Журнал "Information Security/ Информационная безопасность" #1, 2021

Во-первых, в соответствии с курсом на импортозамещение в нашей стране приняты небывалые меры поддержки отечественных технологий, набор кото- рых пока еще не столь разнообразен, как в отчете Gartner. Во-вторых, для крупных отечественных заказчиков собственная информационная инфраструктура является более приемле- мым решением, чем публичные облака и сервисы, а использование корпоративных устройств является более популярным, чем концепция использования личных устройств BYOD 4 /BYOPC 5 . Практические советы по защите мобильных рабочих мест Когда речь идет о корпоративных устройствах на базе Windows, то обычно они получают политики безопасности и необходимое программное обеспечение из корпоративного домена и других доверенных источников. Если же устрой- ства перемещаются из офиса домой, то перед тем как давать им доступ к корпо- ративным ресурсам, следует осуще- ствить проверку и убедиться, что на устройствах активен антивирус, его база актуальна, операционная система свое- временно обновлена и т.д. Эту задачу успешно решают системы UEM. Еще одна типовая задача для UEM на Windows – это распространение политик безопасности и приложений на личные устройства, которые не подключены к корпоративному домену. Объективно у пользователя есть всего два варианта подключения к корпоративной инфра- структуре с личного устройства: l первый – принять те ограничения, которые предлагает работодатель; l второй – использовать аппаратный тонкий клиент с собственной операцион- ной системой, исключающий личное использование устройства во время доступа к корпоративным данным. Ноутбуки и персональные компьютеры бывают не только на Windows. Многие руководители и айтишники предпочитают технику Apple, которую корректно под- ключить к Windows-домену сможет не каждый администратор. В этом случае также помогут UEM системы. Все устрой- ства Apple, начиная с ноутбуков и закан- чивая часами и ТВ-приставками, управ- ляются с помощью единого протокола. Это не только упрощает их эксплуатацию, но и означает, что унификация безопас- ности различных устройств Apple заложе- на by design. iPhone, iPad, iMac и MacBook примут одни и те же политики безопасно- сти и будут их применять одинаково. Защита смартфонов и планшетов имеет свою специфику. В мобильных опера- ционных системах (ОС) не бывает внеш- них средств доверенной загрузки, аппа- ратных тонких клиентов или токенов для аутентификации. В них нельзя установить приложение-криптопровайдер, которое позволит встроенному почтовому клиенту и браузеру шифровать данные отече- ственной криптографией. Возможен ли в этом случае удаленный доступ в соответ- ствии с требованиями регуляторов? Да, возможен, при условии установки на мобильные рабочие места базового набора средств защиты – VPN, антиви- руса, UEM. VPN-решение защищает канал пере- дачи данных между мобильным устрой- ством и корпоративной инфраструкту- рой. При наличии VPN нет необходимо- сти заниматься защитой канала переда- чи данных в каждом из приложений, которые получают доступ к данным вашей компании, – браузере, почтовом клиенте и т.д. Антивирус нужен для проверки файлов и приложений на мобильном устройстве. Вредоносные файлы не могут нанести мобильным ОС большой ущерб, потому что каждое приложение в этих ОС рабо- тает в изолированной "песочнице". Поэтому если malware пробрался, ска- жем, в браузер, он не сможет получить из него доступ к данным почты. Но мобильное устройство без антивируса может стать каналом передачи malware в инфраструктуру компании, поэтому антивирус нужен. UEM-системы в мобильности являются скорее инструментом ИТ-служб, чем служб ИБ, но без них нельзя построить эффективную систему защиты мобиль- ных устройств. UEM-системы позволяют: 1. Защитить данные от несанкциони- рованного доступа, если мобильное устройство потеряли или украли. В этом случае устройство нужно или блокиро- вать, или стирать с него данные. Причем делать это необходимо не только уда- ленно по команде администратора, но и локально на устройстве при обнаружении первых признаков того, что оно нахо- дится в руках у злоумышленника, напри- мер при извлечении СИМ-карты. 2. Настраивать политики безопасно- сти – требования к паролям, настройки доступа к интерфейсам записи и пере- дачи данных, запрет резервного копи- рования, перепрошивки устройств и т.д. 3. Централизованно устанавливать, обновлять и настраивать мобильные приложения. С точки зрения ИБ UEM является средством доверенного рас- пространения ПО, а с точки зрения ИТ – профилактикой головной боли от нали- чия неактуальных версий приложений и необходимости напоминать пользова- телям их самостоятельно обновлять. 4. Регистрировать события безопасно- сти. В первую очередь нужно оперативно регистрировать признаки программного взлома мобильных устройств (jailbreak, root). В этом случае необходимо отклю- чить доступ мобильного устройства к корпоративной сети и удалить с него все корпоративные данные, потому что взлом устройства делает возможным несанк- ционированный доступ к данным внутри "песочниц" корпоративных приложений. Выводы Всеобщая дистанционная работа, необходимость которой была вызвана пандемией в 2020 г., изменила пред- ставления о защите мобильных рабочих мест. Рабочие места отныне не всегда находятся только внутри доверенного периметра организации. Любое устрой- ство может быть рабочим местом сотруд- ника, будь то смартфон, планшет, ноутбук или десктоп. Компании, которые пытаются это игнорировать, заведомо проигрывают своим конкурентам. Удаленный доступ с любого устройства из любого места требует перестройки про- цессов ИБ в компании. Необходимо учи- тывать тот факт, что пользователь рабо- тает в недоверенном окружении. Нужно обеспечить эффективную защиту удален- ного доступа с мобильных устройств, при- меняя комплекс средств для защиты кана- ла передачи данных (VPN) и защиты дан- ных на мобильных устройствах от несанк- ционированного доступа, включая анти- вирусную защиту (UEM, MTD). l • 29 КОНТРОЛЬ ДОСТУПА www.itsec.ru Доверенная платформа управления со встроенной библиотекой Kaspersky Mobile Security SDK Предназначена для организации безопасного жизненного цикла мобильных устройств в соответствии с требованиями нормативных документов Российской Федерации в области информационной безопасности. SafePhone MTD Edition – единственное решение, сертифицированное одновременно как средство защиты информации на мобильных устройствах от несанкционированного доступа и как средство антивирусной защиты. Сертификат ФСТЭК № 4157 от 03.09.2020 АДРЕСА И ТЕЛЕФОНЫ НИИ СОКБ см. стр. 48 NM Реклама 4 BYOD – Bring Your Own Device, концепция использования личных устройств для работы. 5 BYOPC – Bring Your Own PC, концепция использования личных ПК для работы.