В условиях работы из дома, возвращения в офис и всего того, что происходит между ними, политика использования собственных устройств (Bring Your Own Device, BYOD) еще никогда не оказывала столь сильного влияния на уровень безопасности предприятия.
ИТ-отделы и службы безопасности “вытащили (не)удачную соломинку”: обеспечить доступ к бесчисленным облачным приложениям и защитить хранящиеся в них данные на персональных устройствах – задача не из легких.
Есть и хорошие новости: существуют лучшие практики обеспечения безопасности BYOD, которые позволяют снизить большинство рисков. В первую очередь, к ним относятся:
Обзор основных положений
1. Ознакомление с политиками безопасности BYOD в письменном виде
2. Постоянное обучение по вопросам безопасности
3. Усиление безопасности учетных записей и устройств
Повышение уровня безопасности
4. Внедрение принципа нулевого доверия
5. Борьба с теневыми ИТ
6. Внедрение надежных средств контроля безопасности данных
Обеспечение исполнения, как у экспертов
7. Предотвращение угроз, связанных с вредоносным ПО
8. Получение видимости и контекста устройств
9. Защита данных везде, где бы они ни находились
Начнем с рассмотрения основных принципов
1. Изложите свои политики безопасности в письменном виде
Политики допустимого использования являются обязательным условием для корпоративных устройств, и они должны применяться и для личных устройств, имеющих доступ к корпоративным ресурсам.
Скорее всего, в большинстве организаций уже существуют официальные политики BYOD, но если у вас их нет, то ваша политика должна включать такие основные критерии, как разрешенные устройства, требования к их безопасности, контроль над ними со стороны ИТ-отдела и общие рекомендации по использованию персональных устройств.
2. Повышение уровня осведомленности о безопасности
Повышение уровня осведомленности о безопасности – это стандартная практика обеспечения безопасности BYOD, которая в значительной степени способствует снижению рисков, таких как фишинг, вредоносное ПО и даже угрозы физической безопасности.
Проводите регулярные тренинги по безопасности, в первую очередь по предотвращению компрометации учетных записей или утечки данных. Это касается как социальной инженерии (например, фишинга), так и правильного использования таких приложений, как ChatGPT.
3. Укрепление основ
Поощряйте использование нескольких паролей, уделяя особое внимание отказу от использования одного пароля как в личных, так и в корпоративных приложениях.
Не менее важно информировать пользователей о рисках физической безопасности при использовании личных устройств для работы. К ним относятся потеря устройства, оставление ноутбука открытым и незаблокированным, когда в комнате находятся посторонние, или даже возможность увидеть конфиденциальную информацию через плечо или с одного взгляда.
4. Внедрение принципа Zero Trust
Одной из наиболее важных практик обеспечения безопасности BYOD является внедрение принципа Zero Trust, требующего проверки и авторизации каждого действия. Это эффективный способ минимизировать латеральное перемещение в случае компрометации учетной записи, а также упростить безопасный доступ к облачным, веб- и частным приложениям.
Рассмотрите возможность внедрения технологий безопасности, позволяющих реализовать принцип наименьших привилегий, чтобы сотрудники на любом устройстве имели доступ только к тем инструментам, которые необходимы им для выполнения работы. Хорошими отправными точками являются технологии Zero Trust Network Access (ZTNA) и Zero Trust Web Access (ZTWA).
5. Предотвращение теневых ИТ
Существует более 800 000 облачных приложений, и любое из них представляет собой потенциальный риск утечки или нарушения данных. И если вы хотите ограничить их использование, то не стоит быть слишком строгим – это приведет к тому, что сотрудники найдут способ обойти правила и подвергнут организацию еще большему риску.
Обеспечьте широкую видимость и контроль над облачными приложениями с помощью Cloud Access Security Broker (CASB), который использует обратный прокси-сервер и имеет защиту без агентов. Это позволяет охватить все «облачные» приложения, а не только те, с которыми интегрируется CASB, и распространить политики безопасности на персональные устройства, на которые сотрудники могут не захотеть загружать агента.
6. Пресечь кражу и утечку данных на корню
Внедрение надежных решений по обеспечению безопасности данных, позволяющих обнаруживать, классифицировать, определять приоритеты, защищать и контролировать взаимодействие с данными.
В конечном итоге организации с передовыми стратегиями обеспечения безопасности данных могут внедрить риск-адаптивную защиту, позволяющую автоматически корректировать политики в зависимости от контекста и поведения пользователей, чтобы остановить угрозы.
Применение лучших практик обеспечения безопасности BYOD, как это делают эксперты
7. Предотвращайте – а не просто обнаруживайте – угрозы
Предотвращение рисков – это главное в игре, когда речь идет о лучших практиках безопасности BYOD. Именно поэтому важно склоняться к решениям, предотвращающим угрозы до того, как они успеют возникнуть, а не к инструментам, которые действуют после обнаружения угрозы.
Удаленная изоляция браузера (Remote Browser Isolation, RBI) и Zero Trust Content Disarm & Reconstruction (CDR) – два отличных примера. RBI отображает все сайты в безопасном контейнере, позволяя пользователям работать с ними в обычном режиме, даже если они содержат вредоносное содержимое. Zero Trust CDR предотвращает запуск известных или неизвестных атак на файлы, воссоздавая документы с помощью извлеченной из них проверенной информации. В сочетании с Secure Web Gateway (SWG) все три технологии обеспечивают ZTWA.
8. Обеспечение видимости всей сети
Программно-определяемые глобальные сети (SD-WAN) предоставляют организациям множество аналитических данных по безопасности о том, что происходит в их сети.
С помощью Forcepoint Secure SD-WAN компании могут использовать агент Endpoint Context Agent (ECA) для лучшего понимания устройств и пользователей, которые получают доступ к сети. Развертываемый на конечных устройствах, он обеспечивает детальную видимость трафика и информацию о пользователе, устройстве и используемом приложении, что позволяет более эффективно обнаруживать и предотвращать угрозы.
9. Обеспечение безопасности данных повсеместно
Применение и поддержка политик безопасности данных при различных способах доступа к ним только усложняет политику BYOD.
Решение Data Security Everywhere упрощает обеспечение безопасности BYOD. Один раз настройте политики в Forcepoint DLP и без проблем распространите их на Forcepoint ONE CASB, ZTNA или SWG, чтобы применить ту же защиту к облаку, веб, электронной почте, конечным устройствам, сети и частным приложениям.
