Журнал "Information Security/ Информационная безопасность" #2, 2025

защитным решениям необходимо про- сканировать в сжатые сроки. Нередко это происходит в режиме "теневой копии", когда сканирование заверша- ется, и утечка обнаруживается уже после того, как она случилась, а ущерб уже причинен; l во-вторых, DLP-решения не всегда могут расшифровать "на лету" весь тра- фик из браузера, и если утечка про- исходит по такому каналу, то она скроет- ся от ИБ-специалистов; l в-третьих, далеко не все DLP-продукты представлены на всех распространенных ОС, а на мобильных платформах их вообще нет в силу архитектурных осо- бенностей таких ОС. Между тем, по данным нашего недавнего исследования, личные мобильные устройства в рабочее время используют около 70% россиян. При этом браузер, если в нем есть возможность сделать соответствующие настройки, способен решить все три проблемы. Если браузер поддерживает интегра- цию с внешними DLP-системами и поз- воляет ограничить на списке "защищае- мых" веб-ресурсов такую функциональ- ность, как, например, запись экрана, копирование в буфер обмена, сохране- ние веб-страниц в файловую систему устройства, загрузку данных на опреде- ленные URL и т.п., то DLP-систему можно разгрузить, отправляя в нее только те данные, которые считаются защищае- мыми, – чтобы она сканировала не весь трафик, а только его "защищаемую" часть. Вдобавок можно компенсировать отсутствие DLP-клиента для менее рас- пространенных настольных или всех мобильных платформ: браузер может взять эту роль на себя. Например, мобильный Яндекс Браузер для органи- заций может быть использован именно так. Но даже если у браузера нет продви- нутых функций, его все равно можно использовать в качестве дополнительной защиты от утечки. В некоторых совре- менных браузерах на базе Chromium есть политики, позволяющие ограничить доступ к аудио- и видеопотокам для сайтов, которые используют WebRTC, например недоверенные системы ВКС. Настройка этих политик позволяет обес- печить некоторую степень защиты от утечки. Если браузер может работать с SIEM, то события безопасности, связанные со срабатыванием DLP-политик, помогут службе ИБ распознать утечку еще до того как она произошла и принять соот- ветствующие меры. Управление доступом По-настоящему контролируемый и безопасный браузер – единый браузер. То есть такой, у которого в ИТ-инфра- структуре организации нет альтерна- тив. Это условная формула, соблюде- ние которой наделяет смыслом любое рассуждение о том, как превратить браузер из проблемы безопасности в ее инструмент. Если настройки инфра- структуры организации разрешают доступ к критически важным системам из неконтролируемых браузеров, то все риски, связанные с использованием этого ПО, сохраняются в полном объе- ме. Причина понятна – сохраняется вероятность того, что сотрудники слу- чайно или намеренно смогут обойти действующие в организации политики защиты информации. Поэтому важно настроить доступ к внутренним корпо- ративным ресурсам так, чтобы он был возможен только из того браузера, который контролируется ИТ- и ИБ- службами. Для этого требуется два действия: l настроить браузер так, чтобы он добавлял в запросы к внутренним сер- висам уникальную идентифицирующую информацию; l настроить ИТ-инфраструктуру орга- низации так, чтобы она отвечала на запросы только тех браузеров, у которых имеется идентифицирующая информа- ция в запросах. Эти действия позволят отсечь воз- можность подключения к корпоративным ресурсам из недоверенных браузеров и снизить риск утечки или кибератаки. Когда браузер в организации один (и он позволяет делать соответствующие настройки), доступ к внутренним ресур- сам можно дополнительно гранулиро- вать. Например, выделить перечень внут- ренних ресурсов, доступ к которым есть только у сотрудников определенных отделов. Если браузер поддерживает DLP-функциональность, то и ее можно кастомизировать под потребности кон- кретного отдела или сотрудника – то есть определить, кто к какой информа- ции может иметь доступ и что с ней может делать. Комплаенс устройств браузером Браузер способен собирать инфор- мацию об окружении, в котором он работает, и это тоже может стать усло- вием для предоставления или непредо- ставления доступа – что особенно важно, поскольку множество организа- ций (например, в ретейле и банковской сфере) имеют разветвленную сеть филиалов, большое количество линей- ного персонала, подрядчиков и удален- ных сотрудников, значительное количе- ство которых не всегда подключается к корпоративным системам с устройств, проверенных корпоративной ИБ-служ- бой. В этой ситуации браузер может стать своего рода сенсором, помогающим установить соответствие уровня без- опасности конкретного устройства нор- мам кибергигиены и корпоративным политикам. Используется ли на нем антивирус, обновлен ли он, установлены ли последние обновления безопасности ОС, есть ли защита диска шифрованием, установлено ли какое-либо запрещенное ПО (например, средства для удаленного администрирования), используется ли наиболее свежая версия браузера и не нарушена ли целостность его кода – на эти вопросы может ответить браузер, и на основе этих данных может быть либо предоставлен доступ к критическим ресурсам, либо нет. Важно, чтобы используемый в орга- низации браузер сохранял свою функ- циональность и возможность изменения конфигураций даже в тех сегментах, где подключение к Интернету ограниче- но или отсутствует вовсе. Такие сег- менты часто считаются более защи- щенными ввиду затрудненного доступа извне, однако на самом деле риски безопасности, связанные с необнов- ленным ПО, управлением доступом и утечками данных сохраняются и тре- буют внимания. Для такой функциональности необхо- димо, чтобы инструменты конфигурации браузера могли быть развернуты в фор- мате on-premise. Недавно мы реализо- вали это для Консоли управления Яндекс Браузера для организаций. Иными словами, при наличии необхо- димых настроек, браузер способен обес- печить доступ к важным внутренним корпоративным ресурсам только из дове- ренного окружения и существенно сни- зить таким образом риск компрометации данных. Безопасный контур для важных данных Миграция бизнес-приложений в веб- формат не только упрощает и удешев- ляет развертывание ИТ-инфраструктур (особенно в организациях с филиала- ми), но и приносит свои риски инфор- мационной безопасности. Один из них заключается в том, что периметр, в котором хранятся и обрабатываются корпоративные данные, размывается и гранулируется. В связи с этим клас- сическая модель информационной без- опасности, основанная на четком опре- делении границ защищаемого пери- метра, начинает работать не так опти- мально, как прежде. В этой ситуации браузер становится инструментом, потенциально способ- ным обеспечить безопасный доступ к данным и их обработке, где бы они ни хранились. Однако это реально лишь в случае, когда у ИТ- и ИБ- служб есть развитые возможности конфигурировать браузер и контро- лировать обработку информации в нем. Именно на этот фактор органи- зациям следует в первую очередь обращать внимание при выборе кор- поративного браузера. l • 21 Управление конфигУрациями www.itsec.ru Ваше мнение и вопросы присылайте по адресу is@groteck.ru На правках рекламы