Во многих компаниях сотрудники нередко используют свои собственные телефоны для решения рабочих задач. У этого явления даже есть название — Bring Your Own Device (BYOD). Использовать его может быть удобнее, чем отдельный корпоративный смартфон или планшет. А ещё некоторые задачи банально быстрее и проще решить в мобильном формате, а не с настольного компьютера. Однако такая практика может негативно повлиять на безопасность ИТ-инфраструктуры организации.
Через браузер сотрудники получают доступ не только к обычным сайтам, но и к внутренним системам, в которых могут храниться конфиденциальные данные. Если мобильное устройство недостаточно защищено, а обработка корпоративной информации на нём не контролируется, телефон может стать мишенью для злоумышленников.
Например, с помощью фишинга или вредоносного расширения они могут похитить у сотрудника личные логины и пароли. А так как люди нередко используют одни и те же пароли для доступа в разные системы, в том числе и корпоративные, злоумышленники могут получить доступ к чувствительной информации организации. Другими словами, взлом личного цифрового пространства пользователя приводит к возникновению рисков для корпоративной среды, и это один из ключевых недостатков концепции Bring Your Own Device.
Понимая это, мы уже год развиваем и улучшаем Android-версию Яндекс Браузера для организаций, а недавно выпустили версию и для Apple. Корпоративный браузер для iOS доступен сразу в стандартной и в «планшетной» версии и содержит немало защитных функций. Сегодня рассказываем подробнее о них, а также скажем пару слов о нововведениях в Android-версии. Но сначала — про iOS.
Защита от утечек
iOS-версия Яндекс Браузера для организаций защищает корпоративные данные от утечек. В Браузере можно ограничить копирование информации через буфер обмена, скриншоты, отправку на печать, загрузку файлов на внешние ресурсы и загрузку файлов с конфиденциальной информацией в память устройства.
Даже если кто-то решит сделать фотографию или снять видео с экрана, на котором открыт браузер, с помощью внешней камеры, информация в окне браузера будет защищена от утечки с помощью функции цифровых водяных знаков.
Цифровые водяные знаки
Цифровые водяные знаки — это QR-коды, которые автоматически размещаются на веб-страницах поверх важной информации. Такие QR-коды видны на скриншотах и фотографиях экрана. Они содержат информацию о просмотре страницы, например, с какого устройства её открывали, в какую дату и время, с какого устройства в корпоративной сети и так далее. Цифровые водяные знаки можно добавлять как на внутренние, так и на внешние ресурсы, где компания хранит данные. Для этого с помощью специальных политик достаточно указать список сайтов, где нужно разместить QR-коды, задать их размер, количество и прозрачность.
Защита от обхода политик безопасности
Корпоративных браузер для iOS поддерживает функцию «Защита от обхода политик безопасности». Она позволяет настроить взаимодействие пользователей с корпоративными веб-ресурсами так, чтобы доступ к ним можно было получить только из Яндекс Браузера для организаций и ни из какого другого.
Зачем это нужно? Часто инциденты кибербезопасности (заражение корпоративных систем вредоносным кодом или утечка конфиденциальных данных) происходят из-за того, что доступ к корпоративным веб-ресурсам осуществляется без учёта требований службы информационной безопасности (СИБ). Например, через браузер, содержащий уязвимости и не обладающий нужными защитными технологиями. Сотрудник может не знать или забыть о действующих политиках и нарушить их, использовав неразрешённый браузер.
«Защита от обхода политик безопасности» помогает защититься как раз от таких сценариев.
Фильтрация личных и корпоративных учётных записей
В Браузере для iOS работает функция, помогающая разделить личную и корпоративную информацию. Это полезная практика, так как многие пользуются одними и теми же учётными записями с привязанными облачными хранилищами для решения как личных, так и рабочих задач.
К примеру, Яндекс ID. Такой аккаунт есть у каждого зарегистрированного хотя бы в одном из сервисов Яндекса пользователя. К Яндекс ID привязаны в том числе Яндекс Почта, Яндекс Диск и другие сервисы. Пользоваться Яндекс ID в браузере удобно: например, можно синхронизировать закладки, быстро сохранять данные на Яндекс Диске и так далее.
Однако, если войти в корпоративный браузер с личными учётными данными, то корпоративные документы случайно могут оказаться в личном виртуальном пространстве сотрудника.
