Мобильное приложение журнала
Google Play Apple Store
курс цб на 26.03: USD 64.4993 EUR 72.9229
криптовалют: BTC 3905.9$ ETH 132.94$
Архив / 2015 / ЖУРНАЛ ПЛАС № 10 (221) / 392 просмотра

Электронная почта как канал утечки данных: выбираем эффективную защиту

Сергей Вахонин, директор по решениям ЗАО «Смарт Лайн Инк»

Программный комплекс DeviceLock DLP разработки российской компании «Смарт Лайн Инк» отвечает всем требованиям эффективности и полноты контроля в DLP-системе


Электронная почта и доступ к почтовым веб-сервисам являются двумя наиболее опасными каналами утечки корпоративных данных, поскольку большинство работников организаций регулярно отсылают рабочие документы с офисной на персональную электронную почту. Учитывая, что сегодня электронная почта является основным способом связи, а у каждого пользователя интернета есть по меньшей мере один собственный «бесплатный» почтовый ящик, со стороны служб ИБ игнорировать столь высокий уровень угрозы утечки данных через почтовые сервисы будет преступной халатностью, тем более в банковском секторе. Решение этой проблемы, казалось бы, очевидное и уже традиционное – для предотвращения утечек данных следует использовать DLP-системы. Однако что именно предлагает здесь сегодня рынок, какие концепции и средства защиты по-настоящему эффективны?

Одна из особенностей российского рынка DLP – это активное маркетинговое продвижение в качестве DLP-систем тех продуктов, которые на самом деле не предотвращают пересылку конфиденциальных данных по электронной почте, а только протоколируют эти события для отдельных почтовых протоколов (причем исключительно на ПК в офисе) в архиве почтовой переписки с возможностью последующего анализа инцидентов утечки.

Да, ведение журналов почтовой пересылки позволяет применить соответствующие организационные меры для снижения вероятности утечек – ведь если сотрудники извещены об анализе содержимого переписки, задача предотвращения утечек частично выполняется за счет повышения пользовательской дисциплины, персональной ответственности и осознания неотвратимости наказания за нарушение политики безопасности. Однако на самом деле такой функционально неполный подход опасен, поскольку порождает у служб ИБ ложное ощущение защищенности, притом что в реальности администраторы беспомощно наблюдают на экранах своих мониторов, как конфиденциальные данные беспрепятственно утекают из их ИС. Если система позволяет только протоколировать передачу данных и сохранять теневые копии для дальнейшего анализа и акцент делается на контентную фильтрацию архива, – это, по сути, не DLP-система, а система типа SIEM или Log Management System, позволяющая только расследовать нарушения, а не предотвращать их.

Именно предотвращение, а не мониторинг утечек данных техническими средствами является целевой задачей DLP-систем в обеспечении корпоративной инфобезопасности во всем мире. Это требует от DLP-системы наличия механизмов блокировки передачи почтовых сообщений в масштабе реального времени, если они нарушают условия DLP-политик – неавторизованные получатели, недопустимое содержимое, запрещенные к использованию в организации почтовые сервисы и др.

По-настоящему эффективная концепция защиты от утечек данных – обеспечение полноты контроля различных почтовых служб и протоколов, а также различных сценариев их применения. Полнофункциональная DLP-система – это не красивые названия технологий, не только контентный анализ, не просто анализ архива почты – это полный охват максимально возможного числа потенциальных каналов утечки данных с обеспечением возможности и блокировать, и протоколировать эти каналы, в том числе с помощью различных механизмов контентной фильтрации.

Говоря о полноте контроля, следует иметь в виду универсальный контроль SMTP/ SMTPS, MAPI/Outlook и IBM/Lotus Notes, а также популярных почтовых веб-сервисов. При этом эффективность контроля определяется как возможностью раздельной проверки содержания почтовых сообщений и их вложений на наличие запрещенной к передаче информации, избирательностью применения политик и ограничений (например, возможность передачи только сообщений без вложений файлов) к различным группам пользователей, так и поддержкой оптического распознавания текста в графических изображениях (OCR), включая вложенные рисунки, архивы и т. д.

Исключительно важна также полнота защитных реакций системы контроля на выявленные нарушения. имея в виду не только возможность блокировки отправки письма, но и детальное протоколирование факта передачи, включая сохранение точных копий передаваемых писем и вложений, а также оперативное оповещение сотрудников службы ИБ организации о срабатывании заданных правил контроля (т. е. об инциденте ИБ). Конечно же, функционал создания централизованного архива почтовой переписки и обеспечение полнотекстового поиска в архивированных сообщениях и файлах, включая графические файлы, встроенные в документы рисунки и снимки экранов, также обязательны.

Прежние «универсальные» платформы для поддержки карточ

Агенты программного комплекса DeviceLock DLP работают непосредственно на контролируемых компьютерах


Следует иметь в виду и специфику работы мобильных сотрудников, покидающих офис компании с ноутбуками и лэптопами – а значит, выходящих за пределы периметра корпоративной сети и за пределы достижимости корпоративных средств ИБ, «заточенных» на работу внутри офиса.

DLP-системы, реализующие контроль почты на базе сетевых серверов или шлюзов, практически не способны реализовать целый ряд требуемых задач, в том числе задачи управления доступа сотрудников к почтовым веб-сервисам, а также контроля использования почты в «мобильном» режиме – за пределами офиса. Кроме того, для инспекции почтового трафика, защищенного SSL-криптотоннелями, серверные DLP-решения требуют интеграции с прокси, способными перехватить и дешифровать пересылаемые по сети данные. Единственно возможным техническим решением без перечисленных критических функциональных недостатков является использование DLP-агентов, устанавливаемых как на настольных, так и на портативных компьютерах сотрудников и перехватывающих почтовый трафик непосредственно на его источнике независимо от форм-фактора последнего.

Всем необходимым требованиям эффективности и полноты контроля в DLPсистеме в полной мере отвечает программный комплекс DeviceLock DLP разработки российской компании «Смарт Лайн Инк». Его агенты работают непосредственно на контролируемых компьютерах и обеспечивают инспекцию и протоколирование корпоративной почты и других коммуникационных приложений независимо от используемых ими портов и способа выхода в интернет, от доступности корпоративной сети или подключения к корпоративным серверам.

Читайте в этом номере: