Войти в профиль iXBT.com
Можно ввести логин и пароль от конференции
Забыли пароль?
Войти или зарегистрироваться через соцсеть

Контроль информационных потоков в условиях мобильного рабочего места

Большинство контейнеров позволяют ограничить покидание информации из контейнера, но узнать, как сотрудник использовал свой доступ к корпоративной информации через мобильное устройство, они не позволяют. Единственное решение, которое может позволить это, интеграция контейнера с DLP-системой.

Андрей Арефьев, руководитель отдела развития продуктов InfoWatch, начал свое выступление с того, как в его глазах выглядит трансформация бизнеса, его «диджитализация». На рис. 1 изображены одни из наиболее актуальных на сей день ИТ-технологий.

Рис. 1.

Все эти технологии приводят к определенным нюансам, связанным с информационной безопасностью. С помощью аналитического агентства InfoWatch можно увидеть картину роста утечек информации, которая показывает, как из года в год растет их число и это несмотря на то, что на рынке существует большое число ИБ-систем.

Рис. 2.

На рис. 2 представлено распределение утечек по каналам в России и в мире по данным аналитического центра InfoWatch. Удивительно, но 45% утечек в мире связано с бумажными документами.

Естественно, основным инструментом по борьбе с утечками являются DLP- системы, которые прежде всего позволяют быть в compliance с требованиями регуляторов. На основе тех данных, что DLP- система собирает, можно выявлять аномальное поведение сотрудников, выявлять распространение социальных эффектов как внутри компании, так и снаружи. Эта система может использоваться для выявления сговоров, саботажей, мошенничества, распространения клеветнической информации, в том числе в социальных сетях. DLP-система ищет причины инцидентов, устанавливает скрытые связи между персонами и событиями.

Здесь важно отметить, что полноценная DLP- система должна обрабатывать миллионы событий в день с помощью контентного анализа пересылаемых данных, в том числе использовать морфологического анализ более 20 иностранных языков, поддерживать анализ графической информации. Если DLP-система обрабатывает миллион событий в день, то даже один процент ложных срабатываний будет очень сильно влиять на нагрузку службы информационной безопасности. Производительность мощной DLP-системы должна позволять анализировать до 2 Тбайт почтового трафика в день.

Существенным фактором снижения количества ложных срабатываний является хорошая интеграция с бизнес-системами, в первую очередь с ERP-системами. По словам Андрея Арефьева, в конце 2018 года InfoWatch анонсировал интеграцию своего ПО с ERP-системой компании SAP.

Почему InfoWatch это сделал? Простой жизненный пример: если вы хотите с помощью DLP-системы защитить информацию о ваших клиентах, чтобы контролировать и выявлять факты, когда их контакты покидают периметр вашей компании. С помощью каких-то регулярных выражений или стандартных правил это сделать практически невозможно, поскольку информация в виде номеров телефонов и электронных адресов постоянно курсирует через периметр компании, другое дело что, как правило, это данные о сотрудниках. Как решить задачу выявления утечки инфо о ваших партнерах или клиентов? Единственный способ – это опираясь на базу данных SAP проверять что данные этого вендора не пересекают периметр компании в любом виде. Для этого и сделала интеграция с системой SAP.

Интеграция с сетевым оборудованием также важна для DLP-системы, поскольку это естественный источник информации, который DLP-системой и обрабатывается.

Любая современная DLP-система должна интегрироваться с SIEM-системой, она не может обойтись без блокировки, которая должна базироваться на политиках безопасности. Это не значит, что вы должны заблокировать копирование, например, на сетевые носители, или на USB-флешки, или в облачные хранилища. В определенной ситуации нормально, когда сотрудники имеют доступ к облачным хранилищам, но важно при этом чтобы контент анализировался и выявлял не легитимные операции.

По представлению Андрея Арефьева, примерно 70% сотрудников имеют доступ к корпоративной информации с мобильных устройств, но такой доступ как правило плохо контролируется DLP-системами. Скажем, если у вас есть доступ к корпоративной почте, вместо того, чтобы отправлять конфиденциальный документ, вы можете написать драфт письма, приложить этот документ к драфту письма, спокойно открыть этот драфт на своем мобильном устройстве и скачать аттачмент к письму, при этом ни одна DLP-система не в состоянии обнаружить этот документ, потому что по факту информация не никуда не отправлялась. Таким образом злоумышленник имеет возможность беспрепятственно пересекать границу вашей компании и при этом никто его не отловит.

