11 Ноября, 2013

Контроль BYOD устройств

Michael Norsk
В настоящее время популярным становится использование личных мобильных устройств для повседневных целей в том числе и для выполнения задач поставленных работодателем. Но согласно внутриобъектовому режиму, принятому в большинстве компаний там явно прослеживается запрет на использование личных мобильных устройств в качестве рабочего места сотрудника. Как вариант разрешается использование мобильных устройств для удаленного доступа в демилитаризованный сегмент компании находясь в командировке или отпуске по защищенному каналу связи. Использование такого рода удаленных подключений требуют принятия дополнительных мер защиты в соответствии с актуализированной моделью угроз и нарушителей и как правило ресурсы предоставляемые удаленным пользователям сильно ограничены.
Но как быть с тем фактом, что данная тенденция под названием BYOD (Bring Your Own Device — “принеси свое собственное устройство”) набирает популярность у сотрудников компаний и не факт, что служба безопасности имеет инструменты для отслеживания ресурсов компании с применением личных мобильных устройств.
Да, существуют варианты установки решения по мониторингу и сбору событий по данным устройствам на уровне отдельных приложений, но наличие SIEM системы предполагает единое решение по контролю за всеми каналами утечки информации. Даже если поставлен хороший контроль за мобильными устройствами на уровне сбора информации и запрета использования незарегистрированных USB носителей и приняты меры по контролю за документооборотом и контролируются все возможные каналы утечки информации – всегда можно сфотографировать экран монитора или бумажных документ на телефон или планшетник. Ведь в коммерческих структурах достаточно сложно запретить использование мобильных устройств на территории компании, а по опыту работу большинство отделов компании размещается на территории бизнес-центров где службе внешней охраны глубоко фиолетово на то что проносит сотрудник на территорию компанию или Банка.
Поэтому остается актуальной задача мониторинга сети, анализ большого количества подключенных устройств и по возможности запущенных на них приложениях. Хорошей практикой будет если подключаемое к сети компании устройство пройдет аудит безопасности в службе безопасности и на нем будут установлены средства защиты от несанкционированного доступа как минимум.
Но кто будет вести анализ подключаемых устройств, кто будет вести работу с ИТ подразделениями и устраняя возможные каналы утечки информации? Таких угроз достаточно много и в среде администраторов информационных систем. Ведь ни для кого не секрет, что запретить использование личных мобильных устройств в коммерческих компаниях со стороны сотрудников уже нереально и остается вариант создания защищенных систем обмена сообщениями которые частично интегрированы в корпоративные ресурсы. Но ведь и организация такого рода «островков» безопасности требует наличия средств видеоконтроля и контроля за BYOD устройствами.
Работая с SIEM системами с 2005 года в частности с продукцией компании Tenable Security Center могу сказать, что в этот раз американцы прислушались к нашим советам и советам наших коллег за рубежом и сделали в новой версии Security Center 4.7 поддержку BYOD устройств. Да, раньше была поддержка мобильных устройств в части мониторинга и анализа подключений данных устройств к ресурсам корпоративной сети которая находится под наблюдением SIEM системы. Но в этот раз разработчики объединили подходы к обнаружению устройств (активный и пассивный методы) вместе со сбором логов событий ИБ. Рассмотрим вариант анализа трафика, с использованием зарегистрированных устройств. Анализ всех подключенных мобильных устройств к сети компании или через WiFi роутер, осуществляется в первую очередь двумя различными технологиями – классический сканер уязвимостей Nessus и сканер трафика PVS (пассивный сканер уязвимостей). Итак, чтобы зарегистрировать BYOD устройства в Security Center мы должны включить их в каталоги (справочники) такие как: Active Directory ry, Good for Enterprise, или Apple’s Profile Manager.

Посмотрим на рисунок внизу в разделе Mobile, где мы видим и устройства и пользователей:




