Семь причин перейти на Unified Endpoint Management

Мобильные устройства часто используются для решения рабочих задач. Например, с их помощью можно отправить товар с курьером или просто ответить на деловое письмо. Компании от этого значительно выигрывают: повышается производительность труда и скорость повседневных операций, растёт удовлетворённость сотрудников. Но чтобы пользоваться мобильными устройствами было безопасно, нужны специальные инструменты для защиты и учёта портативной техники, а также для управления ей. Так появились системы управления мобильными устройствами — Mobile Device Management (MDM), впоследствии расширенные до более мощных Enterprise Mobility Management (EMM).

Следом за бурным ростом корпоративного рынка мобильных устройств растёт и рынок MDM — по оценкам Fortune Business Insights, его объём должен вырасти с 9,38 млрд долларов в США в 2023 году до 58,38 млрд долларов в 2030 году.

Однако ИТ-командам приходится прикладывать всё больше усилий, чтобы поддерживать зоопарк мобильных, стационарных и виртуальных конечных точек. В 13% компаний вынуждены наращивать ИТ-штат, а в 67% — нанимать новых ИБ-специалистов. Ситуация усложняется тем, что корпоративная мобильность бывает реализована совершенно по-разному. Иногда сотрудникам выдают корпоративные устройства сугубо для рабочих нужд (COBO — company owned, business only), иногда им разрешают также пользоваться ими в личных целях (COPE — company owned, personally enabled). Но часто допускается использование личных устройств для работы (BYOD, bring your own device).

Чтобы эффективнее управлять разнородными устройствами, снижать затраты и усилия команды и одновременно с этим повышать уровень безопасности, компании стали заменять системы MDM на решения последнего поколения — Unified Endpoint Management (UEM).

Рассмотрим, почему российские компании переходят на UEM, на примере недавно появившейся на рынке UEM-системы Kaspersky Secure Mobility Management.

По имеющимся оценкам, до 85% малых предприятий разрешают сотрудникам использовать личные смартфоны, планшеты и ноутбуки для работы. Некоторые организации таким образом привлекают сотрудников, предоставляя им больше свободы выбора. Другим компаниям BYOD помогает экономить деньги, поскольку им не приходится покупать сотрудникам смартфоны и ноутбуки.

Но чтобы с устройства можно было работать, нужно подготовиться:

· настроить устройство, чтобы с него можно было подключаться к офисной сети или использовать нужные сервисы из других сетей, установить на него корпоративные приложения;

· сделать так, чтобы сотрудник мог безопасно использовать корпоративные сайты и приложения (шифрование, VPN);

· защитить устройство от киберугроз;

· убедиться, что сотрудник следует политике безопасности компании, например использует надёжный пароль;

· предусмотреть возможность удалить рабочие данные дистанционно с устройства работника, если он его потеряет или уволится.

Однако эти задачи нельзя решить на всех устройствах, используя только MDM-систему, поскольку подобные решения ориентированы только на смартфоны. Переход на UEM позволяет решить эту проблему.

Важная часть принципа BYOD (bring your own device, работа с личного устройства) — это защита интересов сотрудников. Например, администраторы компании должны иметь определенный контроль над устройством, но они не имеют права полностью очищать устройство или просматривать данные из личных приложений сотрудника. Соблюсти баланс между безопасностью и конфиденциальностью сотрудника помогают технологии изоляции и контейнеризации: благодаря им на мобильном устройстве могут сосуществовать полностью изолированные пространства — одно с рабочими приложениями и данными, другое с личными. Они практически «не видят» друг друга, поэтому компания спокойна за корпоративные данные, а сотрудники — за личные.

Чтобы добиться подобной гармонии, требуется переход на UEM-решения. В случае с классическими MDM-системами ко всем устройствам применяется стандартная корпоративная политика, вне зависимости от их типа. Такой подход не обеспечивает сотрудникам нужный уровень конфиденциальности.

