А.Александров, руководитель направления по работе с технологическими партнерами компании "Аладдин Р.Д."
Смартфоны и планшеты используются не только для того, чтобы совершать звонки или отправлять SMS-сообще-ния. Спектр их применения достаточно широк: мобильные гаджеты превратились в компактные компьютеры, оснащенные собственным каналом связи (GPRS, 3G, LTE и т.д.). Как правило, мобильные устройства отличаются от полноценных ПК лишь наличием иного интерфейса взаимодействия – сенсорного экрана.
При повсеместной распространенности мобильных гаджетов и их технических возможностях они все чаще используются не только в личных, но и в рабочих целях. Однако, исходя из схожести мобильных устройств с компьютерами, можно утверждать, что угрозы, которым подвержены ПК, актуальны и для смартфонов и планшетов.
Риск утечки конфиденциальных данных, находящихся в мобильном гаджете или доступных в результате использования различных приложений на нем, намного выше по сравнению с персональным компьютером по ряду причин. Во-первых, вероятность утери или кражи мобильного устройства намного превышает возможность утери стационарного компьютера или ноутбука. Во-вторых, нельзя забывать про слабые места архитектуры мобильных ОС и уязвимость мобильных приложений, которыми могут воспользоваться злоумышленники.
Для защиты мобильного устройства необходим комплекс мер, к которым относится не только блокировка гаджета надежными паролями и использование антивирусного ПО, но и аутентификация пользователя мобильного устройства как при работе с локальными данными, так и при подключении к информационным или платежным системам. Немаловажным звеном комплексной защиты является разграничение доступа к конфиденциальной информации со стороны ИТ-службы организации, при котором определенным группам лиц будет доступна только предназначенная для них информация.
выйти из положения можно с помощью разработанного экспертами "Аладдин Р.Д." решения JC-Mobile, которое подразумевает применение смарт-карт с аппаратной реализацией криптографических алгоритмов, позволяющих осуществлять аутентификацию пользователя в мобильном приложении и защиту локальных данных приложения. Это исключает несанкционированный доступ и защищает данные при утере или краже устройства.
За счет использования решения можно обеспечить аутентификацию пользователя при подключении к системе ДБО с мобильного устройства и повысить доверие к операциям, совершаемым пользователем со своего гаджета с помощью усиленной квалифицированной электронной подписи.
В состав JC-Mobile входят смарт-карта JaCarta и различные виды ридеров смарт-карт, разработанные специально для мобильных гаджетов. Благодаря этому решение поддерживается на различных устройствах как на базе iOS, так и на Android.
Смарт-карта легко помещается в обычный кошелек, она всегда находится у владельца, что важно в случае утери или кражи мобильного устройства, так как при отсутствии смарт-карты зло-
умышленники не смогут получить доступ к защищенным данным. Кроме того, смарт-карта JaCarta может совмещать в себе функции платежной карты, а также пропуска на территорию или в помещение.
Ридер смарт-карты для удобства пользователей может подключаться как напрямую к смартфону или планшету, так и через интерфейс Bluetooth. Еще одним перспективным форм-фактором является токен Secure MicroSD, который может использоваться на ПК, ноутбуке и мобильном гаджете через специальные переходники-адаптеры.
В.Емышев, менеджер по развитию бизнеса компании NGS Distribution
Развитие ИТ-
технологий представляет собой необратимый динамичный процесс как в корпоративном, так и в частном секторе. Одним из основополагающих векторов этого процесса является развитие мобильных технологий. Использование персональных компьютеров постепенно сокращается, им на смену приходят портативные устройства. Часто одно и то же устройство используется как в личных целях, так и для решения рабочих вопросов. Современный сотрудник имеет множество установленных приложений, с помощью которых он может осуществлять доступ к корпоративным ресурсам, почте, и т.д. ИТ-отделы компании разрабатывают стратегии "корпоративной мобильности", в которых отражаются правила использования мобильных устройств сотрудниками для доступа к корпоративным устройствам. Как правило, применяют два подхода:
COD (Corporative Owned Device) – компания выбирает стандарт мобильных устройств и выдает каждому из сотрудников предварительно настроенное устройство с приложениями и правами доступа к ресурсам, которые необходимы для осуществления должностных обязанностей;
BYOD (Bring Your Own Device) – пользователи используют собственные мобильные устройства для доступа к корпоративным ресурсам компании.
Оба варианта обладают своими плюсами и минусами. Мобильность сотрудников несет в себе ощутимую пользу для компании: повышается скорость бизнес-процессов, уменьшается время реакции на запросы, сотрудник может осуществлять рабочий процесс, находясь в любом месте, где есть свободный доступ в Интернет.
Но, к сожалению, мобильное устройство представляет собой оконечное оборудование, подверженное повышенному риску утечки. В 2013 году независимый исследовательский центр Ponemon провел исследование, по результатам которого мобильные устройства были признаны наиболее подверженными утечке оконечными устройствами.
Если сотрудник использует для работы свое собственное устройство (BYOD) и за этим не осуществляется должного контроля со стороны организации, то он получает неограниченные возможности для передачи корпоративной информации вовне. Сотрудник может использовать облачные сервисы с помощью приложений, установленных на смартфонах и планшетах. Передача корпоративных данных через такие приложения приводит к утечкам, о которых организация в большинстве случаев даже не подозревает.
