Журнал "Information Security/ Информационная безопасность" #5, 2025

Защита от обхода политик безопасности Никакая политика или настройка безопасности не имеет смысл, если ее можно обойти. Поэтому мы внед- рили в Браузер функцию, которая (при правильной настройке корпора- тивной сети) сделает Яндекс Браузер для организаций единственным воз- можным браузером, имеющим доступ к корпоративным ресурсам. Эта настройка – основа всей нашей кон- цепции, поскольку исключает доступ из альтернативного браузера. Отправка событий в SIEM Браузер умеет передавать значимые для информационной безопасности организации события в системы управ- ления событиями безопасности. Пере- чень передаваемых событий включает в себя почти все возможные действия с браузером: переходы на страницы, установку расширений, попытки загрузки вредоносных файлов, работу в небезопасном окружении, попытки несанкционированного копирования защищаемых сведений и т. д. С функ- цией отправки событий в каждый момент времени ИБ-команда имеет детальные сведения о том, браузеры каких сотрудников подключены к кор- поративной сети и что они там делают. Проверка безопасности окружения Браузер умеет проверять безопас- ность устройства, на котором он запу- щен: установлены ли исправления без- опасности ОС, установлен ли антивирус, не подвергалось ли устройство про- цедурам Jailbreak или Root. На основе этой информации ИТ-администратор может строить сценарии взаимодей- ствия Браузера с корпоративной сетью: например, запретить или ограничить недостаточно безопасным устройствам доступ в нее. Защита от утечки Перечень настроек Браузера пред- отвращают утечку данных через скрин- шоты, буфер обмена, отправку на печать, загрузку на внешние устройства, предоставление доступа к экрану, каме- ре и микрофону устройства. Все это можно запретить или ограничить. Цифровые водяные знаки На случаи, когда утечка может слу- читься через запись экрана девайса с помощью внешнего устройства (например, камеры другого смартфо- на), технология цифровых водяных знаков разместит поверх изображения в окне браузера специальные QR- коды, которые нельзя удалить и кото- рые позволят сотрудникам службы ИБ быстро выяснить, с устройства какого сотрудника сделана запись в случае, если она попадет в открытый доступ. Защищенное хранилище С помощью этой функции ИТ-админи- стратор может ограничить перечень устройств, на которых корпоративные файлы можно открыть в читаемом и редактируемом виде. При включенной функции такие файлы будут открываться только в Яндекс Браузере для органи- заций и только на тех устройствах, на которых это разрешил администратор. Пересылать файлы, сохранять их на внешних устройствах и накопителях бес- полезно – надежное шифрование не позволит их прочитать. Пароль В Браузере можно установить пароль. Это защитит информацию, открытую в нем, от посторонних глаз в случае, если сотрудник отлучился от устройства или потерял его. Это дополнительный слой в защите корпоративных данных, так как далеко не все сотрудники исполь- зуют пароль или биометрию для блоки- ровки устройств. Если речь идет о лич- ном девайсе, у ИБ-службы не так много возможностей внедрить эту меру защи- ты. При этом в Браузере ее можно сде- лать обязательной с помощью соответ- ствующей политики. Инструмент управления Браузер работает в связке с Консолью администратора – веб-инструментом, который позволяет управлять корпора- тивным парком браузеров. В нем можно интегрировать Браузеры в существую- щую корпоративную оргструктуру или создать новую, настраивать политики безопасности, а кроме того привязать каждый Браузер к сотруднику, который им пользуется. В результате ИТ-адми- нистратор всегда может знать, какие устройства, подключенные к корпора- тивной сети, какому сотруднику принад- лежат и какие права доступа у него есть. Как это работает вместе Помимо перечисленных функций в Браузере есть возможности кастоми- зации, позволяющие собрать на одной странице панель быстрого доступа ко всем необходимым сотруднику бизнес- приложениям, которые откроются и будут работать в пределах браузерной вкладки. Все вместе это может работать следующим образом: сотрудник уста- навливает на свое устройство мобильный Яндекс Браузер для орга- низаций, авторизуется под своей кор- поративной учетной записью и попадает на стартовую страницу, на которой уже есть быстрый доступ в почту, календарь, облач- ное хранилище и другие необходимые для рабо- ты сервисы. Если его устройство соответству- ет принятым в органи- зации политикам безопасности, его возможности остаются такими, какие должны быть у его роли в корпора- тивной оргструктуре. Если проверка безопасности выявляет несоответ- ствие, доступ к некоторым ресурсам может быть заблокирован до устра- нения проблем. Любые веб-страницы (включая стра- ницы внутренних корпоративных сер- висов), помеченные как защищаемые, открываются в его копии браузера с внедренными цифровыми знаками, а функции, позволяющие скопировать информацию за пределы Браузера, отключены. Он может скачивать, про- сматривать и редактировать в Браузе- ре корпоративные файлы, но если они получены с ресурсов, которые ИТ- администратор пометил как защищае- мые, сотрудник не сможет сохранить файлы в читаемом виде в личной части своего устройства. Пересылка таких файлов на другое устройство или внешний ресурс утратит смысл, поскольку информация в файлах зашифрована. Все значимые с точки зрения безопасности события, про- исходящие в Браузере сотрудника, транслируются в SIEM, гарантируя службе ИБ детальную оперативную осведомленность, а администратор всегда в курсе, с каких устройств под- ключается сотрудник и с каким уровнем доступа. При этом сотруднику не нужно ставить никаких дополнительных сертификатов безопасности и отдельных приложений. Он может продолжать пользоваться своим устройством в личных целях без опасений, что конфиденциальность его личных данных нарушена, ведь все, что происходит за пределами Браузера для организаций, остается невидимым для работодателя. В результате с помощью Яндекс Браузера для организаций можно соз- дать своеобразный контур безопас- ности вокруг конфиденциальных кор- поративных сведений, то есть реали- зовать ту же самую функциональ- ность, которую предлагают MAM- решения. Конечно, это справедливо только для ИТ-инфраструктур, где все ключевые бизнес-приложения существуют в веб- формате, но, как мы видим из нашего опыта общения с клиентами, таких орга- низаций немало. Для них Яндекс Браузер для организаций или другой браузер с похожей функциональностью может стать простой в управлении и, скорее всего, более выгодной альтернативой MAM-решению или корпоративному супер-аппу. l • 47 ЗАЩИТА МОБИЛЬНЫХ УСТРОЙСТВ www.itsec.ru АДРЕСА И ТЕЛЕФОНЫ ЯНДЕКС см. стр. 74 NM Реклама