В эпоху мобильности за пределами классического периметра корпоративная информация оказывается незащищенной. Однако обеспечение ее защиты состоит не в полном блокировании доступа, а в том, чтобы адаптировать ее к мобильному миру, который предлагает новые коммерческие возможности, но и скрывает в себе множество неведомых угроз.
Не носи свое с собой!
По оценке Gartner, тренд BYOD (Bring Your Own Device – «принеси свое собственное устройство», интеграция личных мобильных устройств в корпоративную среду), зародившийся несколько лет назад, стал самым обсуждаемым в мировом ИТ-сообществе в 2012 году. Смартфоны и планшетные устройства открывают массу новых коммерческих возможностей, но одновременно с этим создают много проблем с точки зрения ИТ-безопасности. В эпоху, когда границы предприятий размываются, необходима новая парадигма ИТ-безопасности. Данные и документы уже нельзя защитить снаружи — они должны нести защиту внутри самих себя.
Сейчас создание надежной защиты по периметру сети для безопасности данных и документов компании считается пережитком прошлого. Фактически множество корпоративных файлов находятся за пределами защищенных ИТ-границ предприятия: на USB-накопителях, в облачных хранилищах или в памяти используемых для работы смартфонов и планшетов. Отчет Check Point по безопасности 2013 однозначно показывает: 80% исследованных предприятий пользуются системами файлового обмена в незащищенных сегментах Интернета, а 93% разрешают доступ к корпоративным данным через смартфоны и планшетные устройства.
Времена «городских стен и рвов» в сфере ИТ давно прошли. Тем не менее, их использование все еще широко распространено в области ИТ-безопасности. Эта иллюзия защищенности может иметь плачевные последствия, что подтверждают цифры, представленные в Отчете по безопасности. Так, у 24% исследованных предприятий имел место неконтролируемый отток исходного кода, у 14% не в те руки попадали защищенные пароли, у 29% рассекречивались данные кредитных карт, а у 7% электронные письма, помеченные как конфиденциальные, уходили к другим адресатам.
Названные цифры получены, кстати, не из ответов на вопросы анкеты, а из фактического анализа 120 000 часов работы сетей 900 предприятий по всему миру.
Возможности традиционных инструментов обеспечения ИТ-безопасности почти исчерпаны. Конфиденциальные данные и документы предприятий все чаще оказываются за их пределами и больше не поддаются полному контролю.
Иными словами, применение в рабочем процессе смартфонов и планшетов сотрудников и использование облачных технологий постоянно расширяют границы компаний. Поэтому процессы взаимопроникновения технологий, с одной стороны, открывают новые коммерческие возможности, а с другой стороны – высвечивают множество белых пятен на традиционной карте информационной безопасности. Киберпреступность растет за счет тщательного отслеживания тех возможностей новых сред, которые плохо контролируются обычными средствами. Так, недавно с помощью новой мобильной версии известной вредоносной программы Zeus, специально созданной для хищения данных доступа к банковским счетам, 30 тысяч клиентов потеряли примерно 36 миллионов евро.
Традиционные концепции ИТ-безопасности мало помогают в таких условиях. Блокировка всех приложений для обмена файлами и централизованный контроль над конечными устройствами со стороны администрации компании однозначно остановили бы всю коммерческую деятельность. Кроме того, невозможно полностью централизованно контролировать такие смешанные конечные точки, как смартфоны и планшеты, в среде, где в явной форме разрешено использовать эти устройства для личных и рабочих целей. В конце концов, большая часть данных и документов принадлежит пользователю и не касается компании, а зачастую и сам смартфон или планшет является собственностью пользователя.
Механизмы безопасности в ИТ-средах с размытыми границами
От агрессивных и неконтролируемых сред эпохи мобильных информационных технологий больше невозможно отгородиться традиционными способами. Как бы то ни было решение проблемы состоит не в том, чтобы делать контролируемые среды, а в подготовке данных и документов таким образом, чтобы их можно было внедрять в размытые ИТ-среды без какого-либо вреда.
Как и космонавты, улетающие на орбиту, данные и документы нуждаются в собственных «защитных костюмах».
В роли скафандра может выступить, например, тотальное кодирование всех данных, копируемых на смартфоны, планшеты, USB-накопители или в облака данных. При этом вопрос о необходимости кодирования не решается пользователем, а задается системой. Все соответствующие системные сообщения должны быть составлены таким образом, чтобы в диалоговом окне отражалась необходимость кодирования.
Кроме того, доступ к данным и документам нужно защищать с помощью механизмов аутентификации и авторизации, и вместе с этим должна существовать возможность легко и надежно отозвать предоставленные права. Например, часто требуется, чтобы отдел контроля имел право загружать определенные финансовые данные на свои мобильные устройства, а сотрудникам других отделов эти данные должны оставаться доступными только для просмотра. Они не могут выполнять с ними такие операции, как копирование, изменение или перенаправление. С другой стороны, отделу контроля также запрещается передавать конфиденциальные данные в такие незащищенные системы обмена данными, как Dropbox.
При выполнении операций, угрозы безопасности от которых система не может определить в достаточной мере, пользователи будут получать сообщения о том, что такие операции не блокируются, но вносятся в протокол. В этом случае открывается диалоговое окно с информацией об операции, которую пользователь намерен совершить. Блокировка или протоколирование — лучший рецепт против непреднамеренной утечки данных. В средах с размытым периметром данные и документы должны обязательно передаваться через шлюзы модулей предотвращения утечки данных (Data Loss Prevention, DLP), которые не позволяют рассылать конфиденциальную информацию по произвольным каналам и заносят всех отправителей в протокол.
С учетом многочисленных возможностей проведения атак и большого числа вариаций, характерных для неконтролируемых сред, «скафандр» для данных и документов должен быть многослойным. Необходимо иметь возможность надежно разделить личные и рабочие данные на мобильном устройстве. Кроме того, обязательно требуется, чтобы открытие или обмен документами, например в форме документов Sharepoint или прикреплений к электронным сообщениям, можно было осуществлять только в определенных средах. Потоки данных следует блокировать или вносить в протоколы, а все данные и документы — кодировать, причем как на самих рабочих станциях, так и внутри канала их передачи.
Не последнюю роль в ИТ-средах с размытыми границами играют многочисленные механизмы управления приложениями, предоставляющие возможность четкого и надежного разделения бизнес-приложений и приложений для частного пользования. Любые контакты между этими двумя мирами следует блокировать.
Эти незаурядные задачи требуют взаимодействия множества средств обеспечения безопасности и сетевых компонентов, например систем безопасности на рабочих станциях и систем контроля сетевого доступа (NAC). В то время как NAC заботится о том, чтобы в сеть входили только «чистые» (контролируемые) устройства и при появлении проблем инициировались соответствующие процессы восстановления (например, через регистрацию в режиме самообслуживания), что обеспечивает контроль за соблюдением требований безопасности со стороны системы защиты рабочих станций. В больнице, например, это заключается в строгом распределении предоставляемых прав доступа к данным пациентов и блокировании загрузки медицинских записей с экрана в облачные файлообменники.