Кроме того, системы UEM предполагают дистанционную техническую поддержку. Если с устройством возникла проблема, ИТ-специалист компании при помощи Kaspersky Secure Mobility Management может удалённо продиагностировать гаджет, и во многих случаях проблему можно сразу решить. Это экономит время и сотрудникам, и администраторам.

Государственные регуляторы периодически ужесточают ответственность за ненадлежащее хранение персональных данных и утечки. Это заставляет организации больше вкладываться в улучшение своей стратегии хранения и защиты данных. С использованием мобильных устройств связаны многочисленные риски: например, сотрудник может потерять телефон или ноутбук с важными данными, переслать рабочую информацию через личный email или мессенджер, скопировать конфиденциальную информацию для личного пользования или сфотографировать её камерой смартфона с экрана компьютера. Чтобы предотвратить возможные угрозы, потребуется:

· зашифровать корпоративные данные на устройстве;

· создать систему дистанционной блокировки устройства и удаления корпоративной информации при утере;

· применить к рабочим приложениям политики компании в отношении доступа к корпоративным сервисам, например аутентификацию при помощи сертификатов и двухфакторную аутентификацию;

· запретить несанкционированные действия, будь то запуск определённых приложений, обращение к посторонним веб-сайтам, использование части аппаратных функций, например камеры, Bluetooth или отладки по USB. В Kaspersky Secure Mobility Management предусмотрены десятки политик детальной настройки;

· в некоторых случаях перевести устройство в режим «киоска», когда оно выполняет единственную функцию.

Выполнение этих пунктов сильно отличается для компаний с политиками COBO (company owned, business only, корпоративные устройства только для работы), COPE (company owned, personally enabled, корпоративные устройства можно использовать и в личных целях) и BYOD (bring your own device, работа с личного устройства). В первом случае можно просто применить нужные настройки ко всем устройствам, а во втором придётся действовать выборочно, например запретить использование приложений или Bluetooth только в рабочем профиле. Самое важное — потребуется изолировать на устройстве рабочие данные, чтобы их не «видели» личные приложения, предотвратить пересылку рабочей информации через личные почты, мессенджеры и файлообменники. Всё это невозможно сделать с помощью базовых инструментов MDM. Также придётся отдельно настраивать смартфоны и ноутбуки.

Благодаря переходу на UEM достигается унификация ИТ- и ИБ-политик для разных типов устройств. Применять её можно централизованно, из единой консоли. Если в организации нет «монолитного» подхода, при котором все смартфоны, ноутбуки и прочие устройства изготовлены одним производителем, управлять зоопарком устройств эффективно может лишь система UEM.

Число атак на российский бизнес и крупных утечек информации постоянно растёт, а мобильные устройства особенно уязвимы к большинству киберугроз. Поэтому каждой компании нужно уметь предотвращать и реагировать не только на наиболее распространённые ситуации, такие как утеря сотрудником телефона или использование публичного файлообменника для рабочих нужд, но и на более опасные сценарии: работа с корпоративными сервисами с заражённого личного ноутбука, переход по вредоносной ссылке из фишингового письма. В UEM-системах для этого имеется максимальный набор инструментов:

· защита от посещения фишинговых сайтов на основе постоянно обновляемой базы репутации веб-ресурсов (репутационная база подключена для большинства продуктов «Лаборатории Касперского», Kaspersky Secure Mobility Management не исключение);

· мониторинг подозрительных событий на устройстве. При необходимости о них уведомляется администратор. Также предусмотрена интеграция с SIEM-системой;

· защита от вредоносного ПО;

· определение несанкционированных модификаций, например root/jailbreak на устройстве;

· определение местонахождения устройства. В случае кражи — фиксация злоумышленника фронтальной камерой, очистка устройства и другие действия.

