IT ExpertКак это сделатьВ помощь руководителю

Мобильные шпионы: найти и обезвредить

Яков Гродзенский | 27.09.2017

ВКонтакт Facebook Google Plus Одноклассники Twitter Livejournal Liveinternet Mail.Ru

Мобильные шпионы: найти и обезвредить

Классический подход к обеспечению информационной безопасности в нынешних условиях спасает лишь от небольшой части угроз. Корпоративные данные обрабатываются на огромном количестве разнообразных устройств (включая личные), и традиционная концепция защиты периметра с установкой антивирусных программ на компьютерах сотрудников стремительно устаревает.  Смартфоны и планшеты имеют широкополосный доступ в интернет откуда угодно, что автоматически расширяет периметр до размеров всей планеты.

Стоит пользователю выйти за пределы корпоративной сети, и его возможности становятся почти безграничными, а жёсткий контроль доступа к данным внутри защищённого периметра — практически бесполезным. Без специальных решений вы не контролируете обработку информации на мобильном устройстве. А это значит, что злоумышленник всегда сможет переслать сохранённые файлы через общедоступный почтовый сервер или, скажем, просто скачать их на домашний компьютер по кабелю USB.

Современные средства должны обеспечивать безопасность на всех этапах работы с информацией и сегодня мы попробуем разобраться с актуальными способами предотвращения опасных для бизнеса утечек. Угрозы могут быть самыми разными: внутренний шпионаж (сотрудники-инсайдеры), целевые внешние атаки, просто удары по площадям с рассылкой фишинговых писем и зловредов или даже скачанные из официальных магазинов мобильные приложения с недокументированными возможностями — ваша система безопасности должна пресечь любые попытки неправомочного доступа к информации.

MDM, MCM и DLP

Для начала, конечно, необходимо иметь систему класса EMM (Enterprise Mobility Management), сочетающую функциональность MDM (от англ. Mobile device management), MAM (от англ. Mobile Application Management) и MCM (от англ. Mobile Content Management). Первая обеспечивает безопасный доступ к корпоративной информации (защищённые криптоконтейнеры, шифрование трафика в связке с клиентом VPN), но не позволяет анализировать передаваемые данные. Вторая позволяет создать белый и черный список приложений, обезопасив пользователей от маскирующихся под обычные приложения программ, крадущих данные, а также от использования пользователями теневых функций просмотрщиков файлов, позволяющих отправлять файлы в облачные хранилища. Третья, хоть и осуществляет контентную фильтрацию трафика, утечки данных определить не в состоянии.

Тут нам на помощь приходят DLP-решения: в связке со смежными продуктами (MDM и MCM) они могут, например, запретить отправку файлов в сторонние облачные хранилища, заставить пользователя работать через прокси, на котором настроены политики безопасности. У многих вендоров эти продукты связаны очень тесно и фактически являются частями интегрированного решения. Это уже не просто запрещающие доступ к определённым ресурсам системы фильтрации. Благодаря наличию DLP они могут глубже анализировать трафик и позволяют настраивать более тонкие правила, срабатывающие при попытках неправомерного обмена конфиденциальной информацией.

На российском рынке DLP в 2015 году лидировали отечественные компании: InfoWatch (1,46 млрд руб.), Solar Security (821 млн руб.) и SearchInform (703 млн руб.). Во вторую тройку попали компании Zecurion (652 млн руб.), DeviceLock (572 млн руб.) и «МФИ Софт» (139 млн руб.). Иностранным разработчикам существенную долю нашего рынка DLP занять не удалось.

 img

Агентские и безагентские системы

Все DLP-решения можно условно разделить на два класса. Традиционные продукты не требуют установки специального агентского ПО на мобильные устройства, что ограничивает их возможности только анализом данных, что называется, в движении. Повторюсь, на своём телефоне или планшете пользователь (или вредоносная программа) может делать что угодно и как только он уходит из защищённого периметра, мобильный трафик становится недоступным для изучения.

Один из примеров DLP-решений – InfoWatch Traffic Monitor. Система распознаёт в потоке данных конфиденциальные документы даже по небольшому отрывку, предотвращает их утечку и защищает бизнес от действий внутренних злоумышленников и программ-шпионов. Решение контролирует электронную почту, веб-сёрфинг, средства общего доступа к файлам, системы обмена мгновенными сообщениями (включая SMS), голосовой трафик, использование внешних носителей и портов, а также доступ к микрофону и камере, снимки экрана и печать на локальных и сетевых принтерах. Таким образом, InfoWatch Traffic Monitor позволяет выявить мошенников, нелояльный персонал и находящихся в поиске работы сотрудников.

