一夜之间,远程工作已成为一种流行且必要的形式。 这一切都是由于新冠肺炎 (COVID-19) 造成的。 每天都有新的预防感染措施出现。 办公室正在测量温度,一些公司,包括大公司,正在将员工转移到远程工作,以减少停机和病假造成的损失。 从这个意义上说,拥有与分布式团队合作经验的 IT 部门是赢家。
多年来,我们SOKB科学研究所一直致力于通过移动设备远程访问企业数据,我们知道远程工作并不是一个容易的问题。 下面我们将告诉您我们的解决方案如何帮助您安全地管理员工移动设备以及为什么这对于远程工作很重要。
员工远程工作需要什么?
您需要为全面工作提供远程访问的一组典型服务包括通信服务(电子邮件、即时消息)、Web 资源(各种门户,例如服务台或项目管理系统)和文件(电子文档管理系统、版本控制等。)。
我们不能指望等到我们完成与冠状病毒的斗争之后才会出现安全威胁。 远程工作时,即使在大流行期间也必须遵守安全规则。
对业务重要的信息不能简单地发送到员工的个人电子邮件中,以便他可以在个人智能手机上轻松阅读和处理这些信息。 智能手机可能会丢失,窃取信息的应用程序可能会安装在智能手机上,最后,由于相同的病毒,坐在家里的孩子们也可能会玩它。 因此,员工使用的数据越重要,就越需要得到更好的保护。 并且对移动设备的保护应该不比固定设备差。
为什么防病毒软件和 VPN 还不够?
对于运行Windows操作系统的固定工作站和笔记本电脑来说,安装防病毒软件是合理且必要的措施。 但对于移动设备来说——并非总是如此。
Apple 设备的架构阻止了应用程序之间的通信。 这限制了受感染软件后果的可能范围:如果电子邮件客户端中的漏洞被利用,则操作不能超出该电子邮件客户端。 同时,该策略降低了防病毒软件的有效性。 将不再能够自动检查通过邮件收到的文件。
在Android平台上,无论是病毒还是杀毒都更有前景。 但权宜之计的问题仍然存在。 要从应用程序商店安装恶意软件,您必须手动授予大量权限。 攻击者仅从那些允许应用程序执行任何操作的用户处获取访问权限。 实践中,禁止用户安装来历不明的应用程序就足够了,让免费安装付费应用程序的“药丸”不至于将企业机密从保密角度“对待”。 但这一措施超出了防病毒和VPN的功能。
此外,VPN 和防病毒软件将无法控制用户的行为。 从逻辑上讲,至少应该在用户设备上设置一个密码(作为防止丢失的保护)。 但密码的存在及其可靠性仅取决于用户的意识,公司无法以任何方式影响用户的意识。
当然,还有行政手段。 例如,根据内部文件,员工将对设备上没有密码、安装来自不受信任来源的应用程序等承担个人责任。您甚至可以强制所有员工在远程工作之前签署包含这些要点的修改后的工作描述。 但让我们面对现实:公司将无法检查这些指令在实践中是如何实施的。 她将忙于紧急重组主要流程,而员工尽管实施了政策,仍会将机密文件复制到他们的个人Google Drive,并通过链接开放访问它们,因为一起处理该文件更方便。
所以,突然的办公室远程办公,是对公司稳定性的考验。
企业移动管理
从信息安全的角度来看,移动设备是一种威胁,也是安全系统中的潜在缺口。 EMM(企业移动管理)级解决方案旨在缩小这一差距。
企业移动管理 (EMM) 包括管理设备(MDM,移动设备管理)、其应用程序(MAM,移动应用程序管理)和内容(MCM,移动内容管理)的功能。
MDM是必要的“大棒”。 使用 MDM 功能,管理员可以在设备丢失时重置或阻止设备,配置安全策略:密码的存在和复杂性、禁止调试功能、从 apk 安装应用程序等。所有移动设备都支持这些基本功能制造商和平台。 更微妙的设置(例如,禁止安装自定义恢复)仅在某些制造商的设备上可用。
