Согласно определению Национального института стандартов и технологий США (NIST), размещенному в отчете Guidelines for Managing and Securing Mobile Devices in the Enterprise (NIST Special Publication 800-124 Revision 1), мобильными считаются устройства, обладающие малыми габаритами, как минимумом одним беспроводным интерфейсом доступа к Сети, встроенной (несъемной) памятью, операционной системой, не являющейся полноценной ОС настольных компьютеров и ноутбуков, возможностью установки приложений различными способами; имеющие встроенные средства синхронизации локально хранимых данных с удаленным источником. Кроме этого, устройство может обладать другими, необязательными свойствами, в частности, иметь не менее одного беспроводного персонального сетевого интерфейса типа Bluetooth или NFC, а также не менее одного беспроводного сетевого интерфейса для голосовой связи, например сотовый модуль; оснащаться системой глобального позиционирования; иметь одну или несколько цифровых камер, а также средства хранения данных (поддержка съемных носителей, поддержка использования самого устройства в качестве съемного носителя информации).

Угрозы и уязвимости

Как правило, мобильные устройства должны обеспечивать решение нескольких задач информационной безопасности: конфиденциальность — возможность доступа к хранимым и передаваемым данным только со стороны авторизованных сотрудников; целостность данных — определение всех умышленных и неумышленных изменений в хранимых и передаваемых данных; доступность — обеспечение своевременной доступности корпоративных данных с мобильных устройств. Прежде чем развертывать мобильные решения, компаниям и организациям стоит разработать модель рисков информационной безопасности, определив возможные уязвимые ресурсы, угрозы и средства обеспечения безопасности, вычислив вероятности успешных атак и их последствий, и т. п.

Мобильные устройства сотрудника обычно используются в местах, не контролируемых компанией, и даже если устройства используются внутри офиса, они переносятся с места на место, что создает угрозу утечки конфиденциальных данных. Смартфоны и планшеты могут быть потеряны или украдены, и данные, хранимые на них, подвергаются риску быть скомпрометированными. При формировании политик и регламентов использования мобильных устройств необходимо учитывать, что такие устройства могут попасть в руки злоумышленников, которые попытаются получить конфиденциальные данные либо напрямую с устройства, либо используя их для удаленного доступа к ресурсам организации. Стратегия по смягчению последствий этого состоит из нескольких уровней. Первый включает защиту конфиденциальных данных либо путем шифрования локального хранилища самого мобильного устройства, либо путем запрета локального хранения конфиденциальных данных. Даже если мобильное устройство всегда находится при владельце, существуют другие угрозы безопасности — например, возможность подглядеть важные данные или процесс ввода пароля. Второй уровень включает обязательную аутентификацию пользователя. Как правило, у устройства имеется единственный идентификатор, поскольку предполагается только один владелец — следовательно, имя пользователя отсутствует, а есть только пароль, зачастую в виде простого PIN, что снижает защищенность. Поэтому нужны более надежные методы аутентификации, такие как аутентификация в домене, используемые вместо или в дополнение к встроенным возможностям устройства.

Многим мобильным устройствам, принадлежащим сотрудникам, не хватает «корней доверия», криптопроцессоров, которые давно уже встраиваются, например, в ноутбуки. Также применительно к мобильным устройствам распространен пользовательский взлом устройств (например, так называемый «джейлбрейк») — нарушение встроенных ограничений безопасности. Организации должны придерживаться презумпции ненадежности мобильных устройств и предоставлять доступ с них к корпоративным данным и приложениями только после обеспечения безопасности, постоянно отслеживая состояние устройств в процессе работы.

Есть несколько стратегий устранения рисков использования недоверенных мобильных устройств. Можно ограничить или запретить использование личных устройств и обеспечивать безопасность каждого корпоративного устройства, перед тем как выдавать его пользователю — это приводит устройство в наиболее безопасное состояние, и все отклонения от него могут быть отслеживаемы и контролируемы. Также есть технические решения, обеспечивающие определенный уровень доверия, — например, запуск корпоративных приложений в изолированных контейнерах или использование приложений, отслеживающих состояние устройства.

