Браузер превратился в главный инструмент сотрудника — и одновременно в новую мишень для кибератак. Почему бизнесу уже недостаточно обычных браузеров и как корпоративные решения помогают защищать данные, доступы и устройства сотрудников.
- 1. Введение
- 2. Установка и онбординг
- 3. Настройка и контроль
- 4. Контроль использования: доступ на базе условий
- 5. Управление доступом к конфиденциальной информации
- 6. Интеграция с внешними системами
- 7. Выводы
Введение
В современном цифровом ландшафте браузер перестал быть просто «окном в интернет». Сегодня это главный рабочий инструмент сотрудника. По мере того как организации активно переносят свою инфраструктуру в облака, а корпоративные приложения массово мигрируют в веб-формат, роль браузера в ИТ-инфраструктуре возрастает. Исследования подтверждают эту тенденцию: по разным оценкам, сотрудники проводят в браузере от 70 % до 85 % своего рабочего времени.
На фоне этой трансформации на рынке сформировался целый класс продуктов безопасности — Secure Enterprise Browser (SEB). Аналитики Gartner отмечают, что интерес к этой технологии значительно вырос: с 2023 по 2025 год количество запросов от клиентов увеличивалось примерно на 100 % год к году, и к 2028 году уже 25 % организаций будут использовать SEB для усиления своей безопасности.
Основным драйвером стало распространение практики работы с личных устройств (Bring Your Own Device, BYOD), а также удалённой и гибридной работы. Эти изменения выявили проблему: защищённости обычных «домашних» браузеров недостаточно для корпоративных задач.
Чем же корпоративный браузер отличается от обычного? Главным образом — наличием встроенных функций безопасности и возможностью централизованного управления. Если за безопасность отвечают встроенные уникальные функции (защита от фишинга и вредоносных файлов, технологии противодействия утечкам и т. д.), то управляемость обеспечивает отдельный инструмент.
В корпоративных браузерах это обычно веб-консоль администратора. На примере Консоли управления «Яндекс Браузера» для организаций мы расскажем, какую роль инструментарий управления браузерами играет в современной корпоративной веб-ориентированной ИТ-инфраструктуре.
Для наглядности прокомментируем роль такого инструмента на каждом этапе жизненного цикла браузера: от добавления новых сотрудников, установки, настройки и обновления до интеграции с другими корпоративными ИТ- и ИБ-системами, а также разберём возможности мониторинга, детектирования и реагирования на угрозы.
Установка и онбординг
Процесс знакомства нового сотрудника с корпоративной средой должен быть быстрым и безболезненным. ИТ-администраторам необходима возможность просто и оперативно «заводить» пользователей в инфраструктуру. В идеальном сценарии новый сотрудник получает уже предварительно настроенный браузер, авторизуется через единую систему входа (SSO) и получает безопасный доступ к корпоративным ресурсам, даже находясь за пределами офиса и используя личное устройство (сценарий BYOD). Например, Консоль управления «Яндекс Браузера» позволяет реализовать этот сценарий именно таким образом.
При этом, если речь идёт о мобильном устройстве, сотруднику необходимо скачать Браузер из магазина приложений и авторизоваться в корпоративной инфраструктуре по SSO — после этого Браузер получает необходимые настройки.
Для настольных версий Браузера администратор может создать установочные пакеты (сборки Браузера) с заранее заданными параметрами. Часть необходимых параметров может быть взята из существующей корпоративной инфраструктуры — для бесшовной интеграции с существующей ИТ-инфраструктурой Консоль поддерживает подключение по протоколу LDAPS, что позволяет синхронизироваться с корпоративным каталогом (например, Active Directory) и автоматически подгружать организационную структуру. Это избавляет от необходимости заводить всех сотрудников вручную.
Кроме того, важным аспектом онбординга является разграничение доступа к самой Консоли. В крупных компаниях настройкой браузеров могут заниматься разные сотрудники. В Консоли реализована ролевая модель, позволяющая раздавать права доступа к различным разделам и функциям, чтобы обеспечить безопасность и разделение ответственности внутри команды администраторов.
Настройка и контроль
После того как браузеры установлены и сотрудники приступили к работе, у ИТ- и ИБ-специалистов возникает потребность оперативно управлять политиками безопасности и функциональностью. Ручная настройка каждого устройства невозможна, когда речь идёт о сотнях или тысячах машин. Здесь на первый план выходят инструменты централизованного управления.
Через Консоль управления администратор может применять и обновлять групповые политики для всех зарегистрированных браузеров (вне зависимости от ОС, на которых они работают) или для отдельных подразделений. Такой подход позволяет упорядочить и разграничить права доступа к разным корпоративным веб-ресурсам, а также в любой момент изменять эти права для сотрудника или подразделения. Консоль обеспечивает любую требуемую гранулярность настроек: управлять Браузерами можно как во всём парке сразу, так и на уровне отделов — вплоть до конкретного устройства.
Похожая функциональность есть и в других корпоративных браузерных платформах, например в Microsoft Intune, где для управления корпоративным браузером Microsoft Edge используется схожий подход с созданием политик конфигурации приложений (App Configuration Policies). Они определяют поведение браузера на разных уровнях безопасности в зависимости от должности и задач сотрудника.
Контроль использования: доступ на базе условий
Одной из ключевых функций, усиливающих безопасность доступа (особенно в случаях, когда сотрудники используют личные устройства), является подход условного доступа. В «Яндекс Браузере» для организаций и Консоли управления он реализован в виде функции «Проверка устройств». Она позволяет управлять доступом в корпоративную инфраструктуру на основе различных условий: соответствует ли устройство политикам безопасности (есть ли антивирус, обновлено ли ПО и т. д.), нет ли аномалий — например, не подключается ли сотрудник из подсетей, отличающихся от заданных в настройках.
