Top menu

Что важно при выборе защиты от утечек данных через электронную почту

Электронная почта и доступ к почтовым web-сервисам являются двумя наиболее опасными каналами утечки корпоративных данных, поскольку большинство работников организаций регулярно отсылают рабочие документы с офисной на персональную электронную почту. Учитывая, что сегодня электронная почта является основным способом связи, а популярность различных почтовых веб-сервисов достигла уровня, когда у каждого пользователя интернета есть по меньшей мере один собственный почтовый ящик – со стороны служб ИБ игнорировать столь высокий уровень угрозы утечки данных через почтовые сервисы будет преступной халатностью.

Решение этой проблемы, казалось бы, очевидное и уже традиционное – следует использовать DLP-системы для предотвращения утечек данных. Однако, что предлагает рынок, какие концепции и средства защиты?

Одна из особенностей российского рынка – это активное маркетинговое продвижение как DLP-систем таких продуктов, которые на самом деле не предотвращают пересылку конфиденциальных данных по почте, а только протоколируют эти события для отдельных почтовых протоколов (причем только на компьютерах в офисе) в архиве почтовой переписки с возможностью последующего анализа и поиска инцидентов утечки.

Да, ведение журналов почтовой пересылки позволяет применить соответствующие организационные меры для снижения вероятности утечек – ведь если сотрудники извещены об анализе содержимого переписки, задача предотвращения утечек частично выполняется за счет повышения пользовательской дисциплины и неотвратимости наказания. Однако, на самом деле такой функционально неполный подход опасен, поскольку порождает у служб ИБ ложное ощущение защищенности при том, что в реальности администраторы беспомощно наблюдают на экранах своих мониторов, как конфиденциальные данные беспрепятственно утекают из их ИС. Если система позволяет только протоколировать передачу данных и сохранять теневые копии для дальнейшего анализа, и акцент делается на контентную фильтрацию архива – это, по сути, не DLP-система, а система типа SIEM или Log Management System, позволяющая только расследовать нарушения, а не предотвращать их.

Именно предотвращение, а не мониторинг утечек данных техническими средствами является целевой задачей DLP-систем в корпоративной инфобезопасности во всем мире. Это требует от DLP-системы наличия механизмов блокировки передачи почтовых сообщений в реальном масштабе времени, если они нарушают условия DLP-политик - неавторизованные получатели, недопустимое содержимое, запрещенные к использованию в организации почтовые сервисы и др.

Реально важная концепция защиты от утечек данных – это обеспечение полноты контроля различных почтовых служб и протоколов, а также различных сценариев их применения. Полнофункциональная DLP-система – это не красивые названия технологий, не только контентный анализ, не просто анализ архива почты – это полный охват максимально возможного числа потенциальных каналов утечки данных с обеспечением возможности и блокировать, и протоколировать эти каналы, и в том числе с помощью различных механизмов контентной фильтрации. Говоря о полноте контроля, имеется в виду универсальный контроль SMTP/SMTPS, MAPI/Outlook и IBM/Lotus Notes, а также популярных почтовых веб-сервисов. При этом эффективность контроля определяется как возможностью раздельной проверки содержания почтовых сообщений и их вложений на наличие запрещенной к передаче информации, избирательностью применения политик и ограничений (например, по возможности передачи только сообщений без вложений файлов и документов) к различным группам пользователей, поддержкой оптического распознавания текста в графических изображениях (OCR), раздельный контроль и анализ сообщений и вложений, включая вложенные рисунки, архивы и т.д.

Исключительно важна также полнота защитных реакций системы контроля на выявленные нарушения – имея в виду не только возможность блокировки отправки письма, но и детальное протоколирование факта передачи, включая сохранение точных копий передаваемых писем и вложений, а также оперативное оповещение сотрудников службы ИБ организации о срабатывании заданных правил контроля (т.е. о инциденте ИБ). Конечно же, функционал создания централизованного архива почтовой переписки и обеспечение полнотекстового поиска в архивированных сообщениях и файлах, включая графические файлы, встроенные в документы рисунки и снимки экранов, также обязателен для обеспечения полноты.

Следует также иметь в виду специфику работы мобильных сотрудников, покидающих офис компании с ноутбуками и лэптопами – а значит, выходящими за пределы периметра корпоративной сети и за пределы достижимости корпоративных средств ИБ, «заточенных» на работу внутри офиса.

DLP-системы, реализующие контроль почты на базе сетевых серверов или шлюзов практически не способны реализовать целый ряд требуемых задач, в том числе – задачи управления доступа сотрудников к почтовым веб-сервисам, а также контроля использования почты в «мобильном» режиме – за пределами офиса. Кроме того, для инспекции почтового трафика, защищенного SSL-криптотуннелями, серверные DLP-решения требуют интеграции с прокси, способными перехватить и дешифровать пересылаемые по сети данные. Единственно возможным техническим решением без перечисленных критических функциональных недостатков является использование DLP-агентов, устанавливаемых как на настольных, так и на портативных компьютерах сотрудников, и перехватывающих почтовый трафик непосредственно на его источнике.

Всем необходимым требованиям эффективности и полноты контроля в DLP-системе в полной мере отвечает программный комплекс DeviceLock DLP разработки российской компании Смарт Лайн Инк, агенты которого работают непосредственно на защищаемых компьютерах и обеспечивают инспекцию и протоколирование корпоративной почты и других коммуникационных приложений независимо от используемых ими портов и способа выхода в Интернет, от доступности корпоративной сети или подключения к корпоративным серверам.