Telegram — один из динамично развивающихся сервисов мгновенного обмена сообщениями, набирающих популярность в профессиональной среде. Однако бесконтрольное использование мессенджеров для бизнес-коммуникаций может обернуться утечками корпоративной информации. Компания Falcongaze разработала функциональность для перехвата переписки в мессенджере Telegram, считающимся одним из самых защищенных.
2. Технология перехвата мессенджера Telegram в Falcongaze SecureTower
Введение
Благодаря удобству и простоте в применении сервисы мгновенного обмена сообщениями, которые также известны как мессенджеры (Instant Messaging, IM), завоевали популярность среди пользователей во всем мире. Понятие мессенджера уже давно не связывают только с обменом текстовыми сообщениями — современные мессенджеры стали полноценными коммуникационными центрами, которые помимо обмена текстовыми сообщениями реализуют голосовую и видеосвязь, обмен файлами, веб-конференции. Поэтому сегодня, кроме персонального применения, мессенджеры также стали эффективным способом коммуникаций в бизнесе: с помощью сервисов мгновенного обмена сообщениями можно вести деловую переписку с коллегами, партнерами и клиентами, обмениваться файлами, совершать звонки, организовывать видеоконференции и многое другое.
Тем не менее, бесконтрольное использование мессенджеров в корпоративной среде может обернуться негативными последствиями для компаний. По данным исследований, сервисы мгновенного обмена сообщениями до сих пор остаются популярным каналом утечки информации у инсайдеров, а потери от утечек исчисляются десятками миллиардов долларов в год. Контроль бизнес-коммуникаций особенно актуален в эпоху нестабильной экономической ситуации в России, когда обострилась борьба компаний за удержание занимаемой конкурентной позиции. Поэтому в данном случае контролировать перемещение и использование критически важной для бизнеса информации просто необходимо. Об этом мы уже писали в статье «Пять причин использовать DLP в кризис».
Традиционно для защиты от утечек и контроля коммуникаций сотрудников через сервисы мгновенного обмена сообщениями применяются системы класса DLP, позволяющие как напрямую запрещать применение мессенджеров, так и вести мониторинг их трафика.
Сервисов мгновенного обмена сообщениями много, и со временем их становится все больше. Динамика роста количества сервисов заставляет разработчиков DLP-решений постоянно добавлять в свою функциональность поддержку новых популярных в корпоративной среде мессенджеров.
Сервис Telegram на сегодняшний день активно набирает популярность в профессиональной среде. Ключевой фактор популяризации приложения заключается в возможности синхронизировать мобильные сообщения Telegram с десктопной и планшетной версиями, а также в безопасности и приватности за счет своей платформы шифрования.
Компания Falcongaze в новой версии программного комплекса SecureTower реализовала технологию перехвата коммуникации в мессенджере Telegram с рабочих компьютеров сотрудников. SecureTower является комплексной DLP-системой, позволяющей обеспечить информационную безопасность предприятия. Полный контроль корпоративной информации достигается за счет мониторинга максимального числа коммуникационных каналов и протоколов передачи данных. SecureTower, помимо Telegram, обеспечивает контроль таких популярных мессенджеров как ICQ, Mail.Ru Агент, Jabber, Miranda, QIP Infium, PSI, Yahoo! Messenger и других. Также SecureTower перехватывает текстовые и голосовые сообщения в Viber, MS Lync, Skype. Об этом мы уже рассказывали в предыдущем обзоре продукта Falcongaze SecureTower. В этой статье мы сфокусируем внимание на технологии перехвата коммуникации в мессенджере Telegram.
Технология перехвата мессенджера Telegram в Falcongaze SecureTower
Технология перехвата Telegram обеспечивает мониторинг общения в чатах между пользователями, а также в группах — конференциях с числом участников более двух человек. Помимо входящих и исходящих текстовых сообщений, Secure Tower осуществляет перехват голосовых уведомлений в Telegram, а также всех пересылаемых файлов, включая изображения и видеозаписи. При этом личная переписка пользователей, осуществленная с принадлежащих сотрудникам девайсов, не перехватывается, так как перехват переписки и отправленных файлов через мессенджеры в Falcongaze SecureTower осуществляется с помощью агентов SecureTower, установленных на рабочих станциях в контролируемом корпоративном периметре.
Важно отметить, что для перехвата переписки Telegram не используются технологии регистрации нажатий клавиш клавиатуры, известные также как кейлоггеры (клавиатурные шпионы), а используются иные механизмы перехвата.
Рисунок 1. Переписка сотрудника в мессенджере Telegram
Функциональность Falcongaze SecureTower позволяет реализовывать гибкие политики в отношении контролируемого трафика Telegram. Например, для пользователей Telegram предлагается два режима исключения: белый список и черный список.
- Если пользователи Telegram включены в белый список, то перехватываться будут только коммуникации с участием данных пользователей, а переписки всех остальных пользователей Telegram будут игнорироваться.
- Если пользователи Telegram включены в черный список, перехватываться будут разговоры всех пользователей Telegram за исключением указанных; игнорироваться будут только пользователи Telegram, перечисленные в окне.
При этом стоит отметить, что если в какой-либо беседе в Telegram, включая групповой чат, участвует пользователь из черного списка, то она перехвачена не будет. То же самое актуально и для обратного случая: если в каком-либо разговоре Telegram, включая групповой чат, участвует пользователь из белого списка, такой разговор будет перехвачен.
