Статья Отключите синхронизацию браузера в офисе

  • Автор темы BOOX
  • Дата начала

BOOX

Стаж на ФС с 2012 года
Команда форума
Служба безопасности
Private Club
Регистрация
23/1/18
Сообщения
29.223
Репутация
11.795
Реакции
61.959
RUB
50
Разделять рабочую и личную информацию принято во многих компаниях. Но синхронизация браузера часто остается незамеченной угрозой — и этим уже пользуются атакующие.


Держать рабочую и личную информацию, аккаунты, файлы на физически разных устройствах — один из самых популярных (и эффективных!) советов по информационной безопасности. Многие компании закрепляют его в политике, которую обязательно соблюдать всем сотрудникам.

disable-browser-sync-enterprise-featured.jpg


Естественное продолжение этой политики — запрет обмена данными между рабочим и домашним компьютерами через сервисы вроде Dropbox и рекомендация не регистрировать личные аккаунты (например, в интернет-магазинах) на рабочую почту. Зачастую ни сами пользователи, ни администраторы не думают об еще одном месте, в котором дом и работа пересекаются: это настройки веб-браузера.

Предложения включить синхронизацию браузера Chrome с облачным аккаунтом Google всплывают с первого дня работы, более того, Chrome часто включает ее автоматически после первого же логина в Gmail или Google docs. В Firefox и Edge синхронизация менее назойлива, но тоже существует и тоже предлагается. На первый взгляд, иметь синхронизированные закладки удобно и не опасно, но злоумышленники, разумеется, думают иначе.

Чем может быть опасна синхронизация браузера​

Во-первых, в облачный профиль пользователя входит довольно много информации. Кроме списка открытых вкладок и закладок, между компьютерами синхронизируются пароли и расширения браузера. Таким образом атакующие, скомпрометировавшие домашний компьютер сотрудника, могут получить доступ к ряду рабочих паролей. Ну а если пользователь установит дома вредоносное расширение, оно автоматически оказывается на рабочем компьютере. Данные атаки не гипотетические.

Именно синхронизация паролей в Google Chrome привела к , а , были оптимизированы для воровства токенов аутентификации Oauth.

Во-вторых, вредоносные расширения могут использоваться для . Поскольку в этой схеме браузер Chrome общается только с легитимной инфраструктурой Google, атака может подолгу не генерировать предупреждений от сетевой защиты.

Как обезопасить офисные компьютеры от синхронизации браузеров​

Чтобы эффективно устранить угрозу, исходящую от синхронизации браузеров на рабочих компьютерах сотрудников с их домашними учетными записями, потребуется принять целый ряд мер:

  • используйте браузеры, позволяющие централизованно применять корпоративные политики настройки (Chrome, Firefox);
  • на уровне политик запретите синхронизацию профилей;
  • на уровне политик запретите сохранение паролей в браузере (для этого лучше использовать специализированный менеджер паролей);
  • при необходимости ограничьте установку расширений браузера — можно запретить ее вообще или ограничить списком доверенных расширений.
И последнее, но очень важное:

. Объясните, почему нужно пользоваться только корпоративным Chrome или Edge, почему нельзя сохранять пароли в браузере и синхронизировать закладки с домашним компьютером. Дайте некоторое время на адаптацию, и только потом применяйте новые политики. Если по каким-то причинам в организации невозможно внедрить корпоративные сборки браузеров, обучение сотрудников остается единственным и ключевым способом защиты.

 
Сверху Снизу