Опыты на людях, ушедших на «удаленку»

    Еще полгода назад мало кто мог представить, что практически весь офисный контингент в одночасье перейдёт на дистанционную работу. Самые страшные кошмары для служб безопасности сбылись — Zoom, Skype, Telegram, WhatsApp Microsoft Teams, Gmail и др. стали основными каналами для обсуждения служебных вопросов, согласования документов, принятия решений. Конфиденциальные данные ещё никогда не были настолько доступны и уязвимы, о чем нам еще не раз, и не два предстоит услышать.

    ушедшие на удаленку

    Наряду с апокалиптической картиной в информационной безопасности, картина эффективности удалённой работы уже не воспринимается как синоним прокрастинации, падения продуктивности и бесконтрольной работы сотрудников. Не случайно двадцать процентов сотрудников строительных и промышленных компаний, возобновивших работу в Москве, продолжают работать на дому, более 500 сотрудников контактного центра ВТБ остались на удаленном режиме.

    При такой революционной трансформации использование мобильных устройств стало одной из важнейшей ее составляющей и это на сегодня – аксиома. Поэтому об актуальности и эффективности корпоративной мобильности больше ни слова, а все внимание далее – на ее безопасность.

    Рекомендации регуляторов информационной безопасности


    Российские и европейские регуляторы в области информационной безопасности своевременно выпустили рекомендации, включающие организационные и технические меры защиты корпоративной инфраструктуры при удалённой работе.

    В части организационных мер было рекомендовано:

    1. Провести инвентаризацию информационных активов, если раньше до этого не доходили руки. Защищать «не знаю что» можно только «не знаю как».
    2. Ограничить подключение к корпоративной сети личных устройств, потому что обеспечить их защиту в общем случае невозможно.
    3. Провести воспитательные беседы с «личным составом», объяснив всю тяжесть свалившегося на них груза ответственности за корпоративные тайны. Чтобы не превращать эти беседы в пустую болтовню и корпоративную агитацию за правое дело, сформулируйте правила максимально простым языком, используя наглядные примеры. Например:

      • Не подключайтесь к неизвестным WiFi-сетям, лучше раздайте интернет с телефона.
      • Не скачивайте и не открывайте вложения от неизвестных источников, даже если это рассылка о коронавирусе. Пользуйтесь официальными источниками. Так злоумышленники не украдут доступ к вашим аккаунтам и банковским картам.
      • Блокируйте экран, когда отходите от компьютера или мобильного устройства, чтобы ваши дети не начали работать (… и тратить заработанное вместо вас… (Автор).
      • Не отправляйте информацию о корпоративных встречах в Zoom по некорпоративным каналам. Отправьте её по почте, чтобы к ним не подключились посторонние.

    Технические рекомендации тоже выглядят не так уж сурово:

    1. Предоставляйте доступ по «белым» спискам. Или, иначе, запретите пользователям всё, кроме минимально необходимого и пускайте в сеть только известные устройства. Конечно, это «кнут», но «пряник» в данном случае ударит по корпоративной безопасности больнее.
    2. Используйте сертифицированные средства защиты.
    3. Учитывайте специфику мобильных устройств:
      • Ограничьте возможность самостоятельной установки пользователями приложений. Это основной способ попадания malware, который следует перекрыть, не дожидаясь срабатывания антивируса постфактум.
      • Потребуйте, чтобы на устройствах был пароль, и ограничьте число попыток его ввода.
      • Ограничьте максимальное время неактивности экрана до его блокировки. Как говорится, доверяй, но проверяй.
      • Устанавливайте и своевременно обновляйте на мобильных устройствах ПО средств защиты информации.
      • Осуществляйте мониторинг мобильных устройств – следите за установкой приложений и местоположений мобильных устройств, блокируйте подключение к корпоративной сети взломанных устройств с root или jailbreak.
    4. Для учёта мобильной специфики в дополнение к ставшим классикой VPN решениям и антивирусам нужно применять системы защиты корпоративной мобильности класса UEM (Unified Endpoint Management), ставшими корпоративным Active Directory в мире мобильности. Чуть ниже поговорим о них подробнее.

