Используют ли ваши сотрудники теневые ИТ — запрещённые в корпоративной среде ресурсы? А может, вы сами являетесь таким работником? В любом случае вам будет интересно узнать, какие риски влекут за собой теневые ИТ и сможет ли справиться с подобными угрозами корпоративный браузер.
- Введение
- Риски теневых ИТ
- Способы борьбы с угрозами теневых ИТ
- Корпоративный браузер против теневых ИТ
- Выводы
Введение
Теневые ИТ — это ресурсы, которые сотрудники используют без одобрения главного ИТ-отдела или службы информационной безопасности. Скажем, работник хранит данные на публичных облачных дисках или применяет сторонний (не встроенный в браузер) менеджер паролей, потому что ему это удобно, но такие сервисы не входят в список доверенных согласно требованиям службы ИБ.
Использование теневых ИТ остаётся распространённым явлением. Так, в опросе Captera о наличии такой практики в своих компаниях сообщили 57 % предприятий малого и среднего бизнеса.
Теневые ИТ не обязательно являются проблемой. В компаниях, где есть такое явление, отмечают, что это повышает удовлетворённость, экономит время сотрудников и может оказать положительное финансовое воздействие в долгосрочной перспективе.
При этом использование теневых ИТ создаёт и множество рисков — как незначительных, так и ставящих под угрозу процессы компании. По данным из недавнего исследования IBM Cost of Data Breach, средний ущерб от одной утечки данных из «публичных» облаков составляет 5,17 млн долларов США. При этом в 35 % проанализированных случаев утечки произошли из неуправляемых окружений — тех самых теневых ИТ.
Риски теневых ИТ
Какие риски возникают при использовании теневых ИТ?
- Сотрудники не всегда разбираются в настройках доступа на внешних сервисах — они могут не знать, например, как открыть доступ только по приглашению, что может привести к непреднамеренной утечке информации. Если же работник забыл или не знал, как отозвать приглашение, то конфиденциальная информация может остаться у покинувших компанию сотрудников, что тоже создаёт риски утечек.
- Внешние сервисы не проходят корпоративную проверку безопасности и могут содержать уязвимости, которые позволят злоумышленникам получить доступ к конфиденциальной информации.
- Внешние менеджеры паролей также могут представлять угрозу корпоративной безопасности. Во-первых, все данные для входа сохраняются во внешнее облако, которое не контролирует организация. Во-вторых, они могут синхронизироваться с личными устройствами, которые защищены слабее. В-третьих, после увольнения у сотрудника могут остаться все пароли и данные для доступа.
- Использование неавторизованных систем для работы может нарушать требования регуляторов — например, по части хранения пользовательских данных.
У организаций есть несколько способов бороться с этими угрозами и минимизировать риски.
Способы борьбы с угрозами теневых ИТ
Первое, что нужно сделать, — обсудить с сотрудниками инструменты, которые они используют. Возможно, некоторые из них можно проверить и разрешить, сократив количество неподконтрольных службе ИБ программ и сервисов.
У этого подхода есть несколько минусов. Во-первых, он не гарантирует честность сотрудников и их вовлечённость в обсуждение. Во-вторых, ПО могут не признать доверенным, даже после дополнительной проверки, и проблема останется. В-третьих, разрешить сервис или программу не значит их контролировать.
Другой, на мой взгляд — радикальный, вариант — заблокировать теневые программы и сервисы на уровне корпоративной сети. Это снизит уровень угрозы информационной безопасности, но только формально: сотрудники могут найти удобную для себя альтернативу или способ обойти блокировку. Кроме того, это может негативно сказаться на продуктивности и лояльности коллектива.
Третий вариант — использовать корпоративный браузер, в котором можно регулировать доступ ко внешним сервисам и управлять им. Объясню, почему это, на мой взгляд, — лучший способ борьбы с подобными угрозами.
Корпоративный браузер против теневых ИТ
Во-первых, используя корпоративный браузер, не придётся отказываться от не одобренных службой ИБ интернет-ресурсов и сервисов. Просто администраторы смогут настроить политику безопасности и ограничить загрузку конфиденциальной информации на такие ресурсы.
Список функций по предотвращению утечек информации (DLP) зависит от конкретного ПО. Например, можно запретить делать скриншоты средствами браузера или копировать информацию с выбранных внутренних сайтов. Кроме того, можно разрешить загрузку данных на внешние ресурсы из определённых локальных или сетевых папок в сети организации, которые находятся под мониторингом службы ИБ.
Во-вторых, корпоративный браузер интегрируется в систему безопасности организации, так что служба ИБ сможет отслеживать использование теневых веб-ресурсов и при необходимости блокировать доступ к ним. В любом случае возможности мониторинга, которые даёт корпоративный браузер, позволяют ИБ-специалистам учитывать фактор теневых ИТ при моделировании угроз, предотвращать и расследовать инциденты, если в них участвовали внешние сервисы.
В-третьих, корпоративный браузер помогает разграничить корпоративные и личные данные сотрудников. К личным учётным записям в популярных интернет-сервисах часто привязаны облачные хранилища: например, «Яндекс ID» даёт доступ к месту на «Яндекс Диске».
Как следствие, у сотрудников появляется возможность намеренно или случайно сохранять корпоративную информацию в личных облачных пространствах. Однако передовой корпоративный браузер позволяет регулировать такие ситуации: например, автоматически выходить из личных учётных записей при работе с корпоративной информацией, а также блокировать доступ к личным аккаунтам или УЗ сторонних организаций.
В-четвёртых, в корпоративном браузере можно задействовать функциональность защиты от обхода политик безопасности. На примере «Яндекс Браузера» для организаций это работает так: можно разрешить доступ к корпоративным веб-ресурсам лишь посредством определённого, одобренного службой ИБ, обозревателя. Иначе говоря, сотрудник не сможет воспользоваться альтернативным браузером, чтобы попасть в финансовую или иную внутреннюю систему с конфиденциальными данными.
Наконец, корпоративный браузер может быть интегрирован в имеющиеся у организации системы безопасности.
- Взаимодействие с DLP-системами позволит усилить защиту от утечек.
- Трансляция событий в системы управления информационной безопасностью и событиями (Security Information & Event Management, SIEM) даст службе безопасности детальную осведомлённость о действиях сотрудников в браузере, в том числе о работе с неавторизованными теневыми сервисами.
- Связанность с системами оркестровки и реагирования на инциденты (Security Orchestration, Automation & Response, SOAR) откроет возможности для автоматизированного отклика на нежелательные события — например, на факты взаимодействия с теневыми сервисами и приложениями.
Выводы
Теневые ИТ таят в себе серьёзные риски, которые нельзя игнорировать. С этим явлением можно бороться и пытаться всё запретить, но можно и встроить внешние веб-ресурсы в существующую инфраструктуру посредством мониторинга и управления.
При обоих подходах правильно настроенный корпоративный браузер станет удобным инструментом для ИТ-отделов и служб безопасности.