|
Календарь мероприятий
ноябрь  2024
Пн |
Вт |
Ср |
Чт |
Пт |
Сб |
Вс |
| | | | 1 | 2 | 3 | 4 | 5 | 6 | 7 | 8 | 9 | 10 | 11 | 12 | 13 | 14 | 15 | 16 | 17 | 18 | 19 | 20 | 21 | 22 | 23 | 24 | 25 | 26 | 27 | 28 | 29 | 30 | |
показать все 
Новости партнеров
Обновление BI.ZONE Secure DNS: гибкая настройка фильтрации и максимальная скорость
Читать далее
RED Security: в октябре количество DDoS-атак на ТЭК выросло в 3 раза
Читать далее
Falcongaze представила новую версию DLP-системы — SecureTower 7 Helium
Читать далее
ИСП РАН покажет результаты 30-ти лет работы на Открытой конференции в Москве
Читать далее
Юбилейная конференция ЭОС: ЭОС: 30 лет лидерства на рынке автоматизации документооборота и обсуждение актуальных трендов
Читать далее
показать все
Статьи
ИИ: маршрут не построен, но уже проектируется
Читать далее
Глеб Шкрябин: «Надежные и масштабируемые системы — основа стабильной работы бизнеса в условиях больших нагрузок»
Читать далее
Елена Ситдикова: «На разработчиках программного обеспечения для транспорта лежит большая ответственность перед пассажирами»
Читать далее
Технологический ИИ-арсенал
Читать далее
Чем страшен ИИ, и с чем его едят
Читать далее
Взгляд в перспективу: что будет двигать отрасль информационной безопасности
Читать далее
5 способов повысить безопасность электронной подписи
Читать далее
Как искусственный интеллект изменит экономику
Читать далее
Неочевидный САПР: выход ПО за рамки конструкторской деятельности
Читать далее
Скоро некому будет делать сайты и заниматься версткой
Читать далее
показать все
|
Заочный круглый стол. «Мобильные угрозы: есть ли DLP-решения?»
Главная /
Архив номеров / 2014 / Выпуск №4 (37) / Заочный круглый стол. «Мобильные угрозы: есть ли DLP-решения?»
Рубрика:
Тема номера /
Мобильные технологии и BYOD
Facebook
Мой мир
Вконтакте
Одноклассники
Google+
Заочный круглый стол
«Мобильные угрозы: есть ли DLP-решения?»
Мобильные устройства сегодня – самое слабое звено информационной сети любой компании. В глобальном отчете Аналитического центра InfoWatch за 2013 год утечки корпоративной информации с помощью мобильных устройств поставлены на второе место по значимости. Между тем сами DLP-системы набирают популярность и в России, и за рубежом. Аналитики агентства Gartner оценивают рост мирового рынка DLP в 2013-м в 22-23%. Объем российского рынка, по оценке InfoWatch, в 2013 году к 2012 году составил около 30%. Возможно, DLP – то самое эффективное средство от несанкционированной передачи конфиденциальной информации?
На вопросы «БИТа» отвечают:
|
|
|
|
|
| Алексей Раевский, генеральный директор компании Zecurion |
Андрей Арефьев, менеджер по развитию направления Mobile Security Management компании InfoWatch |
Узи Яир, старший вице-президент по управлению продуктами GTB Technologies |
Игорь Ляпунов, директор Центра информационной безопасности компании «Инфосистемы Джет» |
Илья Шабанов, управляющий партнер аналитического центра Anti-Malware.ru |
Вопросы:
- По данным опроса, проведенного компанией ESET, 52% компаний не контролирует доступ к корпоративным сервисам и файлам с личных планшетов и смартфонов сотрудников. При этом 8% работодателей полностью ограничивают удаленный доступ к корпоративным ресурсам с мобильных устройств. Что теряют и те, и другие компании? Позволяют ли сегодня DLP выстроить баланс между безопасностью и открытостью бизнеса?
- Что угрожает компании, у которой очень «мобильные сотрудники», но не внедрена DLP-система?
- Должны ли обладать какими-то особенностями DLP, используемые для защиты корпоративных данных от мобильных угроз?
- Есть ли у вас такие решения? Если да, то чем они отличаются от подобных, представленных на российском рынке?
- Будущее DLP-систем: какие новые функциональные возможности должны появиться в технологиях DLP с ростом популярности BYOD?
– По данным опроса, проведенного компанией ESET, 52% компаний не контролирует доступ к корпоративным сервисам и файлам с личных планшетов и смартфонов сотрудников. При этом 8% работодателей полностью ограничивают удаленный доступ к корпоративным ресурсам с мобильных устройств. Что теряют и те, и другие компании? Позволяют ли сегодня DLP выстроить баланс между безопасностью и открытостью бизнеса?
Игорь Ляпунов: Компании, не контролирующие доступ своих сотрудников к корпоративным сервисам и файлам с личных планшетов и смартфонов, рискуют абсолютно тем же, чем и компании, которые не контролируют рабочие компьютеры сотрудников «на местах», – утечкой конфиденциальных данных из информационной системы предприятия.
Должны ли системы класса DLP бороться с утечками такого рода? Безусловно, да. Хотя проблемы использования мобильных устройств в компаниях решаются сегодня отдельным классом программного обеспечения – Mobile Device Management. Но стоит заметить, что DLP-системы проходят сложный, но довольно интересный путь, превращаясь из простых архивов бизнес-коммуникаций компании, с простым поиском по нему информации в сложные системы по целостной и всесторонней защите конфиденциальных данных (в том числе с возможностями активного и даже проактивного вмешательства в информационные потоки на предприятии), при этом обрастая функционалом, ранее совершенно не свойственным системам этого класса. Например, технологиями BIG DATA и AI алгоритмами поиска данных, как это уже реализовано в «Дозор-Джет».
Что теряют компании, отказавшись от мобильных пользователей? Если деятельность сотрудников подразумевает неподвижный образ жизни, то ничего. Если же функционал сотрудников компании подразумевает постоянные разъезды, удаленность от офиса или вообще работу в другом городе или стране, то много. По большому счету в этом случае можно говорить о «потере» этих сотрудников, а также всех плюсов и возможностей удаленной мобильной работы.
Выстроить баланс между безопасностью и открытостью бизнеса, только лишь установив некое программное обеспечение, нельзя: волшебной кнопки «сделать хорошо» все еще нет. Эту задачу можно решить только с помощью комплекса мер – начиная от организационно-правовых вопросов (что открываем для пользователей, кому открываем, как это делаем), заканчивая тщательно и точно подобранным программно-техническим комплексом (чем делаем).
Андрей Арефьев: Компании, которые полностью запрещают доступ сотрудников к корпоративным ресурсам с мобильных устройств, теряют определенные возможности для развития бизнеса. Однако такие бизнес-процессы несут с собой определенные риски, связанные с безопасностью корпоративной информации, и игнорировать их полностью – это другая крайность, в которую впадать тоже не стоит.
Сегодня существует несколько подходов к решению проблемы DLP на мобильных устройствах. Это технология Virtual DLP и отправка всего сетевого трафика через VPN компании. Оба подхода ограничивают возможности мобильных устройств и повышают нагрузку на сетевой трафик. При этом ничто не мешает сотруднику сделать фото документа или снимок экрана с важными данными и передать его конкуренту компании через SD-карту или USB. Иными словами, существующие варианты решений усложняют жизнь пользователям, но не решают задачу DLP полноценно.
Алексей Раевский: Как известно, любая система безопасности – это всегда компромисс. При использовании мобильных устройств такой компромисс найти не просто. Идея использования личных смартфонов и планшетов для работы очень симпатична, и отказываться от нее – значит, терять в продуктивности сотрудников и их вовлеченности в рабочий процесс. С другой стороны, отсутствие какого-либо контроля использования этих устройств чревато проблемами. Безусловно, DLP-система – это инструмент для предотвращения утечек, и его использование – необходимость для эффективного выполнения ИБ-службами своих задач. Правда, проблем много. Во-первых, этические – непонятно, насколько корректно требовать от пользователей ставить на их личные устройства шпионскую программу. Во-вторых, инфраструктурные – спектр платформ и версий ОС для мобильных устройств сегодня настолько широк, что полноценно весь не поддерживается ни одним DLP-вендором. В-третьих, функциональные – в силу особенностей архитектуры мобильных ОС далеко не все функции DLP, существующие на традиционной Windows PC-платформе, можно реализовать на смартфонах и планшетах. Рынок DLP-систем для мобильных устройств только начинает развиваться, и не всегда компании могут найти то, что отвечает их запросам.
