Эффективная защита от утечек через мобильные устройства
Данный материал дополняет статью «Защита от утечек через мобильные устройства», которая была опубликована в ноябрьском номере КомпьютерПресс за 2007 год. С тех пор вышла новая версия DeviceLock 6.2.1, которая обладает расширенным функционалом.
DeviceLock — это продукт, предназначенный для всестороннего контроля над данными, которые покидают корпоративную сеть через локальные коммуникации рабочих станций: порты, беспроводные сети, сменные носители. Решение существует и постоянно развивается с 1996 года. За это время DeviceLock был установлен на более чем 2 млн компьютеров по всему миру, а самая масштабная инсталляция была осуществлена в крупной финансовой компании на более чем 68 тыс. компьютеров.
Основные возможности DeviceLock уже не раз были описаны на страницах нашего журнала. Напомним, что ключевой функциональностью продукта является гибкий контроль над чтением и записью данных через порты и локальные коммуникации рабочей станции, а также теневое копирование тех данных, которые покидают корпоративную сеть через порты, беспроводные сети и сменные носители. Кроме того, DeviceLock помогает бороться с аппаратными кейлоггерами (клавиатурными шпионами), которые подключаются между клавиатурой и системным блоком, записывают все нажатые клавиши и сохраняют их для последующего злонамеренного использования. Обычно такие аппаратные шпионы остаются незамеченными для операционой системы и систем безопасности, но не для DeviceLock.
В данной статье мы рассмотрим дополнительные возможности DeviceLock, которые в совокупности с теми, что описаны выше или о которых было рассказано в предыдущих публикациях, обеспечивают гибкую реализацию политики ИТ-безопасности на уровне рабочих станций.
В первую очередь следует отметить то, что DeviceLock, помимо типовых политик контроля доступа к USB-устройствам (контроль по типам, классам, моделям устройств, разделенный по пользователям или группам пользователей), предоставляет доступ к USB-устройствам по уникальным серийным номерам. Благодаря этому служба ИТ-безопасности может гарантировать, что сотрудник не будет применять другие устройства, если это ему запрещено. Следовательно, служащий вправе пользоваться только корпоративными гаджетами или носителями данных. Вдобавок, если рабочая станция останется без присмотра, посторонние лица не смогут украсть информацию с помощью своих накопителей данных. Таким образом, возможность использования серийных номеров и белых списков придает политике безопасности необходимую гибкость.
Кроме того, нельзя забывать об аппаратных ключах для многофакторной аутентификации пользователей в корпоративной сети. Например, компания «Актив» выпускает ruToken’ы для авторизации пользователей и оснащает их уникальными серийными номерами. В этом случае DeviceLock может разрешить применение этих токенов для аутентификации, а на все остальные, например, наложить запрет. Более того, в каких-то случаях может потребоваться авторизовать использование конкретной модели USB-принтера для определенного подразделения компании. Здесь также пригодится гибкость DeviceLock.
Далее отметим, что DeviceLock позволяет применять временные белые списки, то есть продукт может предоставить доступ к устройству на определенное время или, скажем, до извлечения устройства. Данная функциональность очень полезна в процессе эксплуатации продукта и может использоваться в нетипичных ситуациях, когда действующей политики безопасности недостаточно для решения задач бизнеса и требуется ее расширение на короткий период. В общем случае эта функция рекомендуется при применении DeviceLock на мобильном компьютере за пределами корпоративной сети, когда пользователю, желающему получить доступ к устройству, достаточно авторизовать нужное устройство, передать код авторизации в службу безопасности, а затем ввести специальный буквенно-цифровой код, генерируемый DeviceLock для конкретного пользователя и конкретного устройства. Такой код может быть сгенерирован офицером безопасности и передан служащему. Этот функционал обеспечивает гарантированную идентификацию сотрудников даже при нахождении их вне офиса, а также сохраняет базовый уровень защиты от копирования данных на внешние носители.
Следует также помнить, что функционал белых списков в DeviceLock является опциональным: если отсутствует необходимость в ведении белых списков устройств, ничто не мешает не использовать эту функцию, тем более что на основную функцию продукта — контроль портов и устройств и аудит передачи данных — это никак не влияет. Каждая служба безопасности в зависимости от потребностей бизнеса и требований к защите информации от несанкционированной передачи наружу сама определяет свои условия применения тех или иных внешних устройств и портов — от полного запрещения до полного разрешения, с использованием только функции аудита, с множеством вариантов между этими двумя крайностями. Предоставление продуктом дополнительных возможностей, таких как авторизация устройств по уникальным серийным номерам, является способом построения именно той политики безопасности, которая и нужна конкретной компании, ищущей золотую середину между двумя крайностями.
Кроме того, важно упомянуть о реализованной недавно интеграции DeviceLock с другими продуктами ИТ-безопасности, в частности об интеграции с некоторыми криптографическими средствами, а именно с PGP, бесплатным продуктом TrueCrypt и аппаратным шифрованием Lexar. Программа DeviceLock умеет обнаруживать диски и съемные устройства, зашифрованные при помощи указанных программ, и применять специальные политики шифрования к ним, что делает возможным разрешение записи только зашифрованных данных на съемные устройства и запрет записи незашифрованных данных.
Следующим важным моментом является техническая поддержка DeviceLock, осуществляемая круглосуточно и бесплатно. В некоторых случаях компания оказывает также техническую поддержку с выездом в офис клиента, по телефону или IM. Наконец, нельзя забывать, что партнеры DeviceLock также оказывают посильную помощь своим клиентам.
В заключение заметим, что DeviceLock постоянно развивается, наращивая дополнительный функционал к системе контроля физических устройств и продвигаясь в сторону многофункциональной системы, решающей критическую задачу ИТ-безопасности — предотвращение утечки информации любыми путями.
Более подробную информацию о DeviceLock можно узнать на сайте www.devicelock.com/ru/dl/, там же можно ознакомиться со всей документацией на DeviceLock, скачать продукт для бесплатного ознакомления, а также пообщаться с разработчиками продукта на форуме.
ИТ-директор ЗАО «Смарт Лайн Инк» Сергей Вахонин