Новости WorksPad

Обзор системы безопасной мобильной работы WorksPad от CISOCLUB

Современные мобильные устройства, такие как телефоны и планшеты, играют большую роль в бизнес-процессах. Во-первых, они позволяют сотрудникам быть на связи и доступными для коммуникации. Это особенно важно при удаленной работе или в поездках – не всегда удобно иметь с собой ноутбук, а смартфон постоянно в кармане. Благодаря мобильным устройствам сотрудники могут получать и отправлять электронные письма, проводить видеоконференции, обмениваться документами и информацией в режиме реального времени. Во-вторых, мобильные устройства позволяют в любом месте и в любое время получить доступ к корпоративным системам и приложениям, что значительно повышает скорость работы и принятия решений.
Однако с увеличением использования мобильных устройств повышается риск утечек и компрометации конфиденциальной информации, приводящих к серьезным финансовым и репутационным потерям. Многие исследователи кибербезопасности отмечают неуклонно растущее количество атак на мобильные устройства (как один из индикаторов, рост атак на российских пользователей Android в 1,5 раза за 2023 год, по данным Kaspersky). Основные сценарии атак при этом:
  • Фишинговые рассылки – как через почту, так и в мессенджерах;
  • Вредоносные приложения из официальных магазинов или сторонних источников
  • Взлом после получения физического доступа к устройству (например, после утери или целенаправленной кражи);
  • Компрометация канала связи – подключение к недоверенной WiFi-точке или фишинговому VPN-серверу.
Разумеется, такие риски неприемлемы для компаний и вынуждают их реагировать на угрозы. Раздать каждому корпоративный смартфон с суперзащищенной ОС не всегда возможно. И тут на помощь приходят решения для безопасной работы на мобильных устройствах. Такие системы позволяют обеспечить защиту данных, обрабатываемых на смартфонах и планшетах сотрудников; защищают доступ к внутренним системам через эти устройства.
Средства безопасной мобильной работы могут отличаться различной степенью контроля над устройством. Базовым и необходимым элементом является контейнер корпоративных данных – приложение, которое защищает рабочие документы от несанкционированного доступа или сторонних приложений, но в целом не вмешивается в функционирование смартфона. А самыми «контролирующими» являются MDM-системы (Mobile DeviceManagement). Они предоставляют широкие возможности удаленного управления мобильными устройствами, включая установку и обновление приложений, настройку политик безопасности, дистанционную блокировку.
Сегодня мы рассмотрим систему WorksPad от компании «РуПост» (входит в «Группу Астра»), которая сочетает в себе обе эти концепции. Как это проявляется? Давайте посмотрим.

Функциональные возможности WorksPad

Для лучшего понимания возможностей WorksPad прежде необходимо сказать несколько слов об архитектуре системы. WorksPad строится по классической клиент-серверной модели, где центральный сервер с управляющими компонентами устанавливается в локальной сети компании, а клиентами выступают мобильные устройства с установленным на них приложением WorksPad. Сотрудники компании, используя это приложение, смогут выполнять свои ежедневные задачи, среди которых:
Работа с почтой и календарем
Приложение WorksPad позволяет пользователю полноценно участвовать в бизнес-процессах: получать письма и отвечать на них, обрабатывать вложения, планировать свой график. Доступен просмотр календарей других пользователей для назначения встречи в удобное для всех время. Одним словом, WorksPad полностью заменяет классические почтовые клиенты – и при этом данные календарей и почты не покидают защищенный контейнер WorksPad.
  • Корпоративный почтовый клиент;
  • Корпоративный календарь;
  • Доступ к корпоративной адресной книге.
Защищенная работа с файлами
Только в редких случаях обязанности сотрудника ограничиваются чтением почты. Чаще всего необходимо также читать и редактировать документы; потом, например, запаковать их в архив и выложить в папку для коллег или заказчиков. И не только документы: в строительных или ремонтных организациях важным элементом рабочих процессов является фотодокументирование результатов – а эти фотографии желательно хранить централизованно. Приложение WorksPad предоставляет:
  • Доступ к корпоративным файловым хранилищам;
  • Возможность настройки общего доступа к выложенному файлу (срок действия ссылки, максимальное количество скачиваний, запрос пароля при загрузке);
  • Синхронизацию файлов на мобильном устройстве с рабочим ПК (для этого на ПК должна быть установлена утилита WorksPad Agent);
  • Моментальную загрузку сделанных фотографий в корпоративное хранилище без сохранения их в памяти устройства;
  • Редактор офисных файлов (текстовые документы, таблицы, файлы презентаций) с поддержкой оффлайн-работы;
  • Файловый менеджер для управления скачанными файлами;
  • Возможность открытия ZIP-, RAR-, 7zip-архивов, создание запароленных архивов.
Использование корпоративных внутренних ресурсов
В компаниях постоянно используются собственные информационные системы: для управления финансами, документооборота, распределения рабочих задач или обработки тикетов. И рано или поздно доступ к ним потребуется сотруднику, находящемуся далеко от своего рабочего ПК или ноутбука. Однако не у всех ресурсов есть мобильные приложения, и даже их веб-сайты не всегда удобны для использования с телефона. А открывать через Интернет доступ к веб-версиям некоторых систем и вовсе небезопасно. Что в этом случае делать – просить коллег выслать скриншоты через мессенджер? В приложении WorksPad есть три механизма для решения этой задачи:
  • Простой: портал для защищенного доступа. Все соединения, инициируемые через браузер приложения, сначала попадают на сервер WorksPad, который перенаправляет их на корпоративные сайты, доступные только из внутренней сети. Таким образом, эти сайты нельзя будет просканировать или попытаться взломать через Интернет.
  • Администраторы WorksPad также могут настроить закладки, отображаемые на портале – пользователям не нужно будет вводить адресы внутренних ресурсов вручную, уменьшается риск попадания на фишинговую страницу. Передаваемый трафик можно также направить на стороннее NGFW-решение для, например, блокировки перенаправлений на сторонние мошеннические сайты.
  • Продвинутый: функционал микроприложений. Пользователь через встроенный интерфейс приложения WorksPad сможет быстро выполнять различные действия (например, написать тикет в техподдержку, запросить данные по шаблону, забронировать переговорку). Для этого нужно предварительно написать чат-бота (или использовать существующий бот для Telegram), которое будет обрабатывать сообщения и посылать API-запросы в соответствующие внутренние системы. Статистику его работы при этом можно будет просматривать из консоли администратора WorksPad.
  • Вариант больших корпораций: магазин приложений. Не каждая организация может позволить себе разработку собственных мобильных приложений. Но если такие приложения есть, WorksPad снимает проблему их дистрибуции на устройства пользователей (не нужно будет проходить жесткую модерацию App Store или Google Play).
Важной целью использования системы WorksPad является не только удобство работы пользователей, но и защита обрабатываемых ими данных. Тут проявляются не только элементы контейнера, но и MDM-системы:
  • Изолированный контейнер на устройствах. Все документы, письма и прочие данные, к которым сотрудник получил доступ через приложение WorksPad, хранятся в отдельной зашифрованной области памяти смартфона и недоступны другим приложениям.
  • Возможность удаленной очистки контейнера приложения WorksPad. При увольнении сотрудника или утере гаджета в консоли администратора WorksPad можно удаленно очистить контейнер данных – это снизит вероятность утечки информации.
  • Настраиваемая автоматическая блокировка приложения WorksPad – при неправильно введенном пароле, неактивности пользователя или попытке выполнить jailbrеak/root на устройстве.
  • Блокировка возможности делать скриншоты при использовании приложения WorksPad.
  • Мониторинг системных событий и действий пользователей.
Дополнительные аспекты и опции безопасности:
  • При работе не используются публичные хранилища или сторонние облака – данные хранятся только на собственных серверах заказчика;
  • Возможность отображать водяные знаки на документах, почтовых сообщениях, событиях календаря;
  • Создание пользователей только из LDAP-каталога организации (Active Directory, ALD Pro, FreeIPA или OpenLDAP);
  • Поддержка ГОСТ-шифрования;
  • Возможность интеграции со сторонними VPN- и DLP-решениями.