Эффективны только DLP-решения, предполагающие установку на устройство специального агентского ПО: они контролируют не только трафик внутри корпоративной сети, но и происходящие на устройстве события, что даёт нам возможность управлять политикой использования на нем корпоративной информации. Помимо прочего такие решения принудительно перенаправляют интернет-трафик через специальный корпоративный прокси-сервис вне зависимости от местонахождения телефона или планшета — это может создать пользователю некоторые неудобства, но позволят ему из любой точки планеты работать с корпоративными ресурсами «как в офисе» по защищённому каналу.

Solar Dozor (бывш. «Дозор-джет») — DLP-система, контролирующая коммуникации сотрудников, выявляющая ранние признаки корпоративного мошенничества и позволяющая проводить расследование инцидентов ИБ. Система решает классические задачи по мониторингу, фильтрации и анализу каждого сообщения на наличие конфиденциальной информации. Для выявления корпоративного мошенничества Solar Dozor накапливает переписку сотрудников, профилирует их действия с использованием статистических методов и в режиме реального времени контролирует даже незначительные аномалии в поведении персонала.

Для удалённого анализа хранящейся на устройстве информации нужен агент. Для контроля информации, которая с мобильного устройства распечатывается на домашний принтер, например, через Bluetooth, также нужен агент. Чтобы управлять политиками безопасности на мобильном устройстве и блокировать возможность отправки с него данных — снова нужен агент (в сочетании с корпоративным прокси-сервером или сервисом VPN). Безагентские DLP только анализируют входящий и исходящий трафик, они не позволяют контролировать действия пользователя на самом устройстве и если он скопирует данные на телефон — передать их наружу станет делом техники. По сути, такие системы реализуют старую концепцию защищённого периметра, которая давно устарела и не способна справиться с современными вызовами.

img

Проблемы и решения

Если на устройстве обрабатываются коммерческие данные, происходящее на нем необходимо контролировать — иначе никто не помешает инсайдеру (или шпионскому ПО) использовать украденную информацию сотней разных способов. Нам нужно решение, контролирующее не только трафик в пределах защищённого периметра, но для полноценного управления функциями мобильного устройства агентскому ПО требуется джейлбрейк в iOS или получение прав root в Android, что может создать определённые проблемы с обновлением прошивок.

Если вспомнить о личных телефонах и планшетах сотрудников, установка специальных приложений часто становится невозможный — убедить человека добровольно поставить на собственное устройство фактически шпионскую программу будет непросто. Тем более, эта программа может создавать ему определенные неудобства, вроде запрета пользоваться публичным Wi-Fi или передавать файлы через Bluetooth.

Есть также связанные с неприкосновенностью частной жизни вопросы, но юридические нюансы мы не будем обсуждать подробно. Их нужно так или иначе урегулировать и одним из выходов здесь является заключение договора: нужно, чтобы сотрудник официально подтвердил согласие на установку технических средств контроля. У компании также должны быть регулирующие работу с корпоративными данными внутренние акты: если их нет, то при обнаружении попыток отправки конфиденциальной информации куда-либо могут возникнуть сложности с доказательной базой. Лучше всего, конечно, использовать для работы корпоративные телефоны вместо личных — это снимает множество юридических и технических вопросов.

Журнал IT-Expert № 09/2017    [ PDF ]    [ Подписка на журнал ]

Об авторах

Яков Гродзенский

Яков Гродзенский

Руководитель направления информационной безопасности компании «Системный софт»

Мероприятия

23.09.2018 — 25.09.2018
XII Конгресс "Подмосковные вечера"

Москва, Атлас Парк Отель. Домодедово, Судаково, 92,

26.09.2018
Loginom Day 2018: продвинутая аналитика, легкая в приготовлении

Москва, event-холл «Инфопространство»

02.10.2018 — 03.10.2018
Открытая конференция для бизнеса и ИТ «ACCELERATE»

Москва, Краснопресненская набережная, 14 Экспоцентр

02.10.2018
Практики построения современного трейдинга

Москва, Арарат Парк Хаятт, зал Саргсян

04.10.2018 — 05.10.2018
БИТ Санкт-Петербург 2018

Санкт-Петербург, проспект Медиков, дом 3, Конгресс-центр «ЛПМ»