Статья

«Лаборатория Касперского»: Базовыми средствами ИБ можно увеличить стоимость атаки

B2BSecurity
мобильная версия

Константин Каманин, руководитель группы защиты данных и критической инфраструктуры «Лаборатории Касперского», рассказывает о возможных путях обеспечения безопасности корпоративного общения с учетом мобильности.

CNews: Все более популярной становится тенденция использовать личные устройства в служебных целях. Какие формы и методы защиты от утечки информации предлагаются для подобных вариантов?

Константин Каманин: Действительно, тенденция использовать личные устройства набирает обороты, и для этого явления уже есть общепринятый термин – Bring Your Own Device (BYOD). И в данном случае риск утечки возрастает: человек на своем устройстве смешивает личные данные и рабочие файлы, да и просто может потерять его. Возможны и ошибки, когда пользователь хочет отправить документ по почте, и случайно выбирает не ту учетную запись – и рабочий документ уходит, например, не тому человеку. Так, по данным нашего исследования по информационной безопасности для бизнеса, в 95% российских компаний был зарегистрирован как минимум один инцидент информационной безопасности, связанный с мобильными устройствами. Интересно, что беспокойство в компаниях вызывают не возможные атаки на устройства, а тот факт, что их использование повышает риск утечки важных корпоративных данных. Способов защищаться от этого на данный момент существует много.

Это, во-первых, контроль мобильных устройств (Mobile Device Management, MDM). Технология дает возможность активировать защиту всего устройства паролями и шифрованием данных, удаленно очищать содержимое в случае утери/кражи (remote wipe). Например, если защищенное этими способами устройство будет подключено к ноутбуку, то оно будет опознано, но его содержимое не будет видно. При этом, например, будет видно карту памяти, но если для данных на ней применялось шифрование, то ценная информации не будет доступна.

Возможности MDM как раз в том, чтобы управлять этими функциями удаленно и централизованно, не настраивая каждое отдельное устройство – достаточно один раз сконфигурировать политику по настройке мобильных устройств. Например, сказать, что пароль должен быть постоянно, прописать правила для его создания, а дальше с помощью MDM распространить эти настройки на всех пользователей в корпоративной сети. При этом в большинстве мобильных телефонов сейчас существует встроенная функция шифрования, и MDM дает возможность активировать ее удаленно и на всех устройствах.

Во-вторых, это те методы защиты, которые можно применять безотносительно того, что пользователь делает на устройстве. Например, существует возможность разделения личных приложений и корпоративных с помощью контейнеризации – когда рабочее приложение устанавливается и работает в безопасном контейнере, где строго в соответствии с политиками безопасности прописано, что можно делать в этом приложении, а что нельзя. Это защита с более тонкими настройками, когда можно выбирать, что пользователь может делать на устройстве с точностью до приложения: можно закрыть для определенных программ какие-то протоколы, контролировать обращение к корпоративной почте, с какой учетной записи пользователь может отправлять корпоративную информацию и т.д.

И, в-третьих, существуют контентные методы DLP (content aware DLP), которые обычно по умолчанию и подразумеваются под термином DLP. Это контроль на уровне содержимого документов. Сегодня уже также существуют решения, которые позволяют внедрять content aware DLP на мобильных устройствах. Идея в том, что средство защиты смотрит не на протокол или устройства, а на данные, которые использует пользователь. Например, он решил отправить документ, который не содержит конфиденциальную информацию, через свою личную учетную запить на мобильном – такой документ система разрешит ему отправить. А если он, например, попытается отправить так рабочий прайс-лист, то система не даст этого сделать. И это решение будет принято на основе анализа данных в документе. Среди основных технологий анализа – это контроль по ключевым словам и фразам, а тауже регулярные выражения и цифровые отпечатки.

CNews: Каковы основные и наиболее результативные методы защиты от внешних угроз существуют сегодня? Появились ли новые способы?

