Рабочим местом в современной компании может быть любое смарт-устройство, которое находится в руках у пользователя. В идеале сотрудники должны иметь возможность работать откуда угодно и с тех устройств, которые им удобны. Однако вполне реальные киберриски не дадут реализовать такой идеальный сценарий дистанционной работы без использования технологий защиты.
В этой статье мы рассмотрим основные тренды развития технологий, предназначенных для дистанционной работы, и предложим практические рекомендации для защиты удаленных рабочих мест.
Уже более 20 лет Gartner дает оценку перспектив развивающихся информационных технологий в форме так называемых циклов хайпа. В цикле хайпа каждая технология в зависимости от своей зрелости и востребованности относится к одному из следующих этапов:
Прогноз Gartner цикла хайпа информационных технологий защиты удаленных рабочих мест (Endpoint Protection) основан на следующих основных постулатах:
На рис. 1 точками обозначены различные технологии. Цвет точки означает прогноз срока достижения плато продуктивности:
Большинство общемировых трендов актуальны в России, но есть и национальные особенности.
Доверенная платформа управления со встроенной библиотекой Kaspersky Mobile Security SDK
Предназначена для организации безопасного жизненного цикла мобильных устройств в соответствии с требованиями нормативных документов Российской Федерации в области информационной безопасности.
SafePhone MTD Edition – единственное решение, сертифицированное одновременно как средство защиты информации на мобильных устройствах от несанкционированного доступа и как средство антивирусной защиты. Сертификат ФСТЭК No 4157 от 03.09.2020
Во-первых, в соответствии с курсом на импортозамещение в нашей стране приняты небывалые меры поддержки отечественных технологий, набор которых пока еще не столь разнообразен, как в отчете Gartner.
Во-вторых, для крупных отечественных заказчиков собственная информационная инфраструктура является более приемлемым решением, чем публичные облака и сервисы, а использование корпоративных устройств является более популярным, чем концепция использования личных устройств BYOD4/BYOPC5.
Когда речь идет о корпоративных устройствах на базе Windows, то обычно они получают политики безопасности и необходимое программное обеспечение из корпоративного домена и других доверенных источников. Если же устройства перемещаются из офиса домой, то перед тем как давать им доступ к корпоративным ресурсам, следует осуществить проверку и убедиться, что на устройствах активен антивирус, его база актуальна, операционная система своевременно обновлена и т.д. Эту задачу успешно решают системы UEM.
Еще одна типовая задача для UEM на Windows – это распространение политик безопасности и приложений на личные устройства, которые не подключены к корпоративному домену. Объективно у пользователя есть всего два варианта подключения к корпоративной инфраструктуре с личного устройства:
Ноутбуки и персональные компьютеры бывают не только на Windows. Многие руководители и айтишники предпочитают технику Apple, которую корректно подключить к Windows-домену сможет не каждый администратор. В этом случае также помогут UEM системы. Все устройства Apple, начиная с ноутбуков и заканчивая часами и ТВ-приставками, управляются с помощью единого протокола. Это не только упрощает их эксплуатацию, но и означает, что унификация безопасности различных устройств Apple заложена by design. iPhone, iPad, iMac и MacBook примут одни и те же политики безопасности и будут их применять одинаково.
Защита смартфонов и планшетов имеет свою специфику. В мобильных операционных системах (ОС) не бывает внешних средств доверенной загрузки, аппаратных тонких клиентов или токенов для аутентификации. В них нельзя установить приложение-криптопровайдер, которое позволит встроенному почтовому клиенту и браузеру шифровать данные отечественной криптографией. Возможен ли в этом случае удаленный доступ в соответствии с требованиями регуляторов?
Да, возможен, при условии установки на мобильные рабочие места базового набора средств защиты – VPN, антивируса, UEM.
VPN-решение защищает канал передачи данных между мобильным устройством и корпоративной инфраструктурой. При наличии VPN нет необходимости заниматься защитой канала передачи данных в каждом из приложений, которые получают доступ к данным вашей компании, – браузере, почтовом клиенте и т.д.
Антивирус нужен для проверки файлов и приложений на мобильном устройстве. Вредоносные файлы не могут нанести мобильным ОС большой ущерб, потому что каждое приложение в этих ОС работает в изолированной "песочнице". Поэтому если malware пробрался, скажем, в браузер, он не сможет получить из него доступ к данным почты. Но мобильное устройство без антивируса может стать каналом передачи malware в инфраструктуру компании, поэтому антивирус нужен.
UEM-системы в мобильности являются скорее инструментом ИТ-служб, чем служб ИБ, но без них нельзя построить эффективную систему защиты мобильных устройств. UEM-системы позволяют:
Всеобщая дистанционная работа, необходимость которой была вызвана пандемией в 2020 г., изменила представления о защите мобильных рабочих мест. Рабочие места отныне не всегда находятся только внутри доверенного периметра организации. Любое устройство может быть рабочим местом сотрудника, будь то смартфон, планшет, ноутбук или десктоп. Компании, которые пытаются это игнорировать, заведомо проигрывают своим конкурентам.
Удаленный доступ с любого устройства из любого места требует перестройки процессов ИБ в компании. Необходимо учитывать тот факт, что пользователь работает в недоверенном окружении. Нужно обеспечить эффективную защиту удаленного доступа с мобильных устройств, применяя комплекс средств для защиты канала передачи данных (VPN) и защиты данных на мобильных устройствах от несанкционированного доступа, включая антивирусную защиту (UEM, MTD).