Узи Яир: От бизнеса требуют виртуальности и мобильности. При этом мы не видим на рынке готовых решений, хотя точно знаем, что все разработчики DLP-систем активно работают над этим вопросом. Вместе с тем компания GTB Technologies уже сейчас может предложить несколько подходов к решению этой проблемы. Мониторинг исходящих данных с мобильных устройств. Подобную задачу можно решить с помощью локального агента, который способен инспектировать все виды трафика, причем без использования прокси-сервера. Отправляемые на мобильные устройства данные должны быть защищены системой Digital Rights Management с возможностью контроля на уровне доступа к файлам. Кроме того, необходимо централизовано контролировать все ActiveSync-соединения мобильных устройств с корпоративными серверами и применять политики ограничения доступа в зависимости от транслируемого контента.
– Что угрожает компании, у которой очень «мобильные сотрудники», но не внедрена DLP-система?
Алексей Раевский: Такой компании приходится смириться с наличием большой «серой зоны», в которой находятся мобильные пользователи. Их действия никем не контролируются и могут приводить к утечкам конфиденциальной информации. Многие при этом уповают на правила и сознательность пользователей, но надо понимать, что пользователи – это люди, которым свойственно ошибаться, забывать правила, считать их необязательными для исполнения и т.д. Также необходимо учитывать, что мобильные устройства имеют свойства теряться, становиться объектами кражи и попадать в руки посторонних какими-либо еще способами. Поэтому риск компрометации конфиденциальной информации в случае с мобильными устройствами значительно выше, чем для офисных компьютеров.
Узи Яир: Компании, которые предоставляют неограниченный и неконтролируемый доступ с мобильных устройств к корпоративным данным, – рискуют всем. В такой ситуации предотвратить потерю данных практически невозможно. Существует множество сценариев утечки информации как умышленных, так и непреднамеренных. Можно вспомнить много нашумевших примеров того, насколько сильно компания может пострадать от подобных действий. Счет идет на миллионы. Сегодня все компании задумываются об информационной защите. Большинство из них контролирует доступ к рабочей информации, отслеживает ее перемещение до устройства пользователя и в целях безопасности передает данные в зашифрованном виде. Однако этого не достаточно. Система должна быть способна контролировать перемещение информации через Интернет, всю исходящую почту (в том числе и при веб-доступе через браузер) и многие другие каналы распространения информации. Следует помнить, что утечка данных может произойти в то время, когда устройство подключено к другому компьютеру или мобильному, и это тоже надо учитывать и контролировать. Хочу подчеркнуть, что в своей работе мы ориентированы на защиту именно корпоративных данных, а не конечных мобильных устройств.
Игорь Ляпунов: Что угрожает конфиденциальным данным, которые распечатали на бумаге и положили в комнате с неконтролируемым и общим доступом? Все, что угодно, так как невозможно гарантировать абсолютный контроль «жизнедеятельности» этих документов и того, что с ними может произойти.
Андрей Арефьев: Компаниям, которые безоглядно используют концепцию BYOD, грозит как минимум потеря важных контрактов или клиентов, а как максимум – потеря бизнеса. В этом смысле отсутствие DLP для мобильных устройств сравнимо с отсутствием «обычной» DLP.
– Должны ли обладать какими-то особенностями DLP, используемые для защиты корпоративных данных от мобильных угроз?
Андрей Арефьев: Прежде всего DLP-решение не должно урезать функциональные возможности мобильных устройств. Хорошо если можно будет использовать бизнес-приложения, разработанные специально для мобильных устройств, так как именно в таких приложениях мобильные устройства раскрывают свои возможности.
