Безопасность приложений Enterprise 2.0 на рабочих местах

Приложения класса Enterprise 2.0 стали популярными. Они обеспечивают высокую производительность и гибкость при организации сотрудничества, дают богатые возможности для совместного использования и интеграции информации, прежде недостижимые на предприятиях. Но в отличие от традиционных корпоративных приложений они были созданы не на самих предприятиях. В большинстве своем они выросли из ориентированных на потребителя инструментов поиска, связывания и маркировки данных, которые в последующем обрели возможности, необходимые для создания документов, распространения их по сетям, а также для организации коллективного доступа к этим документам.

В результате сегодня свыше 95% предприятий в мире используют Facebook и Twitter. Доля тех, что применяют Google Docs, за 2009 г. подскочила почти в три раза и превысила 80%, а используемая для доступа к Twitter пропускная способность сетей взрывообразно выросла почти в восемь раз. Но это нельзя считать недостатками.

Подлинные проблемы, возникающие в связи с приложениями Enterprise 2.0, связаны с их изменчивостью. Разработчики этих приложений были прекрасно знакомы с инфраструктурой, обеспечивающей безопасность предприятий, и нашли способы ее обойти. Используя такие приемы, как переключение между портами, туннелирование и шифрование, они обеспечили этим приложениям возможности для преодоления защиты.

Кроме того, они “перегрузили” свои приложения различными функциями. Например, 70% приложений Enterprise 2.0 могут пересылать файлы, хотя вообще-то они для этого не предназначены. Более того, пользователи нашли способы обходить корпоративные системы защиты. К примеру, если им нужно перейти по заблокированному URL-адресу, они находят общедоступный прокси-сервер. Не многие из них знают, что 28% приложений Enterprise 2.0 распространяют вредоносный код, а 64% имеют уже выявленные уязвимости.

Однако такая ситуация не оправдывает решение типа “всё или ничего”. Огульный запрет не позволит извлечь никакой пользы для бизнеса. В то же время разрешить делать всё что угодно, явно было бы слишком рискованным шагом. ИТ-подразделениям следует активно участвовать в создании приложений Enterprise 2.0 и обеспечить безопасность с помощью разумных политик, которыми необходимо жестко управлять.

Создание и применение разумной политики

Применение политики связано с обучением, даже если речь идет о продвинутых пользователях. ИТ-подразделения должны играть роль советчиков и наставников, подсказывая, какие приложения в наибольшей степени отвечают предъявляемым требованиям и как использовать их наилучшим образом.

Но при этом необходимо также расширить представление пользователей о сопутствующих рисках, для чего специалисты по ИТ должны стать первыми пользователями, полностью освоившими приложения Enterprise 2.0 без оговорок и предрассудков. Только в этом случае они смогут успешно ознакомить сотрудников со всеми рисками, даже с теми, которые затрагивают социальные связи и репутацию.

Для обеспечения эффективного управления ИТ-подразделения должны играть ведущую роль в разработке разумных политик. Но главное заключается в том, чтобы не превратиться в единственного творца этих политик, поскольку их эффективность и значимость тем выше, чем меньше они отражают традиционный образ мышления специалистов по ИТ. Распространение приложений Enterprise 2.0 произошло во многом благодаря инициативе и поддержке со стороны руководителей, не имеющих отношения к ИТ. Поэтому ИТ-специалистам нужно избегать явных ошибок. Не трудно собрать примеры ошибок, допускаемых пользователями при работе в социальных сетях. Но в конечном итоге эти ошибки не могут служить аргументом против использования Enterprise 2.0, поскольку они неизбежны. Кроме того, установление отношений далеко не всегда протекает гладко.

Не следует использовать и аргументы, связанные с соблюдением нормативных требований. Ведь нет никаких норм, специально регулирующих использование приложений Enterprise 2.0. Разумные политики должным образом регламентируют применение необходимых для работы инструментов. Например, в тех отраслях, где действуют строгие законодательные положения, в таких, скажем, как торговля ценными бумагами, мгновенные сообщения должны сохраняться и подвергаться аудиту. ИТ-подразделения должны разъяснить трейдерам, какие последствия может иметь применение того или иного инструмента, участвовать в разработке политики использования этих инструментов, а в дальнейшем обеспечить к ним доступ, осуществлять мониторинг и добиваться их широкого распространения. В приведенном примере такая политика не разрешала трейдерам посещать чат сети Facebook, но открывала им доступ к MSN Messenger.

