Каждая компания вынуждена заботиться об обеспечении собственной информационной безопасности. Так, необходимо защищать свои данные от утечки, изменения, удаления и обеспечивать доступ к своим приложениям только для сотрудников и клиентов. До эпохи мобильных устройств и появления дешевого Интернета все было ясно и просто. Все сотрудники работают на компьютерах, находящихся в пределах локальной сети и под зонтиком ее защиты. На работе сотрудники обязаны соблюдать принятые в компании меры безопасности, ограничивать себя в посещении неких ресурсов и использовании может быть и удобных, но не безопасных устройств. На работе понятен запрет на доступ к «Одноклассникам» и «Вконтакте», переписка в свободной форме без корпоративной подписи, использование личных флэшек. Но бизнесу выгодно, чтобы сотрудники работали не только в рабочее время, в интересах бизнеса использование собственных ресурсов и устройств. С другой стороны, и многим сотрудникам выгодно работать дома. Образовался широкий круг профессий, которые всегда находятся на связи: на работе, в дороге, дома.
Начнем с простого – с защиты на рабочем месте. В список необходимого минимума на каждой рабочей станции на данный момент входят следующие компоненты.
— Система ограничения прав. Пользователь (и вредоносная программа от его имени) не должен иметь права установки и запуска никаких программ, кроме разрешенных. Пользователь (и вредоносная программа от его имени) не должен иметь доступ ни к каким локальным и сетевым ресурсам, кроме необходимых для работы. По данным теста BeyondTrust, работа под неадминистративными правами делает неактуальными 75% критических уязвимостей Windows 7, 100% уязвимостей Microsoft Office и 100% уязвимостей IE.
— Система установки обновлений. Недостатки должны быть исправлены – это понятно всем, но как же не хочется перезагружать компьютер! Но что делать – устройство системы Windows не позволяет менять драйверы на лету.
— Система проверки паролей на устойчивость и периодической их замены. Никто не любит менять пароли…
— Сетевой экран. Внутри сети атаки типа DDOS, может, и не актуальны, но кроме этих атак есть и иные – менее известные, но от того не менее опасные. Да и от наличия в локальной сети любителей посканировать чужие системы никто не застрахован.
— Антивирус. Тут сложнее. Просто антивируса, конечно, недостаточно. Как минимум – файловый монитор (чтобы ничего вредного не запустилось), проверка входящего трафика (чтобы ничего вредного не вошло), самозащита (чтобы ничто вредное ничего не отключило) и система лечения активных инфекций – как последний рубеж обороны на случай, если ранее в системе был вирус.
— Система офисного контроля, разрешающая доступ только к нужным для работы ресурсам Интернет.
Естественно, все перечисленное должно централизованно управляться. Мнение пользователя по поводу необходимости установки той или иной программы или перезагрузки в связи с обновлением системы безопасности по понятным причинам может игнорироваться.
Но все это на работе и на устройствах, принадлежащих компании. А что делать с теми, кто хочет работать из дома или на работе на своем устройстве? Идеальное решение — всем таким сотрудникам выдать корпоративные устройства, настроенные в соответствии с правилами безопасности компании. Но есть два «но»:
* это достаточно затратно; хорошие ноутбуки недешевы и хочется сэкономить;
* пользователи в данном случае все равно будут носить собственные устройства (те же смартфоны – случаи полного запрета собственных устройств известны и, более того, с учетом наличия компонентов этих устройств, которые могут использоваться для шпионажа – даже правильны, но не распространены), а носить два устройства – свое и корпоративное – весьма неудобно.
Что делать?
Начнем с домашних компьютеров. Для начала замечу, что основное место среди установленных на домашних компьютерах операционных систем занимает все же Windows. Это система, хорошо известная хакерам. Именно в силу распространенности для нее и создается большая часть вредоносных программ. Защищаться нужно, но и защищать в соответствии с корпоративными политиками не получится. Против установки антивируса вряд ли у кого возникнут возражения, но один в поле не воин. Как совместить требование о запрете доступа к необязательным для работы ресурсам с желанием общаться в «Одноклассниках» и «ВКонтакте»? Как совместить запрет использования собственных флэшек с их наличием дома? Как не допускать посторонних пользователей, если вокруг бегают дети и тоже хотят в Интернет?
Можно предложить два варианта.
Первый – добавить учетную запись еще одного пользователя на домашний компьютер, благо Windows позволяет. И для этого пользователя реализовать все необходимые настройки безопасности. К сожалению, данный способ позволяет выполнить требования по безопасности только частично. Так, если при данном «защищенном» пользователе вирус и не пройдет, то что мешает ему проникнуть на компьютер во время работы под другими учетными записями и получить доступ к сохраненной, но беззащитной информации? И что мешает ему, находясь в незащищенной учетной записи, изменить настройки безопасности? Так что для защищенного пользователя придется еще устанавливать хранилище файлов и систему контроля целостности. Но самая главная проблема – необходимость настройки всего этого администратором для каждого пользователя – причем в большинстве случаев удаленно.