Сотрудник может использовать устройство, которое было изменено на административном уровне (например, с помощью Jailbreak для iOS или Rooting для Android), получая при этом возможность установки сторонних приложений не из официальных источников. Это может привести к проникновению вредоносного или шпионского ПО и получению полного доступа к устройству.
Пользователь может использовать несколько устройств с одной учетной записью, с возможностью доступа к ресурсам с каждого из них, что повышает уязвимость данных пользователя.
Фишинг – подделка номера вызывающего абонента – еще один потенциальный метод организации утечки личной информации пользователя. Злоумышленник маскируется под заслуживающий доверия источник, например, под мобильного оператора или банк. В результате фишинговой атаки пользователь может передать злоумышленнику личную информацию, номер и пароль кредитной карты и т.д.
Потенциально опасны внешние каналы передачи данных Wi-Fi и Bluetooth. При выходе в Интернет через эти каналы трафик пользователя может быть адресован на поддельный или вредоносный сайт, хакерскую точку и т.д.
Мобильное устройство может быть просто утеряно или украдено. Злоумышленнику не составит труда извлечь хранимую в устройстве информацию и воспользоваться ей.
Современное мобильное устройство занимает первое место по потенциальному риску утечки информации. Для снижения этого риска современным организациям необходимо принимать активные меры. В рамках построения стратегии "корпоративной мобильности" организации необходимо определить, какие приложения, сервисы и данные может использовать сотрудник в рамках выполнения должностных обязанностей. Также необходимо определить конфигурацию каждого из устройств, например, надежность парольной защиты, электронную почту, VPN, Bluetooth и Wi-Fi, возможность использования встроенной камеры. Необходимо постоянное резервное копирование данных на случай экстренного восстановления и возможность удаления данных при потере устройства или при определенных условиях (введенный несколько раз неправильный пароль, выход устройства за определенную зону и т.д.). Возможна организация внутреннего корпоративного магазина приложений для безопасной работы со списком доверенных программ. Для реализации стратегии "корпоративной мобильности" требуется внедрение системы класса MDM (Mobile Device Management), которая позволит существенно снизить риски утечки информации через мобильные устройства.
С.Карасиков,
начальник отдела перспективных разработок компании IXI
Данные с мобильных устройств могут похищаться двумя способами – через непосредственный физический контакт злоумышленника с устройством или же через удаленный доступ к данным.
В первом случае все зависит от самого пользователя – насколько ответственно он подошел к защите своих данных. И тут в большинстве случаев достаточно встроенных средств и желания защитить свои данные от утраты. Нельзя пренебрегать функцией экранной блокировки паролем – это первый бастион защиты. Не стоит без явной необходимости модифицировать базовое ПО устройства (Jailbreak для iOS или Root для Android) или же заменять его взломанным с расширенным функционалом, – как правило, там уже для удобства отладки встроены механизмы упрощенного доступа к данным, которые большинство пользователей не отключает. В случае с Android это ADB Root Shell без проверки цифрового отпечатка ПК и разрешение по умолчанию на установку ПО из непроверенных источников. Наиболее безопасно устройство с активированными встроенными механизмами защиты, такими как экранная блокировка паролем, настроенные службы поиска и блокировки в случае кражи, штатное шифрование содержимого. Расширенный функционал доработанных версий ОС от энтузиастов может быть востребован только специалистами, которые точно знают, как, используя преимущества снятых ограничений, устранить потенциальные бреши в защите устройства, в том числе появившиеся в этих тюнингованных версиях ОС.
Когда речь идет об утрате данных по каналам передачи информации, то тут тоже два варианта – это вредоносное ПО, установленное пользователем или встроенное в устройство изготовителем (чем грешат многие производители бюджетных смартфонов), а также перехват трафика при использовании общественных открытых сетей Wi-Fi.
На пользователе лежит ответственность за выбор проверенного ПО из проверенных источников. Идеальный вариант – устанавливать приложения из официальных магазинов, там они проходят тщательную проверку на наличие вредоносного функционала, и нарушители правил оперативно удаляются. Однако наличие приложения в официальном магазине тоже не является гарантией отсутствия в нем нежелательного функционала, так что все равно перед установкой следует внимательно ознакомиться с описанием, отзывами и рейтингом приложения, а в случае с OS Android – и с теми разрешениями, которые оно просит у пользователя на взаимодействие с его системой.
От беспроводного перехвата рядовой пользователь может защититься внимательным выбором сетей, к которым он подключается, а также использованием защищенного соединения с сервисами (Secure Sockets Layer, SSL). По возможности с любимыми сервисами стоит работать через их официальные приложения, а не браузер. Таким образом снижается вероятность передать учетные данные открытым текстом, но, тем не менее, качество защиты данных, передающихся приложением, всегда остается на совести разработчика этого приложения.
Наиболее частыми объектами кражи становятся учетные данные пользователей соцсетей, сведения о финансовых активах и данные личного характера. Как правило, разработчики приложений, отвечающих за финансовые операции, уделяют безопасности данных большое внимание, но это не отменяет элементарную бдительность пользователя. Установить вредоносное ПО незаметно, как правило, невозможно. Поэтому злоумышленники под различными предлогами пытаются убедить пользователя установить их приложение, обычно замаскированное под развлекательное, или нелегальную копию платного программного продукта именитой компании. Всегда следует сначала внимательно посмотреть, что вам предлагают установить, и подумать – надо ли оно вам, и в случае каких-либо сомнений отказаться. Репутационные и финансовые потери вследствие удовлетворения простого любопытства могут быть весьма тяжелыми.
