2 сентября 2013

Kaspersky Security для бизнеса

Бизнес

Далеко не всегда работа требует безотлучного присутствия сотрудника в офисе: во многих случаях допустимо, удобно, а иногда и предпочтительно работать удаленно, с мобильного устройства. Получение и отправка электронной почты, работа с документами и ресурсами корпоративной сети — все это можно делать с помощью смартфона или планшетного компьютера.

Использование мобильного устройства в составе корпоративной сети ставит перед службами IT-поддержки множество серьезных и весьма трудозатратных задач. Подключение и настройка, обеспечение безопасности, обновление ПО и контроль за использованием устройства: когда число мобильных сотрудников в компании превышает определенное количество, выполнять все это вручную становится невозможно. Да и не нужно — существует немало систем управления мобильными устройствами (MDM, Mobile Device Management), автоматизирующих большинство такого рода задач. Помимо облегчения труда сотрудников IT-департамента, MDM-система способна обеспечить высокий уровень удобства и информационной безопасности, без нее просто недостижимый.

Одна из наиболее функциональных MDM-систем на рынке входит в пакет «Kaspersky Security для бизнеса». Будучи интегрированной в Kaspersky Security Center, система способна обеспечить полный спектр возможностей, необходимых корпоративным клиентам, с сохранением высокого уровня информационной безопасности.

1
Функциональная схема работы «Kaspersky Security для бизнеса» с мобильными устройствами

При разработке «Kaspersky Security для бизнеса» были установлены следующие приоритеты:

  • Безопасность мобильного устройства от полного спектра киберугроз без привлечения продуктов других производителей (антивирусов, брандмауэров и т.д.).
  • Интеграция с корпоративными системами безопасности. Компания должна иметь возможность применять, к примеру, единую контент-фильтрацию и к рабочим станциям, и к мобильным устройствам.
  • Простота и удобство для пользователя. Для подключения к системе и ее использования пользователь не должен обладать какими-либо навыками, выходящими за пределы базовых умений обращения с устройством. Все настройки и действия по установке должны выполняться удаленно администратором.
  • Широкий охват парка клиентских устройств в рамках BYOD. Поддержка практически всех присутствующих на рынке мобильных ОС и аппаратных платформ.
  • Управление всеми функциями системы с единой консоли, относительно как стационарных рабочих мест, так и мобильных устройств. Удобство и простота администрирования — важнейшее средство обеспечения надежной работы системы.
  • Низкая совокупная стоимость владения системой. Продукт должен обеспечивать максимальный спектр необходимых функций для управления мобильными устройствами и обеспечения безопасности без привлечения продуктов сторонних производителей.

В соответствии с этими принципами мобильное устройство, включенное в MDM-систему «Kaspersky Security для бизнеса», должно являться полноценным участником корпоративной сети, не снижая при этом общий уровень информационной безопасности.

2

Мобильные устройства в сети, управляемой с помощью «Kaspersky Security для бизнеса»

Подключение и установка ПО

Как все это выглядит для пользователя? В соответствии с приведенным выше принципом — максимально просто. Для начала работы с MDM-системой на пользовательское устройство должен быть установлен агент. Есть несколько способов установки:

  • По общей ссылке, размещенной на корпоративном портале, или на бумаге в виде QR-кода. Сотруднику достаточно зайти на ресурс по ссылке со своего устройства, и агент установится самостоятельно, не требуя от пользователя ввода каких-либо дополнительных данных.
  • По приватной ссылке, высланной на устройство сотрудника с помощью SMS или email. Точно так же, как и в первом случае, установка агента не требует от пользователя каких-либо специфический знаний и действий.

Установленный агент выполнит синхронизацию с MDM-сервером и применит профили настроек и безопасности, заданные по умолчанию (либо, при втором способе установки, заранее заданные для пользователя). Следующим этапом будет установка базового пакета корпоративного ПО, что агент также выполнит самостоятельно.

Если в распоряжении администратора появилось приложение, нужное пользователю и признанное доверенным, необходимо создать инсталляционный пакет. В окне управления инсталляционными пакетами достаточно нажать кнопку «Новый», ввести название пакета и указать путь к дистрибутиву приложения.

3

После создания инсталляционный пакет будет опубликован на веб-сервере. Пользователь сможет загрузить его по ссылке, сгенерированной при создании пакета.

4

Если пользователю требуются для работы дополнительные приложения, он может зайти на корпоративный портал приложений, содержащий одобренные приложения для мобильных устройств сотрудников компании, и установить все необходимое ПО фактически одним нажатием.

