Вчера было нельзя, а сегодня нужно: как начать работать удаленно и не стать причиной утечки?

    В одночасье удаленная работа стала востребованным и нужным форматом. Все из-за COVID-19. Новые меры по предотвращению заражения появляются каждый день. В офисах измеряют температуру, а некоторые компании, в том числе крупные, переводят работников на удаленку, чтобы сократить потери от простоя и больничных. И в этом смысле IT-сектор с его опытом работы распределенных команд в выигрыше.

    Мы в НИИ СОКБ не первый год занимаемся организацией удаленного доступа к корпоративным данным с мобильных устройств и знаем, что удаленная работа — вопрос непростой. Под катом мы расскажем, как наши решения помогают безопасно управлять мобильными устройствами сотрудников и почему это важно для удаленной работы.


    Что нужно сотруднику, чтобы работать удаленно?


    Типовой набор сервисов, к которым нужно обеспечить удаленный доступ для полноценной работы, — это сервисы коммуникаций (электронная почта, мессенджер), веб-ресурсы (разнообразные порталы, например, service desk или система управления проектами) и файлы (системы электронного документооборота, контроля версий и т. п.).

    Нельзя надеяться, что угрозы безопасности будут ждать, пока мы закончим бороться с коронавирусом. При удаленной работе есть свои правила безопасности, которые надо соблюдать даже во время пандемии.

    Важную для бизнеса информацию нельзя просто отправлять на личный email сотрудника, чтобы тот спокойно читал и обрабатывал ее на личном смартфоне. Смартфон можно потерять, на него можно установить приложения, ворующие информацию, в него, в конце концов, могут играть дети, которые сидят дома все из-за того же вируса. Так что чем важнее данные, с которыми работает сотрудник, тем лучше их надо защищать. И защита мобильных устройств должна быть не хуже, чем стационарных.

    Почему антивируса и VPN недостаточно?


    Для стационарных рабочих мест и ноутбуков под управлением ОС Windows установка антивируса — мера оправданная и необходимая. А вот для мобильных устройств — далеко не всегда.

    Архитектура устройств Apple препятствует информационному взаимодействию между приложениями. Это ограничивает возможный масштаб последствий зараженного ПО: если используется уязвимость почтового клиента, то действия не могут выйти за рамки этого почтового клиента. Одновременно такая политика снижает эффективность работы антивирусов. Автоматом проверить файл, пришедший по почте, уже не получится.

    На платформе Android как у вирусов, так и у антивирусов больше перспектив. Но все равно встает вопрос целесообразности. Для установки вредоносного ПО из магазина приложений придется вручную дать много разрешений. Права доступа злоумышленники получают только у тех пользователей, которые разрешают приложениям все подряд. На практике достаточно запретить пользователям установку приложений из неизвестных источников, чтобы «таблетки» к бесплатно установленным платным приложениям не стали «лечить» корпоративные секреты от конфиденциальности. Но эта мера выходит за рамки функций антивируса и VPN.

    Кроме того, VPN и антивирус не смогут проконтролировать, как ведет себя пользователь. Логика подсказывает, что на пользовательском устройстве должен быть установлен как минимум пароль (в качестве защиты от утери). Но наличие пароля и его надежность зависят только от сознательности пользователя, повлиять на которую компания никак не может.

    Конечно, существуют административные методы. Например, внутренние документы, согласно которым сотрудники будут нести персональную ответственность за отсутствие паролей на устройствах, установку приложений из недоверенных источников и т. п. Можно даже заставить всех сотрудников перед выходом на удаленную работу подписать измененную должностную инструкцию, содержащую эти пункты. Но давайте смотреть правде в глаза: проверить, как эта инструкция исполняется на практике, компания не сможет. Она будет занята экстренной перестройкой основных процессов, в то время как сотрудники, несмотря на внедренные политики, будут копировать конфиденциальные документы на личный Google Диск и открывать к ним доступ по ссылке, потому что так удобнее совместно работать над документом.

    Поэтому внезапная удаленная работа офиса — проверка на устойчивость компании.



    Управление корпоративной мобильностью


    С точки зрения информационной безопасности, мобильные устройства — это угроза и потенциальная  брешь в системе защиты. Закрыть эту брешь призваны решения класса EMM (enterprise mobility management). 

    Управление корпоративной мобильностью (EMM) включает в себя функции управления устройствами (MDM, mobile device management), их приложениями (MAM, mobile application management) и контентом (MCM, mobile content management).

