Мобильные устройства в корпоративной сети: как обезопасить компанию?

25 июня 2017
4

Мобильные устройства стали частью корпоративной ИТ-инфраструктуры — портативные компьютеры работают на других операционных системах, но имеют доступ к данным компании и к личной информации пользователей. Защищены они гораздо слабее настольных решений, поскольку к общему списку угроз здесь добавляются специфичные — как только со смартфоном или планшетом мы уходим из локальной сети, без специализированных средств защиты с ним можно делать что угодно. 

Обратный инжиниринг позволяет замаскировать зловред под популярное приложение и получить полный контроль над устройством, а отсутствие определяющего политику безопасности и изолирующего корпоративные данные MDM-решения даст злоумышленникам доступ к критичной для бизнеса информации без необходимости атаковать защищённый периметр. Если говорить об утечках по вине инсайдеров, отсутствие такого решения затрудняет контроль: имея доступ с телефона к корпоративным ресурсам (электронная почта, CRM и т. д.), злоумышленник может, например, передать базу клиентов конкурентам и стереть следы своей противоправной деятельности. Все это создаёт довольно опасную ситуацию, которой нужно управлять с помощью специализированных средств. В небольшой статье я перечислю основные угрозы для используемых в корпоративной инфраструктуре мобильных устройств и расскажу о методах их нейтрализации.

Вредоносное ПО

Количество мобильных зловредов измеряется тысячами, скачать их можно даже в официальных магазинах приложений — с помощью таких программ злоумышленники крадут учетные записи различных сервисов, адресные книги и другие конфиденциальные данные, хранящиеся на смартфонах и планшетах (в т. ч. корпоративные). Трояны могут отправлять платные SMS на короткие номера, переводить деньги с банковских счетов пользователя через экспресс-платежи и т. д. и т. п. Это очень серьёзная угроза, для нейтрализации которой необходимы комплексные меры. 

Пользователей стоит научить бдительности при установке приложений и предоставлении им доступа к тем или иным ресурсам (камера, микрофон, список контактов, геолокация и т. д.). Нужно сопоставлять функциональность программы с её запросами — фонарику, к примеру, нет необходимости обращаться к адресной книге или к геопозиционированию. Помимо ручной проверки есть класс решений и продуктов, анализирующих активность установленных программ на предмет наличия в них вредоносных функций. Стоит также инсталлировать хорошо себя зарекомендовавший мобильный антивирус известного разработчика — малоизвестные бесплатные программы сами могут оказаться зловредами.

Важно понимать, что полностью исключить угрозу нельзя, и смартфон может стать частью целенаправленной атаки, например, через фишинг. Даже проникший на устройство червь не должен получить доступ к корпоративным данным, и это можно реализовать только через их разделение с частными с помощью криптоконтейнеров (виртуальных окружений, доступ к которым осуществляется по паролю). Существует целый класс MDM-решений, позволяющих это сделать, и они должны использоваться для защиты мобильных устройств в обязательном порядке, особенно когда речь идёт о личных телефонах в корпоративной инфраструктуре. Эти программы также позволяют вести черно-белые списки приложений и контролировать политики безопасности — они защитят корпоративные секреты от халатности сотрудников и внутренних злоумышленников.

Удалось ли Вам провести работу с пользователями у себя в компании? С какими трудностями Вам пришлось столкнуться?

Действия инсайдеров

Ещё одна серьёзная проблема — внутренний шпионаж. Он может привести к многомиллионным убыткам, а предотвращение угрозы обойдётся гораздо дешевле борьбы с последствиями утечки — компании необходимо применять для мобильных устройств те же методы анализа трафика, фильтрации и блокировки отправки данных, которые используются для настольных компьютеров. 

DLP-системы давно умеют анализировать шифрованный трафик, сообщения мессенджеров и тому подобные вещи. Такие системы могут не требовать установки на телефон или планшет специального агента, но схемы с агентами более надёжны и дают дополнительные функции, например, удалённого поиска информации или контроля обмена данными через съемные носители. Другое дело, что на личное устройство (а чаще всего мы имеем дело именно с ними) не получится установить агентское ПО без согласия пользователя, и очень часто такая установка требует осуществления джейлбрейка в iOS или получения прав root в Android. Предпочтительно здесь, конечно, использование корпоративных устройств, чтобы не пришлось спрашивать разрешения у сотрудника.

Сталкивались ли Вы с внутренним шпионажем? Какие методы используете, чтобы предотвратить эту угрозу?