М.Кондрашин, технический директор московского представительства
Trend Micro
Проблема утечек данных в корпоративной среде последние годы стала очень актуальной, поскольку многие виды информации являются ключевым активом для компании, особенно на высококонкурентных рынках. Мобильные устройства соединяют в себе самые неприятные для специалистов по ИБ факторы: наличие ценной и конфиденциальной информации, отсутствие удобных инструментов для ее защиты, а зачастую и вообще какого бы то ни было контроля устройств, используемых сотрудниками для выполнения своих обязанностей.
Одним из подходов к защите информации стало внедрение специализированных средств, которые, анализируя потоки данных внутри корпоративной сети, позволяют выявить факты неавторизованной передачи конфиденциальных документов, персональных данных и другие виды цифровых активов. Решая эту задачу, разработчики упустили из виду широкомасштабную тенденцию – переход к использованию портативных устройств. Во-первых, они не поддерживают агентов защиты от утечек, разработанных для ПК. Во-вторых, они подключаются к Интернету через сотовые сети и широко доступные открытые беспроводные точки доступа, т.е. выпадают из поля зрения корпоративных систем защиты от утечек. Наконец, в-третьих, сотрудники активно используют для корпоративных нужд личные устройства, которые вообще никак не подотчетны службам ИБ.
В такой ситуации задача защиты корпоративных данных смещается на мобильные устройства, ведь именно они являются основным вызовом. Но, очевидно, по сравнению с настольными системами тут требуются другие подходы.
Так как возможности специализированной защиты от утечек данных непосредственно на самих мобильных устройствах предельно ограниченны, на первый план выходят системы класса MDM, позволяющие по крайней мере активировать встроенные в мобильную платформу средства безопасности. Надо отметить, что базовые функции – принудительная блокировка устройства паролем и его удаленная очистка в случае утери или кражи – технологически допускают реализацию без использования MDM. Достаточно, чтобы пользователь читал корпоративную электронную почту со своего устройства по протоколу ActiveSync.
Как и для традиционных средств защиты от утечек, более обстоятельный подход – ранжирование корпоративной информации и использование более серьезных средств защиты для особо ценных данных. Тут возможности простираются от технологий шифрования памяти устройства до самых радикальных мер, например, перемещения мобильных приложений пользователя в виртуальную мобильную среду и предоставления доступа к ней через специальное мобильное приложение. При таком подходе конфиденциальные данные вообще не покидают периметра корпоративной сети. К сожалению, далеко не все виды мобильной активности допускают такой радикальный подход к защите.
Если предприятие не только допускает использование мобильных устройств пользователями для доступа к корпоративным данным, но и переносит сами данные и приложения в облачные сервисы, то возникают новые проблемы. Такой подход вообще сводит на нет полезность традиционных средств защиты. Не хочется отговаривать читателя от такого прогрессивного шага, но нужно отметить, что при таком подходе вопросам безопасности нужно уделить гораздо больше внимания, потому что он порождает еще более широкий пласт рисков. Теперь украденные или утерянные телефоны являются действующим интерфейсом к корпоративной информации, но вряд ли облачный оператор сам возьмет на себя отслеживание доступа с сомнительных устройств. При этом не всегда понятно, как реализовать контроль данных в облачной среде, который был бы сходен с контролем данных в традиционном ЦОД.
Подытоживая, можно сказать, что защита мобильных устройств является компромиссом, смещенным в сторону удобства пользователей. Задача индустрии безопасности – использовать все доступные технологии, чтобы решить возникшую проблему, не ставя заказчиков перед выбором: безопасность или мобильность.
Е.Царев, глава представительства в России и СНГ, компания Swivel
Использование смартфонов и планшетов в работе повышает эффективность труда сотрудников, которые могут работать где угодно и когда угодно.
Все чаще корпоративная система строится в соответствии с концепцией BYOD – применение личных устройств в служебных целях. Однако более половины компаний игнорирует вопросы мобильной безопасности и никак не контролирует доступ к корпоративным сервисам и файлам с личных планшетов и смартфонов сотрудников. В этом случае работодатели ограничиваются только рекомендациями для сотрудников, а их исполнение не контролируют. Так, многие корпоративные IT-подразделения вводят запреты на использование публичных точек доступа Wi-Fi для просмотра и передачи рабочих данных, но контролируют процесс только единицы. Дело в том, что для этого необходимо использовать специальные технические средства (в частности решения MDM), которые создают определенные ограничения для сотрудников при использовании их собственных устройств. Такое положение дел устраивает далеко не всех. Поэтому до сих пор около 10% работодателей полностью ограничивают удаленный доступ к корпоративным ресурсам с мобильных устройств пользователей.
По результатам целого ряда исследований, наиболее распространенной платформой для корпоративных устройств является Android (около 50%). За ней следуют iOS (около 30%), Windows Mobile и BlackBerry. Основное преимущество платформы Android – низкая цена при очень широком функционале. Однако фактически Android за счет своей открытости более удобен для злоумышленников. Устройства на платформе iOS более предпочтительны с точки зрения ИБ.
