Контроль Skype. Когда ИБ не противоречит бизнес-задачам

 СЕРГЕЙ ВАХОНИН, директор по информационным технологиям ЗАО «Смарт Лайн Инк»

Контроль Skype
Когда ИБ не противоречит бизнес-задачам

Высокая популярность сетевого сервиса Skype привела к тому, что он стал зачастую незаменимым бизнес-инструментом, как мобильный телефон

Причины такой популярности очевидны – удобство использования для различного рода коммуникаций, экономия на звонках, легкость переговоров между офисами, возможность телеконференций с партнерами и клиентами, простота обмена сообщениями, файлами и документами.

Кроме того, Skype считается едва ли не самым защищенным средством сетевых коммуникаций благодаря встроенной подсистеме шифрования трафика и распределенной структуре Skype-сети.

В этих условиях не удивительно, что руководители компаний и владельцы бизнеса вынуждены учитывать последствия неконтролируемого использования Skype и ставить соответствующие задачи службам информационной безопасности.

Как и любое другое средство коммуникации, Skype может дать как положительный бизнес-эффект, так и существенные убытки.

Попросту говоря, Skype является одним из потенциальных каналов утечки корпоративных и персональных данных, причем стоит среди них особняком в силу своей защищенности от перехвата.

Если другие средства коммуникации (электронная почта, IM-сервисы, социальные сети) используются достаточно давно, и для предотвращения и мониторинга утечек информации по этим каналам рынок предлагает множество различных решений, то со Skype все несколько сложнее.

Неслучайно в последнее время в индустрии ИТ-безопасности отмечается большой интерес к поиску способов контролируемого использования Skype в корпоративных средах.

Существует распространенное заблуждение, что мониторинг информации, передаваемой по Skype, равно как и избирательный контроль использования самого сервиса отдельными пользователями невозможены или чрезмерно дороги в связи с высокой степенью защищенности этого канала коммуникаций от прослушивания и перехвата.

Действительно, если перехватывать Skype-трафик на уровне корпоративных серверов и сетевых шлюзов, то это, как и последующая расшифровка, будет весьма непростым делом, если вообще возможным.

Можно глобально запретить использование Skype в корпоративной сети, но вряд ли это будет сочетаться с требованиями бизнеса, когда Skype является одним из бизнес-инструментов.

Это означает, что серверные DLP-решения неспособны предоставить службам информационной безопасности требуемую гибкость, сочетающую возможность использования Skype в рабочих целях отдельными сотрудниками или группами и предотвращение или хотя бы мониторинг утечек данных через этот канал, если передаваемая информация не соответствует корпоративной политике информационной безопасности.

Кроме того, глобальный запрет Skype на корпоративном сетевом уровне заставит сотрудников искать другие средства для обмена мгновенными сообщениями и VoIP-коммуникаций, а значит, потребуются новые решения для обеспечения информационной безопасности.

Сегодня существует только один способ создать решение, позволяющее обеспечить выборочный контроль коммуникаций в Skype и оперативный мониторинг передаваемой информации с возможностью предотвращения передачи недопустимых данных. Это контроль голосовой и текстовой информации, вводимой пользователем Skype на своем компьютере и передаваемых через Skype файлов посредством устанавливаемых на рабочих станциях сотрудников исполняемых агентов, перехватывающих чат, передачу файлов, голосовой и видеотрафик непосредственно в самом клиенте Skype.

Именно таким решением является программный комплекс российской разработки DeviceLock 7.2 Endpoint DLP Suite. С его помощью служба информационной безопасности может реализовать различные сценарии противодействия утечкам корпоративных данных через Skype – от тотального запрета его использования до пассивного режима, когда ведутся только мониторинг передаваемых данных и их сохранение для последующего анализа службой информационной безопасности.

Возможные сценарии контроля Skype, которые позволяет реализовать DeviceLock:

• любые сочетания блокировки и мониторинга;
• выборочное разрешение чатов и передачи файлов в Skype для отдельных пользователей;
• разрешение или запрет голосовых и видеоконференций между пользователями, в том числе с указанием возможных или недопустимых участников разговора.

В соответствии с поставленными задачами по контролю использования Skype служба ИБ может с помощью DeviceLock выстроить многоуровневую гибкую защиту и мониторинг утечки данных через этот сервис.