По завершении установки будет выполнен аудит ПО и аппаратной платформы. Администратор может настроить несколько типов реакции на определенные условия: например, обнаружение установленного Jailbreak на iPhone или root-полномочий на Android-устройстве. В одних случаях администратору будет выслано уведомление, в других устройство может быть автоматически заблокировано как представляющее угрозу для информационной безопасности. Администратор также может управлять некоторыми аппаратными параметрами, относящимися к безопасности (например, отключать некоторые интерфейсы).

5

Безопасность данных и приложений

Основой защиты клиентского устройства в рамках «Kaspersky Security для бизнеса» является Kaspersky Endpoint Security for Mobile Devices. Это приложение реализует многоуровневую защиту данных. Отметим основные функции безопасности, реализованные в продукте:

  • Контейнеризация данных и приложений. По выбору администратора данные и приложения, полученные устройством из корпоративной сети, могут быть заключены в контейнер. Все заключенные в контейнер данные шифруются, что исключает утечку информации даже при наличии в системе зловредов. Кроме того, контейнер позволяет контролировать доступ приложения к аппаратным ресурсам устройства, включая отправку SMS, камеру, навигационный датчик, передачу данных и файловую систему.
  • Проверка загружаемых файлов, в том числе архивированных.
  • Сокрытие отображения конфиденциальных контактов, как контейнеризованных, так и неконтейнеризованных.
  • Защита от сетевых атак.
  • GPS-поиск и удаление данных при краже устройства.
  • Обнаружение смены SIM-карты и различные реакции на это (блокировка, отсылка сообщения владельцу и администратору и т.д.).
  • Удаленное администрирование функций безопасности.
6

Централизованное управление безопасностью в мобильном устройстве с помощью «Kaspersky Security для бизнеса»

Помимо этого, приложение Kaspersky Endpoint Security for Mobile Devices способно работать и со сторонними MDM-системами, такими как Sybase Afaria и Microsoft System Center Mobile Device Manager, обеспечивая всестороннюю защиту данных без конфликтов с агентом управления.

Повседневная работа

После установки агента и необходимого ПО MDM-система работает абсолютно прозрачно для пользователя, практически не нагружая устройство (по данным, полученным в результате тестирований, энергопотребление аппарата увеличивается менее чем на 5%).

Для каждого клиентского устройства может быть установлен свой цикл синхронизации в зависимости от потребностей пользователя и от режима использования (к примеру, в роуминге частота синхронизаций будет снижена до минимума). Во время очередной синхронизации система обновляет профили безопасности и списки контент-фильтрации, а также устанавливает патчи и обновления для приложений.

По мере необходимости (к примеру, по просьбе пользователя или в соответствии с требованиями политики безопасности), администратор может в определенных пределах конфигурировать устройство с консоли: настраивать те или иные аппаратные параметры, деинсталлировать приложения и устанавливать новые, загружать разного рода данные на устройство.

Рассмотрим несколько типичных сценариев работы. Все функции, касающиеся настройки и безопасности мобильного устройства, собраны в единое меню.

7_1

Выбрав нужный пункт, администратор может практически одним кликом выполнить все действия, необходимость которых появляется в определенных случаях:

  • Установка или удаление приложения. Если администратор создал инсталляционный пакет, установить его на устройство можно с помощью пункта «Установить приложение на устройство». Аналогично и с удалением, для этого имеется пункт «Удалить приложение с устройства».
8
  • Утеря устройства. В случае отсутствия важной информации на устройстве его можно удаленно заблокировать (пункт «Заблокировать устройство»). Человек, нашедший аппарат, не сможет им воспользоваться и увидит на экране заданное администратором сообщение (например, адрес, по которому можно вернуть устройство).
  • Если важная информация имеется, и есть риск ее утечки, все данные на устройстве можно очистить, воспользовавшись пунктом «Очистить устройство».
  • Поездка с устройством за границу. Затраты на работу смартфона или планшета в роуминге могут составить изрядную сумму. Если сотрудник отправился с устройством, не озаботившись его настроить, администратор может удаленно сконфигурировать параметры работы в роуминге с помощью пункта «Установить параметры роуминга для устройства».
9

Функции, относящиеся к безопасности и управлению устройством, реализованы так, чтобы обеспечить их выполнение с минимальным количеством действий со стороны администратора — «в один клик». Основополагающим принципом также является концентрация функций управления в одной общей консоли. Это обеспечивает сравнительную легкость освоения интерфейса консоли и простоту администрирования MDM-системы. По этим критериям «Kaspersky Security для бизнеса» занимает одно из самых высоких мест на рынке подобных систем.