Безопасность при работе с мобильными устройствами на предприятии

Безопасность при работе с мобильными устройствами на предприятии

Использование мобильных устройств на предприятии способно придать бизнесу новый импульс за счет повышения динамики ведения дел – мобилизации персонала в прямом смысле этого слова, ускорения процесса разрешения вопросов и согласований при принятии решений. С другой стороны это способно привести к печальным последствиям при неправильном подходе в работе с устройствами.

Алексей Ватутин
http://mdmanagement.wordpress.com

 

Безопасность всегда являлась ключевым фактором при построении инфраструктуры на предприятии.  Однако чем сложнее инфраструктура, чем больше сервисов предоставляется пользователям, тем сложнее реализация средств защиты. И, зачастую, каждый новый шаг в расширении бизнеса и предоставлении пользователям новых средств работы становиться для системных администраторов очередной головной болью.

Так, использование мобильных устройств на предприятии способно придать бизнесу новый импульс за счет повышения динамики ведения дел – мобилизации персонала в прямом смысле этого слова, ускорения процесса разрешения вопросов и согласований при принятии решений. С другой стороны это способно привести к печальным последствиям при неправильном подходе в работе с устройствами.

Главное, что необходимо понимать – мобильные устройства все больше походят на обычные стационарные рабочие станции, и информация, которая храниться на смартфонах, телефонах и КПК зачастую идентична информации на настольных ПК – почтовая переписка, документы Word и Excel, PDF и т.д.

Итак, от чего информацию, хранимую на мобильных устройствах, нужно защищать?

Потенциальные угрозы

При описании основных угроз при работе с мобильными устройствами необходимо выделить два состояния устройства, которые являются ключевыми – устройство как источник информации и устройство в роли ее потребителя.
К угрозам, в которых устройство может выступать в роли источника можно отнести следующие:

  • Утеря либо кража устройства;
  • Взлом устройства через сетевые подключения;
  • Взлом устройства при помощи «дыр» в используемом ПО;
  • Периодическая утечка информации из-за заражения зловредным ПО.

А к угрозам устройства – потребителя информации следующие:

  • Перехват трафика от и до устройства;
  • Использование сохраненных учетных данных пользователя при работе с корпоративными сервисами.

При этом необходимо дифференцировать не только состояние устройства, но и потенциальную длительность возможной угрозы во времени. И в соответствии с каждым состоянием и длительностью можно говорить о разных степенях угрозы.
Теперь о каждой из угроз более подробно:

  • Утеря либо кража устройства – это наиболее распространенный вид, который можно обозначить как единовременную угрозу (за некоторым исключением, о котором чуть ниже). После утери устройства скомпрометированной оказывается только та информация, которая храниться на нем в этот момент, и объем этой информации не изменяется во времени;
  • Взлом устройства через сетевые подключения – этот вид угрозы может быть охарактеризован как продолжительный во времени. Наиболее часто встречаются взломы устройств через интерфейс Bluetooth, что связано в основном с недоработками самого стандарта. Главным свойством подобных угроз является то, что они могут быть повторяемыми во времени, прозрачными для пользователя и, как следствие, каждый раз может происходить утечка разной информации, т.е. ее объем будет расти с течением времени;
  • Взлом устройства при помощи «дыр» в используемом ПО – данная угроза комбинируется с предыдущим случаем, но отличается тем, что атака проводится на четко определенное ПО, используя его недоработки. Эта угроза также является продолжительной во времени, прозрачной для пользователя и объем скомпрометированной информации может возрастать;
  • Периодическая утечка информации из-за заражения зловредным ПО – это следствие заражения вирусами, установки псевдо-полезного ПО и т.д. Данная угроза также продолжительна во времени и характеризуется многократными утечками после выполнения всего одного действия со стороны злоумышленника;
  • Перехват трафика от и до устройства – может характеризоваться длительной продолжительностью во времени. При этом необходимо учитывать, что перехват трафика может быть осуществлен где угодно на всем пути пакетов от устройства до сервера, но некоторые среды являются более сложными для захвата. Также, при этом могут быть перехвачены учетные данные пользователя, если они передаются в открытом виде, и тогда угроза может выйти за рамки мобильного устройства и приобрести другие масштабы;
  • Использование сохраненных учетных данных пользователя при работе с корпоративными сервисами – этот вид угроз тесно связан с утерей устройства и может быть длительным во времени;

Кроме описанных выше вариантов, возможны и другие, но в большинстве случаев это будут более сложные комбинации из уже перечисленных.

