Всем хорошо известно, что в настоящий момент в России наиболее популярной операционной системой, установленной на рабочих компьютерах, является Windows (84%, по данным Statcounter). Поэтому существующие системы предотвращения утечек, особенно отечественной разработки, ориентируются именно на этот сегмент при создании агентов, устанавливаемых на рабочие станции. Но в то же время нельзя игнорировать значительную долю (12%) устройств с MacOS, ведь такие компьютеры чаще встречаются у сотрудников высшего звена. Для них утечки информации наиболее опасны.
В данной статье мы рассмотрим варианты подбора систем DLP для компаний со значительной долей установленных ОС MacOS.
Когда на некотором этапе жизни компании принимается решение о внедрении системы предотвращения утечек, прежде всего, ставится цель такого внедрения (отследить движение определенных данных, например), и чётко определяется перечень сотрудников и устройств, контролируемых DLP. В рамках темы статьи мы рассматриваем вариант, при котором в перечень контролируемых устройств попали ПК с MacOS.
В первую очередь следует выяснить, можно ли выполнить требования по контролю утечек с таких устройств с использованием только сетевого сенсора. Если ваши устройства Mac располагаются исключительно в локальной сети и есть ресурсы для дешифровки SSL, перехват сетевого трафика вам поможет. Возможности DLP, контролирующие сетевой трафик и файловые хранилища, зависят от конкретного решения, но в целом таковы:
- перехват электронной почты, лингвистический анализ сообщений;
- перехват http-трафика, в том числе расшифровка https, выявление cообщений в социальных сетях, сервисов поиска работы, перехват файлов, отправляемых в облачные хранилища и т. п.;
- анализ сообщений и файлов мессенджеров (Skype, Viber, WhatsApp и т.д.);
- поиск несанкционированной информации и документов в корпоративных сетевых хранилищах.
Есть множество статей, детально разбирающих выбор сетевых DLP-решений, поэтому подробно на этом мы останавливаться не будем. Отметим основных участников отечественного рынка DLP:
- Infowatch Traffic Monitor – один из лидеров российского рынка систем предотвращения утечек по объему возможностей контроля. Ключевые особенности – лингвистический анализ, в том числе по словарям профессиональной лексики, детектирование выгрузок из баз данных, распознавание эталонных документов. Очень мощное, а следовательно, ресурсоемкое и недешёвое решение.
- «СёрчИнформ КИБ» – мониторинг сетевых действий пользователей, включающий в себя распознавание аудио и видео, а также инструментарий проведения расследований.
- DeviceLock EtherSensor. DeviceLock DLP известен своим агентским решением, о котором ещё будет сказано ниже, но у него есть и сетевой сенсор. Для расшифровки SSL потребуется интеграция со сторонним решением.
- Zecurion Traffic Control (Zgate) – менее требовательное к ресурсам, может быть полезно небольшим организациям.
Что делать, если ваши сотрудники используют ноутбуки Apple и часто работают вне офиса? Есть три варианта:
1) Довольно очевидный – установка агента DLP.
2) Нетривиальный – настройка принудительного использования корпоративного VPN и последующий сетевой мониторинг VPN-подключения.
3) Совсем нетривиальный – использование виртуальных рабочих столов (VDI) и их мониторинг внутри корпоративной среды. При этом ноутбук используется в качестве тонкого клиента.
Разумеется, третий способ может быть применен только тогда, когда в компании уже внедрена и активно используется технология VDI и MacBook будет лишь одним из многих тонких клиентов. Иначе стоимость и трудозатратность такого варианта будут непомерно высоки.
Недостатком второго варианта является неполное закрытие поверхности угроз. Да, сотрудник не сможет передать конфиденциальную информацию через интернет, но ему мало что помешает просто распечатать её или сохранить на флешку. Поэтому такое решение может быть применено, но только в совокупности с дополнительными мерами или установкой агента DLP.
Собственно, наиболее очевидный вариант и является самым, с нашей точки зрения, оптимальным. Установка агента DLP позволит защититься от угроз утечки через съемные устройства и через каналы связи. Какие же решения делают возможным агентский контроль MacOS?
К сожалению, учитывая специфику российского рынка ПК и приведенную в начале статьи статистику, неудивительно, что в основном в портфеле отечественных вендоров DLP агенты для MacOS отсутствуют. Приятным исключением является DeviceLock – его ПО реализовывает мониторинг и запрет на передачу информации на съемные носители. Агент MacOS с аналогичным функционалом есть также у Zekurion, но в статусе бета-версии.
Поэтому для полноценного мониторинга устройств с MacOS можно порекомендовать использование решений зарубежных производителей. Лучше всего для этих целей подойдут McAfee DLP и Symantec DLP. Агенты этих производителей позволяют реализовывать полный контроль, включая мониторинг переписки, ведущейся в мессенджерах (и текст, и передаваемые файлы), передачу файлов в облачные диски и многое другое. Какое из двух решених выбрать? Функционал их практически аналогичен, существенное различие есть в способах установки. Symantec может быть установлен отдельно от других продуктов этого производителя, а для McAfee DLP необходимо сначала развернуть платформу McAfee ePolicy Orchestrator.
В заключение хотелось бы отметить, что простая установка системы DLP – неполная защита от утечек. Необходимо также подготовить юридическое обоснование отслеживания действий пользователей и их ответственности за несанкционированную передачу информации, иначе DLP станет просто дорогостоящим пугалом для неопытных нарушителей, не защищающим от профессиональных инсайдеров.
Надеемся, что этот краткий обзор поможет вам получить представление о возможностях DLP при использовании компьютеров Apple.