологии DLP дают возможность с высокой точностью детектировать конфиденциальную информацию и определять тематику документов и сообщений, передаваемых за пределы организации, в том числе с портативных устройств. Правда, на такое способны лишь немногие системы, в основе которых лежит комплексный гибридный анализ, включающий лингвистический анализ, технологию эталонных документов, анализатор шаблонов. Использование гибридного анализа максимально повышает надежность и точность выявления конфиденциальной информации, что способствует более эффективной ее защите.
Лингвистический анализ осуществляется с использованием базы контентной фильтрации, учитывающей особенности отраслевой специфики компании. База контентной фильтрации представляет собой иерархически организованный список (дерево) категорий с произвольным количеством вложенных уровней. Она содержит слова и выражения, наличие которых в документе позволяет определить тематику и степень конфиденциальности информации.
Технология эталонных документов работает по следующему принципу: на этапе настройки системы формируется база конфиденциальных документов (устав компании, реестр держателей акций, финансовые документы, любые виды отчетов и пр.), для них затем создаются цифровые отпечатки, включаемые в базу эталонных документов. Данная технология предназначена для защиты больших по объему документов, содержание которых не изменяется или меняется незначительно. Детекторы цифровых отпечатков позволяют автоматически обнаруживать в анализируемом тексте цитаты из документов-образцов. В целях максимально надежной защиты персональных данных, хранимых и обрабатываемых компанией, могут использоваться технологии, определяющие передачу по сетевым каналам страниц паспорта гражданина РФ и анкет, содержащих персональные данные.
Системы защиты конфиденциальной информации также могут фиксировать эталонные выгрузки из баз данных и помогают оперативно реагировать на передачу информации, определять нарушителя, предотвращать выход данных за пределы организации и использовать цифровые доказательства по инциденту в случае расследования или судебного преследования. Для отслеживания перемещений официальных документов, имеющих юридическую силу, применяется технология, детектирующая изображения эталонных печатей в передаваемом файле.
Входящие в состав DLP-решений анализаторы шаблонов предназначены для детектирования объектов по шаблону данных (маске) и позволяют наиболее эффективно выявлять факты пересылки персональных данных или финансовой информации, в том числе номера кредитных карт, паспортов, идентификационные коды банков, международные идентификационные коды ценных бумаг и т. п.
Совокупное применение перечисленных технологий позволяет с максимальной точностью находить конфиденциальные данные в общем хранилище неструктурированной информации, определять тип и тематику информации. Вся перехваченная информация сохраняется в системном хранилище, которое используется для ретроспективного анализа при расследовании инцидентов и сборе доказательной базы.
Система защиты данных от внутренних угроз компании должна отвечать таким требованиям, как централизованная установка и администрирование и, что еще важнее, производительность и отказоустойчивость. Однако любая, даже самая лучшая система не является панацеей. Средства защиты информации необходимо применять комплексно, в том числе вместе с административными мерами. Только тогда угроза утечек корпоративных данных через персональные устройства сотрудников может снизиться и тенденция BYOD перестанет быть «головной болью» офицеров безопасности.
Андрей Данкевич, руководитель отдела аналитики и специальных проектов компании InfoWatch;
Andrey.Dankevich@infowatch.com