一夜之間,遠距工作已成為一種流行且必要的形式。 這一切都是由於新冠肺炎 (COVID-19) 造成的。 每天都有新的預防感染措施出現。 辦公室正在測量溫度,一些公司,包括大公司,正在將員工轉移到遠端工作,以減少停機和病假造成的損失。 從這個意義上說,擁有與分散式團隊合作經驗的 IT 部門是贏家。
多年來,我們SOKB科學研究所一直致力於透過行動裝置遠端存取企業數據,我們知道遠距工作並不是一個容易的問題。 下面我們將告訴您我們的解決方案如何幫助您安全地管理員工行動裝置以及為什麼這對於遠距工作很重要。
員工遠距工作需要什麼?
您需要為全面工作提供遠端存取的一組典型服務包括通訊服務(電子郵件、即時訊息)、Web 資源(各種門戶,例如服務台或專案管理系統)和文件(電子文件管理系統、版本控制等。)。
我們不能指望等到我們完成與冠狀病毒的鬥爭之後才會出現安全威脅。 遠距工作時,即使在大流行期間也必須遵守安全規則。
對業務重要的資訊不能簡單地發送到員工的個人電子郵件中,以便他可以在個人智慧型手機上平靜地閱讀和處理這些資訊。 智慧型手機可能會遺失,竊取資訊的應用程式可能會安裝在智慧型手機上,最後,由於相同的病毒,坐在家裡的孩子們也可能會玩它。 因此,員工使用的資料越重要,就越需要得到更好的保護。 且移動設備的保護不應比固定設備差。
為什麼防毒軟體和 VPN 還不夠?
對於運行Windows作業系統的固定工作站和筆記型電腦來說,安裝防毒軟體是合理且必要的措施。 但對於行動裝置來說——並非總是如此。
Apple 裝置的架構阻止了應用程式之間的通訊。 這限制了受感染軟體後果的可能範圍:如果電子郵件用戶端中的漏洞被利用,則操作不能超出該電子郵件用戶端。 同時,該策略降低了防毒軟體的有效性。 將不再能夠自動檢查透過郵件收到的文件。
在Android平台上,無論是病毒或防毒都更有前景。 但權宜之計的問題仍然存在。 若要從應用程式商店安裝惡意軟體,您必須手動授予大量權限。 攻擊者僅從那些允許應用程式執行任何操作的使用者取得存取權限。 實踐中,禁止用戶安裝來歷不明的應用程式就足夠了,讓免費安裝付費應用程式的「藥丸」不至於將企業機密從保密角度「對待」。 但這項措施超出了防毒和VPN的功能。
此外,VPN 和防毒軟體將無法控制使用者的行為。 從邏輯上講,至少應該在用戶設備上設定一個密碼(作為防止丟失的保護)。 但密碼的存在及其可靠性僅取決於使用者的意識,公司無法以任何方式影響使用者的意識。
當然,還有行政手段。 例如,根據內部文件,員工將對設備上沒有密碼、安裝來自不受信任來源的應用程式等承擔個人責任。您甚至可以強制所有員工在遠端工作之前簽署包含這些要點的修改後的工作描述。 但我們必須面對現實:公司將無法檢視該指令在實務上的執行情況。 她將忙於緊急重組主要流程,而員工儘管實施了政策,仍會將機密文件複製到他們的個人Google Drive,並透過連結開放存取它們,因為一起處理該文件更方便。
所以,突然的辦公室遠距辦公,是對公司穩定性的考驗。
企業行動管理
從資訊安全的角度來看,行動裝置是一種威脅,也是安全系統中的潛在缺口。 EMM(企業行動管理)級解決方案旨在縮小這一差距。
企業行動管理 (EMM) 包括管理設備(MDM,行動裝置管理)、其應用程式(MAM,行動應用程式管理)和內容(MCM,行動內容管理)的功能。
MDM是必要的「大棒」。 使用 MDM 功能,管理員可以在設備遺失時重設或阻止設備,配置安全性原則:密碼的存在和複雜性、禁止偵錯功能、從 apk 安裝應用程式等。所有行動裝置都支援這些基本功能製造商和平台。 更微妙的設定(例如,禁止安裝自訂恢復)僅在某些製造商的裝置上可用。