Узи Яир: Любые данные, передаваемые на мобильные устройства и отправляемые с них, должны контролироваться, как и любой другой компьютер внутри корпоративной сети. «Страусиная позиция» – не стоит переживать о том, чего не видно – не поможет. Мобильные устройства в отличие от стационарных контролировать сложнее, т.к. они способны выйти из зоны корпоративной сети, этим и обусловлены основные различия в принципах работы.
Алексей Раевский: Основная особенность мобильных DLP заключается в том, что на мобильных платформах реализовать полностью тот же самый функционал, что и на платформе Windows PC, практически невозможно.
Дело в том, что в мобильных операционных системах существует масса ограничений на запускаемые в них приложения, поэтому полноценная реализация контроля всех каналов утечки – подключение внешних устройств, электронная почта, сайты, мессенджеры и т.д. – является пока областью фантастики.
В связи с этим при планировании использования мобильных устройств на уровне компании надо тщательно изучить, какие функции присутствуют в предлагаемом DLP и как они реализованы. Это позволит избежать неприятных сюрпризов на стадии внедрения и ввода системы в эксплуатацию, сэкономить время, нервы и финансы.
Игорь Ляпунов: Разницы между типами конечных точек – персональный компьютер, смартфон или ноутбук нет. Либо есть техническая возможность контролировать конечную точку, либо нет. Разве что у переносных устройств есть ряд особенностей, несвойственных стационарным компьютерам. Давайте возьмем, например, геолокацию: если для стационарного рабочего места искать каждый раз местоположение странно, то для мобильного это бывает просто необходимо.
– Есть ли у вас такие решения? Если да, то чем они отличаются от подобных, представленных на российском рынке?
Алексей Раевский: Да, мы выпускаем первую версию мобильного DLP, в котором установка DLP-агента осуществляется на смартфоны и планшеты под управлением ОС Android. Наше решение во многом уникально. Сегодня большинство задач DLP для мобильных платформ решается обходными путями. Например, средствами систем MDM, которые направляют весь интернет-трафик с мобильного устройства на корпоративный VPN, а уже в границах периметра компании стоит обычный шлюзовой DLP, анализирующий этот трафик. Такая концепция, безусловно, появилась не от хорошей жизни, и хоть она и имеет право на существование, у нее есть ряд существенных недостатков. Во-первых, такая схема существенно замедляет всю работу с Интернетом на мобильном устройстве. Во-вторых, если устройство принадлежит пользователю, то анализ всего трафика с него можно расценить как вмешательство в частную жизнь. Есть и другие нюансы, например, контроль протокола HTTPS. Поэтому мы пришли именно к такой, можно сказать, честной реализации DLP-агента, который анализирует все файлы непосредственно на мобильном устройстве. Из аналогов решение подобного уровня есть только у Symantec, причем у них реализована поддержка только устройств от Apple.
Андрей Арефьев: Разработка таких решений является одним из приоритетов InfoWatch. Мы изучаем потребности клиентов, но создание еще одного MDM-решения не входит в наши планы, поскольку нас больше волнуют вопросы контроля информации, нежели безопасности устройства.
Узи Яир: В настоящее время мы предлагаем решение «Облачная DLP как услуга». GTB Cloud Information Protection (CIP) позволяет организациям защитить свои сети и сервисы от утечки информации вне зависимости от типов и местонахождения устройств, с которых подключаются пользователи. При этом ядро системы – модуль GTB Inspector Cloud, осуществляющий мониторинг и автоматизированное реагирование на основе DLP-политик, – может находиться на стороне провайдера, и услуга не потребует установки и настройки дополнительных агентов или оборудования. Все, что нужно сделать, это определить защищаемое адресное пространство и настроить переадресацию всех запросов на сервис GTB Cloud Information Protection. После этого весь исходящий/входящий трафик будет проверяться на наличие нарушений, причем с оповещением администраторов в режиме реального времени. Гибкая модель администрирования позволяет разграничить права доступа между администраторами всех уровней и офицерами безопасности. На данный момент GTB является единственным DLP-сервисом облачных решений, который может быть развернут как inline, так и outofline, что особенно важно для организаций, желающих полностью контролировать потоки информации в своих сетях.