Существуют следующие основные угрозы безопасности для мобильных устройств:
неумышленная пересылка файлов пользователем;
фишинговые атаки;
атаки шпионских программ;
утечка данных при потере или кражи устройства;
использование спуфинга сети.
Отчеты экспертов подтверждают, что корпоративное ПО оказывается не менее, а зачастую и более уязвимо, чем пользовательское. Культура тестов на проникновение практически отсутствует, да и специалистов очень немного.
Наиболее эффективным решением в случае применения BYOD является предоставление доступа к информационным ресурсам посредством подключения мобильных устройств по мобильному Интернету через терминальные сессии к виртуальным средам Windows, которые в свою очередь защищены работающей на хосте системой защиты от утечек DLP (Data Loss Prevention). В этом случае обеспечивается реальная защита.
Функционал современных MDM-систем включает в себя функционал DLP, поэтому применение MDM-решений значительно повышает защиту от утечек. В частности, такие системы позволяют контролировать установку опасных приложений на устройства пользователя, уничтожать критичные данные удаленно, организовывать защищенный VPN-туннель и многое другое.
В настоящий момент MDM-решения только развиваются, и о широком их распространении говорить пока сложно.
В.Воротников, руководитель отдела перспективных исследований и проектов компании "С-Терра СиЭсПи"
Мобильных устройств стало значительно больше, чем раньше. К мобильным телефонам, цифровым фотоаппаратам и плеерам добавилась и электроника, которую мы носим с собой: умные часы, фитнес-трекеры, видеорегистраторы, навигаторы и т.д. Есть ряд причин, осложняющих обеспечение их безопасности. Причины эти тесно связаны с последними тенденциями рынка мобильных устройств и ожиданиями пользователей. Чего хочет пользователь от мобильного устройства? Широкой функциональности, легкой связи с внешним миром, предельной простоты использования, компактности. Упрощение интерфейса и интеграция с различными облачными и социальными сервисами – одни из главных трендов развития индустрии мобильных устройств. Но для безопасности все эти тенденции – катастрофа.
Функциональность. Чем шире функциональность устройства, тем большее количество полезной информации может получить злоумышленник: каждый датчик (GPS, микрофон, камера, монитор сердечного ритма и т.д.) увеличивает количество полезной информации, которую устройство может собирать. С первого взгляда, акселерометр или датчик освещенности не может дать злоумышленнику ничего полезного. Но это не так. С помощью информации с любого из этих датчиков можно получить набираемые на устройстве данные: акселерометр выдает характерные показания при нажатии на разные точки экрана. Таким образом можно, например, определить, какой пин-код или пароль набирал пользователь. Аналогичное поведение показывает и датчик освещенности, т.к. при нажатии на разные точки экрана происходит смещение датчика яркости относительно источника света с изменением угла падения лучей.
Связь с внешним миром. Чем больше у устройства способов связи с внешним миром, тем больше появляется каналов утечек. И если о существовании Wi-Fi или Bluetooth среднестатистическому пользователю известно, то про поддержку своим телефоном технологии NFC (Near Field Communication) пользователь может даже не подозревать, хотя несколько уязвимостей в реализации этого протокола уже было обнаружено. Похожая ситуация с протоколом IPv6 (Internet Protocol version 6), который включен на многих устройствах по умолчанию, о чем пользователь даже не подозревает.
Простота использования. Часто простота использования противопоставляется безопасности. Удобно ли, чтобы цифровой фотоаппарат из рюкзака автоматически подключался к бесплатной сети Wi-Fi в кафе и сбрасывал все свежие фотографии на облачное хранилище, которое доступно пользователю отовсюду? Конечно – да! Безопасно ли это? Определенно – нет. Простота использования – это часто ловушка, за которой скрывается потеря контроля над тем, что происходит в устройстве.
Компактность. Уменьшение размеров не так явно связано со снижением безопасности, но корреляция есть. Так, например, часто в компактных устройствах ограничен объем памяти, и устанавливаемая на них операционная система (обычно основанная на Unix/Linux) может быть сильно уменьшена и не иметь возможности обновления при выходе критических обновлений безопасности. Некоторые компактные устройства настолько малы, что управляются и настраиваются только с внешнего устройства или пульта. Протоколы связи между управляющим и управляемым устройством часто бывают проприетарные и слабозащищенные.
Таким образом, складывается следующая картина. Люди носят с собой все больше и больше "умных" устройств. Объемы данных от этих устройств экспоненциально растут, чего не скажешь о контроле за этими потоками. Во всю мощь стучится в дверь казавшееся забавным пару лет назад понятие "Интернет вещей". Что со всем этим делать? Можно закрыть глаза или спрятаться в кусты, надеясь, что проблема пропадет сама собой. Можно отрицать проблему или бороться со "всякими модными" проявлениями в стиле "держать и не пущать"! Так иногда делают, но это не работает. Глупо идти против прогресса. Наша задача как квалифицированных, ответственных специалистов по безопасности – обеспечить прозрачную и эффективную безопасность в сетях, сервисах и приложениях. Сделать так, чтобы безопасность перестала быть антонимом простоты использования. Пользователю скучно придумывать сложный пароль – давайте использовать другие способы аутентификации. К вашей корпоративной сети подключаются удаленные сотрудники – стоит подумать о сохранности и конфиденциальности данных (например, с помощью построения частных защищенных сетей VPN), а также о централизованной инспекции трафика на корпоративном антивирусе, межсетевом экране и IPS (Intrusion Prevention System). ▪
Смартфоны и планшеты используются не только для того, чтобы совершать звонки или отправлять SMS-сообще-ния. Спектр их применения достаточно широк: мобильные гаджеты превратились в компактные компьютеры, оснащенные собственным каналом связи (GPRS, 3G, LTE и т.д.). Как правило, мобильные устройства отличаются от полноценных ПК лишь наличием иного интерфейса взаимодействия – сенсорного экрана.