Второй – использовать загрузочный диск или загрузочную USB, на которой находятся все необходимые для защищенной работы компоненты. Данный вариант куда правильнее. Обойти защиту смогут лишь вирусы на уровне BIOS, но это все же пока редкость.
Теперь про мобильные устройства. Тут все куда сложнее. Операционные системы таких устройств построены, как правило, на базе iOS от Apple или вариантов Android. Это системы, гораздо более слабые по ресурсам, чем обычные компьютеры. Системы, как правило, не имеющие возможности завести несколько учетных записей пользователей. Плюс огромный риск потери или кражи устройства и попадания всей информации (включая пароли для доступа к корпоративным ресурсам) в неизвестные руки. Поэтому защита может быть только частичной.
Что можно поставить на мобильном устройстве?
- Антивирус – что позволит не допустить на устройство вредоносные файлы, в том числе предназначенные для контроля перемещений владельца устройства, а также его контактов и переговоров.
- Систему защиты на случай утери мобильного устройства.
- Систему хранения конфиденциальной информации в защищенном хранилище. Это не позволит злоумышленнику воспользоваться данными, попавшими на мобильное устройство.
К сожалению, в рамках одной статьи невозможно рассмотреть установку всех программных продуктов. Рассмотрим для начала только один – антивирус Dr.Web. Выбираем на устройстве браузер и вводим адрес центра управления антивирусной защитой, например: http://192.168.150.2:9080.
На появившемся экране вводим имя и пароль, позволяем его запомнить, см. экран 1.
Экран 1. Подсоединение к?центру управления |
Затем привычно создаем новую станцию (экран 2). Итог создания показан на экране 3. Запись о станции выделена черным, то есть она недоступна, см. экран 4.
Экран 2. Создание новой управляемой станции |
Экран 3. Станция создана |
Экран 4. Созданная станция пока недоступна |
Исправляем ситуацию – устанавливаем на устройство приложение Dr.Web для Android. Установку версии Антивируса Dr.Web, поддерживающей возможность централизованного управления, можно осуществить путем запуска установочного файла на мобильном устройстве или с помощью программы синхронизации с компьютером. Версию без централизованного управления можно установить с Google Play — для этого нужно только найти в списке приложений Dr.Web для Android и нажать Install.
Чтобы установить приложение без использования Google Play, необходимо разрешить такой вид установки. Для этого открываем экран «Настройки», затем «Приложения» и устанавливаем флажок «Неизвестные источники».
Воспользуемся тем, что для всех компаний, использующих для защиты своих рабочих станций продукты Dr.Web, защита мобильных устройств бесплатна — загружаем версию с возможностью применения в корпоративной сети. На странице регистрации вводим серийный номер продукта, используемого для защиты рабочих станций компании (экран 5).
Экран 5. Загрузка приложения для мобильных устройств |
Нажимаем «Отправить» и на странице «Мастера скачивания» указываем, что мы хотим защищать, см. экран 6.
Экран 6. Выбор защищаемых устройств |
Скачиваем последний на данный момент файл drweb-600-android.apk и запускаем его (экран 7).
Экран 7. Загрузка нужного приложения |
Антивирус Dr.Web установлен, однако для дальнейшей работы с приложением необходимо либо скопировать полученный при регистрации лицензии ключевой файл на защищаемое устройство, либо подключить его к системе централизованного управления. Поскольку мы уже решили вводить устройство в сеть и даже получили идентификатор, то логично выбрать второй путь. Выбрав в списке Dr.Web, видим текст лицензионного соглашения и принимаем его. Далее выходим в главное меню Dr.Web для Android (учтите, что программа-монитор сразу после установки заблокирована), переходим в раздел «Инструменты» или нажимаем кнопку «Меню» и выбираем пункт «Настройки». В разделе «Режим» устанавливаем флажок «Dr.Web Агент», см. экран 8.
Экран 8. Включение защиты |
В открывшемся окне указываем IP-адрес сервера централизованной антивирусной защиты и через двоеточие после IP-адреса порт, использующийся для подключения к серверу, идентификатор, присвоенный вашему мобильному устройству при создании станции, и пароль. Нажимаем «Подключиться». В общем, все, но паранойя не отпускает, и на всякий случай проверяем результат. Заходим снова на антивирусный сервер и в окне браузера видим результат, см. экран 9.
Экран 9. Устройство доступно для управления |
Если подключение не удалось, то заходим в настройки Enterprise Server, снимаем флажок шифрования и повторяем попытку. В режиме централизованной защиты блокируется возможность ручного запуска и настройки обновлений. Системный администратор может указывать параметры постоянной защиты, определять список приложений, доступных пользователям антивирусной сети на их устройствах, и проводить проверку системы по требованию. Для этого надо зайти в меню «Общие» и разрешить самостоятельное обновление, если сервер недоступен. Пожалуй, для начала все. Наше устройство уже под надежной защитой.