Игорь Ляпунов: Проблемы использования информационных систем предприятия на мобильных устройствах решаются нами проектным методом. Это означает, что, когда мы беремся за проекты по защите данных компаний-заказчиков от утечек или угроз иного рода, информационная система предприятия рассматривается как некое единое целое, которое следует изучить и защитить должным образом от всех возможных угроз, представляющих реальную или потенциальную опасность. При этом комплекс «Дозор-Джет» – лишь часть проекта, соответствующего концепции комплексного подхода к системной интеграции. Внедрение одного продукта решает всего лишь часть проблем, внедрение комплекса мер, услуг, программного и аппаратного обеспечения позволяет решать проблемы предприятия в целом за меньшие деньги в более сжатые сроки.
Собственного отдельного продукта класса Mobile Device Management у нас нет. Так же как собственного антивируса или антиспама. Однако комплекс «Дозор-Джет» эффективно интегрируется и с антивирусами, и с антиспам-системами (позволяя использовать в составе комплекса DLP функционал этих продуктов), и с SIEM (HP ArcSight). Есть и опыт реализации проектов по внедрению комплекса DLP с защитой мобильных устройств. Такой подход позволяет экспертно оценить и квалифицированно выбрать наиболее подходящий для наших заказчиков продукт для корпоративных данных на мобильных устройствах из линейки существующих на рынке продуктов класса Mobile Device Management, включив его в комплекс мер по внедрению DLP-системы. Таким образом, на выходе создается решение, предназначенное для защиты конфиденциальных данных, значительно превышающее классическую DLP-систему.
– Будущее DLP-систем: какие новые функциональные возможности должны появиться в технологиях DLP с ростом популярности BYOD?
Андрей Арефьев: Прежде всего нужно расширить DLP-периметр на мобильные устройства. Аудитория, использующая DLP, расширяется: теперь это не только ИБ-специалисты, но и бизнес-пользователи, поэтому необходимо учитывать и их интересы. DLP на мобильных устройствах должна одновременно включать его в защищаемый периметр и обеспечивать гибкость политик, поддержку различных бизнес-сценариев.
Современные DLP позволяют не только диагностировать утечку данных, но и предотвратить ее. Однако пользователям также должна быть понятна грань между их персональной информацией и корпоративными данными, т.к. это сокращает потенциальное количество нарушений и позволяет соблюсти баланс между контролем и свободой обращения данных. Таким образом, BYOD остается привлекательным (и безопасным!) и для работодателя, и для сотрудника.
Алексей Раевский: Как я отметил выше, в связи с существующей моделью работы приложений в мобильных ОС, ждать каких-то революционных технологий от мобильных DLP не стоит. Наиболее существенным шагом вперед стала бы возможность более полного доступа к системным ресурсам со стороны приложений на мобильных платформах или возможность запуска каких-то доверенных приложений, которые могут получить root-доступ к устройству, если на такое пойдут разработчики ОС. Это позволило бы мобильным DLP приблизиться по функционалу к DLP-системам на платформе Windows PC. До этого момента службам ИБ компаний придется довольствоваться достаточно ограниченными возможностями мобильных DLP и решать задачи по защите от утечек другими способами.
В принципе сейчас наблюдается тенденция некоторого отхода от концепции BYOD, когда не пользователь приносит свое устройство на работу, а компания выдает ему служебный смартфон или планшет. Такой подход имеет ряд преимуществ – в первую очередь ИТ-службам не приходится иметь дело с неконтролируемым зоопарком различных моделей устройств, платформ, версий ОС и т.д. Кроме этого, в таком случае весь трафик уже можно считать служебным, и его анализ со стороны компании не вызывает нареканий. Это уже не BYOD в чистом виде, но основные его плюсы – мобильность пользователей, их продуктивность и т.д. – сохраняются. В таком варианте у служб ИБ гораздо больше возможностей по контролю действий пользователей, а, следовательно, и по борьбе с утечками.
Узи Яир: Комплексное DLP-решение для мобильных устройств должно обеспечивать те же функции, что и для стационарного компьютера: мониторинг входящих данных на мобильное устройство и исходящих с него; выявление конфиденциальных данных с возможностью автоматического перемещения, помещения в карантин и шифрования найденных файлов; модули управления мобильными устройствами и другими персональными компьютерами.
