`

СПЕЦИАЛЬНЫЕ
ПАРТНЕРЫ
ПРОЕКТА

Архив номеров

Как изменилось финансирование ИТ-направления в вашей организации?

Best CIO

Определение наиболее профессиональных ИТ-управленцев, лидеров и экспертов в своих отраслях

Человек года

Кто внес наибольший вклад в развитие украинского ИТ-рынка.

Продукт года

Награды «Продукт года» еженедельника «Компьютерное обозрение» за наиболее выдающиеся ИТ-товары

 

Алексей Дрозд

Миф о мобильной DLP

+46
голосов

Сейчас модным термином «мобильные угрозы» никого не удивишь. Рынок развивается быстро, и взломать теперь можно любое устройство, если у него есть немного «мозгов». А у современных мобильных творений Apple, Google, Samsung и других этих самых «мозгов» если не побольше, то сравнимо со среднестатистическим нетбуком.

Такие устройства – радость и проклятье для компании. Радость – потому что мобильные, удобные, простые в эксплуатации. Проклятье – многие толком не знают, как же эти новинки защищать. Чего нельзя сказать о злоумышленниках, уж они-то в курсе, как можно использовать уязвимости в смартфонах и планшетах.

Опустим вопрос о вирусных угрозах для мобильных – это предмет другого разговора – и поговорим о защите таких устройств от утечек информации.

Почему DLP?

Потому что это классический метод. Рынок систем предотвращения утечек информации развит уже давно, DLP стали привычными спутниками многих компаний и организаций. Так почему бы не применять эту традиционную технологию к мобильным устройствам?

Некоторые производители DLP так и поступили – последовали просьбам трудящихся и создали модули специально для контроля за айфонами и айпадами. Вот только выяснилось одна неприятная вещь – тут традиционный подход не действует, установить агенты и с их помощью контролировать каналы информации не получится.

Не секрет, что набор средств DLP потребляет достаточно много системных ресурсов рабочей станции. А на мобильных устройствах, даже самых новых, эти ресурсы ограничены, и установка сети агентов в лучшем случае очень сильно замедлит работу с аппаратом, а в худшем – сделает ее невозможной.

Поэтому сейчас все мобильные DLP, имеющиеся на рынке, действуют по принципу, который производителями систем для настольных ПК уже давно используется лишь как вспомогательный – зеркалирование трафика.

Минусы подхода очевидны – достаточно устройству покинуть зону корпоративной сети, как контроль его использования будет потерян.А если учесть, что чаще всего мобильные аппараты используются именно вне офисов, то способ и вовсе теряет свой смысл. Добавить к этому, что с помощью зеркалирования нельзя проконтролировать многие каналы связи – Skype, подключенные устройства и т.д., то можно смело утверждать – нынешние DLP для мобильных неэффективны.

Есть ли альтернатива?

Единственный возможный альтернативный вариант – избегать использования «тяжелого» ПО на мобильных устройствах. Помочь могут такие способы, как шифрование информации в аппарате, использование паролей и другие варианты. Единственный минус всех этих методов – они могут защитить от непреднамеренной утечки, например, потери устройства. Если сотрудник окажется «злостным инсайдером», то эти ухищрения его не остановят.

Наиболее простым решением было бы вовсе отказаться от хранения любой конфиденциальной информации на мобильном устройстве. Наиболее изящным будет применение для этой цели клиентов, которые обеспечат доступ к прикладным системам и в тоже время исключат хранение данных на самом устройстве. Но «коробочного решения» для этого не существует, компании понадобится разработчик, который сможет написать клиент под бизнес-системы организации.

К сожалению, в том случае, если избежать хранения информации на мобильном устройстве нельзя и оно находится вне пределов корпоративной сети, риск утечки будет достаточно велик.

Следующий шаг за производителями DLP – будет ли создан комплекс, который можно без проблем интегрировать в мобильное устройство? Вопрос остается открытым.

+46
голосов

Напечатать Отправить другу

Читайте также

Мне кажется что "если сотрудник окажется «злостным инсайдером»", то его никакие ухищрения и на стационарных ПК не остановят, если у него есть терпение и воля найти в системе слабые места...

задача давно решается объединение MDM и DLP.

MDM заворачивается весь трафик на network DLP, а на DLP уже разбирается трафик (HTTP(S), SMTP + приложения типа facebook, dropbox и т.п.) на предмет наличия конфиденциальной информации. http://www.symantec.com/tv/products/details.jsp?vid=1273642041001

в итоге имеем управляемое устройство + контроль над утечками без установки DLP агента.

Ну, туннелировать весь трафик на узел конторы тоже не выход. Точнее, выход для iPad'а внутри офиса. А для смартфона за пределами офиса или на особо придирчивом хотспоте - найдется куча исключений. Плюс, как только этот DLP скрестят с контент-фильтрами, и BYOD-пользователь не сможет зайти вечером на свой любимый сайт немецких фильмов - улетит этот DLP-клиент с железки моментально, ведь ни IOS ни Android не защищают программы от деинсталляции пользователем :) А потом пользователь заявит, что "оно само".

Ну почему сразу "оно само" ;-) Они ведь могут дома их сносить, а приходя на работу - ставить. Так как делают при переносе ноутов домой, - на работе трафик идет через прокси, а дома - прямо, просто на работе ставят галочку, а дома снимают... На работе одни айпишники, - дома другие... Так могут делать и на планшетах тоже.

 
 
IDC
Реклама

  •  Home  •  Рынок  •  ИТ-директор  •  CloudComputing  •  Hard  •  Soft  •  Сети  •  Безопасность  •  Наука  •  IoT