Количество используемых организациями портативных компьютеров в виде ноутбуков и нетбуков растёт в последнее время просто в геометрической прогрессии. Поэтому особенно актуальной становится проблема защиты всего этого компьютерного парка от различных информационных угроз, начиная с вредоносного ПО и заканчивая утечками информации.
Почему лэптопы популярны?
Пожалуй, начать разговор о защите лэптопов стоит с общей характеристики их положительных и отрицательных сторон для организаций. Существует множество преимуществ лэптопов перед настольными компьютерами, которые в последнее время заметно сдали свои позиции в офисах и даже в домах сотрудников.
Очевидно, что главным козырем лэптопов сегодня является их мобильность - в условиях, когда должна быть возможность брать с собой компьютер в командировки, на презентации, на совещания, это ценное качество ноутбуков выходит на передний план. Конечно, далеко не каждому сотруднику нужны подобные возможности рабочего компьютера, но они наиболее актуальны как раз для тех, кто работает с наиболее важной информацией - то есть, для руководящих сотрудников. А значит, именно ноутбуки нуждаются в наиболее серьезной защите.
Второй плюс лэптопов - это батарея, которая, в отличие от подавляющего большинства устанавливаемых в офисах ИБП, позволяет работать в случае отключения питания не двадцать минут, а около двух часов. Во многих организациях ноутбуки уже, в принципе, и используются как настольные компьютеры с очень большим временем автономной работы в случае перебоев с электричеством.
Стоит отметить, что в последнее время многие из тех, кто часто работает с компьютерами в "полевых" условиях, отдают предпочтение не ноутбукам, а нетбукам. К ним применимо всё то, что говорилось выше и будет сказано ниже про ноутбуки, за исключением, пожалуй, отдельных видов рисков, о которых будет говориться отдельно.
Информационные риски
Информационные риски для лэптопов можно разделить на две категории: специфичные для мобильных устройств и неспецифичные для них. Начать стоит со второй группы, поскольку о ней мы поговорим коротко, поскольку она хорошо известна как специалистам по информационной безопасности, так и обычным пользователям.
Основные неспецифичные для мобильных компьютеров риски заключаются в порче, потере или утечке информации вследствие таких причин, как действия вредоносного программного обеспечения, сбои в работе ПО или аппаратного обеспечения, халатность пользователя и т.д. Отдельно стоит выделить группу организационных рисков, связанных с умышленным распространением конфиденциальной корпоративной информации или с её порчей. В свете того, что такие риски в последнее время значительно увеличились, их минимизации необходимо уделить особое внимание.
Что касается специфических для ноутбуков и нетбуков рисков, то здесь, в первую очередь, следует выделить риск утраты информации, характерный для всех мобильных носителей. Они, как правило, используются в гораздо более неблагоприятных условиях, чем стационарные настольные компьютеры, а потому гораздо чаще выходят из строя. Кроме того, в отличие от стационарного компьютера, мобильный очень легко потерять, также есть риск кражи служебного ноутбука из автомобиля, в аэропорту, на вокзале и т.д.
Из этого вытекает и второй риск, связанный с утечкой конфиденциальной информации через ноутбуки. Если кто-то что-то теряет, то кто-то что-то и находит. Нередко находящаяся на лэптопе информация стоит в десятки раз дороже самого лэптопа, и его потеря может привести к катастрофическим для компании последствиям. Отдельно стоит упомянуть и умышленную передачу закрытой корпоративной информации за пределы компании - часто сотрудники используют для этого служебные ноутбуки, передавая данные третьим лицам из дома или в командировках.
Таким образом, как несложно увидеть, в среднем риск утраты или утечки информации для корпоративных лэптопов заметно выше, чем для десктопов. Тем не менее, в большинстве своём риски носят неспецифический характер, что, впрочем, сложно сказать об инструментах защиты, на которых мы далее остановимся подробнее.
