Технология Virtual DLP для защиты корпоративных данных в стратегии BYOD

Технология Virtual DLP для защиты корпоративных данных в стратегии BYOD

Технология Virtual DLP для защиты корпоративных данных в стратегии BYOD

Одним из перспективных решений по защите данных в концепции BYOD является предоставление доступа к информационным активам компании через удаленное подключение. В этом случае BYOD-устройство использует корпоративные данные без локального хранения их на устройстве, строго в рамках терминальных сессий с подключением к серверам компании, которые в свою очередь защищены DLP-системой, функционирующей на удаленном сервере или в виртуальных Windows-средах, доступных в терминальной среде. Такой подход называется Virtual Data Leak Prevention (Virtual DLP), а данная статья посвящена описанию его возможностей и преимуществ.

Активное распространение стратегии Bring Your Own Device (BYOD, Использование персональных устройств в рабочих целях) по всем секторам экономики существенно ускоряет темпы «мобилизации» бизнес-процессов.

Нет никаких сомнений в том, что концепция BYOD скоро сделает «мобильной» значительную часть работников, когда они будут активно использовать персональные устройства – и в первую очередь мобильные устройства (смартфоны и планшеты), для работы с почтой и корпоративной информацией. Остановить этот процесс не только невозможно, но и контрпродуктивно для бизнеса - использование персональных устройств, как правило, повышает работоспособность и производительность труда сотрудников, облегчает их мобильность, упрощает возможность практического использования корпоративных данных в различных ситуациях.

Это означает, что многие компании поставлены перед необходимостью искать разумный баланс между мобильностью сотрудников и информационной безопасностью бизнеса, решая ряд новых задач, связанных с эффективностью управления персональными устройствами и обеспечением безопасности их применения.

Любая служба безопасности, будучи обеспокоенной безопасностью корпоративных данных на мобильных устройствах, внимательно смотрит в сторону специализированных решений для BYOD-устройств (прежде всего для мобильных платформ) и систем управления персональными мобильными устройствами в целях обеспечения безопасности корпоративных данных. Рынок, в свою очередь, предлагает множество самых разнообразных программных и аппаратных решений, наиболее заметными и «раскручиваемыми» при этом являются решения класса Mobile Device Management (MDM).

Для решения ряда задач безопасности BYOD-устройств рынку было предложено множество самых разных «BYOD-стратегий», но вследствие ложного маркетингового «шума», генерируемого конкурирующими производителями, многие BYOD-стратегии, представляемые рынку как наиболее эффективные, таковыми не являются. В частности, в области BYOD-управления был популяризован целый ряд мифов и заблуждений относительно того, что делает программу внедрения BYOD-устройств в бизнес-практику предприятия безопасной и успешной.

Перечислим наиболее распространенные мифы в стратегиях BYOD:

  1. Системы класса Mobile Device Management (MDM) предоставляют полное решение проблем безопасности в BYOD
  2. Важные корпоративные данные могут безопасно храниться и создаваться непосредственно на персональных устройствах
  3. Решения класса Mobile Device Management (MDM) равноценны решениям класса Data Leak Prevention (DLP)

Действительно, системы класса Mobile Device Management (MDM) позволяют удаленно (централизованно) управлять множеством мобильных устройств, будь то устройства, предоставленные сотрудникам компанией или собственные устройства сотрудников. Такое управление обычно включает в себя такие функции, как удаленное обновление политик безопасности (без подключения к корпоративной сети), распространение приложений и данных, управление конфигурацией для обеспечения всех устройств необходимыми ресурсами.

Некоторые MDM-решения содержат встроенную «мину» – способность самоуничтожения всего программного обеспечения и данных с мобильного устройства в случае злонамеренного неавторизованного удаления с него MDM-приложения.  Однако до того момента, пока на BYOD-устройствах не появятся полностью независимые операционные среды (бизнес, персональная, среда производителя и т.п.), сегментированные на физическом уровне и снабженные низкоуровневыми интерфейсами для доступа СЗИ независимых производителей, ограниченность возможностей MDM-решений по контролю исходящих потоков данных на мобильных устройствах останется принципиальной проблемой, обсуждения которой MDM-вендоры старательно избегают, а для имитации решения проблемы используют «заплатки» типа вышеупомянутых встроенных «мин».

Сильными сторонами MDM-систем являются такие функции, как надежная парольная защита устройства, шифрование встроенной памяти и карт хранения данных, либо «контейнеризация» данных приложений, управляемое уничтожение данных с устройства в случае потери или кражи. Однако же на практике по крайней мере функцию удаленного уничтожения данных можно реализовать только при условии, что устройство появится в Сети и будет обнаружено управляющей частью MDM-системы – т.е. приходится полагаться на удачу или низкую техническую квалификацию вора или человека, нашедшего такое «защищенное» мобильное устройство, и на то, что при этом корректно сработают функции шифрования и парольной защиты.