Поэтому в iOS-версии корпоративного Браузера есть две важные функции:
- Первая автоматически «разлогинивает» сотрудника из Яндекс ID.
- Вторая не позволяет «логиниться» в Яндекс ID под личными учётными записями или учётными записями, привязанными к другим компаниям.
Новое в Android-версии
Как мы уже отмечали выше, вместе с iOS-версией мы существенно обновили версию для Android. В ней доступны все функции версии для устройств Apple и несколько дополнительных.
Корпоративный Яндекс Браузер для Android единственный на российском рынке (и один из немногих на мировом) поддерживает работу с расширениями. В версиях для ПК они существенно облегчают различные рутинные задачи сотрудников, и мы решили сохранить возможность пользоваться ими и в мобильном формате.
Конечно, вместе с пользой расширения могут нести различные ИБ-риски, и поэтому мы предусмотрели несколько функций, позволяющих корпоративным специалистам по безопасности строго контролировать, какие расширения можно устанавливать, а какие — нет. А также откуда и при каких условиях расширения могут скачивать обновления. Контролю обновлений мы уделили особое внимание, так как именно через них на устройство может незаметно попасть вредоносный код.
Другая важная функция, доступная в Android-браузере, — трансляция событий безопасности в системы мониторинга событий информационной безопасности (Security Information and Event Management, SIEM). Подобные системы используются корпоративными СИБ, чтобы контролировать события в ИТ-инфраструктуре и вовремя обнаруживать возможные инциденты.
Так как браузер — одно из самых часто используемых приложений, и с его помощью сотрудники выходят в интернет, вероятность, что какая-либо угроза попадёт в сеть компании именно через него, высока. Именно поэтому ранее мы реализовали функцию трансляции в десктопной версии Яндекс Браузера для организаций, а теперь добавили её и в Android-версию. Это поможет безопасникам вовремя узнавать, что сотрудник столкнулся с чем-то потенциально опасным, работая со смартфона или планшета.
Наконец, мы поддержали интеграцию Android-браузера с внешней DLP-системой (Data Leak Prevention). Хотя у Браузера уже есть собственные функции защиты от утечки, многим организациям удобнее использовать отдельное DLP-решение. Для этого мы и предусмотрели интеграцию: работая в режиме DLP-агента, Браузер (помимо исполнения своей прямой функции) становится также частью DLP-решения, оповещая его о случаях, когда возникает риск утечки конфиденциальных данных, и совместно с DLP-решением блокирует подобные угрозы.
Примечательно, что в режиме агента Браузер не просто замещает аналогичное ПО DLP-решения, но, во-первых, за счёт присутствия на iOS и Android расширяет список разновидностей операционных систем, «видимых» DLP-решениям (так как у многих из них вообще нет собственного мобильного агента), а во-вторых, оптимизирует и улучшает его работу, потому что:
- Даёт больше важного контекста. Например, с его помощью, можно выяснить, что конфиденциальный текст получен из буфера обмена, а стало быть, — точнее определить источник утечки;
- Позволяет сканировать только конкретный тип данных (тексты, изображения, файлы), а не весь трафик.
Защищённый мобильный корпоративный Браузер с централизованным управлением
Ещё одним важным обновлением, актуальным для обеих версий мобильного Яндекс Браузера, стала его интеграция с консолью управления. Консоль — это мощный веб-инструмент, с помощью которого ИТ-администраторы могут централизованно развёртывать Браузер на корпоративном парке устройств и настраивать групповые политики. Ранее мобильный Браузер можно было устанавливать и настраивать только с помощью стороннего MDM-решения (Mobile Device Management), а теперь настройка доступна и с помощью консоли управления тоже. Вместе с парком «настольных» Браузеров.
С выпуском версии для iOS и крупным обновлением версии для Android Яндекс Браузер для организаций стал единственным на российском рынке корпоративным браузером, который работает на всех распространённых платформах и поддерживает важные для корпоративных ИТ-инфраструктур функции администрирования и безопасности. В частности, теперь у ИТ-администраторов стало больше возможностей настроить и защитить инфраструктуру компании от рисков, связанных с концепцией Bring Your Own Device.
Новые функции позволяют управлять доступом к ИТ-инфраструктуре организации со всех типов устройств и лучше разграничивать личные и корпоративные данные на смартфонах и планшетах сотрудников.