Арсенал защитника

Определившись с потенциальными угрозами, перехожу к возможным вариантам предотвращения подобных ситуаций. Для этого нужно рассмотреть, какие методы имеются в арсенале системных администраторов для противодействия. Их (эти методы) можно разделить на две категории – технические и административные.
К техническим относятся:

  • Применение PIN-кодов и паролей на устройствах – это позволяет ограничить количество людей, которые смогут работать с устройством;
  • Шифрование данных – это позволит избежать неприятных ситуаций, когда устройство защищено паролем, но возможен доступ к данным, которые на нем хранятся, путем, например, переноса карты памяти на другие устройства;
  • Использование удаленной очистки устройств (Remote Wipe) – позволяет вернуть устройство к исходному состоянию, т.н. Factory Reset или Hard Reset. При этом все данные, находящиеся на устройстве, стираются. В некоторых случаях при выполнении Remote Wipe также очищается карта памяти устройства;
  • Использование локальной очистки устройств – данная возможность аналогична удаленной за тем исключением, что предполагает выполнение очистки устройства в случае, если в течении определенного количества попыток правильный PIN/пароль введен не был. Также, в некоторых  возможно удаление информации не только с устройства, но и с карты памяти;
  • Отключение неиспользуемых или потенциально опасных для использования интерфейсов – это в полной мере относится к использованию Bluetooth. Зачастую можно ограничить количество профилей Bluetooth, которые доступны пользователю, но наиболее правильным является отключение такого адаптера;
  • Запрет на установку и удаление программ для пользователей и использование только подписанных пакетов для установки на устройства – это позволит сильно усложнить жизнь всевозможным псевдо-полезным приложениям, а также пользователям, которые пытаются их установить самостоятельно;
  • Использование антивирусов на мобильных устройствах также позволит повысить уровень безопасности. Мобильные вирусы – достаточно динамично развивающееся направление, но для решения данной проблемы на рынке представлены всевозможные решения, в том числе корпоративного уровня;
  • Использование защищенных каналов связи – например, использование SSL шифрования и VPN-тоннелей поможет обезопасить передаваемую информацию;
  • Использование сертификатов пользователей – данная мера поможет оперативно предотвратить доступ к данным простым отзывом сертификата.

К административным можно отнести:

  • Отслеживание выхода обновлений для ПО, установленного на устройствах – это позволит администраторам своевременно получать информацию об обнаруженных уязвимостях в приложениях и принимать дальнейшие решения относительно его использования;
  • Обучение пользователей безопасной работе с устройствами с объяснением для чего выполняются те или иные действия администраторами – данная мера способна принести очень существенный результат, но, к несчастью, в нашей стране это редкость. Обученный пользователь гораздо чаще задумывается о том, к чему могут привести те или иные его действия. Кроме этого такие пользователи с пониманием относятся к работе администраторов и являются более терпимыми к различным ограничениям;
  • Введение регламентов по работе с устройствами – данная мера комбинируется с предыдущей и позволяет максимально повысить эффект от обучения, т.к. пользователь может уточнить свои действия в новой для него ситуации. Примером такого регламента может стать запрет на работу с общественными сетями Wi-Fi под угрозой взыскания. Для администраторов системы это может стать руководством в различных ситуациях.

Перечисленные методы при различной комбинации помогают воспрепятствовать утечке информации и являются рекомендуемыми для внедрения на предприятии. Если соотнести их с перечисленными ранее угрозами, то для каждой из них можно предложить следующие комбинации:

