Зачем компании контроль рабочих macOS-устройств? Много ли их в российских компаниях? Кто ими пользуется? Как реализовать эффективный мониторинг рабочих станций на базе macOS, чтобы снизить риски утечки конфиденциальной информации? Ответим на эти вопросы на примере разработки Dozor Endpoint Agent для macOS.
- Введение
- Анализ рынка. Кому нужен DLP-агент под macOS?
- Определяем цели, планируем задачи
- Разработка первой версии
- Развитие macOS-агента Solar Dozor
- Выводы
Введение
Сегодня в любой вполне крупной компании или государственном учреждении вряд ли найдётся скептик из сотрудников ИБ, который спросит: а зачем нужен DLP-агент под Mac? Однако ещё несколько лет назад ответ был не столь очевиден. У нас как вендора DLP-системы Solar Dozor также не было однозначного ответа, нужна ли нашим заказчикам эта функциональность, поэтому мы решили провести исследование такой потребности.
Анализ рынка. Кому нужен DLP-агент под macOS?
Сначала мы проанализировали динамику продаж компьютеров Apple в России в целом. Выяснилось, что продажи ноутбуков от Apple в 2015–2020 гг. неуклонно росли и к середине 2021 года по количеству проданных в РФ моделей MacBook Air и MacBook Pro Apple заняла 5-е место с долей 6 %. Также важной вехой в продвижении устройств Apple стали договорённости американского производителя с Минцифры о поддержке российского ПО. В поставляемой в РФ технике вендор предусмотрел возможность развёртывания сервисов «Яндекса», Mail.ru, антивируса «Лаборатории Касперского», социального сервиса «Госуслуги» и платёжной системы «Мир». Стало понятно, что макбуки востребованны.
Отдельно отметим, что в марте этого года власти США ввели санкции против России, запретив продажи американского ПО и оборудования в страну. Однако уже в апреле США частично сняли ограничения, разрешив поставлять американский софт и технику для коммуникаций граждан в РФ. По мнению экспертов российского ИТ-рынка, послаблением в первую очередь воспользуются Apple, Microsoft и Samsung. Так что задача мониторинга Mac-устройств в российских организациях продолжает оставаться актуальной.
Следующим шагом стало изучение потребностей наших имеющихся и потенциальных заказчиков в агенте под macOS. Проведённый нами опрос показал, что большой интерес к мониторингу действий пользователей на Mac-устройствах проявили финансовый сектор, крупные промышленные компании, предприятия топливной и энергетической промышленности, ИТ и телекоммуникации, крупные ретейлеры, федеральные государственные структуры. Количество пользователей устройств Apple в этих компаниях составляло от 5 до 60 %.
Затем мы проанализировали целевые группы сотрудников, использующих в работе устройства Apple. Выяснилось, что чаще всего такими ноутбуками пользуются:
- VIP-сотрудники: руководство компаний, топ-менеджмент;
- ведущие сотрудники ИТ-сектора: разработчики, архитекторы, дизайнеры UI / UX;
- руководители и ведущие сотрудники других направлений: менеджеры среднего звена, эксперты, дизайнеры и т. п.
Анализ списка показывает, что все эти группы персон владеют важной, а зачастую и критически значимой для развития бизнеса или контроля государственных интересов информацией. Без включения этих групп в сферу контроля служб информационной и экономической безопасности контроль утечек информации в организации нельзя считать полноценным.
Определяем цели, планируем задачи
Чтобы максимально быстро обеспечить заказчиков полнофункциональным macOS-агентом, мы поставили перед собой амбициозные цели. За первый год — реализовать DLP-агент, обеспечивающий базовый контроль основных каналов утечки данных, закрывающий первоочередные потребности ключевых заказчиков. За второй — довести агент до полной функциональности, сопоставимой с флагманом линейки, агентом под Windows. Конечной целью стало создание лучшего на российском рынке агента DLP под macOS.
Решение задачи начали с составления и приоритизации списка функций и формирования дорожной карты развития продукта. На данном этапе у нас уже была большая экспертная база требований заказчиков к DLP-агенту, наработанная ещё при создании агента для Windows. Однако мы всё же дополнительно провели опросы и анализ потребностей потенциальных клиентов агента macOS для выявления специфических нужд.
Так сформировался список базовой функциональности нашего macOS-агента:
- Контроль интернет-трафика (веб-почта, поисковые запросы, облачные сервисы и т. п.).
- Перехват локальной почты (почтовые протоколы SMTP, POP3, IMAP).
- Контроль мессенджеров.
- Контроль печати.
- Контроль подключения USB-устройств.
- Создание снимков экрана.
- Запись ввода с клавиатуры (кейлогер).
- Контроль данных передаваемых через буфер обмена.
- Контроль операций копирования файлов на съёмные носители и корпоративные сетевые ресурсы.
Не секрет, что Apple во главу угла ставит безопасность своих ОС и каждый новый релиз приносит новые ограничения, касающиеся безопасности функционирования компонентов операционной системы и работы приложений в ней. Учитывая эти риски, мы заложили в план дополнительное время на проработки — проведение исследований (НИР) по каждой из ключевых функций.