    MDM — это необходимый «кнут». С помощью функций MDM администратор может сбросить или заблокировать устройство, если его потеряли, настроить политики безопасности: наличие и сложность пароля, запрет функций отладки, установки приложений из apk и т. п. Эти базовые возможности поддерживаются на мобильных устройствах всех производителей и платформ. Более тонкие настройки, например, запрет установки кастомных рекавери, доступны только на устройствах отдельных производителей.

    MAM и MCM — это «пряник» в виде приложений и сервисов, к которым они дают доступ. Обеспечив достаточный уровень безопасности MDM, можно предоставить защищенный удаленный доступ к корпоративным ресурсам с помощью установленных на мобильных устройствах приложений.

    На первый взгляд кажется, что управление приложениями — это чисто айтишная задача, которая сводится к элементарным операциям вида «установить приложение, настроить приложение, обновить приложение на новую версию или откатить его на предыдущую». На самом деле и здесь не обходится без безопасности. Нужно не просто установить и настроить на устройствах нужные для работы приложения, но и защитить корпоративные данные от загрузки в личный Dropbox или Яндекс.Диск.



    Чтобы разделить корпоративное и личное, современные EMM-системы предлагают создать на устройстве контейнер для корпоративных приложений и их данных. Пользователь не может несанкционированно вынести данные из контейнера, поэтому у службы безопасности нет необходимости запрещать «личное» использование мобильного устройства. Бизнесу это, наоборот, выгодно. Чем больше пользователь разбирается в своем устройстве, тем более эффективно он будет использовать рабочие инструменты.

    Вернемся к айтишным задачам. Есть две задачи, которые нельзя решить без EMM: откат версии приложения и его удаленная настройка. Откат нужен тогда, когда новая версия приложения не устраивает пользователей — в ней есть серьезные ошибки или она просто неудобна. В случае с приложениями в Google Play и App Store откат невозможен — в магазине всегда доступна только последняя версия приложения. При активной внутрикорпоративной разработке версии могут выходить чуть ли не каждый день, и не все из них оказываются стабильными.

    Удаленную настройку приложений можно реализовать и без EMM. Например, делать разные сборки приложения для разных адресов серверов или сохранять файл с настройками в общедоступной памяти телефона, чтобы потом менять его вручную. Все это встречается, но это вряд ли можно назвать лучшими практиками. В свою очередь, Apple и Google предлагают стандартизованные подходы к решению этой задачи. Разработчику достаточно единожды встроить нужный механизм, и приложение сможет настроить любой EMM.

    Мы купили зоопарк!


    Не все сценарии использования мобильных устройств одинаково полезны. У разных категорий пользователей разные задачи, и решать их нужно по-своему. Разработчику и финансисту нужны специфические наборы приложений и, возможно, наборы политик безопасности из-за разной конфиденциальности данных, с которыми они работают.

    Не всегда удается ограничить число моделей и производителей мобильных устройств. С одной стороны, оказывается дешевле сделать корпоративный стандарт мобильных устройств, чем разбираться в отличиях между Android разных производителей и особенностях отображения мобильного UI на экранах различных диагоналей. С другой стороны, закупка корпоративных устройств в условиях пандемии усложняется, и компаниям приходится допускать использование личных устройств. Ситуация в России дополнительно усугубляется наличием национальных мобильных платформ, которые не поддерживаются западными EMM-решениями. 

    Все это зачастую приводит к тому, что вместо одного централизованного решения для  управления корпоративной мобильностью эксплуатируется разношерстный зоопарк EMM-, MDM- и MAM-систем, каждую из которых обслуживает собственный персонал по уникальным правилам.

    Какие особенности в России?


    В России, как и в любой другой стране, есть национальное законодательство по защите информации, которое не изменяется в зависимости от эпидемиологической обстановки. Так, в государственных информационных системах (ГИС) должны применяться средства защиты, сертифицированные по требованиям безопасности. Чтобы удовлетворить этому требованию, устройства, получающие доступ к данным ГИС, должны управляться с помощью сертифицированных EMM-решений, к числу которых относится наш продукт SafePhone.



    Долго и непонятно? На самом деле нет


    Инструменты корпоративного уровня, такие как EMM, часто ассоциируются с медленным внедрением и длительной предпроектной подготовкой. Сейчас на это просто нет времени — ограничения из-за вируса вводят быстро, так что перестраиваться на удаленную работу некогда. 

    По нашему опыту, а мы реализовали много проектов по внедрению SafePhone в компаниях различных масштабов, даже при локальном развертывании решение можно запустить за неделю (не считая времени на согласование и подписание договоров). Рядовые сотрудники смогут пользоваться системой уже через 1–2 дня после внедрения. Да, для гибкой настройки продукта нужно обучить администраторов, но обучение можно провести и параллельно с началом эксплуатации системы.