MAM 和 MCM 是它们提供访问的应用程序和服务形式的“胡萝卜”。 有了足够的 MDM 安全性,您可以使用移动设备上安装的应用程序提供对公司资源的安全远程访问。
乍一看,应用程序管理似乎是一项纯粹的 IT 任务,可以归结为“安装应用程序、配置应用程序、将应用程序更新到新版本或回滚到以前的版本”等基本操作。 事实上,这里也有安全保障。 不仅需要安装和配置设备上操作所需的应用程序,还需要保护公司数据不被上传到个人 Dropbox 或 Yandex.Disk。
为了将企业和个人分开,现代 EMM 系统可以在设备上为企业应用程序及其数据创建一个容器。 用户无法未经授权地从容器中删除数据,因此安全服务不需要禁止移动设备的“个人”使用。 相反,这对于商业来说是有利的。 用户越了解他的设备,他就会越有效地使用工作工具。
让我们回到 IT 任务。 有两个任务如果没有 EMM 就无法解决:回滚应用程序版本和远程配置它。 当应用程序的新版本不适合用户时(存在严重错误或只是不方便),就需要回滚。 对于 Google Play 和 App Store 上的应用程序,无法回滚 - 商店中始终仅提供最新版本的应用程序。 由于内部开发活跃,几乎每天都会发布版本,但并非所有版本都是稳定的。
无需EMM即可实现远程应用程序配置。 例如,为不同的服务器地址制作不同的应用程序版本,或者将包含设置的文件保存在手机的公共内存中,以便稍后手动更改。 这一切都发生了,但很难被称为最佳实践。 反过来,苹果和谷歌提供了解决这个问题的标准化方法。 开发人员只需嵌入所需的机制一次,应用程序就可以配置任何 EMM。
我们买了一个动物园!
并非所有移动设备用例都是一样的。 不同类别的用户有不同的任务,需要以自己的方式解决。 由于开发人员和金融家所使用的数据的敏感性不同,他们需要特定的应用程序集,或许还需要安全策略集。
并不总是可以限制移动设备的型号和制造商的数量。 一方面,事实证明,为移动设备制定企业标准比了解不同制造商的Android之间的差异以及在不同对角线的屏幕上显示移动UI的特性要便宜。 另一方面,疫情期间购买企业设备变得更加困难,企业不得不允许使用个人设备。 由于西方 EMM 解决方案不支持国家移动平台,俄罗斯的情况进一步恶化。
所有这一切往往导致这样一个事实:管理企业移动性的不是一个集中式解决方案,而是一个由 EMM、MDM 和 MAM 系统组成的杂乱动物园,每个系统都由自己的员工根据独特的规则进行维护。
俄罗斯有什么特点?
与任何其他国家一样,俄罗斯也有关于信息保护的国家立法,该立法不会根据流行病情况而改变。 因此,政府信息系统(GIS)必须采用经过安全要求认证的安全措施。 为了满足这一要求,访问 GIS 数据的设备必须由经过认证的 EMM 解决方案进行管理,其中包括我们的 SafePhone 产品。
又长又不清楚? 并不真地
EMM 等企业级工具通常实施缓慢且预生产时间较长。 现在根本没有时间这样做——病毒造成的限制正在迅速引入,所以没有时间适应远程工作。
根据我们的经验,我们已经在不同规模的公司实施了许多实施SafePhone的项目,即使是本地部署,解决方案也可以在一周内上线(不包括同意和签署合同的时间)。 实施后1-2天内,普通员工即可使用该系统。 是的,为了产品的灵活配置,有必要对管理员进行培训,但培训可以与系统启动同时进行。
为了不浪费时间在客户基础设施中进行安装,我们为客户提供云 SaaS 服务,用于使用 SafePhone 远程管理移动设备。 此外,我们通过自己的数据中心提供这项服务,该数据中心经过认证可以满足 GIS 和个人数据信息系统的最高要求。
作为对抗冠状病毒的贡献,SOKB研究所免费将中小企业连接到服务器 确保远程办公员工的安全运行。
来源: habr.com