Важным отличием UEM-систем от более старых механизмов корпоративной мобильности является проактивный подход к безопасности. UEM-агент предотвращает загрузку опасных приложений, блокирует переход на фишинговые сайты, а в случае компрометации устройства — даёт службе ИБ инструменты для реагирования на инцидент, выполнения нужных действий прямо на устройстве.

В разнообразии функций, которые одни производители называют MDM, а другие — системой EMM, можно запутаться. В отличие от систем предыдущего поколения UEM позволяет унифицированно управлять ноутбуками, смартфонами и даже принтерами и IoT-устройствами из единой контрольной панели. Применение нового правила одновременно к Windows-, Android- или iOS-устройствам занимает минимум времени, и это даёт ряд преимуществ:

· время ИБ-специалистов высвобождается для более важных задач;

· снижается вероятность ошибки, неодинакового применения правил на разных устройствах;

· повышается общий уровень безопасности за счёт стандартизации политик доступа и их повсеместного применения.

Ещё один момент, радикально снижающий нагрузку на ИТ-службы, — самообслуживание сотрудников. Чтобы подключить личное устройство к рабочим ресурсам, получить доступ ко всем приложениям и настройкам, не обязательно делать заявки в ИТ — можно самому сделать это через специальный портал. Для корпоративных устройств всё ещё проще — сотрудник получает в пользование уже настроенный смартфон, причём ИТ-службы будут тратить на его подготовку считанные минуты.

Учитывая, что многие компании вынужденно увеличивают затраты на ИТ и ИБ, включая кадры (по данным Gartner на 2021 год, 74% ИТ-директоров расширяют штат операционного ИБ), экономия времени превращается в реальную экономию денег.

И обычные сотрудники, и ИТ-службы оценят удобства, связанные с поддержанием корпоративных приложений. Не нужно тратить время на их установку, обновление, контроль версий, решение проблем. UEM-системы имеют целый ряд специфических функций для этой задачи:

· автоматическая установка, обновление и удаление приложений без участия пользователя;

· загрузка приложений без магазинов приложений производителя устройства;

· контроль приложений. Выполнение рабочих функций будет заблокировано при отсутствии каких-то приложений на устройстве, например приложения-аутентификатора. Также предусмотрены «белые» и «чёрные» списки приложений.

Компаниям, которые ранее использовали одну из зарубежных систем MDM или EMM, придётся обновить систему, поскольку большинство крупных западных поставщиков в этом сегменте ушли с российского рынка. В отличие от других приложений, пользоваться MDM без поддержки вендора почти невозможно. Без «облачных» функций и обновления системы до новейших версий мобильных ОС она достаточно быстро станет бесполезна. Переходя на одну из отечественных систем управления мобильными устройствами, которых не так много, нет смысла искать прямой аналог старого решения, «всего лишь» MDM. Лучше сразу переходить на решение следующего поколения и пользоваться функциональностью российских UEM-решений.

Как уже отмечалось, хорошим представителем отечественных UEM является Kaspersky Secure Mobility Management. Это UEM-решение сочетает традиционные сильные инструменты для защиты и управления Windows-устройствами со значительно улучшенными инструментами менеджмента iOS и Android. Благодаря поддержке режимов Device Owner (Android) и Supervised (iOS) UEM-решение помогает воплотить политику COBO, но также поддерживает более мягкие сценарии развертывания — COPE и BYOD. Российские ИТ-администраторы оценят, как удобно интегрируется управление мобильными устройствами в уже существующую в организации экосистему продуктов Kaspersky.

Kaspersky Secure Mobility Management подойдет компаниям с любым уровнем требований к защищенности и конфиденциальности — от умеренных до самых высоких.

Отечественные решения класса UEM будут полезны компаниям, в которых есть хотя бы 100 мобильных устройств. Системы UEM хорошо зарекомендовали себя во всех индустриях, но в первую очередь о скорейшем внедрении стоит задуматься организациям в розничной торговле, логистике, медицине, строительстве и страховании.