Как правило, у организаций нет возможности контролировать безопасность сетей, используемых мобильными устройствами. Системы связи поддаются прослушиванию, что может привести к компрометации передаваемых данных. Атаки типа «человек посередине» также могут использоваться для перехвата и изменения соединения. Организации должны придерживаться презумпции небезопасности соединения между мобильными устройствами и корпоративными ресурсами, если нет полной уверенности в том, что устройства будут использоваться только в контролируемых организацией сетях.

Риски использования небезопасных сетей могут быть сокращены путем применения сложных алгоритмов шифрования для защиты конфиденциальности и целостности передаваемых данных, а также за счет взаимной аутентификации для проверки обоих узлов перед передачей данных.

Мобильные устройства разрабатывались с целью упрощения поиска, получения, установки и использования приложений, что сразу создает очевидные риски безопасности, особенно на платформах, которые не ставят ограничений безопасности на публикацию сторонних приложений. Организации должны планировать защиту своих мобильных устройств исходя из предположения, что загружаемые пользователями сторонние приложения изначально опасны.

Есть несколько способов сократить риски, вызванные подобными приложениями, — например, запретить установку всех внешних приложений, составить списки разрешенных или запрещенных приложений, использовать безопасный контейнер изоляции корпоративных данных и приложений от всех прочих, имеющихся на устройстве. Еще одна общая рекомендация — оценивать риски, создаваемые тем или иным сторонним приложением, перед разрешением его использования на мобильных устройствах организации.

Важно отметить, что даже если эти стратегии устранения рисков безопасности применяются, пользователи все равно через встроенный браузер будут иметь доступ к небезопасным веб-приложениям. Связанные с этим риски можно сократить, ограничивая или запрещая использование браузера либо применяя специальный браузер внутри безопасного контейнера для всех рабочих нужд, оставляя встроенный браузер для всего остального.

Мобильные устройства могут взаимодействовать с другими системами для хранения и синхронизации данных. Локальное взаимодействие обычно включает в себя подключение мобильного устройства к настольному компьютеру или ноутбуку. Удаленное взаимодействие чаще всего включает автоматическое архивирование данных в облачном хранилище. Если все компоненты находятся под контролем организации, то риски в целом приемлемы, но обычно как минимум один компонент оказывается внешним для организации: возможно подключение личного мобильного устройства к корпоративному ноутбуку; подключение корпоративного мобильного устройства к удаленному хранилищу; перенос вредоносного программного кода с одного устройства на другое. Стратегии сокращения рисков в этом случае зависят от типа соединения. Предотвращение синхронизации корпоративного устройства с личным компьютером требует наличия на мобильном аппарате средств выбора устройств, с которыми разрешено синхронизироваться. Предотвращение синхронизации личных мобильных устройств с корпоративным компьютером требует аналогичных средств управления и на нем. Предотвращения доступа к удаленным хранилищам можно достигнуть путем блокирования сервисов, не позволяя, например, соединиться с доменными службами или конфигурируя мобильные устройства с целью исключения использования этих сервисов.

На мобильных устройствах присутствует ненадежный контент, не встречающийся на других типах устройств, — например, QR-коды, специально созданные для обработки камерами мобильных устройств. Каждый такой код переводится в URL, и злоумышленники могут направлять пользователей на опасные веб-страницы, проводя целенаправленные атаки и размещая опасные QR-коды в местах физического присутствия целевых пользователей мобильных устройств, например на конференциях или в транспорте.

Ключевой стратегией сокращения рисков, связанных с ненадежным контентом, является информирование пользователей о соответствующих рисках и запрет доступа к подобному контенту с любых мобильных устройств, применяемых в служебных целях. Также можно запретить использование определенных функций мобильных устройств — например, отключить камеру устройства во избежание обработки QR-кодов.

С точки зрения корпоративной безопасности мобильные устройства с работающими службами геолокации подвергаются повышенному риску целенаправленной атаки: злоумышленникам становится легче определить местоположение устройства и его пользователя, соотнести эту информацию со сведениями о том, с кем он работает, чем занимается в данном месте, — и заранее организовать на него атаку на базе, например, QR-кодов. Эти риски можно сократить, если отключить геолокационные сервисы или запретить их использование конкретными приложениями, такими как социальные сети или приложения для фото.

