Контакты
Подписка 2024

Три проблемы, порождаемые подключенными приложениями

Сергей Меньшаков, 26/01/21

По данным отчета McAfee «Cloud Adoption and Risk», современное предприятие в среднем использует 1950 облачных сервисов, из которых менее 10% учитывают потребности корпораций. Чтобы исключить хищение данных, а средний ущерб от каждой такой утечки в США составляет $7,9 млн, компаниям необходимо взять под контроль несанкционированную эксплуатацию облаков.

Звучит знакомо, не так ли?

Автор: Сергей Меньшаков, инженер-пресейл направления McAfee

Причина в том, что все уже не понаслышке знакомы с проблемами, связанными с «теневыми ИТ». А сегодня не менее серьезные риски для безопасности представляют подключенные приложения.

Что такое подключенные приложения?

Платформы для совместной работы, например, Office 365, позволяют рабочим подразделениям и конечным пользователям устанавливать и подключать приложения сторонних разработчиков, а также разрабатывать собственные программы для решения имеющихся задач. Например, компания Microsoft продвигает магазин Microsoft Store с десятками тысяч приложений, которые пользователи могут установить в корпоративной среде Office 365. Эти приложения дополняют и расширяют функции Microsoft Office и улучшают продуктивность работы пользователя.

В качестве примера можно привести WebEx для организации встреч из Outlook или программное дополнение Survey Monkey для проведения опросов в Microsoft Teams. Во время установки эти приложения часто запрашивают у пользователя доступ к ресурсам. Это могут быть данные, которые хранятся в приложении (например, SharePoint), информация из календаря или письма из почтового ящика. Предоставление сторонним приложениям доступа к облачным сервисам создает для компании три проблемы.

Проблема №1. Риски отправки данных третьим лицам через приложения

Что если приложение небезопасно само по себе? Например, приложения для конвертации в документов в формат PDF запрашивают доступ ко всем ресурсам, в результате корпоративные данные перемещаются из облачного приложения компании в потенциально небезопасные приложения.

Но даже если приложения надежно защищены, они могут обращаться к таким облачным ресурсам, как почта, облачный диск, календарь, в которых содержится корпоративная информацию. Например, приложение Evernote для Outlook используется для хранения данных электронной почты. Само по себе это приложение безопасно, но компания не может позволить сотрудникам работать с ним, ведь это создает предпосылки для утечки корпоративных данных.

Проблема №2. Невозможность контроля имеющимися средствами

Подключенные приложения обмениваются данными с разрешенными облачными сервисами напрямую, и на эти подключения не распространяется действие имеющихся сетевых политик и средств контроля. Например, чтобы исключить несанкционированную пересылку файлов, компания может внедрить защиту на уровне веб-шлюза или брандмауэра. Но это не помешает сотрудникам скачать приложение из магазина и обойти эти меры безопасности. Даже политики предотвращения потери данных (DLP) на базе API не способны блокировать отправку сведений в подключенные приложения. Это значит, что организациям следует проявлять большую осмотрительность и эффективнее контролировать использование таких программ сотрудниками.

Проблема №3. Совместная/коллективная ответственность

Модель совместной ответственности применима и к подключенным приложениям. Облачные сервисы, например, Google и Microsoft, предоставляют заказчикам возможность размещать приложения в своих магазинах, но с условием, что компании будут нести ответственность за данные и действия пользователей, а также за использование таких подключенных приложений в рамках политик безопасности и нормативного соответствия.

Что в итоге?

Каждый день разрабатываются новые приложения, которые помогают сотрудникам повышать продуктивность и делать проще сложные операции. Сотрудники используют DropBox для отправки больших файлов или онлайн-редактор PDF для внесения срочных правок. Хотя эти приложения и приносят пользу, однако обостряется проблема «теневых ИТ»: специалисты по информационной безопасности могут лишь догадываться, какими облачными сервисами пользуются их коллеги, и какую опасность представляют эти приложения. Ввиду отсутствия прозрачности, ИБ-подразделению очень трудно управлять затратами и рисками, связанными с облаком.

Темы:Облачные технологииMcAfee

Отечественные ИT-платформы
и ПО для объектов КИИ:
готовность к 1 января 2025
Конференция | 24 июля 2024

Жми для участия
Обзоры. Спец.проекты. Исследования
Участвуйте в обзорах / исследованиях проекта "Информационная безопасность"!
Станьте автором журнала!
Статьи по той же темеСтатьи по той же теме

Хотите участвовать?

Выберите вариант!

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
Кибербезопасность
30 июля. Кибербезопасность предприятия: защита от современных угроз
Участвуйте!

More...
Обзоры. Исследования. Спец.проекты
Обзоры и исследования проекта "Информационная безопасность"
Жми, чтобы участвовать

More...