Установка эффективных политик безопасности в потребительской ИТ-среде

Опубликовано: 8 Апреля, 2023


Введение


«Консьюмеризация» — последнее модное словечко в мире ИТ. Это относится к растущему обращению вспять потока внедрения технологий, который в течение многих лет начинался на предприятии, а затем «просачивался» на малые предприятия, а затем и на потребителей. Сегодня многие технологии зарождаются на потребительском рынке, а затем «просачиваются» на предприятие. iPhone — яркий тому пример; социальные сети - это другое. Нехватка ИТ-бюджетов из-за слабой экономики и прихода на работу молодых работников, которые хотят использовать свои технологии для работы, объединились в «идеальный шторм», который привел к тому, что в сети компании появилось гораздо больше потребительских устройств и программного обеспечения. Чтобы узнать больше о том, как «поколение Y» повлияло на эту тенденцию, см. мою редакционную статью в информационном бюллетене WXPNews о потреблении ИТ


Хотя у этой тенденции есть свои преимущества, в том числе экономия средств для компании, когда сотрудники покупают собственные устройства, а также повышение удовлетворенности работой (что в лучшем случае приводит к повышению производительности) среди молодых сотрудников, она также представляет собой потенциальный кошмар безопасности. для ИТ-администраторов. Это означает не только необходимость поддерживать в той или иной степени множество различных продуктов (по крайней мере, в том, что касается их подключения к корпоративной сети), но также означает, что эти устройства, принадлежащие сотрудникам, не заносят вирусы и вредоносное ПО или становятся векторами атак, направленных на ресурсы компании.


Это усложняет разработку эффективных политик, обеспечивающих гибкость без ущерба для безопасности, и это то, что мы рассмотрим в этой статье.


Классификация проблем, связанных с консьюмеризацией


Проблемы безопасности, связанные с консьюмеризацией ИТ, можно разделить на две большие категории:



  • Угрозы безопасности, создаваемые пользовательскими приложениями (обычно веб-приложениями, такими как сайты социальных сетей и веб-почта), используемыми сотрудниками на компьютерах, принадлежащих компании.

  • Угрозы безопасности, исходящие от потребительских устройств (ноутбуков, смартфонов, планшетов/планшетов), принадлежащих сотрудникам, но используемых для подключения к корпоративной сети.

В обоих случаях есть очень простое и, казалось бы, очевидное решение: запретить потребительскую доработку технологий. Не позволяйте работникам посещать сайты социальных сетей или другие нерабочие веб-сайты. Не позволяйте сотрудникам подключать собственные устройства к корпоративной сети. Этого относительно легко добиться с помощью программного обеспечения веб-фильтрации, обязательной аутентификации устройства и других технологических средств контроля.


Однако прямой запрет на потребительские технологии на рабочем месте становится нецелесообразным в современном мире мобильного бизнеса.


Примечание:
 Еще в 2007 году консьюмеризация поднимала красные флажки безопасности, поскольку неизбежность этой тенденции признавалась. «Хотя потребительские технологии создают новые риски для предприятия, устранение их использования становится все более сложным и нецелесообразным» — Рич Могулл Gartner


Когда-то компании поставляли смартфоны только ключевому персоналу в области управления и ИТ. Теперь многие сотрудники покупают свои собственные, и они хотят иметь возможность получать рабочую электронную почту на своих телефонах. У них есть собственные ноутбуки, и они хотят иметь возможность подключаться к сети компании и редактировать документ или даже получать доступ к своему рабочему столу из дома или гостиничного номера. Но дело не только в том, чего хотят сотрудники; некоторые компании обнаружили, что предоставление такого доступа делает большинство работников более продуктивными, и это хорошо для итоговой прибыли компании.


Аналогичным образом, когда феномен социальных сетей впервые появился, многие компании запретили сотрудникам посещать эти сайты в рабочее время/на компьютере. Однако сегодня социальные сети становятся жизненно важным бизнес-инструментом, который используется для связи с текущими и потенциальными клиентами, распространения информации о компании и даже общения с коллегами внутри компании. Опять же, некоторые предприятия обнаружили, что социальные сети не являются пустой тратой времени, а на самом деле приносят пользу компании и доносят ее сообщение до онлайн-сообщества.


Примечание:
Уточним важный момент; В этой статье основное внимание уделяется только вопросам безопасности, связанным с потребительскими технологиями на рабочем месте. Я не буду подробно обсуждать плюсы и минусы производительности использования этой технологии. Я понимаю, что есть аргументы с обеих сторон.


Определение угроз и оценка риска


Первыми шагами в разработке любой политики безопасности являются определение потенциальных угроз, а затем оценка риска (вероятность того, что эти угрозы действительно возникнут, и последствия/стоимость, если они возникнут).


Давайте рассмотрим некоторые угрозы, связанные с допуском потребительских технологий в корпоративную сеть:



  • Внедрение вирусов и других вредоносных программ, способных вывести сеть из строя, позволить злоумышленнику управлять компьютерами в сети (отдельно или в составе ботнета), похитить информацию с серверов компании или совершить другие злонамеренные действия.
  • Утечка данных компании, которые хранятся на потребительском устройстве, когда устройство украдено, потеряно или иным образом используется кем-то за пределами семьи.
  • Разглашение информации о компании изнутри корпоративной сети через потребительские технологии, такие как веб-почта, обмен мгновенными сообщениями, VoIP, службы блогов и социальные сети.