Проблема BYOD и тайна переписки

Включение собственных устройств сотрудников в корпоративную инфраструктуру — не очень хорошая с точки зрения безопасности практика, от которой ИТ-директора бегут как от чумы. Однако во многих компаниях такой подход признан жизненно необходимым, поскольку без достаточно дорогих телефонов и планшетов работать сложно, а выделять бюджеты на их приобретение готовы далеко не все. Конечно, устройства приходится защищать с помощью антивирусов, а также MDM- и DLP-решений, но даже классические (безагентские) DLP-системы вызывают неоднозначные толкования в юридических кругах. Конституция гарантирует гражданам РФ неприкосновенность частной жизни, и в законе о связи есть гарантии конфиденциальности передачи информации — коллизии с тайной переписки неизбежны при использовании DLP для проведения расследований.

Разрешено ли в вашей компании использовать собственные устройства для рабочих целей? Как Вы к этому относитесь?

Юридические проблемы с шифрованием

Многие средства защиты данных на мобильных устройствах активно используют шифрование, но это, как ни странно, может привести к ряду юридических проблем. Разработка и распространение средств криптографической защиты является лицензируемым видом деятельности, и компании сталкиваются с ситуациями, когда используемые инструменты не сертифицированы ФСБ. Кроме того, для защиты информации в соответствии с требованиями российских нормативных документов нужно использовать такие методы шифрования, которые не поддерживаются ни в Android, ни в iOS — тогда придётся задуматься о приобретении сертифицированных продуктов.

А Вы какие методы шифрования информации считаете самыми надежными?

Защита каналов связи

Очень часто сотрудники работают с корпоративными ресурсами через мобильный интернет или публичные точки доступа Wi-Fi. Последнее особенно опасно ввиду слабой защищённости общедоступных беспроводных сетей — злоумышленник может перехватить трафик с помощью специальных средств, украсть пароли и даже получить доступ внутрь периметра локальной сети. Необходимо защитить данные не только на самом устройстве, но и в процессе их передачи, используя надёжный шифрованный туннель (VPN) и, разумеется, придётся объяснить пользователям опасности работы через публичные хотспоты. 

Какие способы защиты данных в вашей компании сейчас используются? Довольны ли Вы ими?

Облачные хранилища 

Мобильные устройства делают резервные копии данных в сторонние облачные хранилища и корпоративные секреты тоже могут туда попасть. Чтобы снизить вероятность получения злоумышленниками доступа к информации в публичном облаке, необходимо использовать двухфакторную аутентификацию. То же самое касается и частных корпоративных облаков — для работы с ними с мобильных устройств и из сетей общего пользования усиленная аутентификация не менее необходима. И, разумеется, корпоративные данные должны храниться в защищённом криптоконтейнере, тогда даже бэкап в публичное облако вам не страшен — злоумышленник не сможет получить к ним доступ. 

Использование смартфонов и планшетов для работы с корпоративными ресурсами создаёт множество угроз информационной безопасности компании. Здесь описаны только основные проблемы, но существуют и другие: компания Aleph Security опубликовала два видеоролика, демонстрирующих взлом смартфонов OnePlus 3 и 3T с актуальной версией Android 7.1.1. Специально модифицированное зарядное устройство позволяет получить права суперпользователя за несколько секунд, и установка выпускаемых производителем обновлений прошивки не спасёт владельца телефона от атаки, если подобное хакерское приспособление будет размещено, скажем, в общественном транспорте или в кафе. 

Тем не менее, бояться всеобщей мобилизации пользователей не стоит, и даже обработка конфиденциальных данных фирмы на их личных устройствах не станет проблемой после создания соответствующих регламентов и комплексного внедрения технических средств защиты. В портфолио каждого крупного системного интегратора количество связанных с информационной безопасностью продуктов исчисляется сотнями и среди них обязательно найдётся подходящее для вашего бизнеса решение.

Не зря говорят, если бардак нельзя предотвратить, то его нужно возглавить и направить в безопасное русло. Какие методы защиты данных в данный момент используете Вы? Устраивают ли они Вас или планируете что-то менять?

6798
Поделиться
Коментарии: 4

Комментировать могут только авторизованные пользователи.
Предлагаем Вам в систему или зарегистрироваться.

  • Марк Шварцблат
    Рейтинг: 10
    КТ "Акведук"
    ИТ-директор
    28.06.2017 15:15

    Вот если не отягощать владельца устройства проблемами с обновлениями безопасности, антивирусов и очисткой временных файлов, то остается только вариант со своим закрытым приложением.