    Практические советы от выживших


    (могут вызывать легкое удушье, потливость, но выздоровление гарантировано):

    Практические советы от выживших

    1. Ни в чём нельзя полагаться на пользователей


    Считайте, что пользователи – это младенцы, впервые увидевшие свои руки. Причём это касается не только полевых работников, для которых корпоративный смартфон может стать первым в их жизни (особенно в регионах), но и руководителей. Дайте Android смартфон руководителю, который последние 10 лет пользовался только яблочной продукцией, и вы убедитесь, что даже ОН — не гений.

    2. НЕдостаточно установить только антивирус и криптосредство


    До сих пор на просторах портала госзакупок встречаются лоты на покупку ЗАЩИЩЕННЫХ мобильных устройств в комплекте с VPN и антивирусом. Имея в своём распоряжении только этот аскетичный «джентльменский» набор, можно настроить устройства только однократно без дальнейшей возможности обновить средства защиты или настроить политики безопасности на мобильных устройствах.

    3. Не все смартфоны одинаково полезны, не все разработчики одинаково опытны


    Чем дешевле устройства, тем дороже их потом обслуживать и защищать. Всевозможные оптимизаторы дешёвых аккумуляторных батарей не позволяют нормально работать не только средствам защиты, но и бизнес-приложениям. Купив такие устройства, приходится компенсировать реальные угрозы безопасности вымышленными организационными мерами, считая, что пользователи никогда не теряют мобильные устройства, сами следят за актуальностью и запуском ПО и регулярно обновляют самостоятельно средства защиты и только внутри контролируемого периметра.

    Вера детей в существование Деда Мороза кажется более обоснованной.

    Часто для корпоративных мобильных устройств пишутся внутрикорпоративные бизнес-приложения. За годы работы мы видели многое: и отчёты, подготовка которых съедает iPad за три часа, и шесть релизов одного приложения в день. Отдельный том «мемуаров о мобильности» можно посвятить управлению настройками приложений. Рано или поздно все приходят к тому, что часть настроек приложения, например, адрес сервера или лицензию нужно распространять удалённо, чтобы пользователь не вводил их вручную. В iOS и Android есть встроенные механизмы удалённого распространения настроек, но про них обычно «вспоминают» уже после того, как сделали свой «уникальный» механизм. Наиболее «креативно» — это создавать отдельные сборки приложений в зависимости от требуемых настроек. В итоге вместо доставки нескольких строк с настройками на тысячи устройств приходится доставлять 40 мегабайтное приложение.

    Задумывайтесь об управляемости своих приложений заранее.

    4. Bigбоссам и гуманитариям дальше можно не читать


    Типовая архитектура удалённого доступа:

    Типовая архитектура удалённого доступа

    I. На границе периметра корпоративной сети, в т.н. демилитаризованной зоне, в дополнение к межсетевым экранам и средствам обнаружения и предотвращения вторжений устанавливаются VPN криптошлюзы, которые терминируют весь трафик удалённого доступа.

    II. Удалённый доступ к корпоративным сервисам может быть организован с помощью:

    • Технологии виртуальных рабочих столов, VDI. С помощью VDI рекомендуется предоставлять доступ к наиболее чувствительной информации, которая не должна покидать корпоративный периметр и обрабатываться на мобильных устройствах в офлайн-режиме.
    • Встроенных приложений, предустановленных на мобильных устройствах. При схожем уровне защищённости выигрывает функциональность, стабильность и удобство приложений, которыми уже пользуются сотни тысяч человек.
    • Специализированных корпоративных приложений, распространяемых на устройства с помощью UEM-систем. Такие приложения разрабатываются для тех систем, для доступа к которым на мобильных устройствах нет встроенных приложений или с которыми неудобно работать из мобильного браузера.


    III. В составе UEM-системы выделены два функциональных блока – управление корпоративной мобильностью EMM (Enterprise Mobility Management) и анализ защищённости мобильных устройств MTD (Mobile Threat Defense). Второй блок включает в себя функциональность антивируса и так называемый compliance или, иначе, проверку соответствия мобильных устройств требованиям безопасности. В частности, удаление корпоративных данных при обнаружении признаков взлома устройства.