Есть для такого случая решения, но они должны быть специальным образом внедрены. Другой простой пример: кража или потеря оборудования. Большинство компаний разрешают использовать персональные мобильные устройства, т.е. BYOD-устройства. Однако возникает факт: вы не можете полностью его контролировать, поскольку сотрудник как бы отдает свое устройство в аренду.

Не всегда возможно полноценно настроить политики безопасности на устройстве сотрудника, а при этом часто появляется желание дать ему доступ, потому что это увеличивает эффективность работы этого человека, что особенно актуально для полевых сотрудников, им необходим непрерывный доступ к корпоративной информации. И тут возникает проблема кражи и потери таких устройств, при этом нет возможности 100-процентрой гарантии безопасного хранения информации на этих устройствах, значит эта информация скомпрометирована и может оказаться в руках злоумышленников, особенно это касается кражи.

Какие способы борьбы с этим существуют? «Некоторое время назад мы пробовали создать агента на мобильные устройства, - отметил Андрей Арефьев, - и наша практика показала, что это не очень эффективно. Это хорошо с точки зрения работы, поскольку с помощью агента решаются задачи безопасности для ноутбуков, рабочих станций, но проблема с мобильными устройствами в их разнообразии, не всегда удается на них поставить агента, а примерно на 10% устройств – это сделать просто невозможно».

В мировой практике получило широкое распространение использование контейнеризации, когда доступ к корпоративной информации возможен с мобильного устройства, но из специально установленного на него контейнера. В таком случае возникает возможность разграничить доступ: с одной стороны, у сотрудника остается своя область приватной безопасности, где он может вести свою частную жизнь, при этом компания за ним не следит. А с другой стороны - компания получает гарантию того, что сотрудник, использующий доступ через контейнер к корпоративной инфраструктуре, контролируем с точки зрения той информации, которую он использует. Важно, чтобы ИБ-службы могли выяснить какие корпоративные документы были на мобильном устройстве в случае его кражи, что там реально находилось, есть ли серьезные риски, связанные с инцидентом.

Благодаря использованию контейнеров появляется возможность контролировать какая информация может покинуть контейнер, а какая не может. Существует ряд стандартных контейнеров, но они не решают всех задач.

Большинство контейнеров позволяют просто ограничить покидание информации из этого контейнера, а выявлять что именно попало в него и что покинуло, как сотрудник использовал свой доступ к корпоративной информации через мобильное устройство, они как правило не позволяют. Единственное решение, которое может позволить это, это когда вы такой контейнер интегрируете с DLP-системой.

На данный момент известна только одна такая интеграция, это интеграция InfoWatch Traffic Monitor и WorksPad – решения от компании «МобилитиЛаб» («Лаборатория корпоративной мобильности»).

WorksPad – это безопасный защищенный контейнер, с помощью которого ИБ-служба получает возможность контролировать что попадает на устройство, что покидает его, как используется доступ и при этом сохранять «прайвеси» сотрудников, которые используют это решение.

Далее слово взял Сергей Орлик, генеральный директор компании «МобилитиЛаб».

Одним из проектов Национальной технологической инициативы по направления Техно, является SaveNet и в частности в SaveNet одним из тематических проектов стало построение российского программного BlackBerry. Здесь важно, что решение должно быть чисто программным и могло функционировать на личных устройствах. Здесь также важно разделение личной и корпоративной информации. «Мы не должны вмешиваться в приватность пользователя, но и должны обеспечивать конфиденциальность документов. – сказал Сергей Орлик. - Когда мы говорим об использовании мобильных устройств, то (из свежей статистики) 2/3 сотрудников использует личные планшеты и смартфоны для работы. Даже есть термит BYOD (Bring Your Own Device) – что означает дословно «принеси свое устройство».

