Держать рабочую и личную информацию, аккаунты, файлы на физически разных устройствах — один из самых популярных (и эффективных!) советов по информационной безопасности. Многие компании закрепляют его в политике, которую обязательно соблюдать всем сотрудникам. Естественное продолжение этой политики — запрет обмена данными между рабочим и домашним компьютерами через сервисы вроде Dropbox и рекомендация не регистрировать личные аккаунты (например, в интернет-магазинах) на рабочую почту. Зачастую ни сами пользователи, ни администраторы не думают об еще одном месте, в котором дом и работа пересекаются: это настройки веб-браузера.
Предложения включить синхронизацию браузера Chrome с облачным аккаунтом Google всплывают с первого дня работы, более того, Chrome часто включает ее автоматически после первого же логина в Gmail или Google docs. В Firefox и Edge синхронизация менее назойлива, но тоже существует и тоже предлагается. На первый взгляд, иметь синхронизированные закладки удобно и не опасно, но злоумышленники, разумеется, думают иначе.
Чем может быть опасна синхронизация браузера
Во-первых, в облачный профиль пользователя входит довольно много информации. Кроме списка открытых вкладок и закладок, между компьютерами синхронизируются пароли и расширения браузера. Таким образом атакующие, скомпрометировавшие домашний компьютер сотрудника, могут получить доступ к ряду рабочих паролей. Ну а если пользователь установит дома вредоносное расширение, оно автоматически оказывается на рабочем компьютере. Данные атаки не гипотетические. Именно синхронизация паролей в Google Chrome привела к компрометации гиганта ИБ Cisco, а вредоносные расширения, замаскированные под корпоративную защиту, были оптимизированы для воровства токенов аутентификации Oauth.
Во-вторых, вредоносные расширения могут использоваться для эксфильтрации данных с зараженного компьютера. Поскольку в этой схеме браузер Chrome общается только с легитимной инфраструктурой Google, атака может подолгу не генерировать предупреждений от сетевой защиты.
Как обезопасить офисные компьютеры от синхронизации браузеров
Чтобы эффективно устранить угрозу, исходящую от синхронизации браузеров на рабочих компьютерах сотрудников с их домашними учетными записями, потребуется принять целый ряд мер:
- используйте браузеры, позволяющие централизованно применять корпоративные политики настройки (Chrome, Firefox);
- на уровне политик запретите синхронизацию профилей;
- на уровне политик запретите сохранение паролей в браузере (для этого лучше использовать специализированный менеджер паролей);
- при необходимости ограничьте установку расширений браузера — можно запретить ее вообще или ограничить списком доверенных расширений.
И последнее, но очень важное: заблаговременно проведите обучение сотрудников. Объясните, почему нужно пользоваться только корпоративным Chrome или Edge, почему нельзя сохранять пароли в браузере и синхронизировать закладки с домашним компьютером. Дайте некоторое время на адаптацию, и только потом применяйте новые политики. Если по каким-то причинам в организации невозможно внедрить корпоративные сборки браузеров, обучение сотрудников остается единственным и ключевым способом защиты.