Управление

Есть два базовых подхода к управлению мобильными устройствами: использование возможностей сервера обмена сообщениями (часто от того же производителя, что и устройства) или использование стороннего продукта, который разработан для управления несколькими марками устройств.

У типичного решения достаточно простая клиент-серверная архитектура. В организации установлен один или несколько серверов, обеспечивающих централизованное управление, а на все мобильные устройства устанавливаются клиенты, которые настраиваются для постоянной работы в фоновом режиме. Если устройство выдано организацией, клиентское приложение обычно управляет конфигурацией и безопасностью всего устройства (режим управления мобильными устройствами, MDM). Если устройство принадлежит сотруднику, то клиентское приложение управляет только конфигурацией и безопасностью самого приложения и корпоративных данных (режим управления мобильными приложениями, MAM). Клиентское приложение и корпоративные данные изолированы от прочих приложений и данных устройства, помогая сохранить конфиденциальность как корпоративных данных, так и личного контента пользователя.

Централизованное управление мобильными устройствами может задействовать другие корпоративные службы, такие как доменные службы аутентификации и VPN. Если в организации отсутствует централизованное решение или некоторые мобильные устройства несовместимы с ним, тогда устройствами приходится управлять вручную. Мобильные устройства часто не предоставляют возможности строго настроить средства безопасности, как это делают клиентские приложения централизованных устройств. Например, мобильные устройства часто поддерживают только простой пароль для аутентификации и не поддерживают надежного шифрования хранилища. Это потребует приобретения, установки, настройки и поддержки целого перечня сторонних приложений, чтобы компенсировать недостающий функционал. У правление устройством, физически не находящимся в стенах организации, может оказаться невозможным. Можно установить утилиты для удаленного управления устройствами, но это потребует значительно больше сил для ручного обновления ПО и прочей технической поддержки мобильных устройств, находящихся вне офиса.

Организации, намеревающиеся использовать мобильные устройства, должны обдумать достоинства каждого сервиса безопасности и определить, какие именно необходимы для их среды.

Общие политики. Централизованная технология, позволяющая применять корпоративные политики безопасности, вводящие ограничения на работу с мобильным устройством:

  • запрет пользователю и приложениям доступа к отдельным модулям устройства, таким как цифровая камера, GPS, Bluetooth, USB или съемная карта памяти;
  • запрет доступа к встроенному веб-браузеру, почтовому клиенту, службам установки приложений и т. д.;
  • управление беспроводными интерфейсами (Wi-Fi, Bluetooth и т. д.);
  • автоматическое отслеживание устрройства, определение и оповещение о нарушениях политик.

Передача и хранение данных. Надежное шифрование передачи данных между мобильным устройством и организацией, что, как правило, происходит в форме VPN, хотя можно использовать и другие типы шифрования. Надежное шифрование локально хранимых данных, как во встроенном хранилище, так и на съемной карте памяти. Съемные карты памяти также могут «привязываться» к конкретным устройствам, чтобы зашифрованные данные можно было считать только тогда, когда карта подключена к данному устройству, тем самым уменьшая риск атаки на носитель в автономном режиме. Удаленное очищение устройства в случае подозрения на то, что оно потеряно, украдено или иным способом попало в руки третьих лиц. Часто автоматическая очистка устройства запускается после определенного количества неудачных попыток аутентификации.

Аутентификация пользователей и устройств. Должна быть предусмотрена реализация требования аутентификации по паролю и/или другой (например, доменной) перед получением доступа к корпоративным ресурсам. Это включает базовые параметры сложности пароля и количества попыток ввода пароля до наступления негативных последствий (блокировки учетной записи, очистки устройства). Если включена блокировка учетной записи или забыт пароль, то администратор может удаленно сбросить пользователю пароль для восстановления доступа к устройству. Кроме этого, надо требовать повторной аутентификации по истечении определенного периода бездействия и удаленно блокировать устройство, если есть подозрение, что оно могло быть оставлено в незаблокированном состоянии в небезопасном месте.

