Удаленный доступ и утечка данных
Сергей Вахонин
Директор по решениям, ЗАО “Смарт Лайн Инк"
Itsec.Ru
Предоставление доступа к информационным активам компании через удаленное подключение является одним из наиболее перспективных направлений развития информационных систем. Помимо преимуществ, вытекающих из мобилизации сотрудников, очевидны также и проблемные зоны – прежде всего это безопасность данных, доступных при удаленном доступе.
Немного статистики
Согласно статистическим исследованиям, более 40% сотрудников работают удаленно хотя бы один день в неделю. По прогнозам Gartner, более 38% рабочих процессов будет выполняться с помощью BYOD-устройств, хотя на сегодня эта доля составляет всего порядка 6%. При этом 52% российских компаний игнорирует вопросы мобильной безопасности и никаким образом не контролирует доступ к корпоративным сервисам и файлам с личных планшетов и смартфонов сотрудников.
Сама практика хранения данных на BYOD-устрой-ствах порождает риск неконтролируемой утечки данных, независимо от наличия на устройстве агента MDM-системы. Данные ограниченного доступа могут быть попросту отправлены непосредственно с мобильного устройства по сетевым каналам (почта, социальные сети, мессенд-жеры и др.) или на подключаемые внешние устройства печати и хранения данных. |
Нет никаких сомнений в том, что прогноз Gartner по BYOD сбудется, и вскоре мобильной станет значительная часть работников, равно как и начнет расти доля сотрудников, работающих с применением личных компьютеров в модели "домашнего офиса". Остановить эти процессы не только невозможно, но и контрпродуктивно для бизнеса – использование персональных устройств, как правило, повышает работоспособность и производительность труда сотрудников, облегчает их мобильность, упрощает возможность практического использования корпоративных данных в различных ситуациях.
Это означает, что многие компании поставлены перед необходимостью искать разумный баланс между мобильностью сотрудников и информационной безопасностью бизнеса, решая ряд новых задач, связанных с эффективностью управления персональными устройствами и обеспечением безопасности их применения.
Прежде чем приступить к решению задачи предоставления удаленного доступа к корпоративным ИС, следует определиться с ответом на вопрос – допустима ли обработка конфиденциальных данных компании на личных компьютерах и мобильных устройствах?
Скорее всего, большинство компаний ответит "Да", следуя современному тренду развития мобилизации. При этом службам ИБ потребуется решить задачу контроля корпоративных данных, передаваемых и хранимых на персональных устройствах, то есть явно прописать требования по использованию мобильных устройств (корпоративных и личных) и удаленного доступа к корпоративным ресурсам и сервисам, повысить уровень осведомленности сотрудников и, разумеется, внедрить специализированные средства управления мобильными устройствами и защиты данных.
Для решения таких задач безопасности персональных устройств, и в особенности BYOD-устройств, рынок предлагает множество самых разных средств и систем.
Mobile Device Management
Системы класса Mobile Device Management (MDM) позволяют удаленно (централизованно) управлять множеством мобильных устройств, будь то устройства, предоставленные сотрудникам компанией, или собственные устройства сотрудников. Сильными сторонами MDM-систем являются такие функции, как надежная парольная защита устройства, шифрование встроенной памяти и карт хранения данных, либо "контейнеризация" данных приложений, управляемое уничтожение данных с устройства в случае потери или кражи.
Однако же на практике, по крайней мере, функцию удаленного уничтожения данных можно реализовать только при условии, что устройство появится в сети и будет обнаружено управляющей частью MDM-системы, то есть приходится полагаться на удачу или низкую техническую квалификацию вора или человека, нашедшего такое "защищенное" мобильное устройство, и на то, что при этом корректно сработают функции шифрования и парольной защиты.
В ряде бизнес-сценариев будет предпочтительнее использовать именно MDM-системы для защиты данных на мобильных устройствах, например, когда сотруднику "в поле" потребуется иметь доступ к корпоративным данным вследствие низкой пропускной способности канала или полного отсутствия сетевого подключения, а значит, должна быть возможность защищенно хранить корпоративные данные локально на персональных мобильных устройствах. Если же проблем с доступом в сеть нет или сотрудник пользуется полноценным компьютером в домашних условиях, Virtual DLP будет оптимальным решением. |
Стоит также помнить, что уже сама практика хранения данных на BYOD-устройствах порождает риск неконтролируемой утечки данных, независимо от наличия на устройстве агента MDM-системы. Данные ограниченного доступа могут быть попросту отправлены непосредственно с мобильного устройства по сетевым каналам (почта, социальные сети, мессенджеры и др.) или на подключаемые внешние устройства печати и хранения данных.