Если посмотреть на наиболее востребованные сервисы, помогающие работать сотруднику, который постоянно не находится за своим стационарным рабочим местом, это конечно почта, доступ к библиотекам, документам, файловым ресурсам, которые находятся в интранете, и к различным внутренним системам, обладающим вэб-интерфейсом.

Эти задачи могут решаться по-разному. Там, где не очень задумываются о конфиденциальности информации, начинают использовать множество приложений, предустановленных на мобильных устройствах, ставят свои почтовые клиенты, различные средства доступа к документам, но возникает достаточно большая проблема потери продуктивности.

Стандартный пример. Вам переслали на почту ZIP-архив, в котором находится два файла: a.doc и a.xlsx. В почтовом клиенте вы скачиваете этот архив, сделаете open in – открытие в специальном приложении, которое занимается работой с архивами, оттуда откроете a.xlsx в каком-то офисном редакторе, a.doc – в другом приложении, внесете в файл a.xlsx какие-то правки. Теперь вам нужно этот документ сохранить и поделиться этим документом с коллегами, т.е. положить на какой-то внутренний портал. А теперь представьте сколько при таком сценарии возникло копий данных документов? И насколько сложно проконтролировать эти все приложения - dropbox, outlook и другие, причем outlook кеширует данные в облаке. Возникает достаточно серьезный комплекс вопросов. «С нашей точки трения таких вопросов три: мы не можем работать, когда объектами работы являются различные информационные сущности - почта, календари, документы, внутренние сайты, у нас дублируются различные версии документов по разным приложениям и мы не можем контролировать работу с информацией, - констатирует Сергей Орлик. - Насколько актуальна утечка информации, насколько актуальна мобильность на сегодняшний день в корпоративном секторе»?

Приведем другой пример. На корпоративную почту получен документ и при этом в стандартном почтовом клиенте подключено несколько аккаунтов, корпоративный аккаунт и личный аккаунт.

А дальше, если сделать форвард сообщения, происходит интересная картина, если бы сотрудник находился в корпоративном периметре и использовал штатный корпоративный почтовый клиент на десктопе, никаких бы вопросов не было, и тот же traffic monitor не дал отправить документ на личный адрес (mail.ru или gmail.com). Однако на мобильном устройстве мы можем сделать следующее: выбираем отправителя, переключаемся на свой личный аккаунт, и отправка конфиденциального документа на любой внешний адрес происходит, что является по сути выходом за периметр.

Каким-то образом с этими проблемами надо бороться, особенно учитывая, что мобильное устройство используется именно сотрудниками, которые обладают доступом к значимой для организации информации. Для iOS и Android мы сталкивается не только с проблематикой продуктивности, но и с общей проблематикой безопасности, даже если мы забываем о личных устройствах, во многих организациях выдаются корпоративные, по крайней мере определенным категориям сотрудников.

Мобильные устройства очень часто связаны с облаками и здесь сочетание использования персональных приложений для работы с корпоративной информацией и неконтролируемых облачных сервисов также представляет проблему, которая переросла в нечто достаточно серьезное.

«Создавая концепцию нашего решения, мы пытались решить озвученные выше три ключевых задачи, - сказал Сергей Орлик. - Мы использовали подход, связанный с контейнеризацией, т.е. вся корпоративная информация находится внутри приложения. Когда я уезжаю из офиса, то начинаю с блокировки экрана, возвращаясь, я экран разблокирую. У меня на ноутбуки открыто несколько писем и презентаций, несколько документов, с которыми я продолжаю работать. На мобильном устройстве в конкретный момент времени у меня максимум идет работа с двумя приложениями. Но сценарий любого информационного сотрудника – он многозадачный. Эти проблемы продуктивности мы пытались решить».

Разработчики «МобилитиЛаб» объединили в рамках единого приложения, в качестве среды доступа и работы с корпоративной информацией, ключевые функциональные возможности почты, календарей, контактов, доступа к файловым ресурсам, а с другой стороны предложили то, что мы называем многоэкранностью, т. е. средство поддержки многозадачности, когда одновременно можно открыть несколько документов и непосредственно на месте получить доступ к своим файловым ресурсам.

На экране реальный WorksPad и есть возможность выбрать соответствующий документ, можно его открыть в отдельном экране.