MAM 和 MCM 是它們提供存取的應用程式和服務形式的「胡蘿蔔」。 有了足夠的 MDM 安全性,您可以使用行動裝置上安裝的應用程式提供對公司資源的安全遠端存取。
乍一看,應用程式管理似乎是一項純粹的 IT 任務,可以歸結為「安裝應用程式、配置應用程式、將應用程式更新到新版本或回滾到先前的版本」等基本操作。 事實上,這裡也有安全保障。 不僅需要安裝和配置設備上操作所需的應用程序,還需要保護公司資料不被上傳到個人 Dropbox 或 Yandex.Disk。
為了將企業和個人分開,現代 EMM 系統可以在裝置上為企業應用程式及其資料建立一個容器。 使用者無法未經授權地從容器中刪除數據,因此安全服務不需要禁止行動裝置的「個人」使用。 相反,這對商業來說是有利的。 使用者越了解他的設備,他就會越有效地使用工作工具。
讓我們回到 IT 任務。 有兩個任務如果沒有 EMM 就無法解決:回滾應用程式版本和遠端配置它。 當應用程式的新版本不適合使用者時(有嚴重錯誤或根本不方便),就需要回溯。 對於 Google Play 和 App Store 上的應用程序,無法回滾 - 商店中始終僅提供最新版本的應用程式。 由於內部開發活躍,幾乎每天都會發布版本,但並非所有版本都是穩定的。
無需EMM即可實現遠端應用程式配置。 例如,為不同的伺服器位址製作不同的應用程式版本,或將包含設定的檔案保存在手機的公共記憶體中,以便稍後手動變更。 這一切都發生了,但很難被稱為最佳實踐。 反過來,蘋果和谷歌提供了解決這個問題的標準化方法。 開發人員只需嵌入所需的機制一次,應用程式就可以配置任何 EMM。
我們買了一個動物園!
並非所有行動裝置用例都是一樣的。 不同類別的使用者有不同的任務,需要以自己的方式解決。 由於開發人員和金融家所使用的資料的敏感度不同,他們需要特定的應用程式集,或許還需要安全策略集。
並不總是可以限制移動設備的型號和製造商的數量。 一方面,事實證明,為行動裝置制定企業標準比了解不同製造商的Android之間的差異以及在不同對角線的螢幕上顯示行動UI的特性要便宜。 另一方面,疫情期間購買企業設備變得更加困難,企業不得不允許使用個人設備。 由於西方 EMM 解決方案不支援國家移動平台,俄羅斯的情況進一步惡化。
所有這一切往往導致這樣一個事實:管理企業移動性的不是一個集中式解決方案,而是一個由EMM、MDM 和MAM 系統組成的雜亂動物園,每個系統都由自己的員工根據獨特的規則進行維護。
俄羅斯有什麼特色?
與其他國家一樣,俄羅斯也有關於資訊保護的國家立法,該立法不會根據流行病情況而改變。 因此,政府資訊系統(GIS)必須採用經過安全要求認證的安全措施。 為了滿足這項要求,存取 GIS 資料的設備必須由經過認證的 EMM 解決方案進行管理,其中包括我們的 SafePhone 產品。
又長又不清楚? 並不真地
EMM 等企業級工具通常實施緩慢且預生產時間較長。 現在根本沒有時間這樣做——病毒造成的限制正在迅速引入,所以沒有時間適應遠端工作。
根據我們的經驗,我們已經在不同規模的公司實施了許多實施SafePhone的項目,即使是本地部署,解決方案也可以在一周內上線(不包括同意和簽署合約的時間)。 實施後1-2天內,一般員工即可使用該系統。 是的,為了產品的靈活配置,有必要對管理員進行培訓,但培訓可以與系統啟動同時進行。
為了不浪費時間在客戶基礎架構中進行安裝,我們為客戶提供雲端 SaaS 服務,用於使用 SafePhone 遠端管理行動裝置。 此外,我們透過自己的資料中心提供這項服務,經過認證可滿足 GIS 和個人資料資訊系統的最高要求。
作為對抗冠狀病毒的貢獻,SOKB研究所免費將中小企業連接到伺服器 確保遠距辦公員工的安全運作。
來源: www.habr.com