Вирусы и вредоносное ПО могут быть введены через любую категорию консьюмеризации. Устройство, принадлежащее сотруднику, может быть заражено, когда сотрудник использует его для подключения к менее защищенной домашней сети, общедоступной точке доступа Wi-Fi или другой сети, а затем при повторном подключении к корпоративной сети вредоносное программное обеспечение может заразить другие машины в этой сети. сеть. Вредоносное ПО также может, реже, заражать потребительское устройство через зараженное съемное запоминающее устройство (USB-ключ, карту флэш-памяти) или передаваться, когда пользователь синхронизирует устройство, такое как смартфон, со своим домашним компьютером, который был заражен.


Вредоносное ПО также может попасть непосредственно на компьютеры компании с ориентированных на потребителя веб-сайтов, таких как сайты социальных сетей, либо когда пользователи обращаются к сторонним приложениям, связанным с сайтами, либо когда они нажимают на опубликованные ссылки, ведущие на вредоносные веб-сайты.


Угрозы нулевого дня (те, которые слишком новы для выпуска определений вредоносных программ или исправлений) являются здесь самой большой угрозой, поскольку корпоративные компьютеры будут защищены от вредоносных программ.


Утечка данных компании может происходить аналогичным образом. После загрузки на пользовательское устройство к нему можно получить доступ с помощью вредоносного ПО или хакерской атаки. Они могут храниться на съемной карте памяти устройства (которую можно украсть вместо того, чтобы забрать само устройство), или данные на устройстве могут быть непреднамеренно загружены на домашний компьютер пользователя в процессе синхронизации и там скомпрометированы. Или, конечно, все устройство могло быть потеряно или украдено. Каждый год сообщается о пропаже или краже миллионов мобильных телефонов и ноутбуков.


Сотрудники часто используют свои учетные записи веб-почты (Gmail, Hotmail, Yahoo и т. д.) и обмен мгновенными сообщениями с работы для личного общения, а также, что важно, для отправки файлов по электронной почте самим себе для работы дома. Традиционные корпоративные решения по обеспечению безопасности электронной почты не обращаются к этим веб-службам. Вредоносное ПО может распространяться по этим каналам, поэтому компаниям следует развертывать шлюзы веб-безопасности, которые могут обнаруживать и фильтровать вредоносный входящий трафик, сценарии, приложения P2P (если это не разрешено политикой) и т. д.


Принципы политики


Понимание угроз и оценка рисков помогут вам в разработке реалистичных и реализуемых политик. Некоторые ключевые вопросы, которые следует учитывать при разработке политик безопасности в мобильной потребительской среде, включают:



  • Обязательное шифрование любых данных компании, хранящихся на устройствах, принадлежащих сотрудникам.
  • Обязательное шифрование передачи данных между устройствами сотрудников и сетью компании через VPN, DirectAccess и т. д.
  • Мобильные устройства, используемые для бизнеса, должны иметь возможность удаленного стирания данных.
  • Проверка работоспособности ноутбуков, подключенных к корпоративной сети, с помощью защиты доступа к сети (NAP) или контроля доступа к сети (NAC), чтобы убедиться, что они соответствуют стандартам компании в отношении защиты от вирусов, брандмауэра, пакетов обновлений/обновлений безопасности и т. д.
  • Принудительный анализ синхронизации/фильтрация протоколов и фильтрация содержимого (DeviceLock) для контроля того, какие типы данных пользователи могут синхронизировать между своими мобильными устройствами и компьютерами компании.
  • Инфраструктура виртуального рабочего стола, посредством которой виртуализированные операционные системы и/или приложения доставляются на принадлежащие сотрудникам ноутбуки для рабочих целей, что позволяет компании контролировать размещенный образ и изолировать его от локальной операционной системы на ноутбуке.
  • Политики, определяющие, какое потребительское программное обеспечение можно использовать на корпоративных компьютерах (например, веб-сайты социальных сетей или iTunes, многопользовательские игры или личные учетные записи VoIP, такие как Skype), и принудительное применение этих политик с помощью Политики ограничений программного обеспечения.
  • Использование средств управления конфигурацией безопасности на основе агентов для обеспечения соблюдения политик использования.
  • Разработайте комплексную политику использования, которая касается использования сотрудниками социальных сетей.

Примечание:
 В следующей статье я подробно расскажу о том, как создать хорошую политику в отношении социальных сетей.


Резюме


Суть: сначала ознакомьтесь с угрозами, исходящими от различных потребительских устройств и технологий. Затем определите, какие потребительские технологии следует разрешить. Затем разработайте рекомендации по использованию этих технологий. Изложите политику в письменном виде, расскажите о ней пользователям и по возможности используйте технические средства контроля для обеспечения ее соблюдения. Консьюмеризация ИТ — это тенденция, которая не собирается замедляться в ближайшее время, поэтому игнорирование последствий для безопасности — нежизнеспособный вариант.

Кибер-безопасность

РЕКОМЕНДУЕМЫЕ СТАТЬИ

Информационная безопасность и системная IT-интеграция
27 Июня, 2024
Брандмауэр в ИТ-системе
15 Апреля, 2023
Почему одного брандмауэра недостаточно? Что такое IDS и почему их стоит иметь?
15 Апреля, 2023
Новые функции безопасности Internet Explorer 6.0 с браузером .NET Server по умолчанию
15 Апреля, 2023
Виртуальная частная сеть
15 Апреля, 2023
Microsoft ISA Server, часть II — функции брандмауэра, правила политики публикации
15 Апреля, 2023
Стратегия Microsoft в отношении .NET
15 Апреля, 2023
SSH
15 Апреля, 2023