Статьи

26
Ноябрь 2014

Реализация безопасного файлообмена с помощью систем управляемой передачи файлов. Часть 1

Раздел: Статьи |

Предпосылки

Увеличение объема информационных потоков сделало процесс передачи информации неотъемлемой частью бизнес-процессов большинства организаций. Появилась необходимость обмена файлами между различными категориями пользователей: как между сотрудниками в пределах компании, так и между сотрудниками и контрагентами. Традиционные решения (электронная почта и FTP) больше не удовлетворяет широкому спектру требований, которые предъявляются к подсистеме безопасности компании, а отсутствие таких решений может и вовсе привести к использованию сторонних неконтролируемых ресурсов передачи (общедоступные файлообменники), что может стать источником утечки конфиденциальной информации компании. Более того, подобные решения либо не способы обеспечить передаваемые файлы комплексной защитой, гарантировать конфиденциальность информации и контролировать процесс обмена, либо слишком усложняют эту задачу, при этом в разы увеличивая расходы на ее решение.

Сложившаяся ситуация привела к увеличению спроса на продукты, предназначенные для управления и контроля всего процесса файлообмена (Managed File Transfer, MFT).

Причины отказа от традиционных решений

На протяжении длительного времени использование FTP и почтового серверов (например, Microsoft Exchange) позволяло отчасти решать задачу файлообмена. Файлы пересылались по электронной почте, загружались на сервер на определенное время или вовсе не удалялись оттуда. Однако большинство компаний все еще не могут найти подходящее решение для удовлетворения следующих требований:

  • Организация полностью безопасного и авторизованного обмена файлами с любого типа используемых устройств (персональных, мобильных и др.) и местоположения пользователя системы.
  • Обеспечение пользователей доступным решением с дружественным интерфейсом, понятным на интуитивном уровне, без дополнительного обучения.
  • Использование альтернатив традиционным решениям (электронная почта, FTP),  которые позволят реализовать централизованную передачу файлов, а также гарантировать их конфиденциальность и контролировать процесс обмена.
  • Выполнение пунктов:
    • Соответствие локальным нормативным требованиям,
    • Конфиденциальность передаваемой информации,
    • Проставление ЭП на передаваемых документах,
    • Шифрование отправляемых файлов,
    • Комплексное отслеживание информации обо всех передаваемых файлах и операциях скачивания,
    • Аудит и администрирование используемой системы.

Такие требования скорее выглядят как определенные препятствия к реализации простого для пользователя решения. Однако системы MFT позволят эффективно разрешить данные проблемы при их внедрении в компании с крупномасштабной или малой пользовательской средой.

Использование сервера электронной почты

Электронная почта – подходящая технология для обмена письмами и вложениями ограниченного размера (документ, «легковесная» картинка…). Но это решение не позволяет осуществлять передачу «больших» файлов. Максимальный размер вложения обычно строго ограничен и варьируется в пределах нескольких мегабайт: например,  лимит отправляемого вложения через публичный сервер Google составляет 25 МБ/письмо, а корпоративного Microsoft Exchange - ~5-30 МБ/письмо. Помимо этого существует и другая проблема: письмо может быть не доставлено получателю из-за того, что ограничения на размер сообщения на почтовых серверах отправителя и получателя различны.

Когда речь идет о компании, то для обмена информацией в большинстве случаев используется внутренний почтовый сервер. Из-за установки определенных ограничений на объем передаваемых файлов в процессе отправки письма с несколькими вложениями  отправителю придется разделить свое сообщение на несколько писем. Это неудобно, отнимает дополнительное время у сотрудника и в значимой мере может повлиять на процесс взаимодействия с контрагентами. К тому же отправитель не сможет получить уведомление об операциях скачивания файлов получателем и подтверждение того, что файл скачал именно тот получатель.

Как правило, на почтовом сервере передаваемые файлы хранятся долговременно, что приводит к быстрому заполнению жесткого диска передаваемыми файлами. А если говорить о корпоративном почтовом сервере, то одно и то же вложение может занимать в два или более раз больше места на диске. В качестве решения устанавливаются лимиты на размер почтового ящика каждого пользователя и при переполнении зачастую пользователю самостоятельно необходимо удалять сообщения, что приводит к определенным неудобствам. 

                                     

                                                                         Рисунок 1

В качестве альтернативы для передачи файлов действительного большого размера (ПО, образы, медиа-файлы…) становятся FTP-сервер (см. ниже) или внешний файлооменник, которые имеют свои недостатки.

Использование FTP-сервера

Когда электронная почта не справляется с пересылкой файлов большого размера в связи с введенными в компании ограничениями, то компания может использовать дополнительное решение - FTP-сервер.

