ENG
Противостоять кибератакам

Введение: почему стандартного MDM уже недостаточно в условиях новых угроз

Современная корпоративная мобильная экосистема разделилась на две основные модели: BYOD (Bring Your Own Device — личные устройства сотрудников) и COPE (Corporate-Owned, Personally Enabled — корпоративные устройства с личным использованием). Если MDM (Mobile Device Management, управление мобильными устройствами) решает задачи управления устройствами и политиками, то оно оставляет критическую уязвимость — отсутствие проактивной защиты от мобильных угроз в реальном времени. Именно этот пробел закрывает стратегия безопасности мобильных устройств в реальном времени (Mobile Threat Defense, MTD), становясь обязательным элементом современной защиты.

Интеграция MTD с MDM: синергия управления и защиты в российском контексте

Глубокая интеграция MTD с существующей MDM-инфраструктурой — не опция, а необходимость, подтвержденная отечественной практикой. На практике эта интеграция выглядит так:

Единая точка администрирования и сквозное применение политик: политики безопасности, созданные в MTD, автоматически применяются через MDM. Например, при обнаружении MTD рутированного устройства или вредоносного приложения MDM мгновенно ограничивает доступ к корпоративным ресурсам или изолирует инфицированный сегмент.

Контекстное реагирование на основе анализа угроз: MTD анализирует угрозы, MDM исполняет сценарии реагирования. Обнаружив фишинговое приложение или подозрительную сетевую активность, MTD передаёт данные в MDM, который принудительно блокирует доступ к чувствительным данным.

Сквозная видимость для Центров мониторинга и реагирования (SOC): совмещая данные из MTD (угрозы, аномалии поведения, оценка риска) и MDM (состояние устройства, соответствие политикам, инвентаризация), отдел ИБ получает полную картину рисков.

Контроль приложений: за пределами чёрных и белых списков в реалиях российского рынка

Современный MTD поднимает контроль приложений на качественно новый уровень, что критически важно в условиях активного использования российскими сотрудниками как официальных магазинов приложений, так и сторонних источников.

Для моделей COPE реализуется детальный анализ каждого приложения:

  • Выявление скрытых уязвимостей и закладок в легитимном ПО.

  • Обнаружение вредоносных библиотек (в т.ч. рекламных) в популярных приложениях.

  • Мониторинг небезопасных взаимодействий между приложениями, которые могут использоваться для перехвата данных.

  • Для BYOD-среды применяется принцип «контейнеризации» и сегментации:

  • Корпоративные приложения и данные изолируются в защищённом контейнере или рабочем профиле.

  • Личные приложения не имеют доступа к рабочему пространству, что гарантирует приватность сотрудника.

  • MTD отслеживает и оценивает угрозы только в корпоративном сегменте, предотвращая их распространение.

Защита корпоративных данных

  1. Защита в режиме реального времени от целевых угроз:

Сканирование сетевого трафика на предмет подключения к фишинговым серверам и серверам управления и контроля (C&C), включая те, что используются APT-группами, активными в РФ.

Обнаружение атак «человек посередине» (MITM) в публичных Wi-Fi сетях, что особенно актуально для мобильных устройств.

Блокировка фишинговых сайтов и СМС (smishing), часто маскирующихся под сообщения от госорганов или банков.

  1. Защита данных в состоянии покоя и в движении:

Шифрование корпоративных данных в контейнере, соответствующее требованиям регуляторов.

Предотвращение утечек через снимки экрана, буфер обмена и недоверенные приложения для пересылки файлов.

Организация безопасных VPN-туннелей (с поддержкой российских криптоалгоритмов) для доступа к внутренним ресурсам.

Адаптивный доступ и стратегия «нулевого доверия» (Zero Trust) для мобильных устройств:

Непрерывная оценка риска устройства (Device Risk Scoring) перед и во время подключения к корпоративной сети.

Динамическое изменение уровня доступа в зависимости от «степени здоровья» устройства. Например, устройство с устаревшей ОС получает доступ только к ограниченному набору ресурсов.

Автоматическая изоляция скомпрометированных устройств без вмешательства администратора.

Практические рекомендации по внедрению в российской ИТ-среде

  1. Начните с оценки рисков и аудита: определите, какие данные будут обрабатываться на мобильных устройствах. Используйте отечественные методики оценки (например, от ФСТЭК России) для определения актуальных угроз.

