Добавил:
Upload Опубликованный материал нарушает ваши авторские права? Сообщите нам.
Вуз: Предмет: Файл:
Лекция № 6. Безопасность мобильного доступа.docx
Скачиваний:
21
Добавлен:
19.11.2019
Размер:
88.78 Кб
Скачать

Лекция № 6

    1. Безопасность мобильного доступа

Мобильные устройства прочно вошли в повседневную жизнь современного человека и стремительно наращивают свое присутствие в ней. Это наглядно демонстрирует динамика продаж смартфонов, показывающая ежегодный рост более чем на 60%.

Одновременно сокращается количество ОС, среди которых наибольшей популярностью пользуются Android, iOS и BlackBerry. В тройку лидеров российского рынка входят iOS, Android и Windows Mobile. Ограничение числа лидеров позволяет перевести в практическую плоскость разговоры о единых стандартах и готовности производителей ПО к разработке бизнес-приложений под эти системы. Это означает, что рынок корпоративных прикладных продуктов будет стремительно расти дальше.

Сегодня планшеты и смартфоны превращаются в полнофункциональные рабочие места, предоставляя расширенные возможности для использования различных информационных систем вне жесткой привязки к месту и времени. Например, можно полноценно работать в кафе, аэропортах, самолетах или поездах с корпоративной электронной почтой, открывая и редактируя вложения в различных форматах, при наличии соответствующих прав получая доступ к системам Lotus Notes, SAP, MS Project и др. При этом особую значимость приобретает вопрос безопасности использования мобильных устройств. Его решение связано с задачами управления гаджетами и противодействия утечкам, которые могут через них происходить.

Логичным показателем того, что компании пора «брать под контроль» корпоративные мобильные устройства, становится их количество, достигшее критической точки. Практика показывает, что «критической массой» можно считать число устройств, превышающее 10. Низкий численный порог обусловлен тем, что основные пользователи таких гаджетов - топ-менеджеры организаций, активно использующие мобильные устройства не только для чтения почты или просмотра презентаций, но и для обмена конфиденциальными данными, доступ к которым им разрешен удаленно.

Возможность удаленной работы с корпоративными приложениями компании сегодня перестала быть «приятным статусным дополнением» к роли менеджера высшего звена, превратившись в необходимость для более широкого круга сотрудников, особенно актуальную, к примеру, в условиях командировок. Проиллюстрировать это можно с помощью следующего примера. Была задача построения системы, предоставляющей возможность доступа к ряду приложений сотрудникам, которые находятся в командировке, и одновременно ограничивающей его для разработчиков и администраторов SAP – сотрудников сторонних компаний. В итоге был создан портал, на котором были опубликованы необходимые приложения (Lotus Notes, модули SAP, MS Office, MS Project, Service Desk, MS Outlook). Сотрудники получили доступ к приложениям из любой точки мира, то есть была создана полноценная рабочая станция в виртуальной среде. При этом особое внимание уделялось обеспечению безопасности мобильных устройств сотрудников и мобильного доступа к корпоративным приложениям. Была создана эшелонированная система защиты, в которую вошли подсистемы аутентификации и авторизации пользователей, шифрования каналов передачи данных, антивирус и система предотвращения вторжений. Совокупность этих методов позволила повысить защищенность критичной информации при ее удаленной обработке, а также контролировать ее легитимность и безопасность каждого подключения к корпоративной среде извне.

Тема Mobile Device Management (MDM, «управление мобильными устройствами», иногда используется синоним EMM – Enterprise Mobile Management) очень молодая, первый отчет, посвященный ей, появился в апреле 2011г. К тому моменту на рынке уже было около 60 компаний, представляющих решения подобного класса. Сегодня MDM-продукты стремительно развиваются. На российском рынке известность получили решения компаний MobileIron, AirWatch, Good Technology, SAP, Symantec, McAfee, LANDesk, SOPHOS, Zenprise, Sybase, НИИ СОКБ.

Типовая схема построения EMM показана на рисунке 4.4.1.1.

Рисунок 4.4.1.1. – Типовая схема построения EMM

В этой архитектуре EMM играет роль буфера и контроллера доступа для пользователей, работающих с корпоративными ресурсами с личных устройств. Такая схема построения системы EMM позволяет:

  • организовать доступ пользователей мобильных устройств к информационным ресурсам на основе групповых политик;

  • задать доверенные точки доступа, через которые с устройства может осуществляться выход в Интернет;

  • применять политики безопасности в соответствие с корпоративными правилами.

Основной проблемой на стадии запуска системы MDM является недостаточный анализ исходной информации о структуре корпоративной сети и применяемых мобильных устройствах. MDM-система должна поддерживать максимальное количество типов устройств, имеющихся в распоряжении у сотрудников. Учитывая, что большинство представленных на рынке MDM-продуктов имеют ограничения по функционалу для различных платформ, необходимо сделать осознанный акцент на наиболее распространенных устройствах и наиболее важных функциях MDM (например, определение точного местоположения устройства, применение групповых политик Lotus Notes/Domino, поддержка шифрования данных).

Зачастую возникает ситуация, когда перечень информационных ресурсов и матрица доступа к ним начинают формироваться в то время, когда внедрение системы MDM идет полным ходом. Это может привести к неправильному наделению полномочиями субъектов доступа. Чтобы избежать такой ситуации, необходимо заблаговременно собрать всю необходимую исходную информацию.

Важным аспектом работы по предотвращению утечек конфиденциальной информации является периодическое обновление MDM-системы в связи с выходом новых версий операционных систем мобильных устройств. Целесообразно применять единую политику обновления с предварительным тестированием, позволяющим выявить все возможные ошибки, возникающие при работе MDM-системы с устройствами под управлением новых версий ОС.

