BYOD и безопасность: мифы и реальность

Сергей Вахонин
Директор по решениям ЗАО “Смарт Лайн Инк"

Для решения ряда задач безопасности BYOD-устройств рынку было предложено множество самых разных BYOD-стратегий, но вследствие ложного маркетингового "шума", генерируемого конкурирующими производителями, многие BYOD-стратегии, представляемые рынку как наиболее эффективные, таковыми не являются. В частности, в области BYOD-управления был популяризован целый ряд мифов и заблуждений относительно того, что делает программу внедрения BYOD-устройств в бизнес-практику предприятия безопасной и успешной.

Наиболее распространенные мифы в стратегиях BYOD

1. Системы класса Mobile Device Management (MDM) предоставляют полное решение проблем безопасности в BYOD.
2. Важные корпоративные данные могут безопасно храниться и создаваться непосредственно на персональных устройствах.
3. Решения класса Mobile Device Management (MDM) равноценны решениям класса Data Leak Prevention (DLP).

Действительно, системы класса Mobile Device Management (MDM) позволяют удаленно (централизованно) управлять множеством мобильных устройств, будь то устройства, предоставленные сотрудникам компанией или собственные устройства сотрудников. Такое управление обычно включает в себя следующие функции: удаленное обновление политик безопасности (без подключения к корпоративной сети), распространение приложений и данных, управление конфигурацией для обеспечения всех устройств необходимыми ресурсами.

Некоторые MDM-решения содержат встроенную "мину" – способность самоуничтожения всего программного обеспечения и данных с мобильного устройства в случае злонамеренного неавторизованного удаления с него MDM-приложения. Однако до того момента, пока на BYOD-устройствах не появятся полностью независимые операционные среды (бизнес, персональная, среда производителя и т.п.), сегментированные на физическом уровне и снабженные низкоуровневыми интерфейсами для доступа СЗИ независимых производителей, ограниченность возможностей MDM-решений по контролю исходящих потоков данных на мобильных устройствах останется принципиальной проблемой, обсуждения которой MDM-вендоры старательно избегают, а для имитации решения проблемы используют "заплатки" типа вышеупомянутых встроенных "мин".

Сильными сторонами MDM-систем являются такие функции, как надежная парольная защита устройства, шифрование встроенной памяти и карт хранения данных либо "контейнеризация" данных приложений, управляемое уничтожение данных с устройства в случае потери или кражи. Однако же на практике по крайней мере функцию удаленного уничтожения данных можно реализовать только при условии, что устройство появится в Сети и будет обнаружено управляющей частью MDM-системы – то есть приходится полагаться на удачу – низкую техническую квалификацию вора или человека, нашедшего такое "защищенное" мобильное устройство – и на то, что при этом сработают функции шифрования и парольной защиты.

Рассматривая миф о безопасности хранения и создания данных на BYOD-устройствах, стоит помнить, что задача обеспечения безопасности корпоративных данных на персональных устройствах стоит не только в связи с коммерческой необходимостью защиты корпоративных наработок, сведений, персональных данных сотрудников и т.п., но и в силу требований различных законодательных и нормативных актов. В реальности уже сама практика хранения данных на BYOD-устройствах порождает риск утечки данных, независимо от наличия на устройстве агента MDM-системы. Данные ограниченного доступа могут быть попросту отправлены непосредственно с устройства по сетевым каналам или на подключаемые внешние устройства печати и хранения данных. Другая связанная с этим мифом проблема – резервное копирование данных, принадлежащих компании. Если новые документы и данные создаются на персональном устройстве, организация вынуждена полагаться на сознательность сотрудника, надеясь, что он самостоятельно позаботится о создании резервных копий или своевременно проведет синхронизацию устройства с рабочим компьютером в офисе для обеспечения резервного копирования надлежащим образом на корпоративном уровне.

Некоторые разработчики MDM-систем заявляют, что их решения обеспечивают полноценную защиту от утечек данных в силу наличия функций шифрования и уничтожения данных на устройстве. Однако же рассматривать MDM-системы как равноценные DLP-системам некорректно уже в силу существования довольно четкого определения термина Data Leak Prevention, установленного отраслевыми аналитиками.

