BYOD и безопасность: мифы и реальность

 СЕРГЕЙ ВАХОНИН, директор по решениям ЗАО «Смарт Лайн Инк»

BYOD и безопасность: мифы и реальность

Активное распространение стратегии Bring Your Own Device (BYOD, использование персональных устройств в рабочих целях) во всех секторах экономики существенно ускоряет темпы «мобилизации» бизнес-процессов

Это значит, что многие компании поставлены перед необходимостью искать баланс между мобильностью сотрудников и информационной безопасностью бизнеса, решая ряд новых задач, связанных с эффективностью управления персональными устройствами и обеспечением безопасности их применения

Для решения ряда задач безопасности BYOD-устройств рынку было предложено множество самых разных BYOD-стратегий, но вследствие ложного маркетингового «шума», генерируемого конкурирующими производителями, многие BYOD-стратегии, представляемые рынку как наиболее эффективные, таковыми не являются. В частности, в области BYOD-управления был популяризован целый ряд мифов и заблуждений относительно того, что делает программу внедрения BYOD-устройств в бизнес-практику предприятия безопасной и успешной.

Перечислим наиболее распространенные мифы в стратегиях BYOD:

• Системы класса Mobile Device Management (MDM) предоставляют полное решение проблем безопасности в BYOD.
• Важные корпоративные данные могут безопасно храниться и создаваться непосредственно на персональных устройствах.
• Решения класса Mobile Device Management (MDM) равноценны решениям класса Data Leak Prevention (DLP).

Действительно, системы класса Mobile Device Management (MDM) позволяют удаленно (централизованно) управлять множеством мобильных устройств, будь то устройства, предоставленные сотрудникам компанией, или собственные устройства сотрудников. Это управление обычно включает в себя такие функции, как удаленное обновление политик безопасности (без подключения к корпоративной сети), распространение приложений и данных, управление конфигурацией для обеспечения всех устройств необходимыми ресурсами.

Некоторые MDM-решения содержат встроенную «мину» – способность самоуничтожения всего программного обеспечения и данных с мобильного устройства в случае злонамеренного неавторизованного удаления с него MDM-приложения. Однако до того момента, пока на BYOD-устройствах не появятся полностью независимые операционные среды (бизнес, персональная, среда производителя и т.п.), сегментированные на физическом уровне и снабженные низкоуровневыми интерфейсами для доступа СЗИ независимых производителей, ограниченность возможностей MDM-решений по контролю исходящих потоков данных на мобильных устройствах останется принципиальной проблемой, обсуждения которой MDM-вендоры старательно избегают. А для имитации решения проблемы они используют «заплатки» типа вышеупомянутых встроенных «мин».

Сильными сторонами MDM-систем являются такие функции, как надежная парольная защита устройства, шифрование встроенной памяти и карт хранения данных, либо «контейнеризация» данных приложений, управляемое уничтожение данных с устройства в случае потери или кражи. Однако же на практике по крайней мере функцию удаленного уничтожения данных можно реализовать только при условии, что устройство появится в Сети и будет обнаружено управляющей частью MDM-системы. То есть приходится полагаться на удачу – низкую техническую квалификацию вора или человека, нашедшего такое «защищенное» мобильное устройство, и на то, что сработают функции шифрования и парольной защиты.

Рассматривая миф о безопасности хранения и создания данных на BYOD-устройствах, стоит помнить, что задача обеспечения безопасности корпоративной информации на персональных устройствах стоит не только в связи с коммерческой необходимостью защиты корпоративных наработок, сведений, персональных данных сотрудников и т.п., но и в силу требований законодательных и нормативных актов. В реальности уже сама практика хранения данных на BYOD-устройствах порождает риск утечки данных независимо от наличия на устройстве агента MDM-системы. Данные ограниченного доступа могут быть отправлены непосредственно с устройства по сетевым каналам или на подключаемые внешние устройства печати и хранения.

Некоторые разработчики MDM-систем заявляют, что их решения обеспечивают полноценную защиту от утечек данных в силу наличия функций шифрования и уничтожения данных на устройстве. Однако же рассматривать MDM-системы как равноценные DLP-системам некорректно уже в силу существования довольно четкого определения термина Data Leak Prevention, установленного отраслевыми аналитиками. DLP-решение должно быть способно анализировать данные в состояниях «Передаваемые данные» (data-in-motion), «Используемые данные» (data-in-use) и/или «Хранимые данные» (data-at-rest) по их содержимому. Указанные виды анализа данных, имеющие решающее значение для выполнения задач контроля, мониторинга и обеспечения целостности данных, попросту отсутствуют в современных MDM-системах.