Часто проблемой является использование съемных носителей на мобильных устройствах. Не все MDM-системы могут контролировать все процессы использования съемных носителей. Наконец, отдельно стоит рассматривать вопрос разрешения работы с устройств, на которых была выполнена процедура jailbreak, поскольку это может снижать эффективность MDM.

MDM-решения предоставляют новые возможности для управления политиками использования устройства. В зависимости от местоположения, дня недели и т.д. оно может применяться с различными ограничениями, принятыми в компании. Примерами могут быть функции активации защиты паролем или контроля камеры.

Системы контроля мобильных устройств сокращают риски, связанные с их кражей. Это одна из самых важных функций, предоставляющая возможности «большой красной кнопки» для удаленного уничтожения информации на устройстве и GPS-трекинга с отображением на интерактивной карте. Этот функционал занимает первые строки технических требований ко всем системам MDM. Другие компоненты управления безопасностью устройства (Security Management) – удаленная блокировка, шифрование данных, аутентификация, межсетевые экраны, антивирус и мобильный VPN.

Решения разных производителей обладают функциональными отличиями или особенностями лицензирования, которые нельзя сбрасывать со счетов. Например, система управления MobileIron реализована в виде appliance, а SAP Afaria – ПО под Windows. Лицензирование MobileIron выполняется по принципу поддержки конкретных ОС, а не устройств – это монолитное решение, без меню выбора опций. В случае с Afaria лицензирование имеет модульный принцип (всегда существует возможность после дополнительной оплаты расширить управление, пополнив список, например, еще одним видом платформы). Одно из достоинств Afaria в том, что создающийся профиль безопасности нигде не отображается и человек, использующий это корпоративное решение, не может удалить профиль. MobileIron позволяет владельцу устройства видеть и даже удалить профиль, но информация об этом будет направлена администратору, а сотрудник может автоматически лишиться доступа к корпоративным ресурсам с данного устройства.

Обеспечение безопасности использования мобильных устройств на корпоративном уровне вносит значимый вклад в развитие компаний и наглядно демонстрирует готовность ИБ-подразделений так же чутко, как и бизнес реагировать на появление новых задач и технологий.

Вместе с тем использование новых технологий влечет за собой появление новых рисков. Основными из них являются:

  • утечка конфиденциальной информации при использовании мобильных устройств (в результате утери или кражи, действий пользователя, заражения устройства вредоносным ПО, либо в результате перехвата данных, передаваемых между устройством и ЛВС компании);

  • использование мобильных устройств для осуществления несанкционированного доступа к ресурсам компании;

Таким образом, компания, принявшая решение об использовании мобильных устройств, должна оценить эти риски и либо принять их, либо предусмотреть механизм, позволяющий снизить их до приемлемого уровня. Таким механизмом может стать система обеспечения безопасности мобильных устройств. Она представляет собой комплексное решение, обеспечивающее оптимальный уровень ИБ за счет организационных мер, технических средств и обучения пользователей.

Первым шагом по обеспечению безопасности мобильных устройств должно стать появление документа, который определяет основные положения их использования и формулирует:

  • цели использования мобильных устройств (в каких бизнес-процессах должны использоваться, какие ресурсы компании должны быть доступны);

  • перечень пользователей, имеющих мобильный доступ к ресурсам компании;

  • отношение компании к использованию личных устройств (концепции BYOD (Bring Your Own Device) – использование сотрудниками личных планшетов, смартфонов, коммуникаторов для работы и доступа к корпоративным ресурсам);

  • перечень платформ и моделей устройств, которые разрешено использовать;

  • требования по обеспечению безопасности мобильных устройств, принадлежащих компании (в том числе отношение компании к использованию корпоративных устройств в личных целях);

  • действия, которые необходимо выполнить при утрате устройства.

После разработки такого документа необходимо определить частные требования к обеспечению ИБ мобильных устройств:

  • требования к обеспечению обязательной аутентификации при работе с устройством;

  • требования к управлению конфигурациями устройства;

  • требования к управлению ПО устройства;

  • требования к обеспечению криптографической защиты информации на устройстве и т.д.

Такие требования могут быть собраны в отдельный документ (например, «Политика защиты мобильных устройств»), либо внесены в уже существующие частные ИБ- и IT- политики компании.

Помимо организационных, необходимы также меры, обеспечивающие техническую реализацию и контроль выполнения требований. В зависимости от актуальных рисков использования мобильных устройств может потребоваться дополнительно использовать:

  • средства антивирусной защиты;

  • средства построения защищенных каналов связи;

  • средства контроля и ограничения доступа к ресурсам ЛВС компании на основании контекста доступа и профилей устройств.

По статистике, слабым звеном в системе защиты информации является человек. Поэтому крайне важно доводить до работников основные правила безопасного использования мобильных устройств и разъяснять их. Хорошей практикой является включение этих правил в существующий процесс обеспечения осведомленности работников в области ИБ, который содержит:

  • вводный инструктаж по вопросам обеспечения ИБ;

  • тематические памятки, календари, флеш-ролики и пр., которые напоминают работнику о важности вопросов ИБ;

  • проверочное тестирование по вопросам безопасного использования мобильных устройств, проводимое, например, в рамках ежегодной аттестации работников.

Вывод:

Системы MDM являются мощным механизмом для решения проблем утечки информации при использовании мобильных устройств в корпоративной сети и позволяют применять концепцию BYOD. Однако MDM – вещь не самодостаточная, а лишь один из элементов комплексной системы защиты, нуждающийся в соблюдении необходимых организационных процедур.

Использование мобильных устройств – тема довольно молодая. Отношение различных предприятий к ней неоднозначное. Необходимо правильно оценить необходимость использования, риски использования мобильных устройств в компании. При возможности установить СЗИ на мобильные устройства.