Защита от утечек через мобильные устройства
Утечка конфиденциальной информации — одна из самых страшных угроз. Особенно часто утечки происходят в результате кражи или потери мобильных устройств. Согласно «Глобальному исследованию утечек 2006», в ходе которого аналитический центр InfoWatch изучил 145 утечек 2006 года, ровно половина всех инцидентов произошла именно из-за мобильных устройств. Таким образом, перед компаниями стоит всего один вопрос: как минимизировать риск утечки через мобильные устройства?
В новом исследовании аналитического центра InfoWatch участвовали 1500 пользователей портала Zoom.CNews. В ходе проекта «Безопасность мобильных устройств 2007» эксперты изучили особенности использования мобильных устройств, хранения конфиденциальных данных на них и утечки этой информации вследствие кражи или потери портативной техники.
Аналитики в очередной раз убедились, что мобильные устройства распространены сегодня очень широко. Более половины пользователей (60,8%) имеют хотя бы одно устройство, а почти каждый третий (29,3%) — два. Причем подавляющее большинство пользователей (70,7%) хранит на своих мобильных устройствах конфиденциальную информацию — как свою, так и работодателя. Более того, практически каждый пользователь (78,1%), который уже хоть раз терял свою портативную технику с конфиденциальной информацией, все равно не применяет шифрование для защиты данных.
«Еще одна проблема современного бизнеса состоит в том, что организации зачастую даже не контролируют, записывают ли сотрудники конфиденциальную информацию компании на свои мобильные устройства. Другими словами, список клиентов фирмы может оказаться на карманном компьютере менеджера, а работодатель об этом даже не узнает», — комментирует Денис Зенкин, директор по маркетингу компании InfoWatch.
Действительно, сегодня все большее распространение получают системы защиты от утечек на уровне рабочих станций. Они препятствуют самому факту неавторизованной записи конфиденциальных сведений на мобильные устройства и сменные носители. Рассмотрим две такие системы: InfoWatch Device Monitor 3.0 и SmartLine DeviceLock 6.1.
InfoWatch Device Monitor 3.0
Продукт Device Monitor разрабатывается и поставляется российской компанией InfoWatch с ноября 2005 года. Версии 1.x и 2.x работали как самостоятельные продукты, а начиная с версии 3.0 появилась интеграция с модулем InfoWatch Traffic Monitor, который используется для анализа и хранения контента файлов, копируемых с присоединяемых устройств или на них. Другими словами, Device Monitor позволяет не только блокировать периферийные устройства на рабочей станции, но и анализировать содержание копируемых файлов, которое автоматически индексируется по заданным параметрам и категориям. После интеграции с Device Monitor продукт Traffic Monitor позволяет с одной консоли управлять всеми каналами утечки информации (e-mail, Интернет, присоединяемые устройства и принтеры) и хранить контент, покинувший информационную систему, в едином хранилище. Таким образом, решение фокусируется не на канале утечки, а на контенте, который либо разрешен, либо запрещен к выносу за пределы информационной системы.
Продукт InfoWatch Device Monitor состоит из локальных агентов, устанавливаемых на рабочих станциях, и промежуточных серверов, которые управляют агентами и передают информацию на сервер Traffic Monitor. Количество промежуточных серверов определяется исходя из количества рабочих станций. Один сервер может контролировать до 200-300 рабочих станций (данные приблизительные и зависят от степени использования защищаемых рабочих станций).
Локальные агенты поддерживают установку средствами Active Directory. Администратор системы может производить поиск в сети рабочих станций без установленных агентов Device Monitor, проверять статус работы агента на компьютерах, где агенты установлены, отслеживать попытки деактивировать агенты. При этом агенты сохраняют работоспособность и без доступа к сети и к Traffic Monitor, накапливая необходимую информацию локально, а после восстановления соединения синхронизируют журналы и политики.