Физическая защита
Поскольку ноутбуки подвержены не только виртуальным, но и вполне реальным угрозам, таким, например, как кража, то и методы защиты от таких угроз будут чисто физическими. Сегодня существует достаточно большое количество приспособлений, с помощью которых можно снизить вероятность "угона" лэптопа.
Самое простое и при этом одно из самых эффективных средств защиты ноутбука или нетбука от кражи - это обыкновенный замок, с помощью которого компьютер пристегивают тросом к какому-либо достаточно большому и устойчивому предмету. Замок этот, конечно, имеет специальную форму, и называется обычно замком Кенсингтона. Впрочем, хрупкость ноутбучных корпусов зачастую является причиной того, что при попытке кражи "пристегнутый" ноутбук попросту ломается.
Как и для автомобилей, для ноутбуков существуют специальные противоугонные сигнализации, которые сообщают владельцу устройства о попытках несанкционированного физического доступа к нему. К сожалению, эффективность подобных средств не так высока, как в случае с автомобилями.
Остальные средства физической защиты предназначены, скорее, для возврата пропавшего ноутбука владельцу, нежели для предотвращения кражи. К таким средствам относятся специальная маркировка, наносящаяся на устройства, радиомаячки и т.д. К сожалению, они вовсе не гарантируют возврат украденного устройства, и тем более бессильны предотвратить утечку данных.
Многие дорогие модели ноутбуков оснащаются специальными биометрическими устройствами (обычно используются сканеры отпечатков пальцев), которые предназначены для защиты не столько самих ноутбуков, сколько находящихся на них данных. Хотя такое оборудование заметно повышает стоимость ноутбука, оно действительно чрезвычайно эффективно от случайных краж. Если же ноутбук украли ваши конкуренты, охотящиеся за вашими корпоративными секретами, будьте уверенны, что сканер отпечатков пальцев их не остановит.
Классическая программная защита
Большей частью средства защиты не отличаются от аналогичных для настольных компьютеров, поскольку подавляющее большинство лэптопов работает под управлением тех же самых программных продуктов, которые "рулят" и настольными ПК. Исключение составляет, разве что, небольшая прослойка Android-нетбуков, так и не получивших большого распространения на постсоветском пространстве.
Тем не менее, даже такие привычные средства защиты, как антивирусы и файрволы, нередко предлагаются производителями в специальной "ноутбучной" редакции, которая, по заверениям разработчиков, специально оптимизирована для работы на ноутбуке с учетом нагрузки на системные ресурсы и энергопотребления. Сложно сказать, насколько такие решения действительно помогают растянуть на более долгое время заряд батареи ноутбука, но однозначно можно сказать, что в тех случаях, когда батарея используется нечасто и играет, скорее, роль ИБП, переплата за такую оптимизацию нецелесообразна.
Для защиты от кражи информации существуют разнообразные средства ограничения доступа к ноутбукам и шифрования находящихся на них данных. Обычно это те же самые средства, которые применяются для защиты настольных ПК - к примеру, в российских компаниях распространена практика установки на ноутбуки решений, предлагающих автоматическое шифрование разделов жесткого диска, на которых сотрудники должны держать критически важную информацию. Достаточно интересным, хотя и редким решением являются ноутбуки с жесткими дисками, контроллеры которых позволяют шифровать находящуюся на диске информацию.
Для защиты компании от утраты критически важной информации, находящейся на ноутбуках, очень важно использовать системы резервного копирования. Их важность значительно возрастает по сравнению с теми случаями, когда используются настольные компьютеры, поскольку, как говорилось выше, ноутбуки подвержены гораздо большему числу физических угроз, которые могут привести к потере важной для организации информации.
Endpoint-защита
Пожалуй, одной из немногих защитных систем, которая заметно отличается для ноутбуков и для настольных ПК - это DLP, система защиты организации от утечек информации. Как уже отмечалось выше, ноутбуки часть используются сотрудниками дома или в командировках, то есть, вне защищенной с помощью DLP-системы корпоративной сети. Казалось бы, в таких условиях совершенно отсутствует возможность проследить, что происходит с конфиденциальными корпоративными документами, находящимися на ноутбуке. Однако, к счастью, существуют решения, позволяющие решить подобную задачу.
