Переосмысление мобильной безопасности на рабочем месте после COVID

Источник · Перевод автора

В мире корпоративной мобильной безопасности иногда ужасные ситуации заставляют срезать углы безопасности, чтобы сохранить компанию. И COVID-19, вынуждающий компании опустошать офисные здания и перемещать все (и всех) в удаленные места, и облако в марте 2020 года является классическим примером. К сокращенным путям безопасности привело не только резкое изменение работы на дому, но и тот факт, что компаниям обычно приходилось переходить на этот переход за несколько дней.

Добавьте к этому возросшие проблемы с безопасностью IoT – особенно когда устройства IoT в домашних условиях получают доступ к глобальным системам через VPN, иногда распространяя вредоносное ПО по конвейеру, – и у вас будет беспорядок. В недавнем отчете Verizon по безопасности мобильных устройств об этом прямо говорится:

«Почти половина респондентов признали, что их компания сознательно срезала углы в области безопасности мобильных устройств. Это больше, чем в нашем отчете за 2020 год, когда этот показатель составлял 46%. В нашей выборке Интернета вещей эта доля возрастает до двух третей [67%]. А из оставшихся 38% (27% IoT) вынуждены были это сделать. Другой способ взглянуть на это: 68% оказались под давлением, чтобы срезать углы, и 72% из них сдались».

Небольшое примечание, чтобы рассмотреть эти цифры в контексте: это опрос. Сколько руководителей службы безопасности знали, что они срезали углы, но боялись признаться в этом письменно? Специалисты по безопасности лучше, чем кто-либо, знают, насколько легко может произойти утечка данных. Так что реальность, вероятно, даже хуже, чем предполагают данные Verizon.

Есть более пугающая проблема: поскольку я сижу здесь примерно через 13 месяцев после того, как это произошло, слишком много дыр еще предстоит заткнуть. Директора по информационной безопасности и ИТ-команды были настолько безумно заняты (и недоукомплектованы), просто пытаясь поддерживать работу и не создавать новых дыр в безопасности, что у них не было возможности исправить старые уязвимости.

Это означает, что руководители высшего звена – финансовые директора, операционные директора и генеральные директора – должны составлять бюджет и настаивать на внесении исправлений.

А пока вот несколько простых способов ремонта, которые помогут снизить риски, связанные с COVID:

Двойные локальные сети на удаленных объектах, особенно в домашних офисах

Это просто сделать, относительно недорого (в худшем случае вам нужно будет купить по одному дополнительному маршрутизатору для каждого сайта) и резко снизит вашу подверженность любым демонам, исходящим от домашних устройств потребительского уровня, включая детей. ‘игры, домашние устройства IoT и ноутбуки / телефоны, которые также посещают сайты с повышенным риском и бесплатно загружают Бог знает что.

Правило политики простое. На данный момент вам необходимо создать только корпоративную локальную сеть, и все корпоративные устройства должны использовать эту локальную сеть и только эту локальную сеть. Это означает, что ноутбук используется исключительно в рабочих целях. Что касается выделенного телефона, то это тоже.

Еще раз посетить BYOD

Позвольте мне подчеркнуть: идея состоит в том, чтобы полностью и тщательно изучить политику BYOD, а не отказываться от нее. Для этого слишком много переменных. Ключевая деталь: определитесь, какими будут планы вашего предприятия по удаленной работе в конце 2021 года и на весь 2022 год.

Когда большинство предприятий перешли на BYOD (конечно, не все), они сделали это при совершенно иных обстоятельствах. Для BYOD всегда существовал статистический анализ рисков, а именно что-то вроде:
“Давайте сделаем это, но, учитывая, что 90% корпоративных коммуникаций осуществляется не с помощью личного мобильного телефона, есть предел тому, сколько проблем мы можем получить”. Это та же самая логика, которая допускала неоптимальную безопасность в домашних офисах до COVID-19. Учитывая, что в среднем на предприятии 10% или меньше сотрудников работали из дома, некоторые считали ненужным / нерентабельным тратить большие деньги на их обеспечение.

Но сегодня, когда на удаленных объектах и ​​через мобильные устройства происходит гораздо больше активности, BYOD необходимо пересмотреть.