Кроме того, в продукте реализована система централизованной доставки правил настройки на промежуточные серверы. В архитектуру Device Monitor интегрирован локальный перехватчик печати, который отправляет сообщения о напечатанных документах и их атрибутах на сервер Traffic Monitor для его категоризации. В версии Device Monitor 3.1, выход которой ожидается в январе 2008 года, к функции информирования о напечатанных документах добавится полная функциональность анализа контента: приостановка печати, анализ текста, выдача заключения, продолжение печати, отказ в операции.
Таким образом, ключевое место в распределенной архитектуре решения занимают программные модули, осуществляющие активный контроль над обращением конфиденциальной информации на уровне рабочих станций. К ним относятся:
- перехватчик печати, позволяющий контролировать работу пользователей с принтерами и отслеживающий выполнение операции «Добавление в очередь», то есть помещение документа в очередь на печать процессом с именем, удовлетворяющим заданному условию;
- перехватчик устройств, который дает возможность перехватывать обращения пользователей к сменным носителям и внешним устройствам: CD/DVD-накопителям, в том числе и к пишущим устройствам; дискетам и съемным накопителям информации, включая внешние жесткие диски, ZIP-накопители и т.д.; USB-, COM-, LPT- и IrDA-портам; Bluetooth и Wi-Fi, а также FireWire. Кроме того, в случае интеграции Device Monitor с Traffic Monitor происходит теневое копирование всех данных, покидающих корпоративную сеть даже через порты рабочих станций.
Продукт успешно используется как в небольших организациях (до 200 компьютеров), так и в крупных сетях, насчитывающих несколько тысяч станций. Развертывание, администрирование и управление в реальном времени осуществляются через специальную центральную консоль.
Функционал InfoWatch Device Monitor по управлению доступом к портам практически идентичен функциям основных игроков в этом сегменте рынка (Sanctuary Device Control, Safend, DeviceLock, Zlock): ведение белых списков, доступ к портам ввода-вывода по временным интервалам, возможность работы вне доступа к сети и т.д. Функция же теневого копирования намного превосходит аналоги, так как при этом осуществляется не только сохранение скопированных файлов, но и анализ их содержимого на основе русской морфологии (доступны также английская, немецкая, украинская и сербская морфология, до конца 2007 года появятся также арабская, французская и испанская). В хранилище файлов, в отличие от репозитариев конкурентов, имеются не только оригиналы файлов, но и их содержание, приведенное к формату PLANE TEXT, готовое для анализа на основе полнотекстовых запросов.
Продукт InfoWatch Device Monitor отталкивается от примата цели (контроль пересечения конфиденциальными данными периметра сети), в то время как конкуренты — от примата частной задачи (контроль допуска пользователей к коммуникационным портам). В результате конкурирующие разработчики концентрируются на функциональности (например, список поддерживаемых производителей USB-накопителей) вместо того, чтобы пресекать утечки и предоставлять возможности для проведения мощного ретроспективного анализа.
SmartLine DeviceLock
Продукт DeviceLock поставляется компанией SmartLine. Его текущая версия — 6.1. Кроме доступа к USB-портам, он дает возможность контролировать дисководы, приводы компакт-дисков, порты IrDA, FireWire, LPT, COM и беспроводные сети Wi-Fi и Bluetooth. Решение DeviceLock позволяет назначать права доступа для пользователей и групп пользователей с помощью системы удаленного управления, обеспечивающей централизованный доступ ко всем агентам, которые развернуты на рабочих станциях.
Данный продукт обладает рядом отличительных особенностей, среди которых возможность контролировать доступ в зависимости от времени и дня недели, режим «только чтение» для работы со сменными носителями, жесткими дисками и CD, возможность полностью заблокировать доступ к USB-порту, за исключением заранее авторизованных устройств, средства защиты дисков от случайного или преднамеренного форматирования, управление доступом через групповые политики в домене Active Directory и протоколирование обращения пользователей к устройствам. Стоит отдельно отметить, что различные версии DeviceLock умеют работать на рабочих станциях под управлением как Windows NT/2000/XP/2003, так и устаревших, не поддерживаемых Microsoft Windows 9x/Me.
Продукт DeviceLock полностью интегрируется в групповые политики и дает возможность управлять своими настройками через стандартный редактор групповых политик Windows (Group Policy Editor). Данная функциональность является критичной для систем Enterprise-уровня, так как позволяет прозрачно интегрироваться в существующую инфраструктуру компании и существенно снижает расходы, связанные с развертыванием и управлением данного решения.
Применение стандартных механизмов распространения политик Windows позволяет автоматически устанавливать DeviceLock на новые компьютеры, подключаемые к корпоративной сети, и осуществлять настройку прав доступа и аудита для новых компьютеров в полностью автоматическом режиме. Но даже в режиме управления без использования групповых политик консоль DeviceLock представляет собой оснастку для Microsoft Management Console со стандартным интерфейсом, интуитивно понятным любому администратору Windows.
DeviceLock функционирует, не требуя применения серверной программы и сервера Microsoft SQL Server. Данные компоненты необходимы только для централизованного сбора статистики — журналов аудита и данных теневого копирования. Отсутствие или временное отключение серверных компонентов никак не сказывается на основной функциональности DeviceLock.
DeviceLock защищен от воздействия пользователей, имеющих права локальных администраторов. Агент DeviceLock не может быть отключен никем, кроме специально авторизованных администраторов. Даже если пользователь компьютера, на котором работает агент DeviceLock, обладает правами локального администратора, он не может повлиять на его работу, остановить или удалить агент, изменить настройки и т.п. DeviceLock принимает все меры по недопущению неавторизованного воздействия на агента. Отключение агента невозможно ни через модификацию ключей реестра, ни через остановку службы, ни через завершение процесса, ни через откладывание файла агента на удаление при перезагрузке Windows. Агент DeviceLock функционирует даже в режиме safe mode, когда отключено большинство программ и драйверов Windows.
DeviceLock способен различать USB-устройства по уникальному серийному номеру, что позволяет создавать политики безопасности, при которых пользователям присваиваются персональные USB-устройства одной и той же модели, но с разными серийными номерами. Это типичный пример избыточной функциональности. С точки зрения защиты конфиденциальной информации тип устройства (авторизованный или нет) не имеет значения. Более того, такой подход позволяет использовать для утечки разрешенные устройства, что ничуть не уменьшает ущерб от потери информации.
DeviceLock способен контролировать все устройства, подключаемые к USB-порту, в том числе клавиатуры и мыши. Это свойство внутренней архитектуры продукта, позволяющей контролировать любое устройство по интерфейсу его подключения (порту). Использование в качестве базы для принятия решения о разрешении доступа серийного номера присоединяемого устройства влечет за собой неудобства для пользователей ноутбуков, находящихся вне доступа к корпоративной сети. Для удаленной регистрации новых устройств применяется голосовая связь с администратором, которому сообщается номер устройства, в ответ он называет код его временной активации. С точки зрения безопасности возможность удаленно присоединить любое устройство «втемную» ставит под удар саму идею защиты данных от инсайдеров.
Таким образом, продукт действительно позволяет предотвратить утечку конфиденциальной информации через коммуникационные каналы рабочей станции. Для этого подходит, например, режим «только чтение». Однако при этом пользователь будет не в состоянии переписать на внешний носитель не только чувствительные данные, но и любые другие сведения, например несекретные файлы: презентации, маркетинговые и рекламные документы и т.д. Другими словами, обесценивается часть положительной функциональности персонального компьютера.