Мониторинг и контроль переписки Telegram осуществляется через консоль Falcongaze SecureTower Client (консоль службы безопасности). В консоли службы безопасности реализованы широкие возможности поиска по перехваченным данным Telegram, идентификации пользователя, нарушившего политику информационной безопасности при переписке или отправке файлов с информацией ограниченного доступа, а также мониторинга сетевой активности отдельных сотрудников организации и многое другое.
Falcongaze SecureTower позволяет получать уведомления о случаях нарушения политики безопасности при использовании Telegram. Для этого необходимо создать определенные правила безопасности для перехвата мессенджеров, например, уведомлять администратора, если в переписке или переданном файле есть слова «отчет», «конфиденциально». Перехваченные данные Telegram анализируются в автоматическом режиме на основании заданного списка правил. При обнаружении каких-либо документов или информации, отвечающих критериям заданных правил, SecureTower автоматически отправляет уведомления по указанному адресу электронной почты. Уведомления об инцидентах также доступны для просмотра в блоке «Центр обеспечения безопасности» консоли.
При просмотре уведомлений о срабатывании правил безопасности в правой верхней части окна «Центра обеспечения безопасности» будут отображены уведомления об инцидентах, вызвавших срабатывания данного правила. При выборе одного из уведомлений в правой нижней части окна будет отображена перехваченная по инциденту информация.
Рисунок 2. Информация о перехвате переписки Telegram в «Центре обеспечения безопасности» Falcongaze SecureTower Client
В зоне просмотра перехваченного разговора Telegram отображается информация о дате и промежутке времени, в течение которого осуществлялась перехваченная беседа, локальном и удаленном пользователях (имена пользователей, Telegram ID, учетные записи, контактная информация, IP-адреса) и зона просмотра содержимого переписки.
Если в рамках беседы в Telegram были переданы файлы, они будут отображены в окне содержимого переписки. Список переданных файлов также отображается в правой части окна просмотра разговора.
Содержимое переданных пользователем Telegram файлов можно просмотреть в отдельном окне в консоли либо открыть в соответсвующей программе для данного типа файла. Для последующего расследования инцидента безопасности перехваченные файлы можно также сохранить в том формате, в котором он был передан в Telegram.
Рисунок 3. Просмотр содержимого переданного файла через Telegram в Falcongaze SecureTower Client
Просмотр перехваченых данных перепески Telegram можно также осуществить в разделе «Активность пользователей». Перехваченные данные представляются в отчете в соответствующих колонках. Для категории «Мессенджеры» в отчете указывается общее количество перехваченных разговоров в указанное время с уточнением количества сообщений, отправленных данным пользователем. Можно открыть найденные разговоры в отдельной вкладке и просмотреть или прослушать их. Для категории «Файлы» в отчете указывается общее количество полученных или отправленных пользователем файлов в указанное время. Можно открыть найденные файлы в отдельной вкладке и просмотреть их.
Рисунок 4. Мониторинг активности пользователя в Falcongaze SecureTower Client
При просмотре беседы между определенными пользователями можно перейти к просмотру всех разговоров между ними за указанный период или одного из данных пользователей в текущей программе обмена мгновенными сообщениями.
Рисунок 5. Статистика по активности пользователя в Falcongaze SecureTower Client
В окне статистики по активности информация о сетевой активности выбранного пользователя отображается в виде множества графиков: по отправленным и полученным письмам, по перепискам, по сообщениям переписок, по веб-запросам и многим другим параметрам.
Для мониторинга переписки мессенджера Telegram интересны следующие графики:
- График статистики по перепискам демонстрирует количество сессий общения в программах обмена мгновенными сообщениями на каждую дату за выбранный период.
- График статистики по сообщениям переписок показывает количество сообщений, принятых и отправленных пользователем в программах обмена мгновенными сообщениями на каждую дату за выбранный период.
- График статистики по файлам отображает количество файлов, отправленных и полученных пользователем в качестве приложений к электронным письмам, а также через программы обмена сообщениями, на каждую дату за выбранный период.
Для просмотра детальной статистики отправленных или полученных сообщений в мессенджере или переданных файлов пользователя на конкретную дату необходимо нажать на точку на вершине графика напротив соответствующей даты.
Выводы
Сервисы мгновенного обмена сообщениями уже давно стали эффективным способом коммуникаций в бизнесе. И с появлением новых коммуникационных сервисов возникает потребность в их контроле. В свою очередь разработчики DLP-систем с появлением новых трендовых технологий коммуникаций стараются оперативно обеспечить их безопасность в своих решениях. Одним из таких популярных каналов делового общения стал относительно молодой мессенджер Telegram, популярность которого в бизнес-среде растет с каждым днем. И компания Falcongaze, разработчик программных решений в области предотвращения утечек данных, стала первой, кто осуществил поддержку контроля столь популярного сервиса в своем продукте.
Технология перехвата мессенджера Telegram в новом релизе DLP-системы SecureTower позволяет проводить мониторинг и оценку делового общения сотрудников компании, а также выявлять недобросовестных работников — тех, кто поддерживает связь с конкурентами и является потенциальным источником утечки корпоративной информации.
