Безопасность конечных узлов локальной сети — настольных ПК и ноутбуков сотрудников — всего с десяток лет назад не было принято рассматривать как отдельное направление корпоративной системы ИБ. Просто потому, что концепция «защищённого периметра» предусматривала отсечение ключевых угроз ещё на границе локальной сети, а запущенного на компьютере антивируса вполне хватало для нейтрализации менее критичных инцидентов. С внедрением практик BYOD (bring your own device — «приносите [на работу] своё собственное устройство») само понятие «периметра» локальной сети размылось, а массовый переход к удалённой, а впоследствии гибридной организации офисного труда сделал его окончательно неактуальным.
Сегодня заказчикам из самых разных отраслей бизнеса необходимо обеспечивать информационную безопасность сотрудников, исполняющих рабочие задачи буквально повсеместно, где только есть Интернет. Полагаться при этом на одни лишь программные решения и на осознанное следование работниками предписанным начальством политикам безопасности было бы крайне опрометчиво. В отсутствие постоянного непосредственного контроля со стороны менеджеров, ИТ- и ИБ-служб сотрудники склонны с гораздо меньшей, чем внутри офиса, осмотрительностью воспринимать возможные киберугрозы. Предлагаемое HP Inc. обновлённое семейство бизнес-ноутбуков EliteBook оснащено обширным комплектом средств обеспечения компьютерной безопасности— и способно существенно повысить уровень защиты данных вне зависимости от текущей локации сотрудника.
Безопасность должна быть максимальной
Недавно опубликованный отчёт HP Wolf Security «Rebellions & Rejections» свидетельствует не просто о наличии, но о ярком проявлении противоречий между ИТ- и ИБ-специалистами, отвечающими за надёжность и конфиденциальность корпоративных данных, с одной стороны, — и работающими с этими данными сотрудниками, с другой. Часто удалённые работники подключаются к информационным ресурсам компании из локаций, защищённость которых от потенциальных утечек и компрометации данных по меньшей мере сомнительна: из коворкингов, бесплатных зон покрытия Wi-Fi на улицах, в парках, ресторанах и т. п.
Разумеется, для противодействия ожидаемым угрозам специалисты усиливают меры безопасности — вводят двух- и многофакторную аутентификацию, ограничивают на уровне ОС доступ с корпоративного ноутбука к посторонним веб-сайтам, установку и запуск не относящихся к работе приложений и т. п. Действия вполне разумные, однако сотрудники (в особенности 18-24-летние «зумеры», привыкшие обращаться с гаджетами наиболее вольно), по данным отчёта, встречают эти усилия без адекватного понимания. Более того: 91% респондентов сообщили, что вынуждены идти на компромиссы в вопросах безопасности — в угоду сохранению непрерывности бизнеса.
Проблема заключается в том, что усиление мер ИБ в подавляющем большинстве случаев оборачивается для сотрудников досадными неудобствами: увеличенным временем подключения к сетевым ресурсам, дополнительными задержками при прохождении многофакторной аутентификации, необходимостью подключаться к VPN-каналу, авторизовываться и т. п. Почти половина — 48% — опрошенных HP Wolf Security офисных работников отметили, что меры безопасности приводят к значительной потере времени, причём в возрастном сегменте
Очевидно, что удалённый и, шире, гибридный формат работы в обозримой перспективе продолжит оставаться новой нормой. Угрозы ИБ компаний в этих условиях будут лишь усиливаться — поскольку организовать результативную атаку на распределённый офис злоумышленникам действительно проще (точнее, для этого существует значительно больше возможностей), чем преодолеть хорошо укреплённый «периметр безопасности» офиса.
А значит, ответственным за принятие решений владельцам бизнеса (включая малый), топ-менеджерам средних компаний, руководителям ИТ- и ИБ-подразделений в крупных корпорациях необходимо делать ставку на такие ноутбуки, в которые ещё на этапе проектирования заложен продвинутый комплекс передовых технологий надёжной системы ИБ. А именно, на новейшие HP EliteBook, оснащённые разнообразными функциями безопасности для защиты от кибератак, своевременного их обнаружения и восстановления после успешного разрешения инцидентов.