Наиболее эффективным решением безопасности данных для устройств BYOD является предоставление доступа к информационным активам компании через удаленное подключение BYOD-устройств через терминальные сессии к виртуальным Windows-средам, которые, в свою очередь, защищены функционирующей на хосте DLP-системой, обеспечивающей предотвращение неконтролируемых утечек данных. Такой подход называется Virtual Data Leak Prevention (vDLP). Коротко говоря, технология Virtual DLP предлагает контролируемое предоставление удаленного доступа к корпоративным данным в отличие от локального хранения данных на BYOD-устройствах в подходе MDM.

Подход Virtual DLP подразумевает выполнение ключевых задач безопасности:

• Безопасная обработка данных – сотрудники при подключении к корпоративному порталу по безопасной сессии не используют приложения для локальной обработки данных на устройстве BYOD, либо возможность использования данных блокируется на контекстном уровне. Таким образом, гарантируется, что корпоративные данные компании не будут распространены далее контролируемого устройства.
• Безопасное хранение данных – защищаемые корпоративные данные могут быть доступны только в виртуальной среде, и в случае редактирования или иного изменения могут сохраняться только на сервере или быть распечатаны на принтерах в корпоративной сети. При этом не допускаются локальное сохранение данных во встроенной памяти BYOD-устройств, подключаемых съемных накопителях, печать на неконтролируемых принтерах вне корпоративной сети.
• Контроль передачи данных – DLP-система, функционирующая в виртуальной среде Windows, обеспечивает контентную фильтрацию содержимого файлов и данных, проходящих через коммуникационные каналы, и контекстный контроль каналов (электронная почта, веб-сайты, мессенджеры и т.д., канал печати, перенаправленные диски и сетевые файловые ресурсы, а также съемные носители).

Безусловно, MDM-системы играют значительную роль в обеспечении безопасности стратегии BYOD, но следует вновь четко обозначить, что при этом они не выполняют задачи предотвращения утечек данных. Для создания полноценного и эффективного решения по обеспечению безопасности в стратегии BYOD MDM-системы должны работать совместно с резидентными DLP-системами. Любая MDM-система будет эффективна только в качестве компонента в более широкой комплексной стратегии обеспечения безопасности данных на мобильных устройствах. MDM-системы следует применять для решения задач общего управления и контроля мобильных устройств, шифрования данных как одну из «линий обороны».

Всеобъемлющая и оптимальная стратегия безопасности BYOD описывается упрощенной формулой:

Безопасность BYOD = MDM + App + VPN + VM + DLP

где комплексно применяются:

• MDM-система для контроля локальных приложений на устройствах, удаленного уничтожения данных, обеспечения надежной парольной защиты устройства и шифрования данных и т.п.;
• приложение (App) для удаленного подключения мобильного устройства через Интернет к виртуальной среде (например, Citrix Receiver);
• защищенный VPN-туннель;
• виртуальная рабочая Windows-среда (VM), в которой опубликованы и доступны необходимые для работы приложения и данные;
• и, наконец, DLP-система предотвращения утечек данных, интегрированная в виртуальную рабочую среду Windows и обеспечивающая контроль доступных в этой виртуальной среде каналов передачи данных (электронная почта, веб-сайты, мессенджеры, канал печати, перенаправленные в виртуальную среду локальные USB-устройства) для предотвращения утечек данных с BYOD-устройства.

Такой DLP-системой с успехом выступает программный комплекс DeviceLock DLP Suite, обеспечивающий полный контроль разнообразных вариантов применения персональных мобильных устройств в различных моделях использования решений виртуализации (BYOD, home office, облачные корпоративные серверы), построенных на платформах виртуализации и терминального доступа от Microsoft, Citrix, VMware и других производителей.

При наличии заданных DLP-политик, определяющих допустимость использования корпоративных данных, DeviceLock, будучи установленным на стороне компании – в виртуальной среде или на терминальном сервере, – гарантирует, что передача данных пользователем находится строго внутри границ виртуальной среды (терминальной сессии), и данные, утечка которых недопустима, не попадают на личную часть персонального устройства (от тонкого клиента или домашнего компьютера до мобильного устройства любого типа), оставаясь при этом доступными для эффективного выполнения бизнес-задач.

Таким образом, службы ИБ могут полностью контролировать обмен данными между корпоративной средой и персональным устройством, а также подключенными к нему периферийными устройствами и буфером обмена – что особенно важно, учитывая, что все эти каналы передачи данных вне корпоративных границ становятся небезопасными и должны рассматриваться как угроза корпоративной информационной безопасности.

Комментарии могут оставлять только зарегистрированные пользователи