Можно легко между этими экранами переключаться, при этом в любой момент можно обратиться к почте.

И открыть в отдельном экране свое сообщение, редактировать его и открыть вложение из этого сообщения, переключившись автоматически в файлы. Аналогом Alt-Tab является левая нижняя иконка, которая отображает ленту всех открытых документов. Если выгрузить WorksPad, а потом снова загрузить его, то все документы и письма, сайты, которые были открыты, они снова будут доступны в любой момент времени, нажав Tab для переключения в любую из этих сущностей.

Например, зайти на внутрикорпоративный сайт, войти в какую-то систему (это административная консоль WorksPad), скачать и сохранить файлы здесь же в файловой системе или переключиться в календари и поработать там, причем не только со своими календарями, но и календарями коллег, если они подключены на настольной системе.

Таким образом у нас есть единая среда, которая позволяет, не покидая ее, работать со всей необходимой корпоративной информацией, уделяя очень серьезное внимание аспектам безопасности. Существует редакция с ГОСТ-шифрованием на базе алгоритмов компании ИнфоТеКС, также существуют различные политики, которые позволяют запретить полученной информации не только выход за пределы контейнера, но и тьюнить какие-то моменты, связанные с доступностью тех или иных ресурсов. У нас есть файловый web-клиент, который обеспечивает привычные в персональных сервисах удобные инструменты.

Можно взять любой документ, который есть на внутреннем ресурсе, если у вас есть права доступа к этому, то опубликовать это для внешних пользователей, задав определенные политики таких внешних пользователей к соответствующему документу. Это все дает единую инфраструктуру, которая обеспечивает более удобное и не ущербную с точки зрения ИБ работу.

Существуют различные средства контроля корпоративной информации. DLP здесь играет ключевую роль. К сожалению не каждый сотрудник поставит DLP-агента или Mobile Device Management, а геопозиционирование в последнем варианте включено по умолчанию Для топ-руководителей или акционеров компании, это не только вопрос информационной, но и физической безопасности.

На уровне соответствующих политик мы можем задать, что мы считаем интранетом, что считаем Интернетом, и таким образом определить, что для определенных категорий пользователей можно посещать только вот такие сайты…

Отмена

Сейчас на главной

Публикации

YADRO: актуальные решения вендора

24 мая в Москве состоялась технологический форум «Стратегические сессии OCS», на который собралось более 1100 участников со всей России. На этом мероприятии обратил на себя доклад Александра Бакулина, коммерческого директора компании YADRO.

Автоматическая аналитика и оптимизация государственных предприятий

Внедрить эффективные программы исследования данных непросто. Ведущие эксперты отрасли поделятся с нами стратегиями внедрения эффективных методологий исследования данных, которые помогут повысить продуктивность организации.

Polymatica: российский Business Intelligence

Сегодняшнее мероприятие ведет Алексей Претихин, менеджер по работе с клиентами компании Polimatica, он расскажет о преимуществах продуктов Polimatica по сравнению с конкурентами, про лицензионную политику, про партнерскую программу, в том числе и про защиту партнеров, о дополнительных сервисах, на которых партнер может заработать.

Автоматизируем работу отдела ИБ АСУ ТП: инструменты и средства

Чем дальше субъекты КИИ продвигаются в деле создания или обновления своих систем ИБ АСУ ТП, руководствуясь 187-ФЗ, тем острее звучит вопрос – «КАК?». Как грамотно выстроить систему кибербезопаности своего предприятия в условиях ужесточающейся нехватки штата. Автоматизацией рутинных задач ИБ АСУ ТП – казалось бы очевидный ответ. Но практика показывает, что понимание, какими инструментами и средствами добиться эффективной автоматизации, зачастую отсутствует.

Мониторинг технологических процессов с использованием ИИ

Сегодня мероприятие OCS Distribution и Polymatica с Gelarm рассматривает возможности применения искусственного интеллекта в мониторинге технологических процессов. На мероприятии представлены отечественные программные решения: • аналитическая платформа Polymatica BI для обработки данных с использованием алгоритмов интеллектуального анализа и машинного обучения, • система управления обработкой информации GIMS Automation для настройки API, сценариев обработки информации.