Смартфон с корпоративной почтой — удобный инструмент работы и одновременно один из возможных каналов утечки данных. Exchange ActiveSync позволяет быстро синхронизировать почту на iOS и Android, но вместе с письмами на устройство попадают документы, переписка и вложения.В статье разберем, какие риски возникают при мобильном доступе и как выстроить защиту корпоративной почты через политики безопасности, MDM и DLP.
Почему мобильный доступ к почте становится каналом утечек
Exchange ActiveSync — это протокол синхронизации, который позволяет работать с корпоративной почтой, календарем и контактами на мобильных устройствах. После подключения учетной записи почтовый сервер автоматически передает данные на смартфон или планшет.
Для пользователя это выглядит просто: он добавляет рабочий аккаунт в Outlook на мобильном устройстве или во встроенное почтовое приложение — и письма начинают приходить на смартфон или планшет.
Но с точки зрения информационной безопасности происходит следующее:
- Почтовый сервер передает данные на мобильные устройства iOS и Android.
- Письма и вложения сохраняются в памяти устройства.
- Пользователь может пересылать файлы, копировать данные или сохранять их в сторонние приложения.
В результате корпоративная почта фактически выходит за пределы защищенного контура инфраструктуры.
Если при этом не настроены политики безопасности Exchange ActiveSync, компания теряет контроль над тем, где именно хранятся письма и вложения.
Защита корпоративной почты от Эгиды
Усильте защиту корпоративной почты и мобильного доступа. Эксперты Контур.Эгиды помогут выстроить систему защиты: настроить политики, контроль мобильных устройств и защиту от утечек данных.
Основные риски мобильного доступа к корпоративной почте
Когда сотрудники используют личные смартфоны или планшеты для работы, появляются дополнительные угрозы безопасности.
Наиболее распространенные риски:
- Потеря или кража устройства. Без шифрования данных и блокировки устройства злоумышленник может получить доступ к почтовому ящику.
- Неконтролируемые приложения. Пользователь может открыть письмо или вложение в стороннем приложении и сохранить файл вне корпоративного контура.
- Компрометация учетной записи. Если злоумышленник получает доступ к почте, через ActiveSync он может синхронизировать всю переписку и передать ее на свое устройство.
- Отсутствие централизованного контроля. Без систем MDM (Mobile Device Management) и политик безопасности невозможно контролировать состояние устройств и уровень защиты.
В такой ситуации даже небольшая ошибка пользователя может привести к утечке конфиденциальных данных.
Инциденты и атаки, связанные с корпоративной почтой
Почта остается одним из главных каналов атак на компании. Через нее распространяются фишинговые письма, вредоносные вложения и схемы социальной инженерии.
Один из наиболее известных сценариев — CEO Fraud. Это атака, при которой злоумышленник выдает себя за руководителя компании и отправляет сотруднику письмо с требованием срочно перевести деньги или передать документы.
Если злоумышленник получает доступ к почтовому ящику, он может:
- читать переписку и изучать бизнес-процессы;
- отправлять письма от имени сотрудников;
- использовать доверие внутри компании для атак.
При мобильном доступе риски возрастают: пользователь проверяет почту на ходу, быстрее принимает решения и реже проверяет детали письма.
Поэтому защита корпоративной почты на мобильных устройствах должна включать несколько уровней безопасности:
| Уровень защиты | Что контролирует |
|---|---|
|
Политики безопасности Exchange ActiveSync |
требования к устройствам и паролям |
|
MDM |
контроль мобильных устройств и их состояния |
|
DLP |
предотвращение утечек данных |
|
IRM |
ограничение пересылки и копирования писем |
Такой подход позволяет не только защитить почтовую инфраструктуру, но и сохранить контроль над корпоративными данными, которые оказываются на мобильных устройствах сотрудников.
Политики безопасности Exchange ActiveSync
Сам по себе Exchange ActiveSync только синхронизирует почту с мобильным устройством. За безопасность отвечает другой механизм — политики безопасности, которые определяют, какие устройства могут подключаться к почте и при каких условиях.
Такие политики позволяют контролировать мобильный доступ к корпоративной почте и снизить риск утечек данных.
Какие политики безопасности доступны в ActiveSync
Политики ActiveSync задают базовые требования к устройствам сотрудников. Они применяются автоматически при подключении почтового аккаунта.
Чаще всего используются следующие параметры:
- требование PIN-кода или пароля на устройстве;
- минимальная длина и сложность пароля;
- автоматическая блокировка устройства после периода бездействия;
- ограничение количества попыток ввода пароля;
- удаленная очистка данных (remote wipe).