Рассматривая миф о безопасности хранения и создания данных на BYOD-устройствах, стоит помнить, что задача обеспечения безопасности корпоративных данных на персональных устройствах стоит не только в связи с коммерческой необходимостью защиты корпоративных наработок, сведений, персональных данных сотрудников и т.п. – но и в силу требований различных законодательных и нормативных актов.  В реальности уже сама практика хранения данных на BYOD-устройствах порождает риск утечки данных, независимо от наличия на устройстве агента MDM-системы. Данные ограниченного доступа могут быть попросту отправлены непосредственно с мобильного устройства по сетевым каналам (почта, социальные сети, мессенджеры, …) или на подключаемые внешние устройства печати и хранения данных. Другая связанная с этим мифом проблема – резервное копирование данных, принадлежащих компании. Если новые документы и данные создаются на персональном устройстве, организация вынуждена полагаться на сознательность сотрудника, надеясь, что он самостоятельно позаботится о создании резервных копий или своевременно проведет синхронизацию устройства с рабочим компьютером в офисе для последующего обеспечения резервного копирования надлежащим образом на корпоративном уровне.

Некоторые разработчики MDM-систем заявляют, что их решения обеспечивают полноценную защиту от утечек данных в силу наличия функций шифрования и уничтожения данных на устройстве. Однако же рассматривать MDM-системы как равноценные DLP-системам некорректно уже в силу существования довольно четкого определения термина Data Leak Prevention, установленного отраслевыми аналитиками. DLP-решение должно быть способно анализировать данные в состояниях «Передаваемые данные» (data-in-motion), «Используемые данные» (data-in-use), и/или «Хранимые данные» (data-at-rest) по их содержимому. Указанные виды анализа данных, имеющие решающее значение для выполнения задач контроля, мониторинга и обеспечения целостности данных, попросту отсутствуют в современных MDM-системах.

Наиболее эффективным решением безопасности данных для устройств BYOD является предоставление доступа к информационным активам компании через удаленное подключение BYOD-устройств через терминальные сессии к виртуальным или физическим Windows-средам, которые в свою очередь защищены функционирующей на хосте, а не на BYOD-устройстве, DLP-системой, обеспечивающей предотвращение неконтролируемых утечек данных с хоста. Такой подход называется Virtual Data Leak Prevention (Virtual DLP). Коротко говоря, технология Virtual DLP предлагает контролируемое предоставление удаленного доступа к корпоративным данным в отличие от локального хранения данных на BYOD-устройствах в подходе MDM.

Подход Virtual DLP подразумевает выполнение ключевых задач безопасности:

  • Безопасная обработка данных – сотрудники при подключении к корпоративному порталу по безопасной сессии не используют приложения для локальной обработки данных на устройстве BYOD, либо возможность использования данных блокируется на контекстном уровне. Таким образом гарантируется, что корпоративные данные компании не будут распространены далее контролируемого устройства.
  • Безопасное хранение данных – защищаемые корпоративные данные могут быть доступны только в виртуальной среде, и в случае редактирования или иного изменения могут сохраняться только на сервере или быть распечатаны на принтерах в корпоративной сети – при этом не допускается локально сохранение данных во встроенной памяти BYOD-устройств, подключаемых съемных накопителях, печать на неконтролируемых принтерах вне корпоративной сети.
  • Контроль передачи данных – DLP-система, функционирующая в виртуальной среде Windows, обеспечивает контентную фильтрацию содержимого файлов и данных, проходящих через коммуникационные каналы, и контекстный контроль каналов (электронная почта, вебсайты, мессенджеры и т.д., канал печати, перенаправленные диски и сетевые файловые ресурсы, а также съемные носители).

Всеобъемлющая и оптимальная стратегия безопасности BYOD описывается упрощенной формулой:

 

Безопасность BYOD = MDM + App + VPN + VM + DLP


Где комплексно применяются:

MDM-система для контроля локальных приложений на устройствах, удаленного уничтожения данных, обеспечения надежной парольной защиты устройства и шифрования данных и т.п.;

Приложение (App) для удаленного подключения мобильного устройства через интернет к виртуальной среде (например, Citrix Receiver);

Защищенный VPN-туннель;  

Виртуальная рабочая Windows-среда (VM), в которой опубликованы и доступны необходимые для работы приложения и данные;

И, наконец, DLP – система предотвращения утечек данных, интегрированная в виртуальную рабочую среду Windows и обеспечивающая контроль доступных в этой виртуальной среде каналов передачи данных (электронная почта, вебсайты, мессенджеры, канал печати, перенаправленные в виртуальную среду локальные USB-устройства) для предотвращения утечек данных с BYOD-устройства.

Означает ли все вышесказанное, что MDM-решения не нужны или бесполезны, ведь есть DLP-системы? Вовсе нет. Более того, в ряде бизнес-моделей будет предпочтительнее использовать именно MDM-системы для защиты данных на мобильных устройствах, например, в сценариях, когда сотруднику «в поле» потребуется иметь доступ к корпоративным данным вследствие низкой пропускной способности канала (нет LTE/3G), или полным отсутствием сетевого подключения (например, в самолете), а значит, должна быть возможность защищенно хранить корпоративные данные локально на персональных мобильных устройствах.

