Get best of the week

对去过“ udalenka”的人进行实验

半年前,几乎没有人能想到几乎整个办公室人员都会在一夜之间切换到远程工作。安全服务最糟糕的噩梦成真-Zoom,Skype,Telegram,WhatsApp Microsoft Teams,Gmail和其他服务成为讨论业务问题,达成协议,制定决策的主要渠道。机密数据从未如此容易访问和受到攻击,我们已经不止一次,没有两次可以听到。

去了达伦卡

除了信息安全中的世界末日图景之外,远程工作效率的图景也不再被视为拖延,生产力下降和员工不受控制的工作的代名词。并非偶然的是,在莫斯科恢复工作的建筑和工业公司的员工中,有20%继续在家里工作,而VTB联络中心的500多名员工仍然偏远。

通过这种革命性的变革,移动设备的使用已成为其最重要的组成部分之一,而如今已成为一个公理。因此,关于公司流动性的相关性和有效性不再赘述,下文中所有的注意力都集中在其安全性上。

信息安全监管机构建议


俄罗斯和欧洲监管机构在信息安全领域迅速发布了建议,包括在远程工作期间保护公司基础设施的组织和技术措施。

关于组织措施,建议:

  1. 对信息资产进行盘点(如果以前没有动过手的话)。保护“我不知道什么”只有“我不知道怎么做”。
  2. 限制与个人设备的公司网络的连接,因为通常无法保护它们。
  3. 与“人员”进行教育性对话,解释对他们负有的公司机密的责任的严重性。为了不因正当的理由而将这些对话转变为闲聊和公司鼓动,请使用说明性示例以最简单的语言制定规则。例如:

    • 不要连接到未知的WiFi网络,最好通过手机分配Internet。
    • 即使是冠状病毒通讯,也不要从未知来源下载或打开附件。使用官方资源。因此,攻击者不会窃取您的帐户和银行卡的访问权限。
    • 当您离开计算机或移动设备时,请锁定屏幕,以使您的孩子不再开始工作(...并花费您的收入代替您的收入...(作者)。
    • 不要通过未注册的渠道发送公司会议信息给Zoom。通过邮件发送,这样外部人员就不会连接到他们。

技术建议也看起来并不苛刻:

  1. «» . , , , . , «», «» .
  2. .
  3. :
    • . malware, , .
    • , , .
    • . , , .
    • .
    • 监视移动设备-监视应用程序的安装和移动设备的位置,阻止从根目录或越狱到被黑设备的公司网络的连接。
  4. 为了考虑到移动设备的详细信息,除了经典的VPN解决方案和防病毒软件外,您还需要使用UEM(统一端点管理)公司移动性保护系统,该系统已成为移动性世界中的公司Active Directory。我们将在下面更详细地讨论它们。

幸存者的实用建议


(可能会导致轻微的窒息,出汗,但可以保证恢复):

幸存者的实用建议

1.不要依赖用户


将用户视为首先看到他们的手的婴儿。这不仅适用于现场工作人员,企业智能手机可以成为他们生活中首创的现场工作人员(尤其是在该地区),还适用于管理人员。给过去十年仅使用苹果产品的领导者提供Android智能手机,您将发现OH也不是天才。

2.仅安装防病毒和加密工具是不够的


仍然在公共采购门户的开放空间上,有很多可以购买带有VPN和防病毒功能的PROTECTED移动设备。仅使用此刻苦的“绅士风度”设置,您就只能配置设备一次,而没有进一步的可能性来更新保护工具或配置移动设备上的安全策略。

3.并非所有智能手机都同样有用,也不是所有开发人员都具有同等经验


设备越便宜,维护和保护就越昂贵。各种廉价电池优化器不仅不允许保护手段,而且不允许业务应用程序正常工作。购买了此类设备后,人们必须用虚拟的组织措施来弥补实际的安全威胁,他们认为用户永远不会丢失他们的移动设备,自己可以监视软件的相关性和启动状态,并定期更新自己的保护工具,并且仅在受控范围内进行更新。

