Как защитить бизнес от атак и утечек данных с помощью браузера

Угрозы ИБ с этой точки зрения условно можно разделить на внешние, возникающие при работе в Интернете и с подрядчиками, и внутренние, появляющиеся в закрытом информационном контуре.

Внешние риски: атаки через подрядчиков

Работать с подрядчиками часто выгоднее, чем брать специалистов в штат. Бизнес все охотнее отдает на аутсор финансовое и юридическое обслуживание и, конечно, ИТ-поддержку: объем отечественного рынка ИТ-аутсорсинга в 2024 году достиг 262 млрд рублей, показав рост до 22% по сравнению с 2023 годом.

Аутсорс — это удобно, но для выполнения работ подрядчикам приходится давать доступ в корпоративную ИТ-инфраструктуру, а значит, и к конфиденциальной информации компании. Основных рисков для информационной безопасности здесь два: возможная атака на ресурсы компании через взлом подрядчика и потенциальная утечка критических данных — с помощью получившего к ним доступ инсайдера на стороне контрагента.

Инциденты подобного рода происходят все чаще: как сообщает RED SOC, по итогам 2024 года атаки через подрядчиков впервые вошли в ТОП-6 техник получения первоначального доступа к ИТ-инфраструктуре жертв, и аналитики обещают, что в дальнейшем тренд заметно усилится. В свою очередь, средний ущерб от утечек бизнес-данных в РФ в 2024 г. вырос по сравнению с 2023 годом почти вдвое — с 5,5 млн до 11,5 млн рублей.

При работе с подрядчиками ИБ-команда сталкивается с такими проблемами, как:

• отсутствие гарантий того, что подрядчик подключается к внутренним системам компании из безопасного окружения, а именно установлены ли на его компьютерах закрывающие уязвимости обновления ОС и браузера, антивирусное ПО и т.д.
• невозможно проконтролировать непосредственную работу подрядчика с данными организации, к которым он получил доступ.

В итоге внешние подключения к внутренним системам со стороны внешних агентов остаются неконтролируемым источником риска. Разумеется, можно закрепить ответственность подрядчика в случае наступления инцидента юридически и/или застраховать ее, однако профилактика рисков — это всегда дешевле, чем затраты на восстановление ущерба.

Внутренние риски: четыре угрозы инфобезопасности

Казалось бы, внутренний периметр контролировать легче, чем подрядчиков, однако ИБ-рисков здесь не меньше. В основном они возникают по причине старого программного обеспечения на устройствах и из-за действий их пользователей.

1. Уязвимости из-за устаревшего ПО. Даже те браузеры, которые работают без выхода в интернет, в закрытом контуре организации, могут содержать неисправленные уязвимости — если программное обеспечение своевременно не обновляется. Это повышает риск эксплуатации известных уязвимостей: в них нет последних обновлений безопасности. Кроме того, доступ к репозиториям для обновлений в закрытом контуре часто ограничен, что сильно усложняет процесс патчинга.

2. Несанкционированная установка ПО и расширений. Сотрудники могут пытаться устанавливать непроверенные расширения или сторонние приложения, что создает риски заражения вредоносным кодом.

3. Утечки через съемные носители и локальные сети. Наличие доступа в интернет здесь не имеет значения: данные могут быть скопированы на USB-накопители или переданы через локальные сети. Например, в закрытом контуре системы электронного документооборота (ЭДО) сотрудник может экспортировать файл и записать его на флешку либо отправить файл по локальной сети на тот компьютер, с которого его можно скачать. Отсутствие в браузерах препятствующих этому DLP-функций (Data Leak Prevention) усугубляет проблему.

4. Внутренние угрозы и человеческий фактор. В закрытых контурах резко возрастает негативное влияние человеческого фактора: работники компании часто воспринимают локальную сеть как безопасную среду и теряют бдительность. В результате они становятся жертвами фишинга через локальные файлы, что приводит к компрометации глобального ПО компании. Пользователи отключают security-настройки, чтобы «работать было удобнее», а на деле открывают доступ вредоносному ПО. Примеров ИБ-инцидентов в закрытых контурах много: от проникновения злоумышленников в локальную сеть через сохраненный в браузере пароль сотрудника до создания внедренными в компанию разработчиками с виду легальных инструментов, но содержащих в себе бэкдоры.

Лучший вариант защиты от внутренних и внешних рисков для компаний, использующих веб-сценарии для доступа к ИТ-ресурсам, — максимальный контроль доступа к данным организации, реализованный с помощью технологических решений в сочетании с организационными мерами (регулярные аудиты для выявления устаревших версий ПО и некорректных настроек, обучение сотрудников).