  • Утеря либо кража устройства – обязательное использование PIN-кода/пароля на устройстве с периодической сменой и ведением истории использованных, шифрование данных на устройстве и карте памяти, использование очистки устройства при определенном количестве неправильных вводов пароля, удаленная очистка устройства;
  • Взлом устройства через сетевые подключения – для предотвращения подобных ситуаций наиболее правильным будет отключение неиспользуемых интерфейсов. Понятно, что полностью отключить Bluetooth для человека, который часть времени находится за рулем, достаточно проблематично, но в этом случае можно как минимум ограничить количество используемых профилей;
  • Взлом устройства при помощи «дыр» в используемом ПО – отслеживание информации по уязвимостям в используемом ПО, а также своевременное обновление этих приложений;
  • Периодическая утечка информации из-за заражения зловредным ПО – установка на устройства только подписанных пакетов, протестированных на стенде. Запрет на установку и удаление ПО пользователями. Использование антивирусов для мобильных устройств. Использование белых и черных списков приложений. Тут же можно использовать обучение пользователей навыкам безопасной работы с устройствами;
  • Перехват трафика от и до устройства – для предотвращения подобной ситуации необходимо использовать доступные сценарии по созданию безопасных каналов для передачи данных – т.е. внедрение подключений с использованием SSL, VPN-туннелей;
  • Использование сохраненных учетных данных пользователя при работе с корпоративными сервисами – в этом случае наиболее правильным будет использовать аутентификацию пользователей по сертификатам, если это доступно. Т.к. данная угроза возникает в случае утери либо кражи устройства, то наиболее логичным будет применение регламентов для определенных ситуаций – например, для пользователей – обязательное оповещение администраторов об утере аппарата, а для администраторов – проведение мероприятий по отзыву сертификата пользователя и временной блокировке его учетной записи с последующей сменой пароля;

Понятно, что внедрение части из описанных средств защиты может привести к дополнительным затратам – создание собственного центра сертификатов, шлюзов для работы с VPN-подключениями, приобретение дополнительного ПО (например, антивирусов, либо комплексных систем по управлению мобильными устройствами), проведение обучения. Но в такой ситуации необходимо решить – что дороже принять меры безопасности сейчас, или разбираться с утечкой информации потом…

С чего начать?

Итак, вы решили, что необходимо создать максимально безопасную среду для информации при работе с мобильными устройствами. С чего можно начать?

Я бы рекомендовал бы следующие шаги:

  1. Обратите внимание на используемую у вас почтовую систему. Большинство современных почтовых систем поддерживают протокол ActiveSync, который позволяет не только синхронизировать PIM-данные, но и управлять параметрами безопасности на мобильных устройствах, включая PIN-коды/пароли, шифрование, удаленную очистку и т.д. Кроме этого зачастую можно настроить подключения с использованием SSL и аутентификацией по пользовательскому сертификату, что позволит обезопасить канал с данными.
  2. Подумайте о внедрении выделенной системы MDM – никакая служба не справиться с задачами лучше той, которая создана для выполнения этих задач. При таком внедрении вы сможете централизованно управлять ПО на устройствах, использовать безопасные каналы связи, использовать различные отчеты. Тут я бы рекомендовал обратить внимание на такие продукты как Microsoft SCMDM 2008 и Sybase Afaria.
  3. При выборе устройств, которые будут использоваться на вашем предприятии внимательно изучайте сильные и слабые стороны каждой платформы. Возможно некоторые платформы предоставляя более красивый пользовательский интерфейс будут более сложны в управлении.
  4. Используйте все возможные административные методы защиты – проведение обучения среди пользователей, создание регламентов для пользователей и администраторов и т.д. Все это не так уж и дорого, а эффект достаточно большой, ведь, как гласит древнеримская народная мудрость, «Кто предупрежден,  тот вооружен».

Это далеко не полный список, но для начала вполне хватит.

Итог

При написании этой статьи я не ставил себе цель рассказать обо всех возможных опасностях, подстерегающих пользователей мобильных устройств, равно как и администраторов, управляющих этим хозяйством. Основная моя цель – рассказать о том, какие угрозы ждут тех, кто решился сделать свой бизнес более мобильным и о том, как можно минимизировать потенциальные потери, связанные с утечкой информации. Статья также не является рекламой какого-либо программного продукта, а содержит мой личный опыт и наблюдения, вынесенные из общения с другими системными администраторами.
Если у вас есть какие-либо вопросы – пишите, а я постараюсь на них ответить.

Ваша приватность умирает красиво, но мы можем спасти её.

Присоединяйтесь к нам!