Привычки легко формируются, а отказываться от них непросто, — это справедливо для всех аспектов нашей жизни, включая использование технологий. Иногда «технологические» привычки оказываются небезвредными, по крайней мере, с точки зрения работодателей. Сотрудники нашей Службы Поддержки время от времени рассказывают истории о том, как «технозависимость» работников вступает в противоречия с воззрениями руководителей. Одну такую историю мы и хотели бы рассказать. Никаких оценок, только проблема и её решение.
Один из наших клиентов — это компания средних размеров со штатом за полсотни человек, примерно половина из которых весьма, так сказать, мобильны; некоторые работают из дома, что подразумевает «распределённую» инфраструктуру и поддержку BYOD.
В этой компании используется Kaspersky Endpoint Security for Business, так что на каждом ПК и мобильном устройстве у работников установлены наши клиентские приложения.
Проблема, с которой столкнулась компания, была, в общем-то, довольно простой: чтобы отправить или получать рабочие файлы — иногда весьма весомые, намного превышающие лимит, установленный на почтовом сервере — работники привычно использовали файловые хостинги Dropbox или Google Drive. Руководителям компании это очень не нравилось, поскольку они видели в том риск утечки данных.
И, надо сказать, небезосновательно. В прошлом году, например, Джейкоб Уильямс, эксперт по безопасности сетей и цифровой криминалист, сделал на конференции Black Hat EU доклад, в котором заявил, что «облачные сервисы синхронизации, в частности, Dropbox, могут быть использованы в качестве вектора доставки вредоносного ПО во внутренние сети».
В кратком описании доклада (доступно здесь), Уильямс упоминает о прежних исследованиях, авторы которых показали, что облачные решения для резервирования данных могут использоваться с целью несанкционированного вывода данных. Сам Уильямс также показал, что — в теории — такие сервисы могут быть использованы с преступными намерениями. Другими словами, Dropbox, SkyDrive, Google Drive и аналогичные сервисы, согласно Уильямсу, представляют потенциальную угрозу.
Всё это выглядит, как «нагоняющая страху теория», однако «практика» себя ждать не заставила: вот мерзкий зловред, использующий Google Drive; вот китайская группировка CommentCrew использует публичные папки в Dropbox для распространения вредоносного ПО; нетрудно найти упоминания о фишинговых акциях, использовавших «клоны» страниц авторизации Dropbox и Google Drive, и так далее.
Поиск в Google по запросу «google drive skydrive dropbox malware» выдаёт не самую приятную картину.
Эксперты нашей Группы глобального анализа и исследований довольно часто наблюдают, как вредоносное ПО просачивается в корпоративные сети из файловых хостингов. В конце 2012 года нашим экспертам пришлось иметь дело с последствиями каскада атак, направленных на ресурсы с распределённым доступом, вследствие которых выходили из строя корпоративные сети, насчитывающие тысячи пользователей. В результате одной такой атаки крупная компания на несколько дней лишилась электронной почты. Вдобавок были уничтожены огромные объёмы данных, хранившихся на внешних ресурсах.
Но — вернёмся к нашей истории. В определённый момент руководители компании настоятельно порекомендовали подчинённым не использовать Dropbox и Google Drive для пересылки друг другу важных данных. Работники сказали «окей, не будем», однако на их собственных устройствах оставались клиентские приложения упомянутых сервисов и они продолжали использовать их для пересылки «малозначительных», с их точки зрения, файлов для личных нужд. Всё это продолжалось до тех пор, пока один из сотрудников не совершил ошибку и не выложил важные документы в открытый доступ.
К счастью, никакой катастрофы не произошло; через пятнадцать минут файлы убрали, и, по-видимому, утечки не случилось. Однако боссы компании решили, что пора устроить сеанс закручивания гаек.
В Kaspersky Endpoint Security присутствует функция под названием «Веб-Контроль», которая позволяет ограничивать доступ к определённым сетевым ресурсам. Обычно подобные функции используются для блокирования на рабочем месте «запретных» ресурсов — порнографии, азартных игр, онлайнового шоппинга и т.д. Иногда его также используют против баннеров, анонимных прокси-серверов, веб-почты или даже социальных сетей, если те отнимают слишком много рабочего времени.
Админы могут блокировать определённые ресурсы по сетевых адресам или предоставить Kaspersky Endpoint Security проанализировать HTTP-контент и определить его категорию и/или тип данных автоматически. И тогда уже применяются установленные правила фильтрации.
Вот видеоролик, описывающий компонент Веб-Контроль в Kaspersky Endpoint Security.
И вот — подробное описание установок Веб-Контроля (используется старая версия, но интерфейс её поменялся незначительно; язык английский). Стоит также обратить внимание на общее описание функций веб-контроля, доступное здесь.
https://www.dropbox.com/, https://onedrive.live.com/, https://drive.google.com/.
К этому стоит добавить сопутствующие установки в Контроле Приложений, так что при использовании BYOD работники не смогут запускать клиентские приложения этих сервисов, покуда их устройства находятся внутри корпоративной сети. Таким образом исчезает всякий смысл использовать файловые хостинги для передачи друг другу рабочих файлов — даже если они поступают извне корпоративной сети, внутри неё их скачать не удастся.
Возможно, это жёсткая и непопулярная мера, но риск потерять какие-либо важные данные в файловых хостингах для руководителей компании кажется отчего-то куда менее приемлемым.
К слову, после блокирования Dropbox и его аналогов, компания арендовала для себя «собственную» облачную инфраструктуру, убедившись в её защищённости. Но это уже совсем другая история.