BYOD и безопасность: мифы и реальность::Журнал СА 3.2014
www.samag.ru
     
Поиск   
              
 www.samag.ru    Web  0 товаров , сумма 0 руб.
E-mail
Пароль  
 Запомнить меня
Регистрация | Забыли пароль?
Журнал "Системный администратор"
Журнал «БИТ»
Подписка
Архив номеров
Где купить
Наука и технологии
Авторам
Рекламодателям
Контакты
   

  Опросы
  Статьи

Дата-центры  

Дата-центры: есть ли опасность утечки данных?

Российские компании уже несколько лет испытывают дефицит вычислительных мощностей. Рост числа проектов,

 Читать далее...

Книжная полка  

Защиты много не бывает

Среди книжных новинок издательства «БХВ» есть несколько изданий, посвященных методам социальной инженерии

 Читать далее...

Событие  

В банке рассола ждет сисадмина с полей фрактал-кукумбер

Читайте впечатления о слете ДСА 2024, рассказанные волонтером и участником слета

 Читать далее...

Организация бесперебойной работы  

Бесперебойная работа ИТ-инфраструктуры в режиме 24/7 Как обеспечить ее в нынешних условиях?

Год назад ИТ-компания «Крок» провела исследование «Ключевые тренды сервисного рынка 2023». Результаты

 Читать далее...

Книжная полка  

Читайте и познавайте мир технологий!

Издательство «БХВ» продолжает радовать выпуском интересных и полезных, к тому же прекрасно

 Читать далее...

СУБД PostgreSQL  

СУБД Postgres Pro

Сертификация по новым требованиям ФСТЭК и роль администратора без доступа к данным

 Читать далее...

Критическая инфраструктура  

КИИ для оператора связи. Готовы ли компании к повышению уровня кибербезопасности?

Похоже, что провайдеры и операторы связи начали забывать о требованиях законодательства

 Читать далее...

Архитектура ПО  

Архитектурные метрики. Качество архитектуры и способность системы к эволюционированию

Обычно соответствие программного продукта требованиям мы проверяем через скоуп вполне себе понятных

 Читать далее...

Как хорошо вы это знаете  

Что вам известно о разработках компании ARinteg?

Компания ARinteg (ООО «АРинтег») – системный интегратор на российском рынке ИБ –

 Читать далее...

Графические редакторы  

Рисование абстрактных гор в стиле Paper Cut

Векторный графический редактор Inkscape – яркий представитель той прослойки open source, с

 Читать далее...

День сисадмина  

Учите матчасть! Или как стать системным администратором

Лето – время не только отпусков, но и хорошая возможность определиться с профессией

 Читать далее...

День сисадмина  

Живой айтишник – это всегда движение. Остановка смерти подобна

Наши авторы рассказывают о своем опыте и дают советы начинающим системным администраторам.

 Читать далее...

Виртуализация  

Рынок решений для виртуализации

По данным «Обзора российского рынка инфраструктурного ПО и перспектив его развития», сделанного

 Читать далее...

Книжная полка  

Как стать креативным и востребованным

Издательский дом «Питер» предлагает новинки компьютерной литературы, а также книги по бизнесу

 Читать далее...

1001 и 1 книга  
19.03.2018г.
Просмотров: 6413
Комментарии: 0
Машинное обучение с использованием библиотеки Н2О

 Читать далее...

12.03.2018г.
Просмотров: 7117
Комментарии: 0
Особенности киберпреступлений в России: инструменты нападения и защита информации

 Читать далее...

12.03.2018г.
Просмотров: 4395
Комментарии: 0
Глубокое обучение с точки зрения практика

 Читать далее...

12.03.2018г.
Просмотров: 3086
Комментарии: 0
Изучаем pandas

 Читать далее...

12.03.2018г.
Просмотров: 3882
Комментарии: 0
Программирование на языке Rust (Цветное издание)

 Читать далее...