Безопасность как необходимая привилегия
Разработчики HP уделяют безопасности персональных компьютеров особое внимание. Ноутбуки и настольные ПК этой компании предлагают программные и аппаратные средства для усиления ИБ, действующие как внутри операционной системы, так и на уровне BIOS, и для запускаемых в ОС приложений, готовые противостоять не только известным угрозам, но и тем новейшим векторам атаки, которые на текущий момент ещё не изучены даже глобальными специалистами.
В настоящее время бизнес-ноутбуки HP EliteBook предлагают своим пользователям обширный арсенал программно-аппаратных решений, нацеленных на противодействие информационным угрозам и усиление защищённости данных, с которыми на этих ПК производится работа. Особого упоминания заслуживают:
- HP SURE VIEW Gen 4 Reflect — встроенный в дисплей фильтр приватности, предохраняющий выводимую на экран информацию от посторонних взглядов, избежать которых при работе вне офиса часто не удаётся. Сидящий непосредственно перед ноутбуком пользователь в полной мере воспринимает все достоинства яркого дисплея с великолепной цветопередачей, тогда как уже при взгляде под углом 35º и более от центральной оси контрастность изображения существенно снижается, так что даже сделанный тайком снимок экрана из-за плеча пользователя не позволит злоумышленнику заполучить никакую ценную информацию. Технология эта аппаратная, работает независимо от установленной ОС и активируется специальной кнопкой;
- HP Sure Start — доступная на EliteBook
800-й и1000-й серий технология зашиты от вторжения на уровне BIOS, а также гарантированно безопасного его самовосстановления. Ещё до того, как ОС загрузится, HP Sure Start сверяет образ BIOS с контрольной суммой. Если совпадения нет, это значит, что BIOS был несанкционированно изменён — скорее всего, вирусом либо злоумышленником. В этом случае автоматически, безо всяких дополнительных настроек и действий со стороны пользователя, производится восстановление BIOS из защищённого образа; - НP Sure Run — средство обеспечения работоспособности и защиты программных компонентов системы безопасности ПК и наиболее важных процессов операционной системы. Поскольку эти программные решения также могут быть подвергнуты компрометации в ходе не распознанной традиционным антивирусом атаки, HP Sure Run непрерывно контролирует их состояние и уведомляет пользователя (а также и ИТ-подразделение заказчика) об обнаруженных несоответствиях. Кроме того, HP Sure Run автоматически перезапускает ключевые службы в случае их остановки, исключая тем самым риск незаметного для пользователя отключения защитных систем компьютера вследствие программного сбоя;
- HP Sure Recovery — система автоматизированного восстановления образа ПО из сетевого источника. Создавать такой резервный образ можно либо вручную разово, либо по расписанию. Образ на уровне ОС, который может храниться локально либо на сервере клиента, включает все необходимые исправления и драйверы; он защищён от несанкционированных изменений и подписан цифровой подписью. Следует отметить, что технологии HP Sure Start, HP Sure Run и HP Sure Recovery контролируются благодаря фирменному криптозащищённому микроконтроллеру безопасности HP Endpoint Security Contriller, который присутствует в HP EliteBook серий 800 и 1000;
- НP TamperLock — Средство предотвращения атак на физическом уровне, имеющих целью попытку внедрить в ноутбук шпионские модули, считать данные из работающей памяти, изменить накопитель на «свой» с закладками. Фиксирует факт отделения нижней крышки ноутбука с целью получить доступ к накопителям, модулям памяти и т. п. и информирует об этом пользователя.
