.

Для решения ряда задач обеспечения безопасности устройств при реализации BYOD рынку было предложено множество различных «BYOD-стратегий», но в условиях маркетингового «шума», производимого конкурентами, многие стратегии реализации BYOD, позиционируемые как наиболее эффективные, на поверку таковыми не являются. В частности, в области управления мобильными устройствами был популяризован целый ряд мифов относительно того, что делает программу внедрения персональных устройств в бизнес-практику предприятия безопасной и успешной.

Перечислим наиболее распространенные мифы в стратегиях использования персональных мобильных устройств:

  1. Системы класса Mobile Device Management (MDM) обеспечивают полное решение проблем безопасности.
  2. Важные корпоративные данные могут безопасно храниться и создаваться непосредственно на персональных устройствах.
  3. Решения класса MDM и решения класса Data Leak Prevention (DLP) равноценны.

Действительно, системы класса MDM позволяют удаленно и централизованно управлять множеством мобильных устройств, будь то устройства, предоставленные компанией, или собственные устройства сотрудников. Подобное управление обычно включает в себя такие функции, как удаленное обновление политик безопасности (без подключения к корпоративной сети), распространение приложений и данных, управление конфигурацией для обеспечения подключения всех устройств к необходимым ресурсам.

Некоторые MDM решения содержат встроенную «мину» – способность самоуничтожения всего программного обеспечения и данных с мобильного устройства в случае злонамеренного неавторизованного удаления с него клиентского приложения системы MDM. Однако до того момента, пока на персональных устройствах не появятся полностью независимые операционные среды (бизнес, персональная, среда производителя и т.п.), сегментированные на физическом уровне и снабженные низкоуровневыми интерфейсами для доступа средств защиты информации независимых производителей, ограниченность возможностей решений MDM по проверке исходящих потоков данных на мобильных устройствах останется принципиальной проблемой. Обсуждения этой проблемы поставщики систем MDM старательно избегают, а для имитации решения используют «заплатки» типа вышеупомянутых встроенных «мин».

Сильными сторонами систем MDM являются такие функции, как надежная парольная защита устройства, шифрование встроенной памяти и карт хранения данных, либо «контейнеризация» данных приложений, управляемое уничтожение данных с устройства в случае потери или кражи. Однако на практике по крайней мере функцию удаленного уничтожения данных можно реализовать только при условии, что устройство появится в общедоступной сети и будет обнаружено управляющей частью системы MDM, то есть приходится полагаться на набор случайных факторов — низкую техническую квалификацию злоумышленника или человека, нашедшего такое «защищенное» мобильное устройство, и на то, что при этом сработают функции шифрования и парольной защиты.

Рассматривая миф о безопасности хранения и создания данных на персональных мобильных устройствах, стоит помнить, что задача обеспечения безопасности корпоративных данных на персональных устройствах актуальна не только в связи с коммерческой необходимостью защиты корпоративных наработок, сведений, персональных данных сотрудников и т.п., но и в силу требований различных законодательных и нормативных актов. В реальности уже сама практика хранения данных на персональных мобильных устройствах порождает риск утечки данных, независимо от наличия на устройстве агента системы MDM. Данные ограниченного доступа могут быть попросту отправлены непосредственно с устройства по сетевым каналам или на подключаемые внешние устройства печати и хранения данных. Другая связанная с этим мифом проблема – резервное копирование данных, принадлежащих компании. Если новые документы и данные создаются на персональном устройстве, организация вынуждена полагаться на сознательность сотрудника, надеясь, что он самостоятельно позаботится о создании резервных копий или своевременно проведет синхронизацию устройства с рабочим компьютером в офисе для обеспечения резервного копирования надлежащим образом на корпоративном уровне.

Некоторые разработчики систем MDM заявляют, что их решения обеспечивают полноценную защиту от утечек данных в силу наличия функций шифрования и уничтожения данных на устройстве. Однако рассматривать системы MDM как равноценные системам DLP некорректно уже в силу четкого определения термина Data Leak Prevention, установленного отраслевыми аналитиками. Решение DLP должно быть способно анализировать данные в состояниях «передаваемые данные» (data-in-motion), «используемые данные» (data-in-use) и/или «хранимые данные» (data-at-rest) по их содержимому. Указанные виды анализа данных, имеющие решающее значение для выполнения задач контроля, мониторинга и обеспечения целостности данных, попросту отсутствуют в современных системах MDM.