  • Анатолий Курочкин
    Рейтинг: 20
    Научно-производственное объединение
    Старший инженер, аналитик.
    29.06.2017 12:59

    Чрезвычайно интересная статья и важная тема. Но хотелось бы видеть берега, а не безбрежное море проблем.
    Опасность мобильных утечек явно преувеличена у широкого круга писателей. Ну, если ты не совсем балбес и не отключил двойную проверку при снятии денег со своей карты, если не рассказываешь в метро по мобиле свои планы на покупку акций Промнефтегаза.
    Больше половины проблем с безопасностью создают сами люди из-за своей беспечности. А не из-за отсутствия крутых систем защиты.
    У нас на предприятии почти нет стационарных телефонов. Всё общение через мобильные: мессенджеры, облачные приложения, простые звонки.
    Есть особо защищаемые данные, все знают порядок работы с ними и ответственность за утрату. Это, например, функционал программных изделий.
    Увы, очень часто на конференциях по безопасности путают защиту личных данных, защиту персональных данных, защиту личного пространства с обеспечением безопасности информации.
    Это неверный подход. Нет никакой беды, если подслушают мой ночной храп и другие непроизвольные звуки.
    Но беда, если банк или казначейство не могут обеспечить контролируемую мною систему платежей.

    • Марк Шварцблат Анатолий
      Рейтинг: 10
      КТ "Акведук"
      ИТ-директор
      29.06.2017 13:54

      Да. При целенаправленном взломе персонал и бумажки с паролями самое опасное. Но! Сейчас бьют по площадям. Или по отрасли. В надежде, что где-то дыры есть. И они всегда находятся. А с мобильными устройствами, да еще и своими не периметр, а крупное решето.

  • 17.10.2017 14:44

    RSM – Лидер в разработке IT-решений для бизнеса!
    Беспилотный автомобиль?
    Уже совершенно ясно, что данные технологии не за горами!
    Через 10 лет не нужны будут водительские права.
    Компания Ростсельмаш, динамика развития которой подтверждена рейтингами РА «Эксперт» (https://expert.ru/ratings/rejting-krupnejshih-kompanij-rossii-2016-po-ob_emu-realizatsii-produktsii/) , журналом Forbes http://www.forbes.ru/rating/350675-200-krupneyshih-rossiyskih-kompaniy-2017, уже сегодня решает аналогичные задачи в своем бизнесе.
    Без современных электронных систем такие сложные продукты как трактор, комбайн, посевной комплекс, опрыскиватель уже не могут приносить максимальную прибыль клиенту-фермеру.
    А за уникальные сетевые решения, за автоматизированные системы управления бизнесом Потребитель готов платить еще больше и вести максимально плотное сотрудничество с компаниями, которые предлагают такие Продукты. Так как, в конечном итоге, они позволяют максимизировать его собственную прибыль.
    Компания Ростсельмаш уже сегодня имеет собственное Конструкторское бюро управляющих систем и планирует увеличить его численность вдвое, в том числе в связи с тем, что стартует новый цикл разработок, цель которого создать свой собственный продукт, который свяжет поставляемую Компанией технику, особенности земли клиента, используемые им технологии и его бухгалтерию воедино!
    Ростсельмаш видит будущее компании в максимальном использовании ИТ – технологий и создании целого пула инновационных ИТ- продуктов для бизнеса своих клиентов, в связи с этим, Мы формируем мощные проектные команды в рамках Кб управляющих систем, для развития цифрового будущего Компании.
    Приглашаем:
    ·Руководителей сложных IT- проектов с опытом проектирования архитектуры ПО в сфере B2B, IoT.
    ·Веб-программистов – верстальщиков: Кросс-браузерная и кросс-платформенная верстка и тестирование.
    ·Веб-программистов – тестировщиков ПО: Разработка программ методик испытаний ПО, регрессионное тестирование, кросс-браузерная и кросс-платформенная тестирование.
    ·Веб-программистов мобильной версии веб-приложений.
    ·Программистов ПО: Разработка программного обеспечения для бортовой системы управления сельскохозяйственной техники.
    Предлагаем:
    ·Сложные и интересные задачи.
    ·Долгосрочный проект.
    ·Перспективы карьерного и профессионального роста.
    ·График работы и заработная плата обсуждаются индивидуально с каждым кандидатом.

Предметная область
Отрасль
Управление