Для контроля действий на рабочих станциях в Solar Dozor применяется отдельный модуль — Dozor Endpoint Agent (агент), с помощью которого можно своевременно отследить и при необходимости заблокировать передачу данных. Этот модуль адаптирован и может работать под управлением разных операционных систем - компания-разработчик "Ростелеком-Солар" предлагает версии для Windows, Linux и macOS. На нашем портале уже приводились обзоры модуля Dozor Endpoint Agent для Linux и Windows. В этой статье речь пойдет о модуле Dozor Endpoint Agent для macOS, который разрабатывается с 2021 г. Он стал флагманом движения российского рынка DLP-систем к полнофункциональному мониторингу рабочих мест на базе устройств Apple и по сей день занимает лидирующую позицию на рынке.
Об операционной системе macOS: немного статистики
Macintosh Operating System (macOS, до 2016 г. — ОS X) представляет собой семейство операционных систем, созданных специально для компьютеров Apple Macintosh. Считается, что именно в macOS впервые была применена технология GUI — графический интерфейс пользователя.
По данным платформы мировой статистики Statista.com, за 10 лет доля пользователей ОС Windows в мире сократилась на 17%. Самую большую часть рынка у Windows перетянула на себя именно операционная система от компании Apple. В начале 2023 г. macOS сумела захватить и удержать 15% мирового рынка.
В России, по данным сервиса StatCounter GlobalStats, на май-июнь 2023 г., доля компьютеров, работающих под управлением Windows, тоже сократилась и составляет всего 83,55% (еще несколько лет назад система от Microsoft занимала почти 100% рынка), в то время, как количество компьютеров на macOS (OS X) — уже 6,27%.
На текущий момент (июнь 2023 г.) семейство операционных систем macOS по распространённости в РФ занимает 3-ю строчку, оставив позади себя ОС семейства Linux. Это неудивительно, ведь macOS славится своей надежностью, стабильной работой программ, написанных специально под конкретные конфигурации ОС, а также лучшей по сравнению с другими ОС защищенностью от вирусов. На высоте и удобство использования системы (usability) – macOS отличается очень продуманным интерфейсом.
По данным Ростелеком-Солар, в российских компаниях рабочие станции под управлением macOS использует в среднем от 5% до 50% сотрудников (в зависимости от специфики деятельности организации):
топ-менеджмент, чьи макбуки содержат ключевую финансово-экономическую информацию и сведения по стратегическому развитию бизнеса;
ИТ-специалисты, владеющие конфиденциальной технической информацией, базами данных, планами стратегического развития ИТ-продуктов и услуг компании;
дизайнеры, маркетологи и другие специалисты, работающие с договорами, конкурсной документацией, базами данных клиентов, информацией о рыночном развитии продуктов и услуг и т.п.
Утечка подобных сведений может привести к довольно ощутимым последствиям для компаний, включая штрафы и репутационные потери.
Использование Dozor Endpoint Agent for macOS: решаемые задачи
С помощью DLP-системы Solar Dozor и ее модуля Dozor Endpoint Agent for macOS специалисты служб безопасности компаний могут как минимум получать и просматривать сведения о действиях сотрудников на рабочих станциях. Также можно настроить и применить правила политики безопасности так, чтобы система автоматически блокировала подозрительные операции. Таким образом контролируются:
обмен сообщениями и файлами в веб-почте;
общение в социальных сетях и блогах;
передача данных в мессенджерах Telegram (веб-версия), WhatsApp (веб-версия) и Skype;
публикация данных в облачные хранилища:
Облако Mail.Ru, Яндекс.Диск, OneDrive, Google Drive, Dropbox и iCloud - в веб-браузерах;
Яндекс.Диск и Mail.Cloud - в соответствующих десктоп-приложениях;
подключение внешних устройств (флеш-накопителей, внешних дисков и т.п.) к рабочим станциям через USB;
копирование информации в буфер обмена;
операции с файлами (включая архивы): копирование/перемещение на съемные носители, сетевые диски и веб-ресурсы (в том числе с использованием технологии AirDrop);
отправка данных на печать;
использование поисковых запросов.
