Информационная безопасность в эпоху Web 2.0
Автор: Антон Разумов
В наше время сайты социальных сетей и приложения Web 2.0 получили повсеместное распространение в корпоративных кругах. Веб-инструменты не только сближают людей, стирая границы, присущие реальному миру, но и помогают людям и компаниям общаться в реальном времени. Однако, средства моментального обмена сообщениями, одноранговые сети обмена файлами, веб-конференции и сайты социальных сетей не только несут с собой огромную массу благ, но и становятся новыми источниками угрозы безопасности, нарушений корпоративных норм и потери данных. Обеспечение безопасности в эпоху Web 2.0 стало более сложной задачей, и теперь организациям требуется комплексный подход, который бы сократил, а не увеличил количество факторов риска, а также проблем, связанных с управлением и соответствием нормативным требованиям, с которыми сталкиваются руководители подразделений ИТ.
Во многих компаниях социальные сети и приложения Web 2.0 используются далеко не только в личных целях, а помогают осуществлять маркетинг и сбыт продукции и оптимизировать работу с персоналом. Например, отдел кадров может искать кандидатов на заполнение вакансий на сайте LinkedIn, отдел сбыта - законно общаться с клиентами через Facebook, а отдел маркетинга - распространять заголовки или фрагменты последних новостей через Twitter. В силу удобства обмена информацией и моментального характера общения многие из этих инструментов пользуются большой популярностью. По прогнозу компании Forrester Research, существующая тенденция будет продолжаться, и к 2013 году совокупный объем расходов компаний всего мира на технологии Web 2.0 составит 4,6 млрд долл. Разумеется, компании не могут обойти вниманием возможность повысить производительность труда с помощью этих новых технологий.
Однако социальные сети и приложения Web 2.0 не только расширяют наши возможности в части совместной работы, но и становятся новым источником факторов риска, исходящих из интернета. Социальные сети устроены таким образом, что их участники на основе доверия создают сеть контактов, простирающуюся за пределы рабочих отношений. Это открывает возможность легко осуществлять обмен или распространение информации, изображений и файлов. Зачастую при этом не требуется никакой идентификации или проверки, кроме имени и пароля. В последнее время резко возросло число случаев распространения вредоносных программ через социальные сайты и файлообменные сети. Эти новые инструменты превосходно подходят для совершения злоумышленниками обманных действий, которыми многие из них уже не замедлили воспользоваться, несущих опасность для конфиденциальных данных. Поэтому организациям следует убедиться в том, что имеющиеся у них системы предотвращения несанкционированного доступа осуществляют не столько обнаружение, сколько собственно предотвращение угроз.
По данным компании Forrester Research, почти в 80% случаев данные утрачиваются непреднамеренно. Это происходит в основном по халатности работников или вследствие нарушения ими по незнанию правил безопасности, изложенных в нормативных документах компании. Так, например, работник может послать конфиденциальный документ по e-mail не тому "Василию" или пользоваться сайтом-файлообменником для отправки крупных файлов деловому партнеру. Однако, не вчитавшись в подробности договоров о предоставлении услуг, он может, сам того не зная, потерять права владения и контроль над загруженными им файлами, содержащими секретные сведения.
Информирование работников о том, какая информация в организации считается секретной и о том, какие средства допустимы для обмена данными той или иной степени секретности, является важнейшей задачей. Чтобы умерить влияние факторов риска, неизменно сопутствующих преимуществам использования приложений Web 2.0 в корпоративной среде, организациям следует задуматься о внедрении самообучающихся технических решений, уведомляющих работников о рискованных действиях.
Для эффективной защиты от факторов риска эпохи Web 2.0 на уровне конечного пользователя крупнейшие компании внедряют у себя соответствующие технические решения и широкий спектр методик анализа действий пользователей и событий, происходящих в системе. Это позволяет работникам воспользоваться всеми благами средств коллективной работы, не нарушая режима защиты информации. В частности, организации используют технологию виртуализации браузера, позволяющую изолировать как известные, так и неизвестные факторы риска при помощи прогрессивных эвристических методов, тем самым предотвращая посещение опасных сайтов. В наше время, когда социальные сети и приложения Web 2.0 доступны практически каждому, у кого есть браузер, технология виртуализации браузера помогает компаниям разделить корпоративные данные и интернет, а также обеспечивает полную защиту пользователя при посещении им любых сайтов.
В любой корпоративной системе безопасности важнейшую роль играет многоуровневая архитектура защиты, ориентированная на предотвращение инцидентов. Вот примерный состав такой архитектуры, обеспечивающей защиту систем Web 2.0:
- Средства контроля приложений - реализуют детальный контроль различных аспектов безопасности приложений Web 2.0, социальных сетей и других интернет-приложений.
- Средства обеспечения соответствия - осуществляют запись и архивирование данных с целью обеспечения соответствия требованиям законодательства или предоставления сведений по запросу суда.
- Веб-фильтры - осуществляют контроль и слежение за тем, как работники пользуются ресурсами интернета.
- Средства профилактики вредоносных программ - останавливают шпионские программы, руткиты и червей на входе в сеть.
- Средства контроля объема трафика - контролируют использование приложений, создающих большой объем трафика, таких как программы обмена файлами и видеотрансляции.
- Средства виртуализации браузера - реализуют два режима работы браузера, разделяя корпоративные данные и интернет.
- Функции самообучения - анализируют действия пользователей и заданные системные правила, предупреждая пользователей о случаях, когда их данные могут оказаться в опасности.
Обеспечение информационной безопасности в эпоху Web 2.0 - сложная и многогранная задача, столкнувшись с которой, многие компании оказались не готовы справиться с новыми факторами риска. Эффективная стратегия обеспечения безопасности систем Web 2.0 должна дополнять меры по защите сетей полноценными средствами защиты оконечного оборудования и давать организациям возможность без труда реализовывать новые меры безопасности в рамках уже имеющейся инфраструктуры, не исчерпывая при этом и без того небольшие бюджеты, выделяемые на ИТ. Эта стратегия должна стать краеугольным камнем в составе комплекса решений, обеспечивающего улучшенную защиту и простое управление, а также обладающего достаточной гибкостью для дальнейшего развития с учетом новых потребностей компании в части информационной безопасности.
Автор - консультант по безопасности Check Point Software Technologies
© @Astera