    IV. Клиентские устройства могут быть любыми. Вместе с традиционными мобильными устройствами на базе Android и iOS современные UEM системы позволяют управлять ноутбуками на базе Windows и macOS. Российская действительность добавляет к этому ноутбуки и планшеты на Astra Linux, а также мобильные устройства на базе ОС Аврора. Всем этим «зоопарком» нужно управлять и крайне желательно иметь для этого единую платформу, а не эклектическую «похлёбку» из решений разных вендоров.
    Например, SafePhone.
    V. Поскольку ИТ-службы практически всех компаний сейчас перегружены, им нужен UEM-инструмент, которым не нужно заниматься постоянно. Согласовал со службой безопасности политики ограничений, настроил их, определил типовые приложения и их настройки по группам пользователей и лишь изредка следишь как пользователи автоматически подключаются. К этому и следует стремиться.

    Еще несколько скучных рекомендаций вместо выводов


    Если вы используете корпоративные iOS устройства, перед выдачей их пользователям переведите их в режим supervised. Это такой специальный режим, при котором доступны основные запреты и настройки, не требующие подтверждения пользователя. Так использовать технику Apple безопаснее и удобнее. Важно сделать перевод в режим supervised именно перед выдачей устройства, т.к. резервные копии iOS устройств содержат признак наличия supervised. Это означает, что пользователь не сможет восстановить данные из резервной копии устройства до его перевода в нужный режим. Страшно представить себе реакцию руководителя, которому год назад выдали корпоративный iPad и теперь просят сдать его айтишникам для перепрошивки с потерей данных из резервной копии.

    Учитывайте «корпоративность» закупаемых мобильных устройств. Популярность мобильных устройств на потребительском рынке часто определяется по соотношению «цена/качество», причём в понятие качества закладывается, в основном, аппаратная начинка – число ядер, тактовая частота процессора, разрешение экрана и т.д. Устройства, используемые на корпоративном рынке нужно выбирать иначе, поскольку их реальная стоимость складывается не только из цены «железки», но и из человеко-часов, требуемых для их подключения, настройки и последующего сопровождения, а также косвенно из рисков информационной безопасности, которые связаны с их использованием. Не покупайте слишком дешёвые устройства. Сэкономленных на их закупке денег не хватит на зарплату обслуживающего их персонала. Выбирайте надёжных производителей, способных обеспечить быстрое и безопасное использование мобильных устройств в вашей компании.

    Часто при проектировании типовых запретов служба безопасности руководствуется принципом «не знаю зачем это, значит надо запретить». Это правильно с точки зрения ИБ, но после очередного оборота винта, у пользователя может «сорвать резьбу» и он поставит корпоративный телефон на зарядку навсегда, а сам будет пользоваться личным телефоном с сервисами, которые не мешают, а помогают ему работать. Не перегибайте с безопасностью.
    Не бойтесь перехода к корпоративной мобильности.
    Если есть сомнения или вопросы – обращайтесь к профессионалам НИИ СОКБ.
    НИИ СОКБ
    Компания

    Комментарии 4

      0
      Вы не представляете, сколько безопасников попали в ад за продвижение идеи ограничения числа попыток ввода пароля.
        0

        Обычно это скорее благо. Если не ограничивать число попыток ввода пароля, безопасники потребуют MinimunВотТ@кi][ паролей для доступа к устройствам, вводить которые даже при наличии биометрии неудобно (если есть биометрия, пароль надо вводить реже, но всё же надо). Если ограничиться 10 попытками ввода пароля до сброса к заводским настройкам, достаточно цифрового пароля длиной 4-6 символов, чтобы обеспечить приемлемую вероятность неподбора пароля. С учётом того, что обычно после 5 ошибок начинаются увеличивающиеся задержки по времени, нужно -быть очень целеустремлённым, чтобы ~2 часа неправильно вводить пароль. Если вспомнить пароль за 7-8 попыток не удалось, нужно обратиться в службу поддержки к администраторам UEM. Они смогут удалённо сбросить пароль. Сделать это с устройства, от которого забыт пароль, конечно, нельзя. Но есть ноутбук с электронной почтой или телефоны тех, с кем самоизолировался сотрудник, забывший пароль.

        0
        Перевод в режим «supervised» возможен по «беспроводу», не прикасаясь к устройству физически?
          0

          В России это пока невозможно. Единственный беспроводной способ перевести iOS устройство в режим supervised — это подключить его к UEM "из коробки" с помощью Apple Device Enrollment Program (DEP), которая в России пока не работает. Без Apple DEP перевести iOS устройство в режим supervised можно только по проводу с помощью Apple Configurator 2 для macOS. Для Windows аналога Apple Configurator 2 нет.

        Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

        Самое читаемое