’Консумеризация (Consumerization)’ – это одно из последних модных словечек в мире ИТ. Оно означает повышающийся уровень перемен в использовании технологий, которые долгие годы использовались в предприятиях, а затем стали использоваться в малых предприятиях и среди потребителей. Сегодня многие технологии зарождаются на потребительском рынке и затем попадают в предприятия. iPhone является отличным примером, как и социальные сети. Ограниченные бюджеты ИТ, являющиеся результатом слабой экономики и использования рабочей силы более молодых сотрудников, которые хотят использовать свои технологии на работе, в сочетании привели к образованию ‘идеального шторма’, который в свою очередь привел к появлению большего числа потребительских устройств и программного обеспечения в сети компании. Чтобы почитать о том, как ‘Поколение Y’ повлияло на это направление, смотрите мою статью The Consumerization of IT.
Хотя это течение имеет свои преимущества, включая экономию расходов компании, когда сотрудники покупают собственные устройства, наряду с большей удовлетворенностью от работы (которая, в лучшем случае, приводит к более высокому уровню продуктивности) среди молодых работников, оно также представляет потенциальный кошмар для ИТ администраторов. Это не только означает необходимость в поддержке массы продуктов (в той или иной степени, по крайней мере, необходимость в их подключении к корпоративной сети), это также означает необходимость обеспечения того, что эти устройства сотрудников не несут с собой вирусов и вредоносных компонентов, или не станут вектором атак, направленных на ресурсы компании.
Это создает трудности в разработке эффективных политик безопасности, обеспечивающих гибкость без ущерба для безопасности, и именно об этом пойдет речь в данной статье.
Категоризация вопросов консумеризации
Вопросы безопасности в области ИТ консумеризации можно условно разделить на две большие категории:
- Угрозы безопасности, представляемые потребительскими приложениями (обычно такими интернет-приложениями, как сайты социальных сетей и веб-почта), используемые работниками на компьютерах компании.
- Угрозы безопасности, представляемые потребительскими устройствами (ноутбуками, смартфонами, и т.д.), которые принадлежат работникам, но используются для подключения к корпоративной сети.
В обоих случаях есть очень простое и кажущееся очевидным решение: запрет потребительских технологий. Не позволять работникам посещать сайты социальных сетей или нерабочие веб-сайты. Не позволять сотрудникам подключать свои устройства к корпоративной сети. Это относительно просто выполнить с помощью программного обеспечения фильтрации интернета, обязательной проверки подлинности устройств и других способов контроля технологий.
Однако полный запрет потребительских технологий на рабочем месте в сегодняшнем мире мобильных предприятий представляется непрактичным.
Примечание: в 2007 консумеризация поднимала красный флаг безопасности, поскольку неизбежность этого направления была признана. ‘Хотя потребительские технологии создают новые риски для предприятий, запрещение их использования является непрактичным и сложным’- Rich Mogull Gartner
Когда-то компании предоставляли смартфоны только основным сотрудникам управленческого аппарата и ИТ. Сейчас многие сотрудники покупают собственные устройства, и хотят иметь доступ к своей рабочей электронной почте с телефонов. У них есть свои ноутбуки, и они хотят иметь возможность подключения к сети компании и просмотра документов или даже доступа к своим рабочим столам из дома или из номера гостиницы. Но дело здесь не только в том, чего хотят работники; некоторые компании обнаружили, что предоставление доступа делает большинство сотрудников более продуктивными, а это хорошо для компании в целом.
Подобно этому, когда явление социальной сети было впервые представлено, многие компании запрещали сотрудникам посещать эти сети с машин компании или в рабочее время. Однако сегодня социальные сети становятся очень важным рабочим инструментом, используемым для связи с существующими и потенциальными клиентами, распространяющими информацию между коллегами о компании. И опять же, некоторые предприятия обнаружили, что социальные сети не только не являются пустой тратой времени, они на самом деле являются выгодными для компании.
Примечание: Давайте уточним один важный момент; темой этой статьи являются проблемы безопасности, связанные с технологиями потребителей на рабочем месте. Я не буду обсуждать здесь плюсы и минусы для производительности из-за разрешения таких технологий. Я признаю наличие сильных аргументов для плюсов и минусов.
Определение угроз и оценка рисков
Первыми шагами в развитии любой политики безопасности является определение потенциальных угроз и оценка риска (вероятность того, что эти угрозы возникнут и каким-то образом повлияют).