Возвращаясь к моему первому предложению (двойная локальная сеть), есть предел снижения риска, если сотрудник / подрядчик попадает внутрь смартфона, который также обращается к сайтам с высоким уровнем риска и включает подозрительные приложения. Чтобы получить максимальную выгоду от корпоративной локальной сети, вам нужно стать строгим, что означает переосмысление своей политики BYOD.

Некоторые другие соображения: подход с разделением оказался успешным лишь частично. Одним из аргументов в пользу разделения личных и корпоративных данных и приложений на телефоне является то, что, если корпоративные данные сообщаются об исчезновении или краже, ограниченная удаленная очистка может защитить корпоративные данные, не затрагивая личные данные.

Но это дало неоднозначные результаты, что, в свою очередь, заставило ИТ-специалистов отказаться от удаленного удаления данных. Чем дольше удаленная очистка не выполняется (возможно, чтобы дать сотруднику / подрядчику больше времени, чтобы попытаться найти устройство), тем более бессмысленным это становится. Специалисты в области ИТ и безопасности должны предположить, что потерянный телефон принадлежит злоумышленнику.

Напротив, корпоративное устройство, по-видимому, будет легче стереть, поскольку нет опасности, что личная информация будет потеряна.

Еще одно соображение: смартфоны в 2021 году будут использовать все больше и больше возможностей для резервного копирования. Это означает, что даже удаленная очистка не защитит все корпоративные данные. Допустим, сотрудник или подрядчик увольняется, увольняется или увольняется. Эти резервные копии неизменно находятся вне досягаемости ИТ. На хорошо управляемом корпоративном устройстве контролируется больше данных.

Кроме того, сегодня удаленная очистка уже не такая, как раньше. Когда-то это требовало буквально стирания всех данных с телефона. Хотя технически он все еще так и поступает, в большинстве случаев это не просто стирание, а отключение от корпоративных активов (почти всегда в облаке). Это по-прежнему работает даже на устройстве BYOD.

Еще раз об управлении мобильными устройствами

В отличие от BYOD, идея здесь не в том, чтобы пересмотреть, следует ли вам использовать управление мобильными устройствами (MDM) или нет, а в том, чтобы решить, какого поставщика выбрать и пора ли обновить или пересмотреть свои решения по конфигурации. Поскольку мобильные устройства стали гораздо более распространенным механизмом управления данными, переосмысление MDM в 2021 году может привести к другим решениям.

Короче говоря, вы можете оправдать затраты на решение MDM более высокого уровня уже сегодня. Подсчитайте цифры, проведите встречи, рассмотрите варианты продуктов сегодня и узнайте.

Дуг Барбин, директор консалтинговой фирмы Schellmen & Co. (и по-настоящему проницательный аналитик), утверждает, что «технология MDM продвинулась вперед, поэтому она больше не является принципом« все или ничего». Все поспешили получить доступ, но вам не нужен весь этот доступ. Барбин подчеркивает, что ИТ-администраторы и администраторы безопасности уделяют меньше внимания цели с наименьшими привилегиями, чем следовало бы. «Они предоставили пользователям доступ ко всему, что им нужно, а затем снова начали работать».

Это хрестоматийный пример противоположности наименьших привилегий.

Как справиться с отказом пользователя

Самая большая проблема с усилиями по обеспечению безопасности предприятий, связанных с пандемией, сегодня – это популярная рационализация пользователей (а часто и менеджеров): «Я просто пытаюсь делать свою работу».

Это почти всегда код: «Ваши требования к безопасности требуют слишком много времени и усилий. Сейчас я активно пытаюсь их обойти». Это началось сразу же с COVID-19, когда VPN (наблюдая резкое увеличение использования) стали медленно сканировать, и пользователи отчаянно пытались их обойти, чтобы выполнить свою работу. Руководители подразделений часто либо аплодировали этим усилиям, либо агрессивно игнорировали их.

Это было доказательством того, что корпоративная безопасность и ИТ-специалисты недостаточно хорошо реализовали преимущества соблюдения правил безопасности. Это тоже нужно переоценить.

За последние 13 месяцев компании извлекли много уроков, некоторые из них были хорошими, а некоторые – плохими. Когда дело доходит до безопасности, сейчас самое время переосмыслить, как поступали в прошлом и как они должны выглядеть в будущем.