Также Dozor Endpoint Agent for macOS может предоставлять:
созданные им снимки (скриншоты) экранов рабочих станций;
информацию, которая вводится сотрудниками при помощи клавиатуры;
данные о проведенном сотрудниками времени в приложениях и сети Интернет.
Все собранные агентом сведения сохраняются в системе и отображаются по запросу пользователя как в текстовом, так и в графическом виде. Есть возможность получать отчеты за большой период, наглядно показывающие всю активность сотрудника на рабочем месте. В конечном итоге это позволяет не только противодействовать утечкам информации и предотвращать их, своевременно приняв необходимые меры, но и проводить служебные расследования инцидентов ИБ, выявлять нелояльных и плохо работающих сотрудников и т.п.
Новейшая версия Dozor Endpoint Agent for macOS:
функционирует на рабочих станциях под управлением macOS самых современных версий - 11.x (Big Sur),12.x (Monterey), 13.x (Ventura);
поддерживает работу на устройствах как с архитектурой x86-64, так и с Apple M1/M2;
совместима с антивирусом Kaspersky Endpoint Security for macOS.
Агент можно легко установить локально на конкретную рабочую станцию с помощью графического инсталлятора или развернуть одновременно на группу макбуков, используя специальные средства – MDM/EMM-системы (например, VMware AirWatch или Microsoft Intune). Управлять рабочими станциями с установленными агентами можно в веб-интерфейсе Solar Dozor.
Dozor Endpoint Agent for macOS: ключевые функции
Спрогнозировать, какие функции агента будут наиболее востребованы, можно, отслеживая и понимая тенденции, касающиеся каналов утечек данных. По данным исследования, которое было проведено аналитиками Ростелеком-Солар, за последний год наиболее распространенными каналами утечки, например, в финансовых организациях стали облачные хранилища, флеш-накопители и веб-версии мессенджеров. Это явное отражение общероссийской политики ужесточения правил использования средств онлайн-коммуникации на рабочих местах сотрудников. Соответственно, контроль передачи данных в облачные хранилища и в мессенджерах (особенно в их веб-версиях) и контроль копирования файлов на USB-носители являются приоритетными направлениями защиты от утечек.
Еще одно важное для macOS-агента направление — обеспечение контроля AirDrop-передачи файлов. AirDrop-технология была разработана компанией Apple специально для обмена документами, изображениями и иными данными между устройствами Apple, находящимися поблизости (используются Wi-Fi или Bluetooth-подключения).
Кроме того, стоит сказать о контроле печати — модуль Dozor Endpoint Agent for macOS умеет не только перехватывать, но и блокировать печать документов.
Контроль передачи информации в мессенджерах: получение данных переписки в веб-версиях Telegram и WhatsApp, а также Skype
По данным Лаборатории Касперского (ТАСС), в 2023 году по сравнению с прошлым годом злоумышленники сместили фокус внимания, сосредоточившись на крупном бизнесе. Об этом говорят цифры за аналогичные периоды в 2022 и 2023 г.г.:
· для крупного бизнеса: в 2022 г. попавших в сеть сведений было 28 млн строк, в текущем — уже 163 млн;
· для малого и среднего бизнеса: 70 млн строк в 2022 г. против 20 млн в 2023.
Отмечается, что половина всех утечек была опубликована в течение месяца после выгрузки данных, при этом чаще всего данные попадали в сеть через мессенджер Telegram.
С помощью Dozor Endpoint Agent for macOS на рабочих станциях под управлением macOS контролировать передачу данных в веб-версии мессенджеров Telegram и WhatsApp можно уже сейчас — обеспечен перехват отправленных и/или полученных сообщений и файлов. Кроме того, агент перехватывает входящую и исходящую переписку в мессенджере Skype, причем, как в приложении, установленном на рабочей станции, так и в веб-версии.
Все перехваченные данные можно просмотреть в веб-интерфейсе Solar Dozor в карточке сформированного агентом сообщения о переписке в конкретном мессенджере.