Константин Каманин: Здесь нужна прежде всего многоуровневая защита. И лучше всего помогает наведение порядка в хранении документов – разграничение прав доступа, это некие базовые средства информационной гигиены. Это прописывание и внедрение правильной политики работы с конфиденциальной информацией, обмена этой информацией, и контроля за выполнением этой политики. DLP-решение здесь скорее инструмент, который поможет эту политику соблюдать, и ни в коем случае не гарантия, т.к. в первую очередь важны процессы.

Константин Каманин: ИТ-специалист и специалист по ИБ должны иметь хорошие знания в ИТ-области, чтобы грамотно сконфигурировать сеть и сделать базовую защиту, по возможности не допускать бардака

В зависимости от того, насколько данные ценны, выстраивается соответствующее поле защиты. Все определяется тем, от кого защищаются и сколько на эту защиту готовы потратить. Если говорить о защите в широком смысле, то важно грамотное конфигурирование корпоративной сети, грамотное ее сегментирование, настройка выхода наружу. И, в плане работы с документами – это правильно прописанные и соблюдающиеся политики безопасности. Ну а с точки зрения технических средств защиты – это шифрование, это антивирус, и хорошо, если есть content aware DLP, которое способно сканировать почтовые, веб-протоколы, файловые данные и т.д.

CNews: Как защититься от «внутреннего врага»? Способы борьбы с инсайдерством? Что должен знать и уметь ИТ-специалист? Что необходимо предпринимать ИТ-директору?

Константин Каманин: Бытует два мнения: что защититься от инсайдера техническими средствами нельзя (либо это будет дорого, либо станет невозможно работать) и что от инсайдера надо защищаться не техническими средствами, а с помощью грамотных агентов. Тем не менее, в базовом виде защиту от инсайдеров организовать можно. Причем инсайдер может быть как злонамеренным, так и нет.

От незлонамеренного инсайдера защищает подавляющее большинство существующих DLP-решений. Нужно грамотно прописать политики, научиться контролировать основные каналы, по которым работает пользователь: web, mail, сервисы обмена короткими сообщениями, флешки, внешние устройства. И это уже будет хорошим подспорьем для страховки от случайной отправки важных данных. Например, совершенно рядовая ситуация, когда подрядчику высылается простой вопрос (например, запрос по ценам на гостиницы). При этом вопрос является вершиной переписки, которая шла больше месяца, и где-то в самом ее начале кто-то из сотрудников собрал, например, паспортные данные коллег или данные их банковских карт – и вот они уже у подрядчика.

Если говорить о попытках злонамеренных атак, то здесь можно усложнить жизнь, но совсем их исключить, наверное, все-таки нельзя. Можно в целом базовыми средствами увеличить для инсайдера цену атаки.

ИТ-специалист и специалист по ИБ должны иметь хорошие знания в ИТ-области, чтобы грамотно сконфигурировать сеть и сделать базовую защиту, по возможности не допускать бардака. В первую очередь нужно отталкиваться от процессов. Тому, кто это внедряет, нужно хорошо понимать, от кого компания защищается, ради чего защищается, сколько компания готова заплатить. Также важна роль ИТ-департамента в определении стратегии компании, в выстраивании процессов. ИТ-директору важно понимать свое место в процессах. В зависимости от компании тут все может быть очень по-разному.

CNews: Как закон поддерживает борьбу с хакерами и инсайдерами? В России и за рубежом?

Константин Каманин: Насколько я знаю, в российском законодательстве все очень незрело и с инсайдерством борются сами компании. На уровне государства инсайдерство в сфере отправки данных никак не квалифицируется… Есть ФЗ № 152 по персональным данным, но это немного другая история. Кстати, DLP может помогать его соблюдать, но это не защита от инсайдеров.

На российском рынке цели внедрения DLP – это либо попытки соответствовать госстандартам, либо попытки упорядочить обмен информацией внутри компании и контролировать ее отправку наружу. Это соблюдение компанией своих же собственных стандартов. Еще важен тот фактор, что в случае, если произошла утечка информации из компании, то ее могут обязать раскрыть какую-то дополнительную информацию, и эти данные могут стоить дороже тех, что украли. Поэтому компании чаще всего создают хотя бы базовую защиту от утечек данных.