Примеры проведённых нами исследований:
- доступные решения для контроля трафика на уровне сетевого перехвата (MitM);
- возможность контроля подключения USB-устройств;
- способы контроля копирования файлов на съёмные носители и сетевые ресурсы (корпоративные файловые каталоги).
В целом следует отметить, что существующие решения задач для Windows и Linux не подходят для maсOS-агента, поэтому по результатам НИР потребовались либо серьёзная доработка (в случае с MitM), либо собственное решение задачи с учётом специфики macOS (в случае контроля USB-устройств и контроля копирования файлов).
Разработка первой версии
Начало создания нашего агента совпало с выходом macOS версии 11 (Big Sur), в которой для разработчиков приложений появились существенные ограничения на разработку компонентов ядра. Но при этом Apple сохранила возможность разработки системных расширений (System Extensions), что позволяет разрабатывать приложения для контроля сети, файловых операций, контроля действий с устройствами и т. п.
Благодаря предварительно проведённым исследованиям разработка функциональности не выбилась из графика реализации дорожной карты. Первый релиз macOS-агента состоялся в сентябре 2021 года. В него вошли контроль интернет-трафика по всем запланированным для базовой реализации каналам, перехват локальной почты по всем запланированным протоколам и контроль мессенджеров WhatsApp и Skype.
После этого мы сразу же провели демонстрации нового модуля нескольким потенциальным заказчикам из финансового сектора. Так мы подтвердили большой интерес рынка к нашей новой разработке. Настоящим прорывом оказалась возможность контроля интернет-трафика на Mac-устройствах, включая облачные ресурсы, а также контроля мессенджеров: на данный момент ни одно из конкурирующих решений, которых на рынке буквально единицы, такой функциональности не предоставляет.
Развитие macOS-агента Solar Dozor
На момент выхода первого релиза macOS-агента уже активно продавались устройства на базе новой архитектуры Apple M1. Первый релиз тестировали ещё на старой архитектуре — x64-86, но за время разработки первой версии мы уже подготовили инфраструктуру для поддержки новой платформы. В последующие два релиза вошли две ключевые функции любого DLP-агента: контроль печати и контроль подключения USB-устройств, и, конечно, мы сделали агент работоспособным на платформе M1.
Функция контроля печати позволяет перехватывать факт вывода на печать документа независимо от приложения, из которого пользователь запускает соответствующий процесс. При этом macOS-агент Solar Dozor сохраняет копию содержимого документа и позволяет приобщить её к отчёту о расследовании инцидента. Но главное, чего нет ни в одном Mac-агенте на российском рынке, — это блокировка печати в случае нарушений правил политики.
Контроль подключения съёмных носителей позволяет собирать данные о подключённых USB-устройствах и гибко управлять доступом к ним: разрешать или блокировать подключение с использованием белых и чёрных списков устройств по отдельным экземплярам, моделям и производителям. Благодаря этой функции macOS-агент Solar Dozor стал отличной заменой зарубежным продуктам, стремительно уходящим с нашего рынка.
На этом этапе у нас уже активно стартовали пилотные проекты у потенциальных заказчиков, мы получили положительные отзывы, в том числе в сравнении с другими системами. Один из «пилотов» прошёл настолько успешно, что превратился в коммерческое внедрение. Наличие развитого агента для macOS стало для заказчика из банковского сектора одним из ключевых факторов при выборе DLP-системы, поскольку в компании около 60 % сотрудников работают на Mac-устройствах. Заказчика впечатлили как уже имеющаяся функциональность, так и планы по её развитию.
Так Dozor Endpoint Agent для macOS стал флагманом движения российского рынка защиты от утечек к полнофункциональному агенту для мониторинга рабочих мест на базе устройств Apple. В начале 2022 года в нашем агенте была реализована поддержка вышедшей в конце 2021 г. новой 12-й версии macOS (Monterey). А уже в марте Dozor Endpoint Agent для macOS был зарегистрирован в реестре отечественного ПО.
Выводы
Как мы уже отмечали выше, анализ рисков, связанных с возможными проблемами пользователей устройств Apple из-за санкций со стороны правительства США, не привёл нас к каким-либо трагическим выводам, а скорее дал возможность сделать взвешенно-оптимистичные прогнозы. Отечественные компании в ближайшей перспективе вряд ли откажутся от использования устройств Apple, и снижения интереса к нашему macOS-агенту не ожидается.
Поэтому в самое ближайшее время в Dozor Endpoint Agent для macOS появятся новые возможности, на которые нам уже поступили многочисленные запросы от заказчиков. Во-первых, это снятие снимков экрана, которое позволит контролировать действия сотрудников на устройстве с сохранением истории для формирования доказательной базы. Во-вторых, это перехват нажатий клавиш (кейлогер) для контроля вводимой пользователем информации даже в тех приложениях, которые недоступны для мониторинга другими способами. И уже в 3-м квартале этого года пройдут очередные пилотные проекты с тестированием и обкаткой новых возможностей macOS-агента DLP-системы Solar Dozor.