Давайте рассмотрим некоторые угрозы, связанные с позволением использования потребительских технологий в корпоративной сети:
- Внедрение вирусов и иных вредоносных объектов, которые могут обрушить сеть, дают взломщикам возможность контроля компьютеров в сети (индивидуально или в зараженной сети botnet), кражи информации с серверов компаний или иных незаконных действий.
- Утечка данных компании, хранящихся на потребительском устройстве в результате его кражи, утери или иного типа несанкционированного доступа.
- Разглашение информации компании внутри корпоративной сети через такие потребительские технологии, как веб-почта, системы мгновенного обмена сообщениями, VoIP, службы блогов и социальные сети.
Вирусы и вредоносные программы могут попадать через обе категории консумеризации. Устройство сотрудника может быть заражено, когда пользователь подключает его к менее безопасным домашним сетям, публичным точкам доступа wi-fi или другим сетям, а затем подключает это устройство к корпоративной сети, в результате чего другие машины в этой сети могут быть заражены. Вредоносные объекты, реже, также заражают потребительские устройства через зараженный съемный носитель (USB, и флеш-карты), или передаются при синхронизации устройства пользователя со своим зараженным компьютером.
Вредоносные объекты могут также попадать напрямую на компьютеры компании с веб-сайтов, ориентированных на потребителя, например сайты социальных сетей, либо когда пользователи работают с приложениями сторонних производителей, связанные с сайтами, либо при переходе на размещенную ссылку, переводящую пользователей на зараженный веб-сайт.
Угрозы нулевого дня (Zero Day, эти угрозы новы и для защиты от них еще не выпущены дефиниции и исправления) представляют собой самую большую угрозу, поскольку компьютеры в корпоративной сети не защищены от них.
Утечка данных компании может происходить подобным образом. После ее загрузки на устройство потребителя, эта информация может быть раскрыта посредством вредоносных программ или хакерских атак. Она может храниться на съемной карте памяти устройства (которая может быть похищена без самого устройства), или данные в устройстве могут быть случайно выгружены на домашний компьютер пользователя посредством процесса синхронизации, откуда их также могут похитить. Конечно, само устройство также может быть утеряно или похищено. Миллионы сотовых телефонов и ноутбуков теряются или похищаются каждый год.
Работники часто используют свои учетные записи почтовых ящиков (Gmail, Hotmail, Yahoo, и т.д.) и системы мгновенного обмена сообщениями на работе в личных целях, а также для отправки рабочих файлов домой по почте. Традиционные решения безопасности электронной почты на предприятиях, как правило, не учитывают эти веб-службы. Вредоносный код может распространяться через эти каналы, поэтому компании должны разворачивать шлюзы служб веб-доступа, которые могут определять и фильтровать вредоносный входящий трафик, скрипты, P2P приложения (если они запрещены политикой), и т.д.
Руководства политики
Понимание угроз и оценка рисков поможет вам разработать реалистичные и реализуемые политики. Необходимо учитывать некоторые основные моменты при разработке политик безопасности в мобильных средах консумеризации, которые включают:
- Обязательное шифрование всех компьютерных данных, хранящихся на устройствах сотрудников.
- Обязательное шифрование взаимодействий между устройствами сотрудников и сетью компании через VPN, DirectAccess, и т.д.
- Мобильные устройства, используемые для работы, должны иметь возможность удаленной очистки.
- Проверки здоровья ноутбуков, подключаемых к корпоративной сети, посредством политики Network Access Protection (NAP) или Network Access Control (NAC) для обеспечения того, что они отвечают стандартам компании в отношении защиты от вирусов, работы межсетевых экранов, пакетов и обновлений безопасности, и т.д.
- Внедренная фильтрация протоколов синхронизации и анализа синхронизации, фильтрации содержимого (DeviceLock) для управления тем, какие типы данных пользователи могут синхронизировать между своими мобильными устройствами и компьютерами компании.
- Инфраструктура виртуальных рабочих столов, в которых виртуальные ОС и/или приложения предоставляются ноутбукам работников для работы, позволяя контролировать размещенный образ и изолировать его от локальной ОС ноутбука.
- Политики, определяющие то, какие программные продукты потребителей могут использоваться на корпоративных компьютерах (например, сайты социальных сетей vs. iTunes, мультиплеерных игр или персональных VoIP учетных записей, таких как Skype) и внедрение этих политик совместно с политикой ограничения программ (Software Restrictions Policy).
- Использование инструментов управления настройками безопасности на основе агентов для обеспечения применения политик.
- Разработка полномасштабных политик использования, которые регулируют использование сотрудниками социальных сетей