Приложения. Сервисы работы с приложениями должны уметь устанавливать определенные программы (вести черный и белый списки), управлять установкой обновлений и удалением приложений, отключать использование служб синхронизации. Необходимо также работать с цифровой подписью приложений с целью убедиться, что на устройстве установлены только доверенные приложения и их код не изменялся. Важной функцией является организация и мониторинг распространения необходимых для работы программ через корпоративный магазин приложений. Кроме того, следует ограничивать или предотвращать доступ к корпоративным ресурсам в случае несовпадения версии операционной системы мобильного устройства или версии клиентского приложения.

 

Безопасность мобильных данных

Основные угрозы, которые несет предприятию мобильность, лежат в плоскости информационной безопасности, и сегодня, чем более мобильны и удобны технологии в обращении, тем потенциально они менее защищены.

Мобильные устройства часто теряют, либо их целенаправленно крадут — согласно глобальному исследованию компании InfoWatch, 18,2% всех инцидентов, связанных с утечкой конфиденциальной информации, приходится на долю забытых или украденных мобильных устройств. При этом их владельцы редко по собственной инициативе пользуются какими-либо средствами защиты — например, шифрованием: этой работой занимаются системные администраторы компании, допускающей применение персональных мобильных устройств для обработки корпоративных данных. В помошь администраторам компания InfoWatch предлагает программный продукт InfoWatch Security Endpoint, позволяющий обеспечить шифрование данных на различных мобильных устройствах.

Часто в мобильных устройствах нет четкой границы между приватной и корпоративной информацией, хотя эти данные должны использоваться и храниться отдельно, поэтому компаниям необходимо разработать соответствующие политики работы с конфиденциальными данными. Корпоративная информация должна храниться и обрабатываться в защищенном режиме — это может быть особая виртуальная среда с контролем за движениями данных, допускающая запуск только конкретных приложений. Переход от контроля информации на уровне инфраструктуры к контролю на уровне приложений и самих данных представляется очень перспективным — в компании InfoWatch ведутся работы в этой области.

Для эффективной защиты всех видов конфиденциальной информации на мобильных устройствах, требуются технологии, позволяющие контролировать все перемещения данных как внутри корпоративного периметра, так и вне его. В первую очередь это системы защиты данных от утечки (DLP), осуществляющие мониторинг конфиденциальных данных при различных сценариях использования мобильных устройств. Если компания допускает использование личных мобильных устройств в корпоративной сети, то логична установка мониторинговых агентов на каждое устройство для организации контроля трафика с этих устройств на серверном уровне. Кроме этого, политики информационной безопасности должны включать обязательное разделение личной и рабочей переписки, ограничение доступа к сетевым ресурсам и обязательное шифрование. Решение InfoWatch Traffic Monitor Enterprise позволяет осуществлять мониторинг и анализ данных, отправляемых за пределы организации через почтовые системы, интернет-ресурсы, системы обмена мгновенными сообщениями, предотвращая утечку конфиденциальной информации и позволяя расследовать инциденты, связанные с неправомерными действиями сотрудников.

Андрей Данкевич (Andrey.dankevich@infowatch.com), руководитель отдела аналитики и спецпроектов компании InfoWatch (Москва).

 

Жизненный цикл решений обеспечения безопасности

Рассмотрим весь жизненный цикл мобильных решений для определения актуальности тех или иных рекомендаций.

Инициация

Данный этап включает решение ряда подготовительных задач, таких как определение текущих и будущих потребностей, уточнение требований по производительности, функциональности и безопасности. Разработка корпоративных политик безопасности при использовании мобильных устройств — важнейшая часть этапа инициации. Политики безопасности должны определять, каким типам мобильных устройств разрешен доступ к корпоративным ресурсам, степень доступа различных классов мобильных устройств (например, личных или корпоративных) и как должна производиться подготовка к работе. Также здесь рассматриваются принципы администрирования серверов централизованного управления мобильными устройствами и способы обновления политик. Политики безопасности для мобильных устройств должны быть отражены в плане обеспечения информационной безопасности всей корпоративной системы.

Корпоративные политики часто ограничивают типы мобильных устройств, которые можно использовать для доступа к ресурсам, — например, организация может разрешать доступ только с корпоративных мобильных устройств. В некоторых организациях используется многоуровневая система доступа: корпоративные устройства имеют доступ ко всем ресурсам; личные устройства с установленным клиентом системы управления мобильными устройствами имеют доступ к ограниченному набору ресурсов; все прочие мобильные устройства имеют доступ только к избранным веб-ресурсам, например к почте. Таким образом организация может сокращать риски, определяя уровень доступа с учетом оценки безопасности при работе с мобильных устройств.