Такие меры защищают корпоративную почту в случае потери или кражи смартфона. Например, если пользователь несколько раз вводит неправильный пароль, система может автоматически удалить корпоративные данные с устройства.
Отсутствие второго фактора в ActiveSync по умолчанию
Важно учитывать, что Exchange ActiveSync сам по себе не обеспечивает многофакторную аутентификацию. В базовой конфигурации доступ к корпоративной почте возможен по логину и паролю.
Это означает, что при компрометации учетной записи злоумышленник может подключить свое устройство и синхронизировать всю переписку через ActiveSync — без дополнительных проверок.
Поэтому минимальный «гигиенический» уровень защиты мобильной почты должен включать:
- обязательную многофакторную аутентификацию (2FA);
- ограничения доступа по устройствам или через MDM;
- контроль подозрительных попыток входа.
Без этого даже корректно настроенные политики ActiveSync и DLP не предотвращают несанкционированный доступ к почте.
Политики ActiveSync для iOS и Android
Хотя ActiveSync поддерживается большинством мобильных платформ, политики ActiveSync для iOS и Android работают немного по-разному.
Некоторые функции могут поддерживаться не полностью или реализовываться через механизмы самой операционной системы.
| Возможность политики | iOS | Android |
|---|---|---|
|
Требование PIN-кода |
да |
да |
|
Шифрование данных |
да |
зависит от устройства |
|
Удаленная очистка данных |
да |
да |
|
Ограничение приложений |
частично |
зависит от версии |
Поэтому при настройке политик безопасности Exchange ActiveSync важно учитывать, какие устройства используются в компании и какие функции безопасности они поддерживают.
Шифрование данных и удаленная блокировка устройств
Еще один важный механизм — шифрование данных в Exchange ActiveSync. Если на устройстве включено шифрование, письма и вложения сохраняются в зашифрованном виде. Даже при физическом доступе к смартфону злоумышленник не сможет прочитать данные без разблокировки устройства.
Дополнительно можно использовать функцию удаленной блокировки или очистки устройства.
Это позволяет:
- заблокировать устройство при подозрении на компрометацию;
- удалить корпоративную почту и вложения;
- защитить данные при потере смартфона.
Однако одних только политик ActiveSync недостаточно. Они контролируют базовые параметры безопасности, но не позволяют полноценно управлять устройствами сотрудников.
Управление мобильными устройствами: MDM и контроль доступа
Когда сотрудники работают с корпоративной почтой со своих смартфонов, компании важно понимать:
- какие устройства подключаются к почтовому серверу;
- соответствуют ли они требованиям безопасности;
- можно ли контролировать данные на этих устройствах.
Для этого используются системы MDM (Mobile Device Management) — инструменты управления мобильными устройствами.
Как MDM усиливает защиту ActiveSync
MDM расширяет возможности стандартных политик ActiveSync и позволяет управлять безопасностью мобильных устройств централизованно.
С помощью MDM можно:
- регистрировать устройства сотрудников в корпоративной системе;
- проверять соответствие требованиям безопасности;
- автоматически применять политики безопасности;
- блокировать доступ к почте для небезопасных устройств.
Например, если устройство не соответствует требованиям безопасности — на нем отключено шифрование данных или установлена устаревшая версия Android — система может запретить синхронизацию корпоративной почты.
Таким образом, MDM обеспечивает контроль мобильных устройств и корпоративной почты на уровне всей инфраструктуры.
Карантин устройств в Exchange ActiveSync
Еще один важный встроенный механизм — карантин устройств в Exchange ActiveSync.
Он работает следующим образом:
- новое устройство пытается подключиться к почте;
- сервер помещает его в карантин — фактически, передает этот запрос на подключение администратору;
- администратор принимает решение — разрешить доступ или заблокировать устройство.
Такой подход позволяет предотвратить подключение неизвестных или небезопасных устройств к корпоративной почте.
Особенно это важно в компаниях, где используется BYOD (Bring Your Own Device) — когда сотрудники работают со своими личными смартфонами.
Контроль корпоративных устройств и BYOD
В современной инфраструктуре часто одновременно используются два типа устройств: корпоративные устройства, выданные компанией, и личные устройства сотрудников.
Для каждого сценария применяются разные политики безопасности.
| Тип устройства | Подход к безопасности |
|---|---|
|
Корпоративные устройства |
полный контроль через MDM |
|
Личные устройства (BYOD) |
ограниченный доступ и дополнительные проверки |
При работе с BYOD важно контролировать:
- наличие пароля и шифрования данных;
- версию операционной системы;
- наличие вредоносных приложений;
- соблюдение корпоративных политик безопасности.
Такой подход позволяет сохранить баланс между удобством сотрудников и защитой корпоративной почты.