Гибкость контроля и аудита достигается заданием DLP-политик для отдельных пользователей и групп с указанием предоставляемых этим пользователям прав либо запретов по различным объектам Skype.

Прежде всего DeviceLock позволяет выборочно предоставить возможность использования Skype только указанными сотрудниками, в том числе в заданное время дня и дни недели. Использование может быть гранулярно ограничено отдельными правами, связанными с объектами Skype, а именно право получать входящие сообщения, право совершать или принимать аудио- и видеозвонки, право передавать файлы.

Функция «Белый список для сетевых протоколов» в применении к сервису Skype позволяет явно задать список разрешенных участников Skype-конференций, указав Skype-аккаунты допустимых отправителей и получателей, что дает возможность, например, гарантировать использование только корпоративных Skype-аккаунтов в рабочих целях.

Задачи мониторинга и создания базы данных для криминалистического анализа инцидентов информационной безопасности, связанных с нарушением корпоративных политик при использовании сервиса Skype, решаются так же гибко и избирательно, как и задачи избирательной блокировки различных объектов в Skype.

DeviceLock позволяет выборочно протоколировать действия пользователей в Skype и сохранять переданные им файлы и содержимое чата. Записи аудита и теневые копии переданных и принятых сообщений и файлов хранятся в централизованной базе данных для последующего криминалистического анализа сотрудниками службы информационной безопасности.

Если службе информационной безопасности необходимо оперативно получать информацию об инцидентах (выявленных фактах передачи данных или попытках передачи при запрете), эта задача решается посредством функционала тревожных оповещений (алертинга) в DeviceLock.

Алерты задаются по опять же аналогичному принципу – выборочно для пользователей и задействованных объектов Skype. Передача тревожных сообщений осуществляется по протоколу SMTP путем отправки сообщения на заданный адрес электронной почты либо протоколу SNMP путем отправки snmp-трапа на заданный сервер сбора событий.

И, наконец, с помощью механизмов контентного анализа и фильтрации, реализованных в модуле ContentLock комплекса DeviceLock DLP Suite, служба ИБ может контролировать содержимое исходящих сообщений в чате Skype и передаваемых файлов – содержимое анализируется в режиме реального времени (в момент передачи) на предмет соответствия корпоративным DLP-политикам.

Контентно-зависимые правила используются для задания необходимой точности блокировки Skype вплоть до уровня, когда не допускается передача сообщений или документов, содержащих недопустимый с точки зрения безопасности контент – при том, что в целом использование Skype для сотрудника разрешено.

При срабатывании такого правила – анализатора контента можно отправить тревожное сообщение, что существенно повышает оперативность реагирования службы информационной безопасности на ключевые инциденты.

***

Резюмируя, можно сказать, что предоставляемая решением DeviceLock возможность обеспечить гранулированный контроль Skype, открывает службам информационной безопасности путь для решения задачи избирательного использования Skype именно в целях повышения эффективности работы, и делать это безопасно для компании.

Безусловно, в списке каналов сетевых коммуникаций, которые может контролировать комплекс DeviceLock 7.2, Skype не одинок.

Электронная почта, почтовые веб-сервисы, различные службы мгновенных сообщений, социальные сети и форумы, облачные файловые хранилища, FTP-серверы – все эти  общедоступные сервисы сети Интернет могут в любой  момент оказаться каналом утечки корпоративной информации, разглашение которой может быть нежелательным или даже опасным для бизнеса.

Не стоит сбрасывать со счетов и традиционные локальные каналы – устройства и интерфейсы передачи данных. Отдельный акцент стоит сделать на безопасность терминальных сессий.

DLP-комплекс DeviceLock обеспечивает всеобъемлющий контроль сетевых и локальных коммуникаций с корпоративных компьютеров, что позволяет предотвращать или отслеживать инсайдерские утечки данных через различные сетевые сервисы, устройства и интерфейсы.

Более того, функциональные возможности DeviceLock также расширяют область контроля над утечками для решений, построенных в модели BYOD и основанных на использовании виртуальных рабочих сред и виртуализации приложений.

Комментарии могут оставлять только зарегистрированные пользователи