19.12.2017г.
Просмотров: 3897
Комментарии: 0
Глубокое обучение

 Читать далее...

19.12.2017г.
Просмотров: 6385
Комментарии: 0
Анализ социальных медиа на Python

 Читать далее...

19.12.2017г.
Просмотров: 3233
Комментарии: 0
Основы блокчейна

 Читать далее...

19.12.2017г.
Просмотров: 3529
Комментарии: 0
Java 9. Полный обзор нововведений

 Читать далее...

16.02.2017г.
Просмотров: 7364
Комментарии: 0
Опоздавших не бывает, или книга о стеке

 Читать далее...

17.05.2016г.
Просмотров: 10726
Комментарии: 0
Теория вычислений для программистов

 Читать далее...

30.03.2015г.
Просмотров: 12445
Комментарии: 0
От математики к обобщенному программированию

 Читать далее...

18.02.2014г.
Просмотров: 14096
Комментарии: 0
Рецензия на книгу «Читаем Тьюринга»

 Читать далее...

13.02.2014г.
Просмотров: 9192
Комментарии: 0
Читайте, размышляйте, действуйте

 Читать далее...

12.02.2014г.
Просмотров: 7141
Комментарии: 0
Рисуем наши мысли

 Читать далее...

10.02.2014г.
Просмотров: 5446
Комментарии: 3
Страна в цифрах

 Читать далее...

18.12.2013г.
Просмотров: 4683
Комментарии: 0
Большие данные меняют нашу жизнь

 Читать далее...

18.12.2013г.
Просмотров: 3495
Комментарии: 0
Компьютерные технологии – корень зла для точки роста

 Читать далее...

04.12.2013г.
Просмотров: 3212
Комментарии: 0
Паутина в облаках

 Читать далее...

03.12.2013г.
Просмотров: 3449
Комментарии: 0
Рецензия на книгу «MongoDB в действии»

 Читать далее...

02.12.2013г.
Просмотров: 3090
Комментарии: 0
Не думай о минутах свысока

 Читать далее...

Друзья сайта  

 BYOD и безопасность: мифы и реальность

Архив номеров / 2014 / Выпуск №3 (136) / BYOD и безопасность: мифы и реальность

Рубрика: Безопасность /  Продукты и решения

Сергей Вахонин СЕРГЕЙ ВАХОНИН, директор по решениям ЗАО «Смарт Лайн Инк»

BYOD и безопасность: мифы и реальность

Активное распространение стратегии Bring Your Own Device (BYOD, использование персональных устройств в рабочих целях) во всех секторах экономики существенно ускоряет темпы «мобилизации» бизнес-процессов

Это значит, что многие компании поставлены перед необходимостью искать баланс между мобильностью сотрудников и информационной безопасностью бизнеса, решая ряд новых задач, связанных с эффективностью управления персональными устройствами и обеспечением безопасности их применения

Для решения ряда задач безопасности BYOD-устройств рынку было предложено множество самых разных BYOD-стратегий, но вследствие ложного маркетингового «шума», генерируемого конкурирующими производителями, многие BYOD-стратегии, представляемые рынку как наиболее эффективные, таковыми не являются. В частности, в области BYOD-управления был популяризован целый ряд мифов и заблуждений относительно того, что делает программу внедрения BYOD-устройств в бизнес-практику предприятия безопасной и успешной.

Перечислим наиболее распространенные мифы в стратегиях BYOD:

  • Системы класса Mobile Device Management (MDM) предоставляют полное решение проблем безопасности в BYOD.
  • Важные корпоративные данные могут безопасно храниться и создаваться непосредственно на персональных устройствах.
  • Решения класса Mobile Device Management (MDM) равноценны решениям класса Data Leak Prevention (DLP).