При этом для большинства сценариев «полная» модель Virtual DLP является более надежной и компромиссной, нежели реальный риск потерять данные ограниченного доступа вследствие применения только одной из составляющих вышеприведенной формулы, и как следствие – столкнуться с риском падения престижа и репутации компании, срыва сделок, и наконец, крупных штрафов либо иных санкций при нарушении требований регуляторов.

Более того, модель Virtual DLP по большому счету является идеальным вариантом обеспечения безопасности со многих точек зрения – ведь по сути, это предоставление пользователю стерильной рабочей среды, гарантированно созданной ИТ-службой без вмешательства или участия пользователя. Такая среда содержит те и только те бизнес-инструменты, которые необходимы пользователю для его служебных задач – от полноценной Windows-среды в форме виртуальной или физической машины (рабочего стола) до отдельного опубликованного приложения, доступ к которым пользователь получает через терминальную сессию. Одним из преимуществ виртуализации является тот аспект, что пользователь может получить защищенный доступ к корпоративной среде с помощью любого типа компьютеров и персональных устройств – тонкий клиент, лэптоп, планшет, смартфон. Все, что нужно сотруднику – это клиент для удаленного доступа по протоколу RDP или ICA (например, Citrix Receiver), или же в качестве терминального клиента может использоваться любой веб-браузер, поддерживающий HTML5.

Именно такая концепция реализована в программном комплексе DeviceLock DLP Suite, обеспечивающем полный контроль разнообразных вариантов использования персональных мобильных устройств в различных моделях использования решений виртуализации (BYOD, home office, облачные корпоративные сервера), построенных на платформах виртуализации и терминального доступа от трех основных разработчиков – это Microsoft (RDS/RDP), Citrix (XenApp, XenDesktop) и VMware (VMware View). При наличии заданных DLP-политик, определяющих допустимость использования корпоративных данных, DeviceLock DLP, будучи установленным на стороне  компании – в виртуальной среде или на терминальном сервере - гарантирует, что передача данных пользователем находится строго внутри границ виртуальной среды (терминальной сессии), и данные, утечка которых недопустима, не попадают на личную часть персонального устройства (от тонкого клиента или домашнего компьютера до мобильного устройства любого типа), оставаясь при этом доступными для эффективного выполнения бизнес-задач.

В условиях перенаправления локальных периферийных устройств и буфера обмена на терминальный сервер DeviceLock DLP, будучи установленным в виртуальной среде, доступ к которой пользователь получает через терминальную сессию, перехватывает их и в режиме реального времени осуществляет проверку, допустимо ли использование перенаправленных локальных устройств и специфические операции с данными, а также проверяет содержимое (контент) передаваемых данных – т.е. производит контентный анализ данных на предмет их соответствия DLP-политикам, заданным для этого пользователя при использовании терминальных сессий. В случае выявления нарушения заданных DLP-политик операция передачи данных прерывается, при этом создается соответствующая запись в журнале аудита и теневая копия данных, которые пользователь пытался передать через контролируемые устройства в терминальной сессии, а также создается тревожное оповещение для обработки в рамках процедуры менеджмента инцидентов ИБ.

 

Рисунок 1. Принципиальная схема одного из сценариев применения Virtual DLP

Принципиальная схема одного из сценариев применения Virtual DLP 

 

Важно отметить, что технология VirtualDLP в DeviceLock DLP Suite позволяет обеспечить безопасность данных не только для мобильных платформ, но и для тонких клиентов, домашних компьютеров и любых ноутбуков. DLP-защита для виртуальных сред и BYOD-модели, основанной на виртуализации рабочих сред и приложений, является универсальной и работает на всех видах личных устройств. В их числе могут быть любые мобильные платформы - такие как iOS, Android и WindowsRT, тонкие терминальные клиенты под управлением Windows CE, Windows XP Embedded или Linux, а также любые компьютеры под управлением OS X, Linux или Windows. В свою очередь, MDM-решения в большинстве своем узко специализированы именно на мобильных платформах для смартфонов и планшетов.

Таким образом, службы ИБ могут полностью контролировать обмен данными между корпоративной средой и персональным устройством, а также подключенными к нему периферийными устройствами и буфером обмена – что особенно важно, учитывая, что все эти каналы передачи данных вне корпоративных границ становятся небезопасными и должны рассматриваться как угроза корпоративной информационной безопасности.

В ближайшее временя мы планируем опубликовать новые статьи о DLP-системе DeviceLock DLP Suite. Отметим, что в скором времени ожидается выпуск новой версии комплекса DeviceLock 8, в которой появится новый компонент комплекса - DeviceLock Discovery Server, предназначенный для сканирования компьютеров пользователей и систем хранения данных, размещенных как внутри, так и вне корпоративной сети, в целях выявления нарушений политик безопасности. Бета-версия DeviceLock 8 уже доступна для ознакомления на веб-сайте www.devicelock.com.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новые статьи на Anti-Malware.ru