Мобильные устройства в корпоративной сети: как обезопасить компанию?

Просмотров: 4732
Автор:
Гродзенский Яков Сергеевич

Гродзенский Яков Сергеевич

Руководитель направления информационной безопасности — "Системный софт"

Мобильные устройства стали частью корпоративной ИТ-инфраструктуры — портативные компьютеры работают на других операционных системах, но имеют доступ к данным компании и к личной информации пользователей. Защищены они гораздо слабее настольных решений, поскольку к общему списку угроз здесь добавляются специфичные — как только со смартфоном или планшетом мы уходим из локальной сети, без специализированных средств защиты с ним можно делать что угодно. 

Обратный инжиниринг позволяет замаскировать зловред под популярное приложение и получить полный контроль над устройством, а отсутствие определяющего политику безопасности и изолирующего корпоративные данные MDM-решения даст злоумышленникам доступ к критичной для бизнеса информации без необходимости атаковать защищённый периметр. Если говорить об утечках по вине инсайдеров, отсутствие такого решения затрудняет контроль: имея доступ с телефона к корпоративным ресурсам (электронная почта, CRM и т. д.), злоумышленник может, например, передать базу клиентов конкурентам и стереть следы своей противоправной деятельности. Все это создаёт довольно опасную ситуацию, которой нужно управлять с помощью специализированных средств. В небольшой статье я перечислю основные угрозы для используемых в корпоративной инфраструктуре мобильных устройств и расскажу о методах их нейтрализации.

Вредоносное ПО

Количество мобильных зловредов измеряется тысячами, скачать их можно даже в официальных магазинах приложений — с помощью таких программ злоумышленники крадут учетные записи различных сервисов, адресные книги и другие конфиденциальные данные, хранящиеся на смартфонах и планшетах (в т. ч. корпоративные). Трояны могут отправлять платные SMS на короткие номера, переводить деньги с банковских счетов пользователя через экспресс-платежи и т. д. и т. п. Это очень серьёзная угроза, для нейтрализации которой необходимы комплексные меры. 

Пользователей стоит научить бдительности при установке приложений и предоставлении им доступа к тем или иным ресурсам (камера, микрофон, список контактов, геолокация и т. д.). Нужно сопоставлять функциональность программы с её запросами — фонарику, к примеру, нет необходимости обращаться к адресной книге или к геопозиционированию. Помимо ручной проверки есть класс решений и продуктов, анализирующих активность установленных программ на предмет наличия в них вредоносных функций. Стоит также инсталлировать хорошо себя зарекомендовавший мобильный антивирус известного разработчика — малоизвестные бесплатные программы сами могут оказаться зловредами.

Важно понимать, что полностью исключить угрозу нельзя, и смартфон может стать частью целенаправленной атаки, например, через фишинг. Даже проникший на устройство червь не должен получить доступ к корпоративным данным, и это можно реализовать только через их разделение с частными с помощью криптоконтейнеров (виртуальных окружений, доступ к которым осуществляется по паролю). Существует целый класс MDM-решений, позволяющих это сделать, и они должны использоваться для защиты мобильных устройств в обязательном порядке, особенно когда речь идёт о личных телефонах в корпоративной инфраструктуре. Эти программы также позволяют вести черно-белые списки приложений и контролировать политики безопасности — они защитят корпоративные секреты от халатности сотрудников и внутренних злоумышленников.

Удалось ли Вам провести работу с пользователями у себя в компании? С какими трудностями Вам пришлось столкнуться?

Действия инсайдеров

Ещё одна серьёзная проблема — внутренний шпионаж. Он может привести к многомиллионным убыткам, а предотвращение угрозы обойдётся гораздо дешевле борьбы с последствиями утечки — компании необходимо применять для мобильных устройств те же методы анализа трафика, фильтрации и блокировки отправки данных, которые используются для настольных компьютеров. 

DLP-системы давно умеют анализировать шифрованный трафик, сообщения мессенджеров и тому подобные вещи. Такие системы могут не требовать установки на телефон или планшет специального агента, но схемы с агентами более надёжны и дают дополнительные функции, например, удалённого поиска информации или контроля обмена данными через съемные носители. Другое дело, что на личное устройство (а чаще всего мы имеем дело именно с ними) не получится установить агентское ПО без согласия пользователя, и очень часто такая установка требует осуществления джейлбрейка в iOS или получения прав root в Android. Предпочтительно здесь, конечно, использование корпоративных устройств, чтобы не пришлось спрашивать разрешения у сотрудника.

Сталкивались ли Вы с внутренним шпионажем? Какие методы используете, чтобы предотвратить эту угрозу?

Проблема BYOD и тайна переписки

Включение собственных устройств сотрудников в корпоративную инфраструктуру — не очень хорошая с точки зрения безопасности практика, от которой ИТ-директора бегут как от чумы. Однако во многих компаниях такой подход признан жизненно необходимым, поскольку без достаточно дорогих телефонов и планшетов работать сложно, а выделять бюджеты на их приобретение готовы далеко не все. Конечно, устройства приходится защищать с помощью антивирусов, а также MDM- и DLP-решений, но даже классические (безагентские) DLP-системы вызывают неоднозначные толкования в юридических кругах. Конституция гарантирует гражданам РФ неприкосновенность частной жизни, и в законе о связи есть гарантии конфиденциальности передачи информации — коллизии с тайной переписки неизбежны при использовании DLP для проведения расследований.

Разрешено ли в вашей компании использовать собственные устройства для рабочих целей? Как Вы к этому относитесь?