Такой подход позволяет «отсечь» значительное количество типичных киберрисков для организации: например, атаки через распространённые уязвимости в необновлённом ПО, атаки с использованием скомпрометированных учётных данных и даже шпионаж через вредоносные средства удалённого доступа (Remote Access Tools, RAT).
Что делать, если возникает подозрение на инцидент? У ИТ- и ИБ-команд должна быть возможность оперативно отреагировать на нежелательное событие. Например, если сотрудник потерял доступ к устройству, важно в максимально короткие сроки убедиться, что конфиденциальные данные, доступные из браузера, не окажутся у третьих лиц. В решениях для управления мобильными устройствами (Mobile Device Management, MDM) эта задача решается с помощью функциональности удалённого «стирания» устройства.
Похожую функцию мы внедрили и в «Яндекс Браузере» для организаций. Из Консоли управления с помощью функции «Удалённые команды» можно выполнить необходимые действия в браузере пользователя — например, очистить кеш, историю, сохранённые пароли и другие конфиденциальные данные, а также завершить сессии или заблокировать доступ к ресурсу.
Управление доступом к конфиденциальной информации
Помимо контроля доступа к ИТ-инфраструктуре, для её эффективной защиты необходимо обеспечить сохранность данных, с которыми сотрудник работает, подключившись к корпоративным ресурсам. Обычно эта задача решается с помощью специализированных решений для защиты от утечек, но в «Яндекс Браузере» для организаций уже есть встроенная DLP-функциональность. Кроме того, мы добавили функцию «Защищённое хранилище», которая работает в связке с Консолью управления и создаёт «защитный контур» вокруг файлов, которые необходимо защитить от утечки.
На практике это выглядит так: ИТ-администратор может создать список веб-ресурсов (например, внутреннее файловое хранилище или корпоративный портал), файлы на которых будут считаться защищаемыми, а также задать список сотрудников, у которых есть доступ к просмотру и редактированию этих файлов в Браузере.
После этого указанные сотрудники смогут скачивать с этих ресурсов файлы в зашифрованном формате, открывать их в Браузере, редактировать и пересылать друг другу для совместной работы. При этом все остальные сторонние приложения и пользователи, к которым могут попасть такие файлы, не смогут открыть их для просмотра и редактирования, поскольку информация защищена шифрованием.
Таким образом, даже если кто-то из сотрудников перешлёт защищённый файл внешнему пользователю, извлечь из него конфиденциальные данные не получится.
Благодаря тому, что Браузер и Консоль работают «в связке», Консоль постоянно контролирует актуальность доступа сотрудников к защищаемым файлам. К примеру, если сотруднику больше не нужен доступ к конкретному файлу (например, он уволился или перешёл на другой проект), доступ к файлам может быть отозван.
Интеграция с внешними системами
Корпоративный браузер — это полноценный инструмент безопасности, который не может существовать в вакууме. Для максимальной эффективности он должен взаимодействовать с другими решениями, работающими в контуре организации: SIEM-системами, DLP-системами, «песочницами расследования» и другими платформами защиты.
Современные SEB-решения активно интегрируются с ведущими платформами безопасности. Так, Seraphic Security интегрируется с CrowdStrike Falcon, позволяя автоматически блокировать вредоносные расширения или завершать теневые подключения к SaaS-приложениям на основе данных платформы EDR. Также активно используется обмен «сигналами» с IdM-платформами (например, Okta или Microsoft Entra ID). Если платформа обнаруживает, что учётная запись скомпрометирована, браузер может мгновенно получить этот сигнал через веб-консоль управления и принудительно завершить сессию или ограничить функциональность.
«Яндекс Браузер» для организаций и Консоль управления следуют похожей логике. У Консоли есть API, который позволяет автоматизировать обмен данными с другими системами и реагирование на угрозы.
Консоль управления играет важную роль в централизованной отправке событий по безопасности. Браузер может выступать в роли «сенсора», то есть фиксировать значимую с точки зрения безопасности информацию о событиях, происходящих в нём: переход по подозрительной ссылке, загрузку конфиденциальной информации в память устройства пользователя и т. д. Эти и другие события в сфере безопасности могут передаваться в SIEM-системы (как напрямую, так и централизованно — через Консоль управления), что позволяет ИБ-командам организовать подходящую топологию получения данных об активности в браузере и «коррелировать» их с событиями из других источников.
Также API Консоли управления позволяет интегрировать её с системами реагирования на инциденты (SOAR/IRP). Когда такая система отрабатывает плейбук, Консоль выступает звеном, через которое необходимое управляющее воздействие распространяется на Браузеры в организации.
Выводы
Развитие платформ для контроля веб-ресурсов, включая Консоль управления Яндекс Браузера для организаций, подтверждает общемировой вектор: браузер превратился в полноценный субъект защиты. Быстрое добавление пользователей, создание защищённого контура для корпоративных файлов и автоматический обмен данными с другими системами безопасности создают необходимую технологическую экосистему.
Именно объединение возможностей самого браузера и инструментов веб-консоли позволяет ИТ- и ИБ-службам выстраивать надёжную защиту данных. В условиях, когда браузер стал главным рабочим инструментом сотрудника, эффективное управление всеми корпоративными устройствами становится ключевым фактором безопасности и непрерывности бизнес-процессов.
Статья написана в соавторстве с Ринатом Хусамовым, руководителем сервиса «Консоль управления» Яндекс Браузера для организаций.