Отличительной особенностью DeviceLock, не реализованной ни у одного из его конкурентов, является возможность «подтвержденного копирования», то есть однократный доступ к сменному носителю на запись после удаленного разрешения заранее заданного сотрудника. Другие разработчики считают такую возможность функцией документооборота, а не безопасности, поэтому не реализуют ее. Такая точка зрения подтверждается практикой: попытка выдачи разрешений на одноразовое копирование данных наталкивается на массу подготовительной работы по упорядочиванию корпоративной иерархии организации. Это означает, что компании придется четко разграничить, какой сотрудник может удаленно разрешать другим служащим осуществление определенного набора операций с заданным типом информации. Все это существенно усложняет организационную составляющую работ при внедрении DeviceLock. В результате на практике эта функциональность зачастую остается невостребованной.
Отметим, что копируемая информация может параллельно копироваться в любую серверную СУБД (так называемое теневое копирование). Репозитарий хранит копию оригинала скопированных файлов, его атрибуты (автор, время изменения, имя, расширение, размер, ассоциированное приложение), время копирования и идентификатор сотрудника. Как и в любом архиве, информацию можно найти только в том случае, если известно, где искать, то есть если известно время и автор утечки. Стандартный вопрос внутренней безопасности о том, кто за искомый период времени копировал файлы с информацией о проекте Х, в такой архитектуре остается без ответа, то есть сотруднику службы безопасности придется просматривать последовательно все скопированные файлы. Данный подход также не учитывает русской морфологии, то есть для поиска термина придется вводить все его многочисленные склонения, роды и числа, причем во всех русских кодировках.
По мнению некоторых аналитиков, жизненный цикл этого продукта в том виде, в котором его узнали и полюбили тысячи пользователей, заканчивается. Сегодня DeviceLock обладает функциональностью, во многом пересекающейся с системой управления доступом к портам Windows Vista Business, и, возможно, его ждет судьба Norton Utilities, Netscape Navigator и других решений, бесплатно включенных в состав этой операционной системы. А может быть, он переживет второе рождение, будучи интегрированным в продукты других компаний.
Итоги
В таблице приводятся основные функции рассмотренных продуктов. Особое внимание следует обратить на возможность ретроспективного анализа данных, которые покинули корпоративную сеть через порты рабочей станции. Наличие такого функционала существенно облегчает жизнь сотрудника службы информационной безопасности, позволяет расследовать инциденты и выявлять инсайдеров.
Основные функции рассматриваемых систем защиты от утечек
Функции |
InfoWatch Device Monitor 3.0 |
SmartLine DeviceLock 6.1 |
Централизованные установка, настройка и управление |
Да |
Да |
Контроль над коммуникационными ресурсами рабочей станции (порты, беспроводные сети, приводы) |
Да |
Да |
Поддержка иерархии серверов |
Да, до трех уровней с разделением локального и корпоративного управления по серверам |
Нет |
Теневое копирование |
В InfoWatch Traffic Monitor Storage Server |
В любую СУБД |
Основа для принятия решения об отказе в копировании |
Политика и содержимое файла |
Политика и серийный номер устройства |
Анализ контента копируемых файлов |
Да |
Нет |
Хранение аутентичных копий скопированных файлов |
Да |
Да |
Хранение контента скопированных файлов в доступном для анализа виде |
Да |
Нет |
Возможность полнотекстового поиска по базе скопированных файлов |
Да |
Нет |
Ведение расширенных журналов событий для последующего аудита |
Да |
Да |
Контроль печати документов |
Частично, в текущей версии без контентной фильтрации |
Частично, только на уровне доступа к порту вывода |
Поддержка |
24x7 силами техцентра InfoWatch и партнеров |
Форум на сайте разработчика SmartLine |
Интеграция с другими продуктами внутренней информационной безопасности |
Да, с InfoWatch Traffic Monitor |
Нет |
В заключение заметим, что эффективная система защиты от утечек в организации обязательно должна охватывать все возможные каналы передачи данных — не только мобильные устройства и сменные носители, но и принтеры, почту, Интернет и т.д. В связи с этим при выборе решения следует обращать внимание на возможность его интеграции с другими продуктами, чтобы можно было увеличить число контролируемых каналов.