При повсеместной распространенности мобильных гаджетов и их технических возможностях они все чаще используются не только в личных, но и в рабочих целях. Однако, исходя из схожести мобильных устройств с компьютерами, можно утверждать, что угрозы, которым подвержены ПК, актуальны и для смартфонов и планшетов.
Риск утечки конфиденциальных данных, находящихся в мобильном гаджете или доступных в результате использования различных приложений на нем, намного выше по сравнению с персональным компьютером по ряду причин. Во-первых, вероятность утери или кражи мобильного устройства намного превышает возможность утери стационарного компьютера или ноутбука. Во-вторых, нельзя забывать про слабые места архитектуры мобильных ОС и уязвимость мобильных приложений, которыми могут воспользоваться злоумышленники.
Для защиты мобильного устройства необходим комплекс мер, к которым относится не только блокировка гаджета надежными паролями и использование антивирусного ПО, но и аутентификация пользователя мобильного устройства как при работе с локальными данными, так и при подключении к информационным или платежным системам. Немаловажным звеном комплексной защиты является разграничение доступа к конфиденциальной информации со стороны ИТ-службы организации, при котором определенным группам лиц будет доступна только предназначенная для них информация.
выйти из положения можно с помощью разработанного экспертами "Аладдин Р.Д." решения JC-Mobile, которое подразумевает применение смарт-карт с аппаратной реализацией криптографических алгоритмов, позволяющих осуществлять аутентификацию пользователя в мобильном приложении и защиту локальных данных приложения. Это исключает несанкционированный доступ и защищает данные при утере или краже устройства.
За счет использования решения можно обеспечить аутентификацию пользователя при подключении к системе ДБО с мобильного устройства и повысить доверие к операциям, совершаемым пользователем со своего гаджета с помощью усиленной квалифицированной электронной подписи.
В состав JC-Mobile входят смарт-карта JaCarta и различные виды ридеров смарт-карт, разработанные специально для мобильных гаджетов. Благодаря этому решение поддерживается на различных устройствах как на базе iOS, так и на Android.
Смарт-карта легко помещается в обычный кошелек, она всегда находится у владельца, что важно в случае утери или кражи мобильного устройства, так как при отсутствии смарт-карты зло-
умышленники не смогут получить доступ к защищенным данным. Кроме того, смарт-карта JaCarta может совмещать в себе функции платежной карты, а также пропуска на территорию или в помещение.
Ридер смарт-карты для удобства пользователей может подключаться как напрямую к смартфону или планшету, так и через интерфейс Bluetooth. Еще одним перспективным форм-фактором является токен Secure MicroSD, который может использоваться на ПК, ноутбуке и мобильном гаджете через специальные переходники-адаптеры.
В.Емышев, менеджер по развитию бизнеса компании NGS Distribution
Развитие ИТ-
технологий представляет собой необратимый динамичный процесс как в корпоративном, так и в частном секторе. Одним из основополагающих векторов этого процесса является развитие мобильных технологий. Использование персональных компьютеров постепенно сокращается, им на смену приходят портативные устройства. Часто одно и то же устройство используется как в личных целях, так и для решения рабочих вопросов. Современный сотрудник имеет множество установленных приложений, с помощью которых он может осуществлять доступ к корпоративным ресурсам, почте, и т.д. ИТ-отделы компании разрабатывают стратегии "корпоративной мобильности", в которых отражаются правила использования мобильных устройств сотрудниками для доступа к корпоративным устройствам. Как правило, применяют два подхода:
COD (Corporative Owned Device) – компания выбирает стандарт мобильных устройств и выдает каждому из сотрудников предварительно настроенное устройство с приложениями и правами доступа к ресурсам, которые необходимы для осуществления должностных обязанностей;
BYOD (Bring Your Own Device) – пользователи используют собственные мобильные устройства для доступа к корпоративным ресурсам компании.
Оба варианта обладают своими плюсами и минусами. Мобильность сотрудников несет в себе ощутимую пользу для компании: повышается скорость бизнес-процессов, уменьшается время реакции на запросы, сотрудник может осуществлять рабочий процесс, находясь в любом месте, где есть свободный доступ в Интернет.
Но, к сожалению, мобильное устройство представляет собой оконечное оборудование, подверженное повышенному риску утечки. В 2013 году независимый исследовательский центр Ponemon провел исследование, по результатам которого мобильные устройства были признаны наиболее подверженными утечке оконечными устройствами.
Если сотрудник использует для работы свое собственное устройство (BYOD) и за этим не осуществляется должного контроля со стороны организации, то он получает неограниченные возможности для передачи корпоративной информации вовне. Сотрудник может использовать облачные сервисы с помощью приложений, установленных на смартфонах и планшетах. Передача корпоративных данных через такие приложения приводит к утечкам, о которых организация в большинстве случаев даже не подозревает.