  2. Выберите решения с поддержкой российских стандартов: это обеспечит не только беспроблемную интеграцию с MDM-системой, но и соответствие требованиям регуляторов. Убедитесь в поддержке необходимых криптографических алгоритмов.

  3. Разработайте дифференцированные политики и регламенты для BYOD и COPE, закрепленные во внутренних документах. Сотрудники должны четко понимать разницу в требованиях, своих правах и ответственности при использовании личных и корпоративных устройств.

  4. Уделите внимание пользовательскому опыту и адаптации: излишне строгие политики приведут к сопротивлению и поиску обходных путей. Проводите пилотные проекты, собирайте обратную связь. Защита должна быть эффективной, но ненавязчивой в повседневных задачах.

  5. Обучайте пользователей на основе реальных кейсов: большинство мобильных инцидентов начинаются с действий сотрудника. Регулярный тренинг по мобильной безопасности, основанный на примерах из отечественной практики (фишинг под видом госуслуг, мошенничество в мессенджерах), снижает риски на порядок.

Заключение

MTD перестал быть «опциональным дополнением» — это обязательный компонент мобильной безопасности в гибридных моделях работы, что подтверждается растущей статистикой угроз в России. Интеграция с MDM, интеллектуальный контроль приложений и многоуровневая защита данных создают комплексную систему, которая не просто отражает угрозы, а адаптируется к меняющемуся ландшафту мобильных рисков, включая целевые атаки.

Внедрение стратегии безопасности мобильных устройств в реальном времени (Mobile Threat Defense) — это не только техническая задача, но и организационное изменение, требующее учета требований российского законодательства. Успех зависит от сбалансированного подхода, учитывающего и требования безопасности, и операционные потребности бизнеса, и комфорт конечных пользователей. В современном мире, где мобильное устройство стало основным рабочим инструментом, такая защита — не статья расходов, а стратегическая инвестиция в непрерывность бизнеса.

Автор: Алексей Варлаханов, руководитель отдела прикладных систем Angara Security.

Источник

03.02.2026

Другие публикации

Обогащение событий безопасности средствами ИИ: извлечение сущностей, контекста и приоритетов

В практической деятельности центров мониторинга и реагирования на инциденты ежедневно обрабатываются огромные массивы разнородной телеметрии. Формально информации более чем достаточно, однако её реальная аналитическая ценность часто оказывается ограниченной. Отдельно взятое событие или алерт редко позволяет однозначно ответить на главный вопрос: перед нами целенаправленная атака, ошибка конфигурации или легитимная активность.

10.03.2026

Выявление поддельных документов и изображений с помощью ИИ: набор признаков и обучение на собственных кейсах

Проверка подлинности документов и изображений давно перестала быть узкоспециализированной задачей судебных экспертов. Для банков, государственных порталов, кадровых служб, подразделений комплаенса и антифрода это - ежедневная операционная рутина. Через дистанционные каналы поступают тысячи сканов документов и биометрических фотографий. Любой из них может стать точкой входа для мошенничества, подмены личности или легализации незаконных операций.

06.03.2026

Акцент на проактивную защиту

Вектор усилий регулятора сместился в сторону превентивной защиты конечного пользователя, отмечает директор центра консалтинга Angara Security Александр Хонин. 
Эксперт назвал самые действенные инструменты противодействия финансовому мошенничеству.

02.03.2026

Приказ ФСТЭК России №117: что меняется в мире защиты информации.

До 1 марта 2026 года осталась меньше недели. Именно с этой даты начинают действовать новые требования ФСТЭК, утвержденные приказом №117.
Вместе с Александром Хониным, директором Центра консалтинга Angara Security, разобрались, что конкретно меняется с 1 марта и на что обратить внимание в первую очередь.

актуально

27.02.2026

Успешное построение геоцентричной системы Incident Management на отечественном стеке технологий

На примере кейса крупной государственной корпорации расскажем, как комплексный подход к импортозамещению позволил не просто сменить вендора, но и вывести управление кибербезопасностью на качественно новый уровень.

25.02.2026

Остались вопросы?

Получить консультацию

Понравилась статья?

Подпишитесь на уведомления о новых материалах

Подписаться