Однако даже при правильной настройке ActiveSync и MDM остается еще одна задача — предотвращение утечек данных из самих писем и вложений. Именно для этого используются системы DLP и IRM.
Как предотвратить утечки почты через мобильные устройства
Политики ActiveSync и системы MDM позволяют контролировать устройства, но они не отвечают за то, что происходит с данными внутри писем. Сотрудник может переслать письмо, сохранить вложение или скопировать текст в стороннее приложение.
Чтобы предотвратить такие сценарии, используются системы DLP (Data Loss Prevention) и IRM (Information Rights Management).
DLP-контроль для Exchange и мобильных клиентов
DLP для мобильных клиентов анализирует содержимое писем и вложений и помогает предотвратить утечки конфиденциальной информации.
Система проверяет сообщения по заранее заданным правилам. Например, она может обнаружить:
- номера банковских карт;
- персональные данные;
- коммерческую тайну;
- внутренние документы компании.
Если письмо нарушает политику безопасности, система может:
- заблокировать отправку письма;
- предупредить пользователя о нарушении политики;
- отправить уведомление службе безопасности.
Таким образом, DLP для ActiveSync позволяет контролировать данные даже после того, как письмо попало на мобильное устройство.
IRM: ограничение пересылки и копирования писем
Системы IRM (Information Rights Management) защищают содержимое писем и вложений за счет управления правами доступа.
С их помощью можно ограничить действия получателя:
- запретить пересылку письма;
- запретить копирование текста;
- запретить печать;
- ограничить доступ к документу по времени.
Это особенно важно для писем с конфиденциальными вложениями: финансовыми отчетами, договорами или персональными данными.
В таком случае IRM для корпоративной почты и ActiveSync позволяет контролировать, что происходит с письмом даже после его получения.
Расследуйте инциденты со Staffcop
Выявляйте и расследуйте утечки, мошенничество и другие инциденты, происходящие по вине сотрудников.
Дополнительные инструменты защиты, например Devicelock
В крупных инфраструктурах возможности стандартных инструментов Exchange могут дополняться специализированными решениями безопасности.
Например, системы класса Devicelock позволяют усилить контроль доступа и блокировку утечек через ActiveSync. Они могут:
- анализировать почтовый трафик;
- контролировать передачу вложений;
- отслеживать подозрительные действия пользователей.
Такие решения используются как дополнительный уровень защиты, когда компания работает с конфиденциальной информацией и требования к безопасности выше стандартных.
Защита мобильной почты: практические рекомендации
На практике защита мобильной почты редко строится с помощью одного инструмента. Безопасность обеспечивается комбинацией нескольких технологий, каждая из которых решает свою задачу.
Базовая настройка безопасного доступа через ActiveSync
Первый уровень защиты — правильная настройка ActiveSync и политик безопасности Exchange.
Минимальный набор мер обычно включает:
- обязательный пароль или PIN-код на устройстве;
- автоматическую блокировку устройства;
- ограничение количества попыток ввода пароля;
- шифрование данных для Exchange ActiveSync;
- возможность удаленной очистки устройства.
Такая базовая конфигурация уже снижает риск утечек при потере смартфона или несанкционированном доступе.
Защита мобильного Outlook и других почтовых клиентов
Важно учитывать, что сотрудники используют разные почтовые приложения: мобильный Outlook, встроенные клиенты iOS или Android и сторонние приложения.
Поэтому политика безопасности должна учитывать несколько факторов:
- какие приложения разрешено использовать;
- поддерживают ли они политики ActiveSync;
- можно ли контролировать хранение вложений.
В некоторых организациях разрешают доступ только через мобильный Outlook, поскольку он лучше интегрируется с механизмами безопасности Microsoft.
Многоуровневая модель защиты корпоративной почты
Наиболее эффективный подход — многоуровневая защита мобильной почты.
Она объединяет несколько технологий:
| Уровень | Что обеспечивает |
|---|---|
|
Политики безопасности Exchange ActiveSync |
базовые требования к устройствам |
|
MDM |
контроль мобильных устройств |
|
DLP |
предотвращение утечек данных |
|
IRM |
защита содержимого писем |
|
Контроль доступа |
ограничение небезопасных устройств |
Такой подход позволяет одновременно решить несколько задач:
- контролировать мобильные устройства сотрудников;
- защитить корпоративную почту и вложения;
- снизить риск утечек.
На практике именно комбинация ActiveSync, MDM и DLP позволяет построить устойчивую систему защиты мобильного доступа к корпоративной почте.
Информационная безопасность бизнеса
Контур.Эгида — сервисы информационной безопасности: уменьшение рисков внутренних угроз и утечек конфиденциальных данных, предотвращение атак злоумышленников.