Сотрудник может использовать устройство, которое было изменено на административном уровне (например, с помощью Jailbreak для iOS или Rooting для Android), получая при этом возможность установки сторонних приложений не из официальных источников. Это может привести к проникновению вредоносного или шпионского ПО и получению полного доступа к устройству.
Пользователь может использовать несколько устройств с одной учетной записью, с возможностью доступа к ресурсам с каждого из них, что повышает уязвимость данных пользователя.
Фишинг – подделка номера вызывающего абонента – еще один потенциальный метод организации утечки личной информации пользователя. Злоумышленник маскируется под заслуживающий доверия источник, например, под мобильного оператора или банк. В результате фишинговой атаки пользователь может передать злоумышленнику личную информацию, номер и пароль кредитной карты и т.д.
Потенциально опасны внешние каналы передачи данных Wi-Fi и Bluetooth. При выходе в Интернет через эти каналы трафик пользователя может быть адресован на поддельный или вредоносный сайт, хакерскую точку и т.д.
Мобильное устройство может быть просто утеряно или украдено. Злоумышленнику не составит труда извлечь хранимую в устройстве информацию и воспользоваться ей.
Современное мобильное устройство занимает первое место по потенциальному риску утечки информации. Для снижения этого риска современным организациям необходимо принимать активные меры. В рамках построения стратегии "корпоративной мобильности" организации необходимо определить, какие приложения, сервисы и данные может использовать сотрудник в рамках выполнения должностных обязанностей. Также необходимо определить конфигурацию каждого из устройств, например, надежность парольной защиты, электронную почту, VPN, Bluetooth и Wi-Fi, возможность использования встроенной камеры. Необходимо постоянное резервное копирование данных на случай экстренного восстановления и возможность удаления данных при потере устройства или при определенных условиях (введенный несколько раз неправильный пароль, выход устройства за определенную зону и т.д.). Возможна организация внутреннего корпоративного магазина приложений для безопасной работы со списком доверенных программ. Для реализации стратегии "корпоративной мобильности" требуется внедрение системы класса MDM (Mobile Device Management), которая позволит существенно снизить риски утечки информации через мобильные устройства.
С.Карасиков,
начальник отдела перспективных разработок компании IXI
Данные с мобильных устройств могут похищаться двумя способами – через непосредственный физический контакт злоумышленника с устройством или же через удаленный доступ к данным.
В первом случае все зависит от самого пользователя – насколько ответственно он подошел к защите своих данных. И тут в большинстве случаев достаточно встроенных средств и желания защитить свои данные от утраты. Нельзя пренебрегать функцией экранной блокировки паролем – это первый бастион защиты. Не стоит без явной необходимости модифицировать базовое ПО устройства (Jailbreak для iOS или Root для Android) или же заменять его взломанным с расширенным функционалом, – как правило, там уже для удобства отладки встроены механизмы упрощенного доступа к данным, которые большинство пользователей не отключает. В случае с Android это ADB Root Shell без проверки цифрового отпечатка ПК и разрешение по умолчанию на установку ПО из непроверенных источников. Наиболее безопасно устройство с активированными встроенными механизмами защиты, такими как экранная блокировка паролем, настроенные службы поиска и блокировки в случае кражи, штатное шифрование содержимого. Расширенный функционал доработанных версий ОС от энтузиастов может быть востребован только специалистами, которые точно знают, как, используя преимущества снятых ограничений, устранить потенциальные бреши в защите устройства, в том числе появившиеся в этих тюнингованных версиях ОС.
Когда речь идет об утрате данных по каналам передачи информации, то тут тоже два варианта – это вредоносное ПО, установленное пользователем или встроенное в устройство изготовителем (чем грешат многие производители бюджетных смартфонов), а также перехват трафика при использовании общественных открытых сетей Wi-Fi.
На пользователе лежит ответственность за выбор проверенного ПО из проверенных источников. Идеальный вариант – устанавливать приложения из официальных магазинов, там они проходят тщательную проверку на наличие вредоносного функционала, и нарушители правил оперативно удаляются. Однако наличие приложения в официальном магазине тоже не является гарантией отсутствия в нем нежелательного функционала, так что все равно перед установкой следует внимательно ознакомиться с описанием, отзывами и рейтингом приложения, а в случае с OS Android – и с теми разрешениями, которые оно просит у пользователя на взаимодействие с его системой.
От беспроводного перехвата рядовой пользователь может защититься внимательным выбором сетей, к которым он подключается, а также использованием защищенного соединения с сервисами (Secure Sockets Layer, SSL). По возможности с любимыми сервисами стоит работать через их официальные приложения, а не браузер. Таким образом снижается вероятность передать учетные данные открытым текстом, но, тем не менее, качество защиты данных, передающихся приложением, всегда остается на совести разработчика этого приложения.
Наиболее частыми объектами кражи становятся учетные данные пользователей соцсетей, сведения о финансовых активах и данные личного характера. Как правило, разработчики приложений, отвечающих за финансовые операции, уделяют безопасности данных большое внимание, но это не отменяет элементарную бдительность пользователя. Установить вредоносное ПО незаметно, как правило, невозможно. Поэтому злоумышленники под различными предлогами пытаются убедить пользователя установить их приложение, обычно замаскированное под развлекательное, или нелегальную копию платного программного продукта именитой компании. Всегда следует сначала внимательно посмотреть, что вам предлагают установить, и подумать – надо ли оно вам, и в случае каких-либо сомнений отказаться. Репутационные и финансовые потери вследствие удовлетворения простого любопытства могут быть весьма тяжелыми.