Сотрудник, настольный ПК и сеть

Применительно к приложениям Enterprise 2.0 политика безопасности должна включать следующие три элемента:

1. Контроль за действиями сотрудников

Многочисленные примеры показывают, что разработка политики использования приложений Enterprise 2.0 нередко является весьма перспективным делом. Но поскольку выигрыш от их применения сопряжен с большим риском, мнения специалистов по данному вопросу разделились. Такая политика должна быть составной частью более общих правил поведения и политики в области защиты персональных сведений. Она должна включать несколько важнейших элементов.

Как сотруднику, при том что число “плохих” приложений постоянно растет, определить, какие приложения разрешено использовать, а какие запрещено? Как обновляется список одобренных к применению приложений и кто должен доводить его до сведения персонала? Что считать нарушением принятой политики? Какие последствия будет иметь такое нарушение — увольнение или выговор?

Принимая во внимание, что значительное число приложений Enterprise 2.0 обнаруживается не только в корпоративных сетях и на тех устройствах, где за ними можно следить, но и на принадлежащих сотрудникам мобильных устройствах, документированные политики, регламентирующие действия персонала, должны стать важнейшей составной частью управления этими приложениями. Однако эффективность контроля за действиями пользователей в большинстве случаев останется невысокой, поскольку это отдельная самостоятельная процедура.

2. Управление настольными ПК

Документированные политики использования приложений Enterprise 2.0 могут быть дополнены контролем за настольными ПК, но не стоит переоценивать роль этого инструмента, поскольку он предоставляет довольно ограниченные возможности для обеспечения безопасной работы таких приложений. Удаленно подключаемые ноутбуки, загрузка файлов из Интернета, сменные носители информации с интерфейсом USB и электронная почта — всё это позволяет устанавливать санкционированные или несанкционированные приложения. К тому же теперь для запуска приложения могут использоваться носители, подключаемые к порту USB. Таким образом, после получения доступа к сети можно получить и доступ к приложению Enterprise 2.0.

3. Управление сетью

Сетевой контроль сводит к минимуму потенциальные угрозы и нарушения работы, связанные с использованием приложений Enterprise 2.0. Существует три возможных механизма контроля, применяемых на сетевом уровне, каждый из которых обладает своими недостатками, снижающими его эффективность. Во-первых, для обороны на передовых рубежах можно использовать брандмауэр с запоминанием состояния сети. Он обеспечит грубую фильтрацию трафика и сегментирование сети на независимые защищенные паролями зоны. Но поскольку он предназначен для защиты конкретных портов, то неэффективен при использовании приложений Enterprise 2.0, которые переключаются между различными портами, пока не найдут открытое подключение к сети.

Во-вторых, возможности по отражению сетевых угроз расширяет система предотвращения вторжений. Она изучает фрагменты трафика и блокирует уже известные угрозы или вредоносные приложения. Однако она не умеет анализировать приложения и не обладает производительностью, необходимой для просмотра полного трафика, проходящего через все порты. Поэтому она представляет собой лишь частичное решение проблемы.

В-третьих, прокси-сервер обеспечивает контроль трафика, но просматривает только ограниченный набор приложений или протоколов и видит лишь часть того трафика, который подлежит мониторингу.

Брандмауэры следующего поколения

Проблемы всех этих средств сетевого контроля заключаются в том, что они не способны идентифицировать приложения Enterprise 2.0, просматривают лишь некоторую часть трафика и не обладают высокой производительностью. Даже сочетание всех трех инструментов не может обеспечить необходимую защиту сети. Правда, брандмауэры нового поколения подсказывают правильный подход. Они объединяют информацию о приложениях с консолидированными средствами защиты от угроз и уязвимостей, а также с возможностями тонкой настройки, которые позволяют создавать политики применительно к приложениям, различным категориям пользователей и контента.

Вопрос не в том, блокировать приложения или нет. Вопрос, скорее, в том, как компаниям разрабатывать и применять политики, позволяющие разумно и безопасно пользоваться приложениями Enterprise 2.0, которые, как уже ясно, открывают возможности для повышения производительности труди и снижения затрат. Руководителям ИТ-подразделений следует выступить в роли первопроходцев и продемонстрировать свои качества лидеров.