Для контроля лэптопов применяются так называемые endpoint-решения (от английского endpoint - крайняя точка). Эти решения отличаются тем, что работают не на удалённом сервере, как обычные компоненты подавляющего большинства DLP-систем, а на самом портативном компьютере. То есть, они работоспособны независимо от того, к какой сети подключен компьютер (и подключен ли вообще). Но при этом endpoint-решения ведут себя по-разному внутри корпоративной сети и вне нее.
Находясь в рамках защитного контура, endpoint-модуль на ноутбуке постоянно поддерживает связь с центральными компонентами DLP-системы, передавая им перехваченную информацию и сверяясь с заданными политиками информационной безопасности. Но как только ноутбук отключается от корпоративной сети, модуль переходит в режим автономной работы. В этом режиме он собирает данные о действиях пользователя, сохраняя информацию о переданных документах, написанных сообщениях и других входящих и исходящих данных на самом лэптопе. Затем, когда сотрудник вернётся со своим переносным компьютером в офис, все данные будут переданы для анализа соответствующему компоненту системы защиты, и специалисты по безопасности смогут узнать обо всех нарушениях корпоративных политик, которые потенциально могли привести к утечкам информации.
Конечно, такая защита не так эффективна, как защита корпоративной сети, однако она позволяет своевременно узнавать о возможных инцидентах, связанных с информационной безопасностью, и предотвращать их последствия. При этом модуль, работающий на ноутбуке, может устанавливаться таким образом, чтобы пользователь, работающий за компьютером, ничего не подозревал о его наличии.
Endpoint-системы показывают высокую эффективность в борьбе с заранее спланированными утечками данных, наиболее опасными для любых организаций. Вполне понятно, что сама их архитектура делает их менее эффективными в плане борьбы со случайными утечками информации, однако и сами эти утечки, как свидетельствует статистика, редко приводят к настолько катастрофическим последствиям, как специально подготовленные утечки.
Резюме
Оказывается, защитить корпоративный лэптоп от всего того множества угроз, которые существуют вокруг него, не так уж и сложно, если задаться подобной целью. С другой стороны, вряд ли имеет смысл вооружать ноутбук "до зубов" всеми перечисленными выше средствами защиты - сначала необходимо определить приоритеты, а затем уже закрывать наиболее значимые проблемы.
Роман ИДОВ,
аналитик компании SearchInform
Комментарии
Если в SearchInform все такие специалисты, я туда никогда не обращусь за консультацией. Слабовато, весьма.
Маленький вопрос автору - как в командировке обеспечивается целостность и гарантированность запуска endpoint-модуля?
Эта задача грамотнее и лучше решена в Microsoft. Интересно, автор умышленно не упомянул про их метод, или просто по незнанию?
Вам багтрекер нужно посмотреть в отчетах безопасности систем Microsoft, а также fix-ы которые они выпускают. Вы очень удивитесь. Не понимаю о какой задаче вы пишите. Такое чувство, что вы плохо разбираетесь в .NET,VS
"Не понимаю о какой задаче вы пишите" - прочитайте заголовок, там написано.
В статье не упомянуты такие программы, как Microsoft System Center 2012 Endpoint Protection, BitLocker для жёсткого диска, BitLocker To Go для съёмных носителей, службы Rights Management Services и Information Rights Management. Для защиты ноутбука не надо разбираться в ".NET,VS", не надо быть "аналитиком". Надо просто знать свой предмет на уровне профессионала.
Безусловно, всё охватить в одной небольшой статье невозможно. Безусловно, абсолютно надёжных систем нет. Но то, что предлагает MS, заслуживает внимания.
Целиком согласен с al
Когда вы говорите о физической защите информации, нужно обязательно говорить о шифровании. От Microsoft, SafeNet, Symantec, Aladdin и т.д.
Я понимаю, что это тема отдельного разговора. Но раз вы пишете в общем, то забывать об этом просто нельзя!