Отслеживание публикации данных в облачные хранилища: Облако Mail.Ru, Яндекс.Диск, OneDrive, Google Drive, Dropbox и iCloud - под контролем
С помощью новейшей версии модуля Dozor Endpoint Agent for macOS, установленного на рабочих станциях под управлением macOS, возможно полностью контролировать передачу файлов в облачные хранилища Яндекс.Диск и Облако Mail.RU, выполненную через соответствующее приложение. Можно, например, настроить правила политики безопасности так, чтобы при отправке сотрудником файла, содержащего критичные для компании данные, система блокировала операцию отправки, создавала событие или инцидент с высоким уровнем критичности и оповещала специалистов службы безопасности. Также можно указать, уведомлять ли сотрудника о нарушении им правил политики и задавать текст этого уведомления.
Сведения об успешных и неуспешных попытках пользователей рабочих станций отправить данные на Яндекс.Диск или в Облако Mail.Ru фиксируются в Solar Dozor, и их можно посмотреть в веб-интерфейсе системы. В частности, можно получить информацию об успешности/неуспешности попытки такой передачи: запрещено/разрешено.
Кроме того, с помощью Dozor Endpoint Agent for macOS можно отслеживать факты веб-браузерной передачи в облачные хранилища Облако Mail.Ru, Яндекс.Диск, OneDrive, Google Drive, Dropbox и iCloud. Если, к примеру, настроить систему так, что она при регистрации факта такой передачи будет моментально оповещать специалистов службы безопасности, это позволит своевременно отреагировать, принять соответствующие меры и, тем самым, предотвратить дальнейшую утечку информации.
Контроль копирования/перемещения файлов на съемные носители и сетевые ресурсы: перехват и блокировка операций
С помощью Dozor Endpoint Agent for macOS и настроенных в Solar Dozor правил политики безопасности можно автоматически отслеживать и при необходимости блокировать выполняемые сотрудниками операции копирования или перемещения файлов на съёмные носители и/или сетевые ресурсы. При этом на соответствие политике безопасности проверяется содержимое как самих файлов, так и архивов (проверяются docx/pdf/pdf/txt–файлы и содержимое zip/7z/arj/rar/tar–архивов).
Контроль канала AirDrop: перехват файлов и блокировка их передачи
С помощью Dozor Endpoint Agent for macOS и настроенных в Solar Dozor правил политики безопасности можно автоматически отслеживать и при необходимости блокировать AirDrop-передачу данных, выполняемую из файлового менеджера Finder, рабочего стола операционной системы или напрямую из приложений.
Контроль данных, отправляемых на печать: перехват и блокировка по контенту
Функция контроля печати, реализованная в Dozor Endpoint Agent for macOS, позволяет:
перехватить данные, отправляемые сотрудниками на локальные, сетевые или виртуальные принтеры для последующей печати (независимо от приложения, из которого пользователь запускает печать);
зафиксировать в системе факт печати документа любого типа;
проверить содержимое документа, отправленного на печать, на соответствие правилам политики безопасности (в случае многостраничного документа будет проверен текст только печатаемых страниц);
заблокировать операцию печати, если по результатам проверки документа в нем была найдена критичная информация.
Вместо выводов: перспективы и планы развития Dozor Endpoint Agent for macOS
Несмотря на тенденцию импортозамещения в сфере программного обеспечения и оборудования, компьютеры, работающие на macOS, продолжают активно использоваться в российском корпоративном сегменте. Как уже было сказано выше, ключевыми пользователями macOS-устройств является топ-менеджмент компаний, а также представители творческих профессий – дизайнеры, разработчики, маркетологи.
Среди пользователей Dozor Endpoint Agent for macOS – крупнейшие компании финансового и строительного секторов, ИТ-индустрии, сферы розничной и оптовой торговли, а также рекламы (медиаиндустрия). Они ценят возможности ненавязчивого мониторинга, когда дело касается привилегированных пользователей, и преимущества активного противодействия угрозам, когда речь заходит о попытках вывода защищаемой информации за периметр корпоративной сети.
Одним из важнейших векторов дальнейшего развития модуля Dozor Endpoint Agent for macOS является стремление к паритетности функций с модулем Dozor Endpoint Agent for Windows, исторически наиболее функционально развитым агентским модулем DLP-системы Solar Dozor.