    Чтобы не тратить время на установку в инфраструктуре заказчика, мы предлагаем своим заказчикам облачный SaaS-сервис для удаленного управления мобильными устройствами с помощью SafePhone. Причем мы предоставляем этот сервис из собственного ЦОД, аттестованного на соответствие максимальным требованиям к ГИС и информационным системам персональных данных.

    В качестве вклада в борьбу с коронавирусом НИИ СОКБ на бесплатной основе подключает компании мелкого и среднего бизнеса к серверу SafePhone для обеспечения безопасной работы сотрудников, работающих в удаленном режиме.
    НИИ СОКБ
    Компания

    Комментарии 8

      +3

      У меня как у пользователя отношение к этим всем системам чисто утилитарное.


      Хотите устройство с полным контролем?
      Не проблема, предоставляйте устройство, будет оно вашим, буду пользоваться. Как вариант — готов даже сам купить это устройство (что-нибудь простое за 5-7 т.р.) и пользоваться им в рамках возможности устройства… и с производительностью/эффективностью устройства ;)


      Хотите на моём телефоне?
      Ну вот нафиг тогда все эти MDM, я не готов и не буду. Вы не готовы? Обязательно хотите на мой личный телефон что-то поставить? См. п. 1 по поводу покупки чего-то простого под эти цели.
      Безопасность? Ну так сделайте VDI, вот и защита — все данные где-то далеко, у меня только картинка.


      p.s. Только однажды столкнулся с MDM, плевался пол года. Половина адресной книги телефона была "вытащена" из аутлуковской адресной книги в адресную книгу телефона. Из-за непонятного глюка пришлось снести аутлук и заново его поставить и настроить. К моему удивлению я единомоменино лишился той самой половины адресной книги, ибо MDM и всё такое.


      p.p.s. Единственная польза от MDM — принудительный вайп по команде с сервера. На случай потери. Но вариант "пароль на загрузку" на самом деле будет надёжней, чем все эти вайпы, которые блокируются банальным вытаскиванием симки.

        0
        Не проблема, предоставляйте устройство, будет оно вашим, буду пользоваться. Как вариант — готов даже сам купить это устройство (что-нибудь простое за 5-7 т.р.) и пользоваться им в рамках возможности устройства… и с производительностью/эффективностью устройства ;)
        В целом с подходом согласен, но сейчас на телефонах стали появляться раздельные профили, иногда даже специально заточенные под корпоративные анальные зонды «усилители» безопасности, так что прямо отдельное устройство уже не всегда обязательно.
          0

          Мы чаще всего сталкиваемся с двумя сценариями и оба про корпоративные устройства:


          1. Полевой сотрудник (монтёр, обходчик и т.д.). Устройство, на котором пользователю не разрешено ничего. На нём есть EMM и 1-2 приложения для работы. Иногда ещё есть VPN. Устанавливать приложения самому нельзя, "лишние" беспроводные интерфейсы, SD-карты и вообще всё, что не нужно для работы, запрещено.
          2. Офисный сотрудник. Здесь лучше всего работает концепция "рабочее устройство в личном пользовании". Компания покупает сотруднику устройство и старается сделать его основным, а лучше единственным. Здесь как раз работают контейнеры (читай профили). Условно, на устройстве есть две области — корпоративная и личная. Корпоративной областью управляют, её защищают всеми возможными средствами, а личное предпочитают не трогать. Единственное — просят установить пароль и запрещают установку из недоверенных источников. Если применять к офисным работникам первый сценарий, устройства в 18:00 выключают и кладут в стол. Иногда ещё вынимают батарейку, если позволяет конструкция. Один раз видел то же самое + положить разобранное устройство в сейф...

          Управлять "зоопарком" личных устройств дорого. Android у разных производителей устройств сильно разный. Обилие и разнообразие служб продвинутых энергосбережения, которые так и норовят отключить средства защиты, которым по долгу службы положено работать постоянно. Разные наборы доступных политик безопасности на разных версиях Android и т.д. Реальной безопасности на всех устройствах добиться невозможно. Общая разве что политика блокировки камеры.