Virtual DLP
Другим эффективным и перспективным решением для обеспечения безопасности данных при использовании персональных устройств является предоставление удаленного доступа к информационным активам компании через терминальные сессии, когда виртуальные или физические рабочие Windows-среды защищены функционирующей на хосте, а не на BYOD-устройстве, DLP-системой. Такой подход называется Virtual Data Leak Prevention (Virtual DLP). Коротко говоря, технология Virtual DLP предлагает контролируемое предоставление удаленного доступа к корпоративным данным в отличие от локального хранения данных на BYOD-устрой-ствах в подходе MDM.
Концепция Virtual DLP подразумевает выполнение ключевых задач безопасности:
Многие компании поставлены перед необходимостью искать разумный баланс между мобильностью сотрудников и информационной безопасностью бизнеса, решая ряд новых задач, связанных с эффективностью управления персональными устройствами и обеспечением безопасности их применения. |
- безопасная обработка данных – для обработки корпоративной информации используются приложения, опубликованные в виртуальной среде;
- безопасное хранение данных – защищаемые корпоративные данные могут быть доступны только в виртуальной среде на время работы с ними, могут сохраняться только на сервере;
- контроль передачи данных – DLP-система обеспечивает кон-тентную фильтрацию содержимого файлов и данных, проходящих через коммуникационные каналы, и избирательный контроль каналов передачи и хранения данных (электронная почта, веб-сайты, мессенджеры и т.д., канал печати, перенаправленные диски и сетевые файловые ресурсы, съемные носители).
Стоит отдельно предостеречь от вывода, что MDM-решения не нужны или бесполезны, раз есть DLP-системы, обеспечивающие контроль данных при удаленном доступе. В ряде бизнес-сценариев будет предпочтительнее использовать именно MDM-системы для защиты данных на мобильных устройствах, например, когда сотруднику "в поле" потребуется иметь доступ к корпоративным данным вследствие низкой пропускной способности канала (нет LTE/3G) или полного отсутствия сетевого подключения (например, в самолете), а значит, должна быть возможность защищенно хранить корпоративные данные локально на персональных мобильных устройствах. Если же проблем с доступом в сеть нет или сотрудник пользуется полноценным компьютером в домашних условиях, Virtual DLP будет оптимальным решением.
Согласно статистическим исследованиям, более 40% сотрудников работают удаленно хотя бы один день в неделю. По прогнозам Gartner, более 38% рабочих процессов будет выполняться с помощью BYOD-устройств, хотя на сегодня эта доля составляет всего порядка 6%. При этом 52% российских компаний игнорирует вопросы мобильной безопасности и никаким образом не контролирует доступ к корпоративным сервисам и файлам с личных планшетов и смартфонов сотрудников. |
"Полная" модель Virtual DLP, предлагающая всеобъемлющую стратегию безопасности удаленного доступа к корпоративным ресурсам, подразумевает применение в комплексе MDM-системы для контроля локальных приложений на устройствах, удаленного уничтожения данных, обеспечения надежной парольной защиты устройства и шифрования данных и т.п., защищенного VPN-туннеля, и, наконец, DLP-системы для предотвращения утечек данных с персонального устройства.
По большому счету, модель Virtual DLP является идеальным вариантом обеспечения безопасности со многих точек зрения – ведь, по сути, это предоставление пользователю стерильной рабочей среды, созданной IТ-службой без вмешательства или участия пользователя. Такая среда содержит те и только те бизнес-инструменты, которые необходимы пользователю для его служебных задач – от полноценной Windows-среды в форме виртуальной или физической машины (рабочего стола) до отдельного опубликованного приложения, доступ к которым пользователь получает через терминальную сессию. Одним из преимуществ виртуализации является тот аспект, что пользователь может получить защищенный удаленный доступ к корпоративной среде с помощью любого типа компьютеров и персональных устройств – тонкий клиент, лэптоп, планшет, смартфон. Все, что нужно сотруднику, – это клиент для удаленного доступа по протоколу RDP или ICA (например, Citrix Receiver), или же в качестве терминального клиента может использоваться любой Web-браузер, поддерживающий HTML5.
Опубликовано: Журнал "Information Security/ Информационная безопасность" #5, 2014