Юридические проблемы с шифрованием

Многие средства защиты данных на мобильных устройствах активно используют шифрование, но это, как ни странно, может привести к ряду юридических проблем. Разработка и распространение средств криптографической защиты является лицензируемым видом деятельности, и компании сталкиваются с ситуациями, когда используемые инструменты не сертифицированы ФСБ. Кроме того, для защиты информации в соответствии с требованиями российских нормативных документов нужно использовать такие методы шифрования, которые не поддерживаются ни в Android, ни в iOS — тогда придётся задуматься о приобретении сертифицированных продуктов.

А Вы какие методы шифрования информации считаете самыми надежными?

Защита каналов связи

Очень часто сотрудники работают с корпоративными ресурсами через мобильный интернет или публичные точки доступа Wi-Fi. Последнее особенно опасно ввиду слабой защищённости общедоступных беспроводных сетей — злоумышленник может перехватить трафик с помощью специальных средств, украсть пароли и даже получить доступ внутрь периметра локальной сети. Необходимо защитить данные не только на самом устройстве, но и в процессе их передачи, используя надёжный шифрованный туннель (VPN) и, разумеется, придётся объяснить пользователям опасности работы через публичные хотспоты. 

Какие способы защиты данных в вашей компании сейчас используются? Довольны ли Вы ими?

Облачные хранилища 

Мобильные устройства делают резервные копии данных в сторонние облачные хранилища и корпоративные секреты тоже могут туда попасть. Чтобы снизить вероятность получения злоумышленниками доступа к информации в публичном облаке, необходимо использовать двухфакторную аутентификацию. То же самое касается и частных корпоративных облаков — для работы с ними с мобильных устройств и из сетей общего пользования усиленная аутентификация не менее необходима. И, разумеется, корпоративные данные должны храниться в защищённом криптоконтейнере, тогда даже бэкап в публичное облако вам не страшен — злоумышленник не сможет получить к ним доступ. 

Использование смартфонов и планшетов для работы с корпоративными ресурсами создаёт множество угроз информационной безопасности компании. Здесь описаны только основные проблемы, но существуют и другие: компания Aleph Security опубликовала два видеоролика, демонстрирующих взлом смартфонов OnePlus 3 и 3T с актуальной версией Android 7.1.1. Специально модифицированное зарядное устройство позволяет получить права суперпользователя за несколько секунд, и установка выпускаемых производителем обновлений прошивки не спасёт владельца телефона от атаки, если подобное хакерское приспособление будет размещено, скажем, в общественном транспорте или в кафе. 

Тем не менее, бояться всеобщей мобилизации пользователей не стоит, и даже обработка конфиденциальных данных фирмы на их личных устройствах не станет проблемой после создания соответствующих регламентов и комплексного внедрения технических средств защиты. В портфолио каждого крупного системного интегратора количество связанных с информационной безопасностью продуктов исчисляется сотнями и среди них обязательно найдётся подходящее для вашего бизнеса решение.

Не зря говорят, если бардак нельзя предотвратить, то его нужно возглавить и направить в безопасное русло. Какие методы защиты данных в данный момент используете Вы? Устраивают ли они Вас или планируете что-то менять?

Комментарии (3)

Комментировать могут только авторизованные пользователи.
Предлагаем Вам в систему или зарегистрироваться.

  • Скрыть ветвь
    Рейтинг75510

    ИТ-директор

    КТ "Акведук"

    28.06.2017 15:15
    Вот если не отягощать владельца устройства проблемами с обновлениями безопасности, антивирусов и очисткой временных файлов, то остается только вариант со своим закрытым приложением.
    1
  • Скрыть ветвь
    Рейтинг4930

    Старший-инженер

    Научно-производственное объединение

    29.06.2017 12:59
    Чрезвычайно интересная статья и важная тема. Но хотелось бы видеть берега, а не безбрежное море проблем.
    Опасность мобильных утечек явно преувеличена у широкого круга писателей. Ну, если ты не совсем балбес и не отключил двойную проверку при снятии денег со своей карты, если не рассказываешь в метро по мобиле свои планы на покупку акций Промнефтегаза.
    Больше половины проблем с безопасностью создают сами люди из-за своей беспечности. А не из-за отсутствия крутых систем защиты.
    У нас на предприятии почти нет стационарных телефонов. Всё общение через мобильные: мессенджеры, облачные приложения, простые звонки.
    Есть особо защищаемые данные, все знают порядок работы с ними и ответственность за утрату. Это, например, функционал программных изделий.
    Увы, очень часто на конференциях по безопасности путают защиту личных данных, защиту персональных данных, защиту личного пространства с обеспечением безопасности информации.
    Это неверный подход. Нет никакой беды, если подслушают мой ночной храп и другие непроизвольные звуки.
    Но беда, если банк или казначейство не могут обеспечить контролируемую мною систему платежей.

    (Исправлено 29.06.2017 13:00, Курочкин Анатолий Михайлович)

    0
  • Скрыть ветвь
    Рейтинг75510

    ИТ-директор

    КТ "Акведук"

    29.06.2017 13:54

    Ответ на « Чрезвычайно интересная статья и важная тема.... »

    Да. При целенаправленном взломе персонал и бумажки с паролями самое опасное. Но! Сейчас бьют по площадям. Или по отрасли. В надежде, что где-то дыры есть. И они всегда находятся. А с мобильными устройствами, да еще и своими не периметр, а крупное решето.
    0

Комментировать могут только авторизованные пользователи.
Предлагаем Вам в систему или зарегистрироваться.