        0
        На платформе Android как у вирусов, так и у антивирусов больше перспектив. Но все равно встает вопрос целесообразности. Для установки вредоносного ПО из магазина приложений придется вручную дать много разрешений. Права доступа злоумышленники получают только у тех пользователей, которые разрешают приложениям все подряд. На практике достаточно запретить пользователям установку приложений из неизвестных источников,


        Если бы так. Предустановленные трояны (последнее время много запросов на трояны в системной области). Трояны маскирующие свои окошки, трояны скачивающие вредоносный функционал после установки
        Да запретом установки из неизвестных источников проблему не решить — огромное количество вредоносного ПО и на официальных источниках
          0

          Давайте разберёмся с рисками и методами их компенсации:


          1. Троян в системной области. Его можно занести или на заводе, или через кастомное рекавери и root. Защититься от трояна на заводе нельзя. Защититься от доступа в корпоративную сеть устройств с root можно — это делают EMM системы. При обнаружении признаков взлома корпоративные приложения и данные удаляются с устройства.
          2. Трояны в Google Play. Случаются. Ни одна система защиты не идеальна. Но большой разницы между антивирусным ПО и Google Protect нет. Разве что Protect разрабатывает Google, который больше других заинтересован в безопасности своей платформы и может дать своему Protect больше прав, чем любым другим приложениям.

          Ключевая проблема в том, что антивирус не может удалить приложения. Видел антивирусы для Android, которые в случае обнаружения malware просто рисуют поверх него окошко "Приложение заблокировано". При этом само приложение продолжает работать. Это не безопасно.


          Наиболее безопасный, но и наименее удобный для пользователя сценарий такой:


          1. Потребовать наличие пароля. 20 символьного не нужно. Хватит 4-6 символов, можно даже цифр, если ограничить число ошибок до сброса устройства к заводским настройкам.
          2. Запретить самостоятельную установку приложений (любую — через adb, apk, маркеты), устанавливая все приложения только из корпоративного хранилища.
          3. При наличии признаков взлома удалять корпоративные приложения и данные или сбрасывать устройство к заводским настройкам.
          4. При наличии API производителя устройств запрещать перепрошивку через рекавери.
            0
            Ключевая проблема в том, что антивирус не может удалить приложения.

            Если не сложно — это какие антивирусы? Нормальные антивирусы для Андроид удаляют трояны. Сложнее с троянами в системной области — для их удаления нужно рутовать устройство. Но после этой операции удаление становится возможно

            И если не ограничиваться троянами, то в функции антивируса входит блокировка СМС и контроль доступа к нерекомендуемым ресурсам. Что тоже необходимо

            Но большой разницы между антивирусным ПО и Google Protect нет

            Теоретически может и так. Google Protect заявляет о возможности проверки приложений в Маркете. Однако на практике количество обнаруживаемых у пользователей троянов велико, тоесть Google Protect пропускает.
            Ну и лично мне не нравится, что вендор имеет право удалять любые приложения на моем устройстве через Google Protect

            Посмотрел тесты
            Play Protect стал единственным решением, которое не прошло сертификацию AV-Test
            это 2017год
            Защитная система Google Play Protect для Android не прошла испытаний в немецкой лаборатории AV-Test. Системе не удалось заработать ни одного балла из шести возможных
            это 2020 год
              0
              Если не сложно — это какие антивирусы? Нормальные антивирусы для Андроид удаляют трояны.

              Антивирусы, как и любые другие приложения на Android, могут только попросить пользователя удалить другое приложение, но не удалить его. Удалить приложение без участия пользователя может только EMM клиент с правами владельца устройства (device owner, DO). Права DO по требованиям Google получаются в процессе первичной инициализации устройства. Это сценарий только для B2B.


              Сложнее с троянами в системной области — для их удаления нужно рутовать устройство. Но после этой операции удаление становится возможно

              Взлом (root) устройства — это всегда большее зло, чем троян в системной области. Инструменты взлома никто на трояны и прочее malware не проверяет. Использовать рутированные устройства для удалённого доступа к корпоративным данным нельзя.


              Посмотрел тесты

              Согласен, Google Protect на фоне других антивирусных решений пока выглядит неубедительно.


              Ключевое — мы не пытаемся убедить в том, что антивирус или VPN не нужны. Просто для обеспечения защиты мобильных устройств их недостаточно.

                0
                для обеспечения защиты мобильных устройств их недостаточно

                Тут никто спорить не будет. Стопроцентной защиты не бывает

                Взлом (root) устройства — это всегда большее зло, чем троян в системной области

                Не факт. Та же Триада весьма мощный троян. Но про опасность рута согласен

                Инструменты взлома никто на трояны и прочее malware не проверяет.

                За всех сказать не могу, но проверяют, но по умолчанию на них не реагируют, так как программы двойного назначения и могут использоваться легально

        Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

        Самое читаемое