Действительно, системы класса Mobile Device Management (MDM) позволяют удаленно (централизованно) управлять множеством мобильных устройств, будь то устройства, предоставленные сотрудникам компанией, или собственные устройства сотрудников. Это управление обычно включает в себя такие функции, как удаленное обновление политик безопасности (без подключения к корпоративной сети), распространение приложений и данных, управление конфигурацией для обеспечения всех устройств необходимыми ресурсами.

Некоторые MDM-решения содержат встроенную «мину» – способность самоуничтожения всего программного обеспечения и данных с мобильного устройства в случае злонамеренного неавторизованного удаления с него MDM-приложения. Однако до того момента, пока на BYOD-устройствах не появятся полностью независимые операционные среды (бизнес, персональная, среда производителя и т.п.), сегментированные на физическом уровне и снабженные низкоуровневыми интерфейсами для доступа СЗИ независимых производителей, ограниченность возможностей MDM-решений по контролю исходящих потоков данных на мобильных устройствах останется принципиальной проблемой, обсуждения которой MDM-вендоры старательно избегают. А для имитации решения проблемы они используют «заплатки» типа вышеупомянутых встроенных «мин».

Сильными сторонами MDM-систем являются такие функции, как надежная парольная защита устройства, шифрование встроенной памяти и карт хранения данных, либо «контейнеризация» данных приложений, управляемое уничтожение данных с устройства в случае потери или кражи. Однако же на практике по крайней мере функцию удаленного уничтожения данных можно реализовать только при условии, что устройство появится в Сети и будет обнаружено управляющей частью MDM-системы. То есть приходится полагаться на удачу – низкую техническую квалификацию вора или человека, нашедшего такое «защищенное» мобильное устройство, и на то, что сработают функции шифрования и парольной защиты.

Рассматривая миф о безопасности хранения и создания данных на BYOD-устройствах, стоит помнить, что задача обеспечения безопасности корпоративной информации на персональных устройствах стоит не только в связи с коммерческой необходимостью защиты корпоративных наработок, сведений, персональных данных сотрудников и т.п., но и в силу требований законодательных и нормативных актов. В реальности уже сама практика хранения данных на BYOD-устройствах порождает риск утечки данных независимо от наличия на устройстве агента MDM-системы. Данные ограниченного доступа могут быть отправлены непосредственно с устройства по сетевым каналам или на подключаемые внешние устройства печати и хранения.

Некоторые разработчики MDM-систем заявляют, что их решения обеспечивают полноценную защиту от утечек данных в силу наличия функций шифрования и уничтожения данных на устройстве. Однако же рассматривать MDM-системы как равноценные DLP-системам некорректно уже в силу существования довольно четкого определения термина Data Leak Prevention, установленного отраслевыми аналитиками. DLP-решение должно быть способно анализировать данные в состояниях «Передаваемые данные» (data-in-motion), «Используемые данные» (data-in-use) и/или «Хранимые данные» (data-at-rest) по их содержимому. Указанные виды анализа данных, имеющие решающее значение для выполнения задач контроля, мониторинга и обеспечения целостности данных, попросту отсутствуют в современных MDM-системах.

Наиболее эффективным решением безопасности данных для устройств BYOD является предоставление доступа к информационным активам компании через удаленное подключение BYOD-устройств через терминальные сессии к виртуальным Windows-средам, которые, в свою очередь, защищены функционирующей на хосте DLP-системой, обеспечивающей предотвращение неконтролируемых утечек данных. Такой подход называется Virtual Data Leak Prevention (vDLP). Коротко говоря, технология Virtual DLP предлагает контролируемое предоставление удаленного доступа к корпоративным данным в отличие от локального хранения данных на BYOD-устройствах в подходе MDM.

