По вполне понятным причинам те приёмы защиты, которые применяются для
предотвращения утечек информации через корпоративную сеть, неэффективны в
случае с ноутбуками. Поэтому для контроля лэптопов применяются так называемые endpoint-решения (от
английского endpoint – крайняя
точка). Эти решения отличаются тем, что работают не на удалённом сервере, как
обычные компоненты подавляющего большинства DLP-систем, а на самом портативном компьютере. То
есть, они работоспособны независимо от того, к какой сети подключен компьютер
(и подключен ли вообще). Но при этом endpoint-решения ведут себя по-разному внутри
корпоративной сети и вне нее.
Находясь в рамках защитного контура, endpoint-модуль на ноутбуке постоянно поддерживает связь с
центральными компонентами DLP-системы, передавая им перехваченную информацию и
сверяясь с заданными политиками информационной безопасности. Но как только
ноутбук отключается от корпоративной сети, модуль переходит в режим автономной
работы. В этом режиме он собирает данные о действиях пользователя, сохраняя
информацию о переданных документах, написанных сообщениях и других входящих и
исходящих данных на самом лэптопе. Затем, когда сотрудник вернётся со своим
переносным компьютером в офис, все данные будут переданы для анализа
соответствующему компоненту системы защиты, и специалисты по безопасности
смогут узнать обо всех нарушениях корпоративных политик, которые потенциально
могли привести к утечкам информации.
Конечно, такая защита не так эффективна, как защита корпоративной сети,
однако она позволяет своевременно узнавать о возможных инцидентах, связанных с
информационной безопасностью, и предотвращать их последствия. При этом модуль,
работающий на ноутбуке, может устанавливаться таким образом, чтобы
пользователь, работающий за компьютером, ничего не подозревал о его наличии.
Нужно отметить, что страхи по поводу утечек информации, которые не могут
быть остановлены подобной системой, обычно преувеличены. Следует помнить, что
наиболее опасны заранее спланированные систематические утечки, которые endpoint-модуль как раз выявляет
с большой степенью достоверности. С отсутствием возможности блокировать случайные
утечки (например, отправленные по неосторожности не тому адресату письма), увы,
придётся смириться.
Роман Идов,
ведущий аналитик компании SearchInform
Комментариев нет:
Отправить комментарий