FTP-сервер действительно решает задачу обмена разнородными файлами, однако некоторым вопросам его использования не уделяется должное внимание со стороны компании: безопасность хранимых файлов и правомерный доступ к ним, полноценный аудит проделанных операций. Существуют дополнительные решения, методы и настройки, сторонние утилиты, которые позволят снизить риск компрометации файлов за счет уменьшения количества атак с использованием определенных уязвимостей (метод грубой силы, сниффинг, спуфинг, подмена пакетов) FTP-сервера или человеческого фактора (включена учетная запись для анонимного доступа, хранение файла с паролями на сервере и пр.). Определенно такие способы позволят обеспечить дополнительный уровень защиты хранимых файлов, но увеличат сложность использования такого решения для конечного пользователя и в разы увеличит нагрузку на системного администратора.

В качестве примера простой атаки можно рассмотреть индексацию FTP с помощью поисковой системы Google, благодаря которой можно получить различные конфиденциальные документы компании, выложенные на сервере (пример на рис). 

                                                        

                                                                                                     Рисунок 2

В 2007 году  была опубликована информация (ru-board.com), согласно которой злоумышленникам удалось получить доступ к FTP-серверу компании Elcomsoft. После чего вся информация стала доступной в Интернете, включая конфиденциальные файлы (пользовательские данные, личные данные сотрудников компании, фотографии и пр). Более того, были обнаружены «свежие» версии программ IDA Pro 5.1 и Bitrix 6.0. Как было заявлено, взлома сервера не было. Причиной послужила возможность использования неавторизованного удаленного компьютера.   

В 2010 году компания «Дальносвязь» допустила крупную утечку данных своих клиентов со своего публичного FTP-сервера. 

Еще немало существует подобных примеров, что заставляет все-таки задуматься о защите передаваемых файлов.

Использование внешних файлообменников

Несмотря на наличие FTP-сервера, его разворачивание и дальнейшее администрирование в компании может оказаться достаточно затратными. Это наравне с отсутствием регламентированных правил привело к тому, что в некоторых компаниях до сих пор используются общедоступные файлообменники как средство передачи файлов большого размера. Такой метод передачи файлов и тем более конфиденциальных документов однозначно приводит к большому риску утечки важной информации (рис) и не может соответствовать нужным образом необходимым мерам безопасности. 

                                         

                                                                                  Рисунок 3

Как альтернативный пример можно рассматривать передачу файлов между сотрудниками через клиент мгновенных сообщений, где при передаче файлы автоматически загружаются на файлообменник и становятся доступны не только получателю, но и любому другому лицу, получившему ссылку.

При таких способах обмена информацией как минимум необходимо использовать парольную защиту. Однако следующие вопросы все еще остаются без ответа:

  • Как настраивать парольную политику?
  • Как управлять пользователями и их правами?
  • Как контролировать процесс обмена и производить аудит операций?
  • Как организовать групповую передачу файлов?

Все эти проблемы общедоступный файлообменник решить не сможет.

О системах Managed File Transfer (MFT)

Управляемая передача файлов (англ. Managed File Transfer, MFT) – программное решение, реализованное для упрощения задач передачи файлов с одного компьютера на другой посредством сети (например, Интернет).

MFT покрывает целый спектр задач, а именно: автоматизация передачи данных, безопасный и авторизованный обмен данными, обеспечение конфиденциальности передаваемой информации, обеспечение целостности файлов, управление пользователями и группами пользователей, простой интерфейс управления, поддержка различных методов аутентификации, интеграция с существующими информационными системами (ИС).

Существует большое количество систем MFT, которые предоставляют своим пользователям различные функциональные возможности для обмена файлами. Продукты MFT могут различаться по функциональным особенностям, однако большая их часть поддерживает следующие функции:

  • Шифрование отправляемых файлов;
  • Проставление ЭП на передаваемых документах;
  • Журналирование и аудит проделанных операций и входов в систему;
  • Администрирование системы;
  • Возможность интеграции с различными ИС с помощью API;
  • Возможность аутентификации на основе LDAP, AD, Web SSO, X.509 и др.

Система MFT – решение, которое удовлетворяет большинству требований безопасности организаций и позволяет разрешить ряд ключевых проблем. Сфера применения данного решения является достаточно широкой, начиная от небольших компаний (организация одного-двух каналов передачи документов внешним партнерами) и до больших коммерческих или государственных структур (организация обмена большими файлами как внутри самой организации между сотрудниками, так и с внешними партнерами). 

Выводы

Увеличение количества передаваемых файлов различных типов и размеров постепенно приводит к необходимости использования специализированных технологических продуктов для решения задачи безопасного управления файлообменом, которые обеспечат снижение рисков утечки конфиденциальной или другой важной информации компании. Использование традиционных решений таких, как электронная почта или FTP, больше не позволяют должным образом удовлетворить все требования безопасности, а использование сторонних файлообменников и вовсе может привести к серьезным для компании последствиям. Системы MFT являются эффективным инструментом для решения задачи файлообмена и удовлетворяют большую часть потребностей современной организации. На сегодняшнем рынке существуют различные программные продукты, которые обладают широкими функциональными возможностями и которые можно выбрать, исходя из нужд компании.

OpenTrust MFT logoЧитайте подробнее про OpenTrust MFT  

    Статьи
Последние записи
Архив
Категории
Теги
Ленты
RSS / Atom