孩子们相信圣诞老人的存在似乎更有道理。

通常,公司业务应用程序是为公司移动设备编写的。多年来,我们已经看到了很多事情:这两个报告的编写过程都在三个小时内吞噬了iPad,并且每天发布六个版本的一个应用程序。另一卷“交通回忆录”可用于管理应用程序设置。迟早,每个人都会得出结论,必须远程分配部分应用程序设置(例如服务器地址或许可证),以便用户不必手动输入它们。 IOS和Android具有用于远程分发设置的内置机制,但通常在做出“独特”机制后会“记住”它们。最“创意”的方法是根据所需设置创建单独的应用程序构建。结果,您不必交付几行带有设置的设置到数千个设备,而必须交付一个40 MB的应用程序。

预先考虑应用程序的可管理性。

4.大老板和人文无法再读


远程访问的典型体系结构:

典型的远程访问架构

I.在企业网络的外围,所谓的 在非军事区中,除了防火墙和入侵检测与防御工具外,还安装了VPN加密网关,可终止所有远程访问流量。

二。可以使用以下方式组织对公司服务的远程访问:

  • 虚拟桌面技术,VDI。建议使用VDI,提供对最敏感信息的访问权限,这些信息不应离开公司范围,而应在移动设备上脱机处理。
  • , . , , .
  • , UEM-. , .


三, UEM系统具有两个功能块:公司移动性管理EMM(企业移动性管理)和移动设备MTD(移动威胁防御)的安全性分析。第二部分包括防病毒功能和所谓的合规性,或者包括检查移动设备是否符合安全性要求。特别是在检测到设备被入侵的迹象时,删除公司数据。

IV。客户端设备可以是任何设备。与基于Android和iOS的传统移动设备一起,现代UEM系统使您可以基于Windows和macOS控制笔记本电脑。俄罗斯的现实为Astra Linux笔记本电脑和平板电脑以及基于Aurora OS的移动设备增加了这一功能。所有这些“动物园”都需要进行管理,并且非常需要为此提供一个平台,而不是不同供应商的决策所带来的折衷““”。
例如,SafePhone
V.由于几乎所有公司的IT服务现在都超负荷运转,因此它们需要一种UEM工具,该工具不需要经常处理。我同意安全服务的限制策略,对其进行设置,按用户组确定典型的应用程序及其设置,并且仅偶尔监视用户如何自动连接。应该寻求这一点。

一些无聊的建议而不是结论


如果使用公司iOS设备,则在将其发布给用户之前,请将其置于受监管的模式下。这是一种特殊的模式,其中不需要用户确认的基本禁止和设置可用。因此,使用Apple技术更安全,更方便。重要的是,在发布设备之前,请切换到受监控的模式,因为iOS设备备份包含监督指示。这意味着用户将无法从备份设备还原数据,直到将其传输到所需的模式。很难想象一位领导者的反应,这位领导者一年前获得了公司的iPad,现在被要求将其交给IT人员,以防止备份中的数据丢失。

考虑“公司”购买的移动设备。移动设备在消费市场中的普及程度通常取决于价格/质量的比率,质量的概念主要由硬件来确定-内核数,处理器时钟速度,屏幕分辨率等。公司市场上使用的设备需要进行不同的选择,因为它们的实际价值不仅包括硬件价格,还包括其连接,配置和后续维护所需的工时,以及间接地从与之相关的信息安全风险中与他们的使用。不要购买太便宜的设备。节省下来的购买资金不足以支付服务他们的工作人员的薪水。选择能够确保在公司中快速安全地使用移动设备的可靠制造商。

在设计典型的禁令时,安全服务通常会遵循“我不知道为什么会这样,因此应予以禁止”的原则。从信息安全的角度来看,这是正确的,但是在下一轮拧紧之后,用户可以``断开线程'',他将永远对公司电话进行充电,并且他将使用其个人电话提供不会干扰但可以帮助他工作的服务。不要安全弯曲
不要担心向企业移动性的过渡。
如果您有任何疑问或疑问,请联系特殊设计局科学研究所的专业人员

More articles:


All Articles