DeviceLock Virtual DLP для контроля корпоративной почты на мобильных устройствах iOS и Android

На правах рекламы

Скачайте детальное сравнение «Продвинутая защита конечных станций» от экспертов «Инфосистемы Джет», чтобы выбрать подходящее решение для защиты вашего бизнеса от киберугроз.

DeviceLock Virtual DLP для контроля корпоративной почты на мобильных устройствах iOS и Android

Вопрос о контроле корпоративной почты на мобильных устройствах под управлением наиболее распространенных платформ Android и iOS — один из наиболее актуальных на конференциях по защите данных от утечки. Практически всех их участников беспокоит риск утечки информации ограниченного доступа через корпоративную и личную почту с мобильных BYOD-устройств. Как эту проблему помогает решить DeviceLock Virtual DLP?

Активное применение персональных мобильных устройств в рабочих целях, и прежде всего для оперативных коммуникаций по электронной почте, значительно упрощает практическое использование корпоративных данных в производственных процессах, повышает производительность труда сотрудников, их мобильность и работоспособность. Переломить эту тенденцию распространения BYOD-устройств в корпоративных информационных системах не только невозможно, но и контрпродуктивно для бизнеса.

Однако с точки зрения обеспечения информационной безопасности возникает дилемма между предоставлением доступа к служебной почте и корпоративной информации и обеспечением ее защиты при использовании на мобильных устройствах.

В качестве решения этой проблемы чаще всего на рынке предлагаются решения класса application wrapper, в которых технологии изолирующих контейнеров для мобильных приложений позволяют обеспечить защиту информации при утере мобильного устройства, а все почтовые коммуникации корпоративных приложений — перенаправить через VPN-туннель в офисную сеть организации, где для контроля контента «контейнерной» почты используется DLP-шлюз. Другой вариант, применимый в ограниченном сегменте критически важных информационных систем, — дорогостоящие «защищенные телефоны», которые по сути есть специализированные программно-аппаратные MDM-решения на базе урезанной версии Android. Отмечаются также попытки создать DLP-подобный агент для мобильных устройств Android, где контроль трафика на самом деле сводится к его перенаправлению в VPN-туннель. Общим для всех этих вариантов защиты корпоративной почты является использование DLP-шлюза или сервера мониторинга почтового трафика, полученного с мобильных устройств по VPN-туннелям.

Важным фактором, влияющим на архитектуру решений по предотвращению утечек данных с мобильных персональных устройств, является то, что по разным причинам современные мобильные операционные системы не обеспечивают надежное функционирование DLP-агентов. Платформа iOS не предоставляет доступа приложениям к ядру операционной системы, тогда как Android, напротив, является открытой платформой, а значит, любой пользователь может путем несложной процедуры получить полный административный доступ к своему устройству Android и удалить приложение — в данном случае гипотетический DLP-агент, тем самым отключив контроль передаваемых данных и предотвращение утечек ценной информации. Наконец, нельзя забывать, что личные устройства всегда остаются личными, даже будучи предоставленными организацией — возникает масса ограничений как организационного, так и технического характера. Следует учитывать сложность доступа, невозможность автоматизированного централизованного развертывания, отсутствие административного контроля личного устройства службой ИТ и т. д.

Сетецентричные DLP-решения, стоящие за корпоративными шлюзами и VPN-туннелями, во многих отечественных продуктах ограничены функцией мониторинга почтовых коммуникаций, а для протоколов MAPI и Lotus и вовсе неприменимы — проприетарное шифрование в этих протоколах принципиально исключает возможность анализа содержимого почтовых сообщений после их отправки. В случае MAPI и Lotus анализ контента возможен только до момента отправки, что требует использования агентской DLP-архитектуры и перехвата сообщений посредством внедрения собственного кода в адресное пространство процессов почтового клиента.

