Независимо от стратегии, компании должны подходить к защите неуправляемых устройств с пониманием и уважением к частной жизни сотрудников, пишет на портале Dark Reading Джефф Шайнер, генеральный директор 1Password.
Одна из моих любимых вещей в работе в сфере безопасности и в технологиях в целом — это общее отношение, что ни одна проблема не является неразрешимой. Во имя безопасности мы перевели практически весь Интернет с «http» на «https». Очевидно, что мы не боимся трудностей. Но есть одна проблема, которую многие компании даже не пытались решить, и само ее название говорит о некой капитуляции: неуправляемые устройства.
Говоря «неуправляемые устройства», мы имеем в виду ноутбуки, планшеты и телефоны, которые сотрудники используют на работе, но на которые не распространяется решение для управления мобильными устройствами (MDM). Поэтому они находятся вне поля зрения и контроля службы безопасности или ИТ-отдела, часто потому, что у компании нет эффективного способа предотвратить аутентификацию личных устройств. Такие устройства могут принадлежать подрядчикам, пользователям Linux или сотрудникам, использующим личные устройства в соответствии с политикой «принеси свое устройство» (BYOD). Исследование, проведенное компанией Kolide в 2022 г., показало, что 47% компаний разрешают неуправляемым устройствам получать доступ к ресурсам организации. Это означает, что почти половина позволяет конфиденциальным данным быть доступными на устройствах без каких-либо гарантий.
Отчасти эта проблема заключается в том, что до недавнего времени наличие неуправляемых устройств могло сойти вам с рук — вы могли пройти аудит SOC 2 или заполнить анкету безопасности, не акцентируя на них внимания. Но эти детали не будут иметь значения для ваших клиентов в случае утечки информации с неуправляемого устройства. Честно говоря, никто из нас и представить себе не может, что наши конфиденциальные данные окажутся дома на незашифрованном жестком диске разработчика, который не обновлял свою ОС в течение шести месяцев.
Учеба на собственном горьком опыте
За последние несколько месяцев или лет многие компании на собственном опыте убедились в опасности неуправляемых устройств. Отдельное неуправляемое устройство — это бомба замедленного действия. Будь то устаревшее ПО с известными уязвимостями, хранение незашифрованных учетных данных или ключей SSH, отсутствие базовых средств защиты, таких как блокировка экрана — список серьезных рисков, которые могут скрываться на этих устройствах, можно продолжать до бесконечности. Подумайте вот о чем: в 2024 г., по данным Microsoft, ошеломляющие 92% атак с использованием вымогательского ПО были связаны с неуправляемыми устройствами. Если это не тревожный сигнал, то я не знаю, что это.
Справедливости ради следует отметить, что руководители служб безопасности и ИТ-отделов сталкиваются с реальными проблемами при работе с неуправляемыми устройствами. Их традиционные инструменты безопасности, а именно MDM, не предназначены для работы с такими устройствами, поэтому руководители не знают, как даже начать получать информацию о них, не говоря уже о том, чтобы привести их в соответствие с требованиями. Тем не менее, «трудно» — это не то же самое, что «невозможно», и дальновидные руководители служб безопасности активно ищут решения проблемы неуправляемых устройств.
В конце концов, мы привыкли решать сложные задачи. Я помню, как много лет назад стала набирать обороты идея нулевого доверия, и индустрии пришлось переосмыслить проверку личности и аутентификацию. Это потребовало от нас агрессивной борьбы с самым распространенным инструментом безопасности того времени — паролем. И сегодня, хотя многое еще предстоит сделать, видно, как далеко мы продвинулись. Многофакторная аутентификация (MFA) и единый вход (SSO) все чаще становятся нормой, методы беспарольной аутентификации, такие как ключи, набирают обороты, а менеджеры зашифрованных паролей подняли планку безопасности учетных данных.
Теперь неуправляемые устройства представляют собой следующий рубеж нулевого доверия, и для решения этой проблемы нужен такой же творческий и многоуровневый подход. Каждой компании потребуются различные стратегии для эффективной защиты каждого сотрудника, приложения и устройства.
Важно отметить, что это не означает, что мы должны полностью отказаться от BYOD. Разрешение сотрудникам использовать те устройства, с которыми им удобнее работать, вызвало волну творчества и продуктивности, которую мы должны принимать и поддерживать, а не подавлять. Например, торговый представитель должен иметь возможность проверять электронную почту на своем личном телефоне, без блокировки его MDM и ПО для обнаружения и реагирования на угрозы на конечных точках (EDR). Однако очень важно соблюдать баланс: компании должны как минимум проверять, что эти устройства принадлежат утвержденным пользователям, и не допускать неизвестные конечные точки к ресурсам компании. Даже такие, казалось бы, «малоопасные» приложения, как электронная почта, могут дать злоумышленникам решающий плацдарм.
Сценарии, не подлежащие обсуждению
В сценариях с более высокими ставками, например, ноутбук, принадлежащий разработчику с повышенным уровнем доступа, более строгие меры безопасности должны быть необсуждаемыми. Эти устройства, безусловно, не должны быть неуправляемыми — и, кроме того, необходимо обсудить, являются ли «управляемые» устройства достаточно безопасными, учитывая ограничения, присущие MDM.
В конце концов, разные компании будут по-разному относиться к неуправляемым устройствам, в зависимости от допустимых рисков и требований к соблюдению нормативных требований. Однако независимо от стратегии, мы должны подходить к этому вопросу с деликатностью и уважением к частной жизни сотрудников. Давайте не будем забывать, почему
Обеспечение безопасности неуправляемых устройств не будет простым и понятным, но это вызов, который мы должны принять с умом. Для начала необходимо осознать все нюансы и сложности проблемы, а главное — начать прямо сейчас.