DLP-решение должно быть способно анализировать данные в состояниях "Передаваемые данные" (data-in-motion), "Используемые данные" (data-in-use) и/или "Хранимые данные" (data-at-rest) по их содержимому. Указанные виды анализа данных, имеющие решающее значение для выполнения задач контроля, мониторинга и обеспечения целостности данных, попросту отсутствуют в современных MDM-системах.

Курс на эффективность

Наиболее эффективным решением обеспечения безопасности данных для устройств BYOD является предоставление доступа к информационным активам компании, используя удаленное подключение BYOD-устройств через терминальные сессии к виртуальным Windows-средам, которые, в свою очередь, защищены функционирующей на хосте DLP-системой, обеспечивающей предотвращение неконтролируемых утечек данных с хоста. Такой подход называется Virtual Data Leak Prevention (vDLP). Технология Virtual DLP предлагает контролируемое предоставление удаленного доступа к корпоративным данным в отличие от локального хранения данных на BYOD-устройствах в подходе MDM.

Подход Virtual DLP подразумевает выполнение ключевых задач безопасности:

Безопасная обработка данных – сотрудники при подключении к корпоративному порталу по безопасной сессии не используют приложения для локальной обработки данных на устройстве BYOD, либо возможность использования данных блокируется на контекстном уровне. Таким образом, гарантируется, что корпоративные данные компании не будут распространены далее контролируемого устройства.

Безопасное хранение данных – защищаемые корпоративные данные могут быть доступны только в виртуальной среде и в случае редактирования или иного изменения могут сохраняться только на сервере или быть распечатаны на принтерах в корпоративной сети, при этом не допускается локальное сохранение данных во встроенной памяти BYOD-устройств, подключаемых съемных накопителях, печать на неконтролируемых принтерах вне корпоративной сети.

Контроль передачи данных – DLP-система, функционирующая в виртуальной среде Windows, обеспечивает контентную фильтрацию содержимого файлов и данных, проходящих через коммуникационные каналы, и контекстный контроль каналов (электронная почта, Web-сайты, мессенджеры и т.д., канал печати, перенаправленные диски и сетевые файловые ресурсы, а также съемные носители).

Безусловно, MDM-системы играют значительную роль в обеспечении безопасности стратегии BYOD, но следует вновь четко обозначить, что при этом они не выполняют задачи предотвращения утечек данных.

Всеобъемлющая и оптимальная стратегия безопасности BYOD описывается упрощенной формулой:

Безопасность BYOD = MDM + App + VPN + VM + DLP, где комплексно применяются MDM-система для контроля локальных приложений на устройствах, удаленного уничтожения данных, обеспечения надежной парольной защиты устройства и шифрования данных и т.п.; приложение (App) для удаленного подключения мобильного устройства через Интернет к виртуальной среде (например, Citrix Receiver); защищенный VPN-туннель; виртуальная рабочая Windows-среда (VM), в которой опубликованы и доступны необходимые для работы приложения и данные, и, наконец, DLP-система предотвращения утечек данных, интегрированная в виртуальную рабочую среду Windows и обеспечивающая контроль доступных в этой виртуальной среде каналов передачи данных (электронная почта, Web-сайты, мессенджеры, канал печати, перенаправленные в виртуальную среду локальные USB-устройства) для предотвращения утечек данных с BYOD-устройства.

Такой DLP-системой с успехом выступает программный комплекс DeviceLock DLP Suite, обеспечивающий полный контроль разнообразных вариантов использования персональных мобильных устройств в различных моделях использования решений виртуализации (BYOD, home office, облачные корпоративные сервера), построенных на платформах виртуализации и терминального доступа от Microsoft, Citrix, VMware и других производителей. При наличии заданных DLP-политик, определяющих допустимость использования корпоративных данных, Device-Lock, будучи установленным на стороне компании – в виртуальной среде или на терминальном сервере, – гарантирует, что передача данных пользователем находится строго внутри границ виртуальной среды (терминальной сессии) и данные, утечка которых недопустима, не попадают на личную часть персонального устройства (от тонкого клиента или домашнего компьютера до мобильного устройства любого типа), оставаясь при этом доступными для эффективного выполнения бизнес-задач. Таким образом, службы ИБ могут полностью контролировать обмен данными между корпоративной средой и персональным устройством, а также подключенными к нему периферийными устройствами и буфером обмена, что особенно важно, учитывая, что все эти каналы передачи данных вне корпоративных границ становятся небезопасными и должны рассматриваться как угроза корпоративной информационной безопасности.