М.Кондрашин, технический директор московского представительства
Trend Micro
Проблема утечек данных в корпоративной среде последние годы стала очень актуальной, поскольку многие виды информации являются ключевым активом для компании, особенно на высококонкурентных рынках. Мобильные устройства соединяют в себе самые неприятные для специалистов по ИБ факторы: наличие ценной и конфиденциальной информации, отсутствие удобных инструментов для ее защиты, а зачастую и вообще какого бы то ни было контроля устройств, используемых сотрудниками для выполнения своих обязанностей.
Одним из подходов к защите информации стало внедрение специализированных средств, которые, анализируя потоки данных внутри корпоративной сети, позволяют выявить факты неавторизованной передачи конфиденциальных документов, персональных данных и другие виды цифровых активов. Решая эту задачу, разработчики упустили из виду широкомасштабную тенденцию – переход к использованию портативных устройств. Во-первых, они не поддерживают агентов защиты от утечек, разработанных для ПК. Во-вторых, они подключаются к Интернету через сотовые сети и широко доступные открытые беспроводные точки доступа, т.е. выпадают из поля зрения корпоративных систем защиты от утечек. Наконец, в-третьих, сотрудники активно используют для корпоративных нужд личные устройства, которые вообще никак не подотчетны службам ИБ.
В такой ситуации задача защиты корпоративных данных смещается на мобильные устройства, ведь именно они являются основным вызовом. Но, очевидно, по сравнению с настольными системами тут требуются другие подходы.
Так как возможности специализированной защиты от утечек данных непосредственно на самих мобильных устройствах предельно ограниченны, на первый план выходят системы класса MDM, позволяющие по крайней мере активировать встроенные в мобильную платформу средства безопасности. Надо отметить, что базовые функции – принудительная блокировка устройства паролем и его удаленная очистка в случае утери или кражи – технологически допускают реализацию без использования MDM. Достаточно, чтобы пользователь читал корпоративную электронную почту со своего устройства по протоколу ActiveSync.
Как и для традиционных средств защиты от утечек, более обстоятельный подход – ранжирование корпоративной информации и использование более серьезных средств защиты для особо ценных данных. Тут возможности простираются от технологий шифрования памяти устройства до самых радикальных мер, например, перемещения мобильных приложений пользователя в виртуальную мобильную среду и предоставления доступа к ней через специальное мобильное приложение. При таком подходе конфиденциальные данные вообще не покидают периметра корпоративной сети. К сожалению, далеко не все виды мобильной активности допускают такой радикальный подход к защите.
Если предприятие не только допускает использование мобильных устройств пользователями для доступа к корпоративным данным, но и переносит сами данные и приложения в облачные сервисы, то возникают новые проблемы. Такой подход вообще сводит на нет полезность традиционных средств защиты. Не хочется отговаривать читателя от такого прогрессивного шага, но нужно отметить, что при таком подходе вопросам безопасности нужно уделить гораздо больше внимания, потому что он порождает еще более широкий пласт рисков. Теперь украденные или утерянные телефоны являются действующим интерфейсом к корпоративной информации, но вряд ли облачный оператор сам возьмет на себя отслеживание доступа с сомнительных устройств. При этом не всегда понятно, как реализовать контроль данных в облачной среде, который был бы сходен с контролем данных в традиционном ЦОД.
Подытоживая, можно сказать, что защита мобильных устройств является компромиссом, смещенным в сторону удобства пользователей. Задача индустрии безопасности – использовать все доступные технологии, чтобы решить возникшую проблему, не ставя заказчиков перед выбором: безопасность или мобильность.
Е.Царев, глава представительства в России и СНГ, компания Swivel
Использование смартфонов и планшетов в работе повышает эффективность труда сотрудников, которые могут работать где угодно и когда угодно.
Все чаще корпоративная система строится в соответствии с концепцией BYOD – применение личных устройств в служебных целях. Однако более половины компаний игнорирует вопросы мобильной безопасности и никак не контролирует доступ к корпоративным сервисам и файлам с личных планшетов и смартфонов сотрудников. В этом случае работодатели ограничиваются только рекомендациями для сотрудников, а их исполнение не контролируют. Так, многие корпоративные IT-подразделения вводят запреты на использование публичных точек доступа Wi-Fi для просмотра и передачи рабочих данных, но контролируют процесс только единицы. Дело в том, что для этого необходимо использовать специальные технические средства (в частности решения MDM), которые создают определенные ограничения для сотрудников при использовании их собственных устройств. Такое положение дел устраивает далеко не всех. Поэтому до сих пор около 10% работодателей полностью ограничивают удаленный доступ к корпоративным ресурсам с мобильных устройств пользователей.
По результатам целого ряда исследований, наиболее распространенной платформой для корпоративных устройств является Android (около 50%). За ней следуют iOS (около 30%), Windows Mobile и BlackBerry. Основное преимущество платформы Android – низкая цена при очень широком функционале. Однако фактически Android за счет своей открытости более удобен для злоумышленников. Устройства на платформе iOS более предпочтительны с точки зрения ИБ.
Существуют следующие основные угрозы безопасности для мобильных устройств:
неумышленная пересылка файлов пользователем;
фишинговые атаки;
атаки шпионских программ;
утечка данных при потере или кражи устройства;
использование спуфинга сети.