  • Конфиденциальность работы. Организации могут иметь более строгие ограничивающие требования к работе с конфиденциальной информацией — например, давать разрешение доступа к такой информации только с корпоративных устройств, однако при этом следует учитывать правовые аспекты удаленного стирания данных с личных мобильных устройств.
  • Уровень доверия в соблюдении политик безопасности. Соблюдение многих требований корпоративной безопасности зачастую может быть обеспечено только при условии, что организация контролирует процесс настройки мобильных устройств. Если такие устройства не используют корпоративную систему управления мобильными устройствами, то некоторые требования могут быть проверены автоматическим сканированием, осуществляемым системой управления мобильными устройствами при попытке подключения, но прочие требования проверке не поддаются.
  • Издержки. Связанные с использованием мобильных устройств будут различаться в зависимости от принятых политик. Главными прямыми издержками являются стоимость выдаваемых сотрудникам корпоративных устройств и стоимость клиентского ПО. Кроме того, есть косвенные издержки, связанные с поддержкой мобильных устройств и предоставлением технической помощи пользователям.
  • Расположение рабочего места. Риски устройств, используемых только в корпоративной среде, как правило, ниже чем у устройств, используемых в разных местах присутствия сотрудника.
  • Технические ограничения. Для запуска конкретных приложений могут потребоваться определенные типы мобильных устройств. Кроме того, корпоративная система управления мобильными устройствами может поддерживать только определенные типы мобильных устройств.
  • Соответствие регламентам. Некоторым организациям при работе с мобильных устройств необходимо соблюдать требования, которые являются внешними для организации, например требования регулирующих органов.

Многие организации принимают более строгие меры обеспечения безопасности для ситуаций, связанных с высокими рисками — например, вводят требование о работе только с безопасных корпоративных устройств или требование многофакторной аутентификации для доступа к мобильному устройству и корпоративным ресурсам. Другим способом является перенос ресурсов с высоким риском на корпоративные серверы. Кроме того, организация может сократить риски, запрещая доступ с мобильных устройств к определенным типам информации, таким как персональные данные.

Ежегодно происходит множество изменений в функционале мобильных устройств, способах управления их безопасностью и типах угроз, следовательно, организации должны периодически пересматривать политики и порядок применения мобильных устройств при работе на конкретном уровне доступа. Организации должны быть в курсе появления новых типов решений для мобильных устройств и изменений в существующих системах управления такими аппаратами для своевременного обновления корпоративных политик.

У организаций часто есть дополнительные соображения по безопасности мобильных устройств, которые позволяют сократить риски, однако их исполнение не всегда возможно, поэтому важно донести до сотрудников необходимость соблюдения мер безопасности и закрепить это в политиках и регламентах. Первое возможное соображение относится к так называемым личным беспроводным сетям, не требующим дополнительного оборудования: беспроводные мыши, клавиатуры, принтеры, беспроводные гарнитуры смартфонов, Bluetooth и NFC. На устройствах, находящихся поблизости от потенциальных источников угроз, пользователи не должны включать данные технологии без необходимости.

Разработка

На этом этапе определяется, какие технологии управления мобильными устройствами стоит использовать, и разрабатываются решения для их развертывания.

  • Архитектура. Проектирование архитектуры включает выбор системы управления мобильными устройствами, расположение сервера управления этими устройствами и других централизованных элементов.
  • Аутентификация. Включает в себя выбор средств аутентификации мобильных устройств и пользователей, в том числе определение порядка выдачи и возврата аутентификаторов.
  • Криптография. Включает выбор алгоритма шифрования и защиты целостности передаваемых на мобильные устройства данных, выбор сложности ключа для алгоритмов, поддерживающих различную длину ключа.
  • Конфигурация. Определение минимальных стандартов безопасности для мобильных устройств (например, обязательные средства по усилению безопасности серверов и степень обновленности), а также указание дополнительных мер обеспечения безопасности, которые должны быть использованы на мобильных устройствах, таких как VPN-клиент.
  • Сертификация. Установка требований к безопасности и производительности, которым должны отвечать приложения, а также определение того, как контролируется соответствие данным требованиям.