Игорь Ляпунов: Если касаться защиты мобильных пользователей, ответ, конечно, простой – DLP начнут прирастать функционалом, в том числе и в части Mobile Device Management. Производители DLP просто отвечают на запросы рынка. В конце концов концептуально агент MDM, по сути, ничем не отличается от агента для ПК. Вы или контролируете конечную точку получения информации из информационной сети предприятия или нет. Разница лишь в том, что сотрудник выходит на работу со своим личным устройством, котором вы как работодатель не можете распоряжаться, однако корпоративными данными в этом устройстве можно управлять.
Подводим итоги, делаем выводы
Илья Шабанов, управляющий партнер аналитического центра Anti-Malware.ru
Консьюмеризация как тренд полностью реализована. Ограничивать возможности удаленной работы сотрудников – это значит отказываться от повышения производительности труда в своей организации. Поэтому полностью ограничивать удаленный доступ к корпоративным ресурсам неразумно. Но и пускать все на самотек, устраивать в компании проходной двор, также неправильно. Компаниям разумнее взять под контроль использование частных мобильных устройств для работы с корпоративными ресурсами.
Современные DLP-системы не позволяют применить к мобильным устройствам те же подходы, к которым мы привыкли в случае рабочих станций и осязаемого периметра корпоративной сети. Причин здесь несколько.
Есть технические причины – DLP-агент не сможет контролировать устройство целиком без специальных «хаков» (работа с привилегиями root), на которые нормальный пользователь не согласится. Кроме того, практически невозможно контролировать действия с информацией на самом устройстве.
Есть организационные причины. Сотрудники имеют полное право отказать в установке каких-либо DLP-агентов на телефоны, поскольку это их собственность. Если же купить всем корпоративные телефоны, они могут многих не устроить.
Поэтому остается только создавать специальные защищенные контейнеры с информацией на мобильных устройствах, а также контролировать действия сотрудников на уровне шлюза в корпоративную сеть или же на уровне самих информационных ресурсов.
Наибольшие риски связаны с потерями и кражами мобильных устройств. Кроме этого, существует риск несанкционированного доступа к устройству и уже последующей кражи информации. Поэтому нужно подумать о технологиях защиты доступа к важной информации с мобильного устройства.
Что касается особенностей DLP, используемых для защиты корпоративных данных от мобильных угроз, то я бы здесь говорил не столько об особенностях, сколько о совершенно ином подходе к защите от утечек информации.
Сейчас с помощью DLP-системы пытаются контролировать все экосистемы, любые действия с информацией внутри корпоративной сети, которую контролирует отдел ИБ. Если пропадает понятие «периметра», то эта модель нарушается. Приходится защищать информацию и действия с ней в недоверенной среде, так как невозможно полностью контролировать само устройство и действия с ним.
Поэтому разумным выглядит концепция, когда в рамках изначально недоверенной среды создается специальная доверенная, требующая особой авторизации и контролируемая ИБ-отделом компании.
Чтобы устранить проблемы, возникающие при использовании частных мобильных устройств для работы с корпоративными ресурсами, в будущих DLP-системах должны появиться специальные мобильные приложения, информация в которых будет шифроваться и доступ к которым будет жестко контролироваться, в том числе с использованием вариаций двухфакторной аутентификации. Это относится к контролю на уровне самих мобильных устройств и уже позволит минимизировать основные риски утечки данных.
Помимо этого, DLP-системы должны научиться работать с «мобильным трафиком», который приходит в их корпоративную сеть, на уровне шлюза. Этот трафик должен аккуратно разбираться, анализироваться на предмет несанкционированных действий или поведенческих аномалий. Если какая-то подозрительная активность обнаруживается, то доступ с этого устройства или этому пользователю может быть ограничен. Такие функции уже есть на рынке – DLP-вендоры стараются держать руку на пульсе времени. В начало⇑
Facebook
Мой мир
Вконтакте
Одноклассники
Google+
Комментарии отсутствуют
Комментарии могут отставлять только зарегистрированные пользователи
|
Вакансии на сайте Jooble
|
_cover.jpg)
_cover.jpg)
_cover.jpg)
_cover.jpg)