Консоль безопасности Tenable Security Center отображает список уязвимых систем по степени уязвимости и в разрезе приведенной диаграммы. На рисунке выше указаны и типы мобильных устройств с указанием слабых мест в защите каждого устройства. Это все те устройства которые авторизовались в ваших каталогах (AD или Apple Profile) и получили доступ к информационным ресурсам. Дело в том, что отслеживание доступа к информации производится не только на уровне событий авторизации в каталогах но и на уровне приложений работающих в вашей схеме авторизации – в данном случае показаны устройства получившие доступ к корпоративной почте.
А как быть в случае если мобильные устройства впервые подключаются к ресурсам вашей сети и не зарегистрированы в центре авторизации вашей компании ? В этом случае на помощь приходит пассивный сканер уязвимостей (Passive Vulnerability Scanner (PVS). Ниже на рисунке показаны уязвимости по мобильным устройствам полученных в результате анализа трафика. Passive Vulnerability Scanner (PVS) может идентифицировать все мобильные устройства и использование ими популярных файловых сервисов таких как DropBox. Для анализа трафика достаточно включить зеркалирование сегмента, в котором производится подключение мобильных устройств по WiFi или по USB в разрешенные рабочие станции. Ниже представлена картина по уязвимым мобильным устройствам, на сегодня, а точнее два года назад налажена работа по обмену информацией с производителями мобильных устройств и разработчиками Tenable, зачастую на популярных ресурсах информация об уязвимости присутствует но подробности не расписываются. В сигнатурах Passive Vulnerability Scanner которые приходят с сервера обновлений достаточно много информации поступающих от вендоров и центров безопасности компаний, и для любого аналитика по безопасности это хорошая школа как нужно создавать приложения:




На рисунке выше вы видите количество уязвимых мест в мобильных устройствах наблюдаемых в режиме реального времени с помощью PVS.
Компании, которые разрешили использовать пользователям своим мобильные устройства для чтения почты всегда могут контролировать подключение данных устройств и их поведение в сети. Причем не играет роли где они осуществляют подключения – дома, на работе через WiFi сети или через сотовые сети 3G/4G. Всегда осуществляется контроль нескольких подключений с одной учетной записью на мобильных устройствах, что уже по себе является аномалией для модуля сбора и обработки логов событий информационной безопасности. Как вы знаете, чем больше компания тем сложнее управлять доступом и осуществлять контроль за подключением мобильных устройств – в этом случае осуществляется группировка таких устройств в Security Center по географическим или организационным признакам.
Мне понравился факт того что использование мобильных устройств можно контролировать в каждом объекте компании силами местных подразделений безопасности, причем не играет роли где находится устройство и производится его подключение. Если оно зарегистрировано в каталогах авторизации (AD или AP) то SecurityCenter, гарантирует, чтобы Вы будете знать сколько мобильных устройств находится в Вашей сети, и оценка рисков производится в разрезе всей информационной структуры. Ниже приведен пример анализа мобильных устройств в Security Center в разрезе пользователей, устройств, уязвимостей и активности :




А теперь хочется сказать о варианте использования незарегистрированных мобильных устройств и их использования в сети предприятия. Для подразделений информационной безопасности мобильные устройства - это объект дополнительных затрат на безопасность бизнеса, но для ИТ подразделений это повседневный инструмент работы. Понятно что мобильные устройства вообще не вписываются в классическую модель угроз и нарушителей и поэтому для себя я пока вижу четкое разделение ресурсов к которым осуществляется доступ со стороны мобильных устройств и разделение управленческих методов контроля. Идентификация нарушителей производится как и в случае обычного мониторинга сети и анализа уязвимостей устройств, при этом используются механизмы обработки аномальных событий от источника событий - мобильных устройств. Главное в процессе контроля за такого рода устройствами – охват возможных каналов утечки информации даже за пределами контролируемой зоны. Приведу классический пример – сотрудник Банка установил режим передачи данных на своем телефоне (WiFi) и начал передавать данных за пределами контролируемой зоны. Такая активность в трафике была обнаружена по объему передаваемых данных и по факту того что вдруг появилось устройство бывшего сотрудника которое было зарегистрировано в Security Center уже как 2 месяца неактивное.





И в заключение хочется обрадовать всех владельцев новой системы Tenable Security CV о том, что в отличие от других управленческих решений в SIEM системах в SecurityCenter объединяется активный анализ уязвимостей, пассивный сетевой контроль, накопление и корреляция событий регистрации и активности мобильных устройством вместе с анализом рисков в случае принятия стратегии использования BYOD устройств в компании. Ниже на рисунке вы видите отображение активности мобильных устройств, их оценка уязвимостей, корреляцию их состояний и активности с учетом возможного заражения BYOD устройства вирусами или агентами боотнет-сетей. Уже сегодня можно строить оценку рисков в целом по предприятию с учетом использования BYOD устройств, значит не зря прошла годичная переписка с Роном Гулой о необходимости данного функционала в Tenable SC:


или введите имя

CAPTCHA