Подход Virtual DLP подразумевает выполнение ключевых задач безопасности:

  • Безопасная обработка данных – сотрудники при подключении к корпоративному порталу по безопасной сессии не используют приложения для локальной обработки данных на устройстве BYOD, либо возможность использования данных блокируется на контекстном уровне. Таким образом, гарантируется, что корпоративные данные компании не будут распространены далее контролируемого устройства.
  • Безопасное хранение данных – защищаемые корпоративные данные могут быть доступны только в виртуальной среде, и в случае редактирования или иного изменения могут сохраняться только на сервере или быть распечатаны на принтерах в корпоративной сети. При этом не допускаются локальное сохранение данных во встроенной памяти BYOD-устройств, подключаемых съемных накопителях, печать на неконтролируемых принтерах вне корпоративной сети.
  • Контроль передачи данных – DLP-система, функционирующая в виртуальной среде Windows, обеспечивает контентную фильтрацию содержимого файлов и данных, проходящих через коммуникационные каналы, и контекстный контроль каналов (электронная почта, веб-сайты, мессенджеры и т.д., канал печати, перенаправленные диски и сетевые файловые ресурсы, а также съемные носители).

Безусловно, MDM-системы играют значительную роль в обеспечении безопасности стратегии BYOD, но следует вновь четко обозначить, что при этом они не выполняют задачи предотвращения утечек данных. Для создания полноценного и эффективного решения по обеспечению безопасности в стратегии BYOD MDM-системы должны работать совместно с резидентными DLP-системами. Любая MDM-система будет эффективна только в качестве компонента в более широкой комплексной стратегии обеспечения безопасности данных на мобильных устройствах. MDM-системы следует применять для решения задач общего управления и контроля мобильных устройств, шифрования данных как одну из «линий обороны».

Всеобъемлющая и оптимальная стратегия безопасности BYOD описывается упрощенной формулой:

Безопасность BYOD = MDM + App + VPN + VM + DLP

где комплексно применяются:

  • MDM-система для контроля локальных приложений на устройствах, удаленного уничтожения данных, обеспечения надежной парольной защиты устройства и шифрования данных и т.п.;
  • приложение (App) для удаленного подключения мобильного устройства через Интернет к виртуальной среде (например, Citrix Receiver);
  • защищенный VPN-туннель;
  • виртуальная рабочая Windows-среда (VM), в которой опубликованы и доступны необходимые для работы приложения и данные;
  • и, наконец, DLP-система предотвращения утечек данных, интегрированная в виртуальную рабочую среду Windows и обеспечивающая контроль доступных в этой виртуальной среде каналов передачи данных (электронная почта, веб-сайты, мессенджеры, канал печати, перенаправленные в виртуальную среду локальные USB-устройства) для предотвращения утечек данных с BYOD-устройства.

Такой DLP-системой с успехом выступает программный комплекс DeviceLock DLP Suite, обеспечивающий полный контроль разнообразных вариантов применения персональных мобильных устройств в различных моделях использования решений виртуализации (BYOD, home office, облачные корпоративные серверы), построенных на платформах виртуализации и терминального доступа от Microsoft, Citrix, VMware и других производителей.

При наличии заданных DLP-политик, определяющих допустимость использования корпоративных данных, DeviceLock, будучи установленным на стороне компании – в виртуальной среде или на терминальном сервере, – гарантирует, что передача данных пользователем находится строго внутри границ виртуальной среды (терминальной сессии), и данные, утечка которых недопустима, не попадают на личную часть персонального устройства (от тонкого клиента или домашнего компьютера до мобильного устройства любого типа), оставаясь при этом доступными для эффективного выполнения бизнес-задач.

Таким образом, службы ИБ могут полностью контролировать обмен данными между корпоративной средой и персональным устройством, а также подключенными к нему периферийными устройствами и буфером обмена – что особенно важно, учитывая, что все эти каналы передачи данных вне корпоративных границ становятся небезопасными и должны рассматриваться как угроза корпоративной информационной безопасности.


Комментарии отсутствуют

Добавить комментарий

Комментарии могут оставлять только зарегистрированные пользователи

               Copyright © Системный администратор

Яндекс.Метрика
Tel.: (499) 277-12-45
E-mail: sa@samag.ru