Надёжность может быть комфортной
Главная причина скептического отношения пользователей на удалёнке к ИБ, о котором свидетельствует упомянутое ранее исследование HP Wolf Security, — стремление как можно более упростить себе жизнь; не тратить дополнительное время и усилия на следование дотошным корпоративным протоколам безопасности. Новейшие бизнес-ноутбуки HP EliteBook позволяют обеспечивать высочайший уровень ИБ при дистанционном подключении к корпоративным ресурсам, требуя притом минимальных усилий со стороны конечного пользователя. Достигается это, опять-таки, за счёт целого ряда фирменных аппаратно-программных решений:
- датчик присутствия HP Presence Aware с разрешением 64 пикселя (8×8 точек) ведёт непрерывный мониторинг присутствия человека перед ноутбуком, не нарушая притом его приватности, поскольку в таком разрешении различить возможно лишь силуэт. Стоит пользователю покинуть рабочее место, как система автоматически блокируется — и автоматически же запускаются авторизационные механизмы (Windows Hello и др.). В результате ключевое требование корпоративной ИБ «никогда не оставлять незаблокированный ноутбук без присмотра» выполняется, опять-таки, автоматически. HP Presence Aware доступна для HP EliteBook
1000-й серии; - шторка приватности либо всплывающий механизм веб-камеры, которая присутствует во всех HP ProBook с
400-й серии и всех EliteBook, уверенно блокирует видеопоток со стороны пользователя так, чтобы даже случайное включение веб-камеры не привело к утечке видеоданных. Для ноутбуков Elitebook 1000 series G8 применяется электромотор, производящий закрытие камеры шторкой по нажатию кнопки; - криптопроцессор HP TPM (Trust Platform Module) хранит ключи шифрования и может применяться для авторизации на различных ресурсах. Доступен в виде программного агента, на уровне микрокода процессора и BIOS либо как дискретный модуль. Именно дискретная микросхема TPM присутствует в HP ProBook начиная с
400-й и всех EliteBook; - система безопасной очистки накопителя HP SECURY ERASE позволяет не беспокоиться о сохранности корпоративных данных в случае, если ноутбук сдаётся для ремонта в сервисный центр либо по завершении срока службы реализуется на вторичном рынке. Очистка производится через BIOS путём многократной перезаписи накопителя случайными данными, сертифицированной по стандарту NIST SP 800-88r1 «Clear»;
- многофакторная аутентификация HP MFA позволяет нивелировать один из ключевых векторов атак на информационные ресурсы предприятий: подбор пользовательских паролей. Как свидетельствует статистика, современные компьютеры способны простым перебором вскрывать до 90% паролей не более чем за 24 часа. С использованием же MFA, доступной HP начиная с
400-й серии и всех EliteBook,, парольная защита требует непременного дополнения другим фактором безопасности, не связанным с вводом пароля. Для авторизации в системе необходимо скомбинировать корректный пароль с вводом отпечатка пальца, или распознаванием лица, или предъявлением смарт-карты и т. д., — всего до 3 независимых факторов для EliteBook и до 2 для ProBook . В результате злоумышленник, даже имея на руках верный пароль, не получит доступа к сохранённым на компьютере данным.
HP предлагает также дополнительное портфолио программных решений безопасности Wolf Security, основанное на принципах «нулевого доверия» и позволяющее заметно снизить нагрузку на ИТ-персонал заказчика — за счёт самовосстанавливающихся микропрограмм, автоматического обнаружения утечек памяти облачных интеллектуальных технологий.
Разнообразных атак на гибридную ИТ-инфраструктуру становится всё больше, и переведённые на удалённый режим работы сотрудники испытывают в связи с этим всё более сильное психологическое давление. Решения НР, доступные в новейших её бизнес-ноутбуках, разнообразны и современны; они работают на всех уровнях, незаметно для пользователя и притом крайне эффективно. Это именно то, что требуется современному заказчику: максимально безопасное, незаметное, непрерывное обеспечение информационной защиты бизнес-коммуникаций в офисе или вне его.
Новейшие технологии HP позволяют развеять опасения пользователей — и дают заказчикам уверенность, что досконально выполнять даже самые строгие протоколы информационной безопасности сотрудникам, оснащённым новенькими HP EliteBook, станет значительно проще. А значит, идти на компромиссы в плане обеспечения ИБ ради непрерывности развития бизнеса больше не придётся.