Организация должна также определить порядок обработки инцидентов, связанных с мобильными устройствами, и его задокументировать.

Внедрение

На этой стадии для каждого типа мобильных устройств следует оценить степень надежности подключения устройства и защиты его данных. Пользователи могут подключаться ко всем или только к части корпоративных ресурсов, а информация, хранимая на мобильных устройствах, и данные, передаваемые между устройством и корпоративными ресурсами, должны быть защищены в соответствии с предъявляемыми требованиями. Особое внимание необходимо уделить аутентификации, которая не может быть легко скомпрометирована или обойдена, а также должно быть обеспечено исполнение всех политик аутентификации устройств, пользователей и аутентификации в домене.

Все приложения должны поддерживаться соответствующими функциями мобильного решения при выполнении всех ограничений по их установке. Администраторы могут эффективно и безопасно конфигурировать и управлять всеми компонентами мобильного решения. Поводом для беспокойства может быть возможность изменения настроек мобильного устройства и клиентского ПО пользователем с целью ослабления безопасности решения. Ведение логов мобильного решения должно производиться в соответствии с регламентами организации.

При развертывании решения нужно удостовериться, что все его компоненты обеспечивают адекватную производительность как при нормальных, так и при пиковых нагрузках. Также важно учитывать производительность промежуточного оборудования, такого как маршрутизаторы и межсетевые экраны. В процессе внедрения решения могут возникнуть уязвимости, поэтому рекомендуется произвести дополнительную проверку компонентов — как минимум все они должны быть обновлены до последней версии и настроены в соответствии с практиками обеспечения безопасности. Кроме того, должен автоматически определяться факт взлома пользователем устройства, чтобы запретить работу с ним. Специалисты, внедряющие решение, должны внимательно ознакомиться с настройками мобильных устройств и изменить их для соответствия требованиям безопасности.

Организация должна полностью убедиться в безопасности каждого корпоративного мобильного устройства перед его выдачей пользователю — любое выданное устройство с неизвестным профилем безопасности должно быть изъято и возвращено к безопасному состоянию.

Эксплуатация и обслуживание

На стадии эксплуатации нужно регулярно выполнять проверку наличия обновлений для компонентов решения, отслеживать их получение, тестирование и разворачивание на устройстве сотрудника. Важно также проводить постоянную синхронизацию часов каждого из компонентов решения с единым источником времени — временные метки должны соответствовать меткам, создаваемым другими системами. Регулярно должна проводиться перенастройка системы контроля доступа с учетом изменения политик, технологий, требований аудита и новых задач, возникающих перед предприятием.

Администратор должен выявлять и документировать аномалии в инфраструктуре мобильных устройств, которые могут указывать на вредоносную активность или отклонения от политик безопасности. Кроме того, должно проводиться регулярное обследование, например путем анализа логов или путем проведения сканирования, в поисках уязвимостей или следов проникновения. Пользователи мобильных устройств должны проходить тренинги для повышения осведомленности об угрозах и рекомендованных практиках.

Удаление

Прежде чем компонент мобильного решения будет списан, организация должна убедиться в удалении с него всей конфиденциальной информации. Задача удаления данных с носителей, таких как жесткие диски или карты памяти, зачастую оказывается неожиданно сложной из-за большого количества мест, в которых хранятся данные, и активного использования флэш-носителей.

***

Перечисленные рекомендации могут оказаться полезными для предприятий, которые планируют переходить на мобильные «рельсы» вне зависимости от уже используемых у них ИТ-компонентов и доступных технологий MDM и MAM. Выбор конкретных решений будет обусловлен многими факторами, но основные угрозы безопасности и способы их устранения неизменны — главное, чтобы организации изначально придерживались презумпции ненадежности мобильных устройств и планировали предоставлять доступ к своим корпоративным данным и приложениями только при соблюдении всех необходимых мер обеспечения безопасности.

Петр Якушин (pyakushin@it.ru) — ведущий консультант центра корпоративной мобильности компании «АйТи» (Москва).