Наиболее эффективным решением обеспечения безопасности данных для персональных мобильных устройств является предоставление доступа к информационным активам компании через удаленное подключение таких устройств через терминальные сессии к виртуальным средам Windows, которые в свою очередь защищены функционирующей на хосте системой DLP, обеспечивающей предотвращение неконтролируемых утечек данных с хоста. Такой подход называется Virtual Data Leak Prevention (vDLP). По сути, технология Virtual DLP предлагает контролируемое предоставление удаленного доступа к корпоративным данным в отличие от локального хранения данных на персональных мобильных устройствах в подходе MDM.

Подход Virtual DLP подразумевает выполнение ключевых задач обеспечения безопасности.

  • Безопасная обработка данных – сотрудники при подключении к корпоративному порталу по безопасной сессии не используют приложения для локальной обработки данных на персональном мобильном устройстве, либо возможность использования данных блокируется на контекстном уровне. Таким образом гарантируется, что корпоративные данные компании не будут распространены далее контролируемого устройства.
  • Безопасное хранение данных – защищаемые корпоративные данные могут быть доступны только в виртуальной среде, и в случае редактирования или иного изменения могут сохраняться только на сервере или быть распечатаны на принтерах в корпоративной сети. При этом не допускается локальное сохранение данных во встроенной памяти персональных мобильных устройств, подключаемых съемных накопителях, а также печать на неконтролируемых принтерах вне корпоративной сети.
  • Контроль передачи данных – система DLP, функционирующая в виртуальной среде Windows, обеспечивает контентную фильтрацию содержимого файлов и данных, проходящих через коммуникационные каналы, и контекстный контроль каналов (электронная почта, вебсайты, мессенджеры и т.д., канал печати, перенаправленные диски и сетевые файловые ресурсы, а также съемные носители).

Безусловно, системы MDM играют значительную роль в обеспечении безопасности при реализации стратегии BYOD, но следует еще раз четко обозначить, что при этом они не выполняют задачи предотвращения утечек данных. Для создания полноценного и эффективного решения по обеспечению безопасности стратегии BYOD системы MDM должны работать совместно с резидентными системами DLP. Любая система MDM будет эффективна только в качестве компонента в более широкой, комплексной стратегии обеспечения безопасности данных на мобильных устройствах. Системы MDM следует применять для решения задач общего управления и контроля мобильных устройств, шифрования данных, то есть как одну из «линий обороны».

Всеобъемлющая и оптимальная стратегия безопасности BYOD описывается упрощенной формулой:

Безопасность BYOD = «MDM» + «App» + «VPN» + «VM» + «DLP»,

где комплексно применяются система MDM для контроля локальных приложений на устройствах, удаленного уничтожения данных, обеспечения надежной парольной защиты устройства и шифрования данных и т.п.; приложение («App») для удаленного подключения мобильного устройства через интернет к виртуальной среде (например, Citrix Receiver); защищенный туннель VPN; виртуальная рабочая среда Windows («VM»), в которой опубликованы и доступны необходимые для работы приложения и данные; и, наконец, система предотвращения утечек данных DLP, интегрированная в виртуальную рабочую среду Windows и обеспечивающая контроль доступных в этой виртуальной среде каналов передачи данных (электронная почта, веб-сайты, мессенджеры, канал печати, перенаправленные в виртуальную среду локальные USB-устройства) для предотвращения утечек данных с персональных мобильных устройства.

Как пример такой системы DLP можно привести программный комплекс DeviceLock DLP Suite, обеспечивающий полный контроль разнообразных вариантов применения персональных мобильных устройств в различных моделях использования решений виртуализации (BYOD, домашний офис, «облачные» корпоративные серверы), построенных на платформах виртуализации и терминального доступа от Microsoft, Citrix, VMware и других производителей. При наличии заданных политик DLP, определяющих допустимость использования корпоративных данных, DeviceLock, будучи установленным на стороне компании – в виртуальной среде или на терминальном сервере — гарантирует, что передача данных пользователем находится строго внутри границ виртуальной среды (терминальной сессии), и данные, утечка которых недопустима, не попадают на личную часть персонального устройства (от тонкого клиента или домашнего компьютера до мобильного устройства любого типа), оставаясь при этом доступными для эффективного выполнения бизнес-задач. Таким образом, службы информационной безопасности могут полностью контролировать обмен данными между корпоративной средой и персональным устройством, а также подключенными к нему периферийными устройствами и буфером обмена. Последнее особенно важно, учитывая, что все эти каналы передачи данных вне корпоративных границ становятся уязвимыми и должны рассматриваться как угроза корпоративной информационной безопасности.