Отчеты экспертов подтверждают, что корпоративное ПО оказывается не менее, а зачастую и более уязвимо, чем пользовательское. Культура тестов на проникновение практически отсутствует, да и специалистов очень немного.
Наиболее эффективным решением в случае применения BYOD является предоставление доступа к информационным ресурсам посредством подключения мобильных устройств по мобильному Интернету через терминальные сессии к виртуальным средам Windows, которые в свою очередь защищены работающей на хосте системой защиты от утечек DLP (Data Loss Prevention). В этом случае обеспечивается реальная защита.
Функционал современных MDM-систем включает в себя функционал DLP, поэтому применение MDM-решений значительно повышает защиту от утечек. В частности, такие системы позволяют контролировать установку опасных приложений на устройства пользователя, уничтожать критичные данные удаленно, организовывать защищенный VPN-туннель и многое другое.
В настоящий момент MDM-решения только развиваются, и о широком их распространении говорить пока сложно.
В.Воротников, руководитель отдела перспективных исследований и проектов компании "С-Терра СиЭсПи"
Мобильных устройств стало значительно больше, чем раньше. К мобильным телефонам, цифровым фотоаппаратам и плеерам добавилась и электроника, которую мы носим с собой: умные часы, фитнес-трекеры, видеорегистраторы, навигаторы и т.д. Есть ряд причин, осложняющих обеспечение их безопасности. Причины эти тесно связаны с последними тенденциями рынка мобильных устройств и ожиданиями пользователей. Чего хочет пользователь от мобильного устройства? Широкой функциональности, легкой связи с внешним миром, предельной простоты использования, компактности. Упрощение интерфейса и интеграция с различными облачными и социальными сервисами – одни из главных трендов развития индустрии мобильных устройств. Но для безопасности все эти тенденции – катастрофа.
Функциональность. Чем шире функциональность устройства, тем большее количество полезной информации может получить злоумышленник: каждый датчик (GPS, микрофон, камера, монитор сердечного ритма и т.д.) увеличивает количество полезной информации, которую устройство может собирать. С первого взгляда, акселерометр или датчик освещенности не может дать злоумышленнику ничего полезного. Но это не так. С помощью информации с любого из этих датчиков можно получить набираемые на устройстве данные: акселерометр выдает характерные показания при нажатии на разные точки экрана. Таким образом можно, например, определить, какой пин-код или пароль набирал пользователь. Аналогичное поведение показывает и датчик освещенности, т.к. при нажатии на разные точки экрана происходит смещение датчика яркости относительно источника света с изменением угла падения лучей.
Связь с внешним миром. Чем больше у устройства способов связи с внешним миром, тем больше появляется каналов утечек. И если о существовании Wi-Fi или Bluetooth среднестатистическому пользователю известно, то про поддержку своим телефоном технологии NFC (Near Field Communication) пользователь может даже не подозревать, хотя несколько уязвимостей в реализации этого протокола уже было обнаружено. Похожая ситуация с протоколом IPv6 (Internet Protocol version 6), который включен на многих устройствах по умолчанию, о чем пользователь даже не подозревает.
Простота использования. Часто простота использования противопоставляется безопасности. Удобно ли, чтобы цифровой фотоаппарат из рюкзака автоматически подключался к бесплатной сети Wi-Fi в кафе и сбрасывал все свежие фотографии на облачное хранилище, которое доступно пользователю отовсюду? Конечно – да! Безопасно ли это? Определенно – нет. Простота использования – это часто ловушка, за которой скрывается потеря контроля над тем, что происходит в устройстве.
Компактность. Уменьшение размеров не так явно связано со снижением безопасности, но корреляция есть. Так, например, часто в компактных устройствах ограничен объем памяти, и устанавливаемая на них операционная система (обычно основанная на Unix/Linux) может быть сильно уменьшена и не иметь возможности обновления при выходе критических обновлений безопасности. Некоторые компактные устройства настолько малы, что управляются и настраиваются только с внешнего устройства или пульта. Протоколы связи между управляющим и управляемым устройством часто бывают проприетарные и слабозащищенные.
Таким образом, складывается следующая картина. Люди носят с собой все больше и больше "умных" устройств. Объемы данных от этих устройств экспоненциально растут, чего не скажешь о контроле за этими потоками. Во всю мощь стучится в дверь казавшееся забавным пару лет назад понятие "Интернет вещей". Что со всем этим делать? Можно закрыть глаза или спрятаться в кусты, надеясь, что проблема пропадет сама собой. Можно отрицать проблему или бороться со "всякими модными" проявлениями в стиле "держать и не пущать"! Так иногда делают, но это не работает. Глупо идти против прогресса. Наша задача как квалифицированных, ответственных специалистов по безопасности – обеспечить прозрачную и эффективную безопасность в сетях, сервисах и приложениях. Сделать так, чтобы безопасность перестала быть антонимом простоты использования. Пользователю скучно придумывать сложный пароль – давайте использовать другие способы аутентификации. К вашей корпоративной сети подключаются удаленные сотрудники – стоит подумать о сохранности и конфиденциальности данных (например, с помощью построения частных защищенных сетей VPN), а также о централизованной инспекции трафика на корпоративном антивирусе, межсетевом экране и IPS (Intrusion Prevention System). ▪
Отзывы читателей