Как с помощью браузера снизить риски киберугроз

В качестве технологического решения может быть использован специализированный браузер. Например, Яндекс Браузер для организаций отличается расширенной безопасностью, возможностью централизованного управления на основе групповых политик, глубоким аудитом исходного кода, встроенными защитой от утечек данных и средствами шифрования данных, а также поддержкой ЭЦП. Его уже используют более 17 тыс. организаций из коммерческих и государственных компаний разных отраслей и масштаба, снижая риски работы в том числе в открытом контуре.

С помощью решения от Яндекса можно управлять доступом во внутреннюю сеть даже с тех устройств, которые расположены вне организации — например, с компьютеров подрядчиков. Это реализовано за счет проверки браузером устройств на уровень безопасности, его интеграции с SIEM (Security Information and Event Management), функций защиты информации от утечек, режиму использования RBI (Remote Browser Isolation) и других возможностей.

Проблема с несвоевременным обновлением ПО в Яндекс Браузере для организаций решается возможностью создавать сборку с необходимыми политиками и настройками (по запросу). Установка расширений разрешается или запрещается непосредственно в настройках браузера.Также с помощью решения можно проводить инвентаризацию и проверку устройства на предмет установки другого несанкционированного ПО. Имеется встроенный модуль DLP (Data Leak Prevention) для защиты от случайной утечки данных или их кражи.

Основные возможности Яндекс Браузера для организаций

1. Централизованное управление браузерами через консоль управления, в которой можно настраивать политики безопасности и блокировать нежелательные действия.

2. Использование криптографических средств (например, «КриптоПро CSP») для защиты данных даже в изолированной среде. Важно, что в Яндекс Браузере для организаций сохранена поддержка стандарта расширений Manifest V2 — для поддержки работы «КриптоПро CSP».

3. Ограничение прав доступа к веб-ресурсам, выполненное на основе профилей (RBAC, Role-Based Access Control). Можно создать разные профили и назначить их на сотрудника или группу сотрудников. Также есть возможность точечно управлять политиками конкретного устройства сотрудника.

4. Проверка устройств. Позволяет задать требования к устройству и состоянию установленного на нем ПО. Если браузер или устройство подрядчика не соответствует ожидаемому эталону (например, ОС не обновлена до свежей версии, а антивирус отключен), доступ к внутренним ресурсам будет заблокирован.

5. Интеграция с SIEM (Security Information and Event Management). Браузер может отправлять уведомления о наступлении значимых событий безопасности в системы управления ИБ и событиями безопасности, используемые в центрах оперативной безопасности SOC (Security Operation Center) организации. Например, это сообщения о срабатывании встроенных защитных систем (загрузка вредоносного ПО, запуск вредоносного кода, переход на фишинговую страницу и др.), функций защиты от утечки или о попытке подключения с устройства, не прошедшего проверку уровня безопасности.

Уникальным по функциональности Яндекс Браузер для организаций делает наличие технологий, присущих другим ИБ-продуктам. Это, например, RBI — особый режим использования браузера, и защищенное хранилище.

В режиме RBI браузер запускается на удаленном сервере. Содержимое веб-страниц транслируется на компьютер сотрудника в формате видеопотока. Так создается безопасное соединение с интернетом — веб-страницы открываются в удаленных изолированных контейнерах. Эта функциональность также позволяет снизить нагрузку на VDI-инфраструктуру (Virtual Desktop Infrastructure) компании и экономить ресурсы.

Защищенное хранилище предполагает шифрование файлов при загрузке с корпоративных ресурсов. Администратор может задать список веб-ресурсов, файлы с которых скачиваются только в зашифрованном виде. А просматривать и редактировать их получится исключительно в Яндекс Браузере для организаций и лишь на том устройстве, на котором это разрешено политиками организации.

Кроме того, в корпоративную версию Яндекс Браузера интегрированы три функции на базе YandexGPT: помощь с текстом и его переводом, пересказ видео и распознавание QR-кодов в нем. Все функции можно настроить с учетом принятых в организации правил безопасности.

Яндекс Браузер для организаций работает с ОС Windows, macOS и Linux, а также отечественными ОС, что делает продукт универсальным для использования как в компаниях любого размера, так и в госорганизациях. Соответствует стандартам протоколов TLS по ГОСТу для доступа к государственным сервисам, поддерживает сертификаты НУЦ и отечественные криптографические алгоритмы.

Продукт доступен в двух версиях, базовой бесплатной (со стандартными настройками безопасности) и расширенной — с повышенным уровнем безопасности, исключающим отправку статистики использования за пределы компании, доступом к приоритетной техподдержке и функциями для удобства работы системных администраторов.

Настройку сетевой инфраструктуры компании можно провести таким образом, чтобы сделать корпоративный браузер от Яндекса единственным, через который можно получить доступ к внутренним ресурсам организации. Так бизнес будет максимально защищен от утечек данных и кибератак через браузер.

Узнать больше о «Яндекс Браузере для организаций» можно здесь.