Архитектура и установка WorksPad

Как уже было указано выше, центральным элементом WorksPad является Workspad Server. Его можно установить на один сервер, или разнести на несколько для распределения нагрузки и отказоустойчивости (как на схеме ниже).
Workspad Server можно установить как на серверы под управлением Windows (Windows Server 2012 и выше), так и на Linux. В списке поддерживаемых:
  • Astra Linux Special Edition;
  • Debian;
  • RedHat Enterprise Linux;
  • Oracle Linux;
  • РЕД ОС;
  • РОСА;
  • ALT Linux.
Для работы необходима СУБД MS SQL (для Windows-серверов) или PostgreSQL (для Linux, соответственно). Системные требования невысоки: для обслуживания 200 пользователей потребуется всего 4-ядерный CPU и 8 ГБ RAM, с соответствующим масштабированием при увеличении нагрузки. Управление осуществляется через веб-консоль администратора.
Клиентские приложения Workspad есть во всех популярных маркетах приложений: App Store, Google Play, RuStore, Huawei AppGallery. Поддерживаются устройства под управлением ОС iOS 14+ и Android 11+. После того, как пользователь установил приложение, ему достаточно будет ввести свой логин и пароль LDAP – и после входа он получит доступ ко всем функциям, разрешенных ему администратором.

Лицензирование WorksPad

WorksPad лицензируется по количеству пользователей, которые могут аутентифицироваться в клиентских приложениях, при этом один пользователь может заходить не более чем с 5 устройств. Тип лицензии (в терминологии WorksPad – редакция) влияет на функциональность, которая будет доступна пользователям и администраторам WorksPad. Сравнение редакций приведено в таблице ниже.
Документация WorksPad доступна на официальном сайте компании.

Заключение

Рассмотренная система WorksPad представляет собой эффективное решение для безопасной работы на мобильных устройствах. Она позволяет управлять и контролировать доступ сотрудников к внутренним системам через их мобильные устройства; удаленно блокировать или стирать данные, либо из контейнера WorksPad, либо с потерянных или украденных устройств. Клиентские приложения WorksPad надежно и изолированно хранят корпоративную информацию.
При этом не забыт важный элемент – удобство ежедневной работы в нем. Ведь это не антивирус, работающий на заднем фоне и редко взаимодействующий с пользователем. Приложения такого класса должны быть user-friendly, иначе сотрудники будут отказываться от них или пытаться использовать небезопасные, но более удобные аналоги. В этом плане WorksPad предоставляет возможности, не уступающие традиционным бизнес инструментам (почтовым клиентам и мобильным офисным редакторам).
Одним словом, WorksPad является отличным инструментом для организаций, которые серьезно относятся к вопросу информационной безопасности и хотят защитить свою конфиденциальную информацию на мобильных устройствах от утечки и несанкционированного доступа.
2024-03-14 09:33 Обзоры