Другим динамично развивающимся направлением ИБ является предоставление доступа к информационным активам компании через удаленное подключение к стерильной рабочей среде, созданной с помощью решений для виртуализации рабочих сред и приложений. Применительно к предотвращению утечек в почтовых коммуникациях на устройствах Android и iOS это реализуется посредством предоставления удаленного доступа к корпоративным серверам в целом и служебной почте в частности через терминальные сессии. При этом контроль почтовых коммуникаций каждой терминальной сессии осуществляется DLP-агентом, работающим на терминальном сервере. В данной модели почтовый клиент для работы с корпоративной почтой публикуется как виртуализованное приложение: например, в среде Citrix XenApp пользователь может работать с почтовым клиентом с любого устройства — включая мобильные устройства Android и iOS, а DLP-контроль реализуется непосредственно в корпоративной среде виртуализации на терминальном сервере. Для этого на личном устройстве самим пользователем или ИТ-подразделением организации устанавливается терминальный клиент (например, Citrix Receiver) или же вместо него может использоваться любой веб-браузер, поддерживающий HTML5.

На стороне пользователя в организационном плане модель доступа к почтовому клиенту через терминальную сессию реализуется достаточно просто — Citrix Receiver доступен и в AppStore, и в Play Market и без каких-либо сложностей устанавливается на любые версии iOS и Android, а инструкция по подключению к корпоративному почтовому клиенту как виртуализованному приложению будет компактной.

Последняя, самая важная часть описываемой модели — это DLP-система, контролирующая почтовые коммуникации в среде виртуализации. Агент программного комплекса DeviceLock DLP, будучи установленным на терминальном сервере, обеспечивает контроль контекста и контентную фильтрацию сетевых коммуникаций каждой сессии виртуальной корпоративной среды. Технология DeviceLock Virtual DLP позволяет перехватывать почтовые сообщения непосредственно из  опубликованного в Citrix XenApp приложения-почтового клиента, доступ к которому пользователь получает через терминальную сессию, и в режиме реального времени осуществлять проверку контекста сообщения (наличие вложений, проверку почтовых идентификаторов) и контента (содержимого контента) сообщений и вложений на их соответствие DLP-политикам, заданным для этого пользователя. В случае выявления нарушения операция передачи данных ограниченного доступа блокируется в целях предотвращения их утечки, при этом создается соответствующая запись в журнале и теневая копия передаваемого сообщения с вложениями, а также генерируется тревожное оповещение для обработки в рамках процедуры менеджмента инцидентов ИБ.

Отличие Virtual DLP от описанных выше вариантов решения задачи c  перенаправлением трафика в VPN-туннель и анализом почтовых коммуникаций на уровне DLP-сервера прежде всего состоит в том, что пользователь получает доступ не к данным в почтовых клиентах как таковым, а их графическому представлению в терминальной сессии. Кроме того, Virtual DLP использует агентский вариант контроля сетевых коммуникаций, когда функции контроля выполняются непосредственно в точке возникновения трафика. Только в такой архитектуре возможны перехват данных до их шифрования проприетарными протоколами как в почте, такой, например, как MAPI, так и в мессенджерах (например, Private Conversations в Skype). Кроме того, в режиме реального времени обеспечивается проверка содержимого данных, передаваемых через буфер обмена и съемные накопители, перенаправленные с личного устройства в терминальную сессию рабочего стола или приложения, что не менее важно для защиты от утечек корпоративных данных с BYOD-устройств, чем контроль почты.

Стоит отметить, что DeviceLock DLP позволяет контролировать все распространенные почтовые протоколы — SMTP/SMTP over SSL, MAPI и IBM/Lotus Notes, а на мобильное устройство пользователей потребуется установить и настроить только приложение для терминального доступа. Более того, благодаря использованию технологии DeviceLock Virtual DLP обеспечивается полный контроль разнообразных вариантов использования персональных мобильных устройств в различных моделях использования решений виртуализации (BYOD, «домашний офис», тонкие клиенты), построенных на платформах виртуализации и терминального доступа от Microsoft, Citrix, VMware и других производителей — компании могут полностью контролировать не только почтовые коммуникации, но и в целом корпоративные среды виртуализации, передаваемые на любые персональные устройства сотрудников, включая мобильные, равно как и любые другие удаленные устройства на любых операционных системах.

Полезные ссылки: 
Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новые статьи на Anti-Malware.ru