Мир постоянно меняется; даже ставшая изолированной Россия тоже. И наши пользователи пока не осознали до конца, что их привычный мир поменялся. Они хотят жить по-прежнему, пить по утрам кофе в Старбакс, писать служебные записки в Word, а таблицы создавать в Excel, скачивать новые приложения в AppStore, смотреть Youtube без рекламы и продолжать пользоваться Facebook и Instagram… Да, со многими из описанных вещей нам пришлось распрощаться, но есть то, что остается с нами и то, что достаточно сложно за тако короткий срок изменить. Скажу больше, некоторые вещи мы уже вряд ли изменим, как, например, привычку к удаленной работе (постоянной или гибридной). Мы распробовали их вкус и не откажемся от них, если не произойдет ничего кардинального. И вот три их таких привычки я бы и хотел напомнить, показав, что попытки их блокировать со стороны служб ИБ обречены на неудачу. Их надо не запрещать, а контролировать.
Пользователи будут скачивать и использовать то ПО, которые им нужно и которое они хотят
Искал я как-то ПО для управления знаниями. Софт, структурирующий информацию, мне не подходил и мне пришлось перепробовать достаточно много разного ПО, чтобы в итоге остановиться на том, что меня устроило. Очевидно, что мне нужно это ПО для работы и я использую его на своем рабочем компе.
Таких примеров в моей практике было немало. Так я скачивал ПО для видеомонтажа, мессенджеры, плагины для браузеров, ПО для работы с текстом и иллюстрациями и т.п. Перечислять можно долго. Мои коллеги на прошлой работе ставили нужный им Jupiter Notebook, инженерные тулы, Notion, Airtable и т.п. Замкнутая программная среда — это классная история, только не для пользовательского компьютера. Такое можно и нужно делать на серверах, но заставить пользователя применять только то ПО, которое компания купила ему, а все остальное блокировать групповыми политиками или EDR, — не получится. Ему это нужно для работы и этим все сказано. И он сможет объяснить руководству, что с помощью этого ПО, он сможет приносить компании больше денег. И поэтому ИБ придется засунуть свой гонор и свои запреты к себе в одно место и сделать так, чтобы купленное за деньги пользователя ПО и установленное на его компьютер, работало, но работало в безопасном для компании режиме. Например, можно использовать корпоративные магазины приложений с ориентацией на ИБ такие как Lumos (да, софт нероссийский). Самообслуживание, запросы на ПО, контроль лицензий, контроль прав доступа, контроль доступа по времени, цепочка согласований, провиженинг, онбоардинг и т.п.
Бизнес-процессы пользователей, подразделений и даже компаний строятся вокруг различных SaaS-платформ, которые будут интегрироваться с все большим числом приложений
Помните был (и есть) такой облачный сервис IFTTT, который позволял объединять различные сервисы между собой, выстраивать цепочки действий по принципу «ЕСЛИ сработал триггер в сервисе 1 ТО надо сделать то-то в сервисе 2». Это простая история, которая показывает, что интеграция между сервисами и приложениями — это вполне себе обычная история. Потом появился Zappier, который позволяет интегрировать десятки различных приложений, строя из них сложные цепочки взаимодействия. Jira, Trello, Slack, Gmail, Webex, Whatsapp… Можно все; ну или почти все.
Тоже самое ИБшники делают в SOAR-решениях (если они у них есть) — связывая разные задачи между собой, привязывая к каждой из них нужный сервис или приложение ИБ, автоматизируя процесс реагирования на инциденты ИБ, делая это гораздо быстрее, чем в ручном режиме. Если это можно ИБшникам, почему тоже самое нельзя делать рядовым пользователям для целей своего бизнеса? Даже у меня на сайте, на котором вы сейчас читаете эту заметку, реализована интеграция с рядом внешних сервисов, которые запускаются при срабатывании определенных тригеров.
К чему это все? В рамках такой интеграции между приложениями и сервисами, почти всегда облачными, могут передаваться чувствительные данные, а сами приложения и сервисы могут получать доступ во внутреннюю инфраструктуру через различные коннекторы. Можно, конечно, попробовать запретить использование таких сервисов, но это малореально, — бизнес уже прочувствовал пользу таких сервисов. Даже обычный SaaS-планировщик сегодня (типа Monday.com или ClickUp) интегрируется с кучей сервисов, обрабатывая при этом ценную информацию компании — маркетинговые планы, ноу-хау, списки клиентов, персональные данные и т.п. А дальше будет только хуже — развитие no code/low code позволит объединить то, что раньше казалось невозможным, и этот прогресс не остановить. Значит надо это возглавить.
Существующие решения типа IDaaS или CASB фокусируются немного на другом — на взаимодействии «человек — SaaS», а нам нужны решения для контроля «SaaS — SaaS». На первый план выходят решения по контролю API, решения типа Astrix и Valence Security, и т.п. Время изоляции прошло — нужно уметь мониторить и защищать коммуникации не только между людьми, но и между приложениями.
BYOD не умер. Персональные устройства будут использоваться в корпоративной среде все чаще
А тут все просто. Несколько лет назад эта немного приутихла, но с началом COVID-19 вновь заиграла новыми красками, поставив перед специалистами по ИБ задачу мониторинга и защиты неуправляемых устройств, находящихся во владении пользователей и не вне корпоративного периметра. Я про это писал неоднократно и поэтому не буду повторяться. Просто стоит держать в голове, что сегодня ночной кошмар безопасника стал обыденностью — пользователи сами устанавливают нужное им ПО, скачанное из Интернета, на свои личные устройства, попутно интегрируя эти приложения с внешними SaaS-сервисами, расположенными в совершенно разных юрисдикциях и на разных площадках. И все это ставит перед ИБ совершенно новые, но интересные задачи, ответы на которые нельзя найти в документах регуляторов…
Заметка Три тенденции, которые не остановить корпоративным безопасникам была впервые опубликована на Бизнес без опасности .