Согласно третьему ежегодному исследованию Check Point по мобильной безопасности, в котором приняли участие 700 компаний, 44% респондентов считают область мобильной безопасности настолько обширной, что они даже не пытаются управлять корпоративной информацией, хранящейся на мобильных устройствах сотрудников. В результате постоянно растет число уязвимых гаджетов, которые хакеры могут использовать в своих целях.
Как же использовать по максимуму все преимущества концепции BYOD (Bring Your Own Device) и минимизировать недостатки? Для начала организация должна определить следующее:
- Понять риски – как атакующий может использовать имеющиеся в компании мобильные устройства, приложения, организацию сетевого трафика. Понимаете ли вы потребности всех заинтересованных лиц?
Запись голосовых звонков, перехват текстовых сообщений, история посещения сайтов, телефонные вызовы, содержание SMS/iMessage, GPS-координаты, информация о контактах, фотографии, сохраненные документы, собранные данные учетных записей – все это может стать доступным для хакеров благодаря установке злоумышленного приложения. Для этого могут быть использованы зараженные Wi-Fi-точки доступа, уязвимости самого устройства, ОС, аппаратных средств, конфигурации и т.д. - Определить потенциальные бреши в существующей топологии – как уже внедренные решения спроектированы, как они работают вместе и есть ли в вашей сети уязвимые места.
Здесь стоит сказать о том, что NAC- и MDM-/MAM-решения не предоставляют оценку уязвимости, не гарантируют снижение рисков. Если NAC обеспечивает только базовый уровень обнаружения угроз, то MDM/MAM не определяют атаки вовсе. Для SIEM-систем необходимо дополнить предоставляемую информацию еще и данными об уязвимостях, угрозах, аномальном поведении и атаках, связанных с мобильными устройствами сотрудников.
Средства защиты, такие как мобильные антивирусы, к сожалению, не могут справиться с модифицированным вредоносным ПО или любой продвинутой целевой атакой. Решения, использующие технологии, анализирующие репутацию или целостность приложения для определения, является ли оно вредоносным, имеют большое число ложных срабатываний, что негативно сказывается на работе сотрудников. Корпоративные шлюзы безопасности могут защитить мобильные устройства, только когда трафик последних проходит через шлюз. При этом функция «Маршрутизация через шлюз» при VPN-подключении негативно влияет на производительность устройства и продуктивность сотрудников. - Как предотвратить атаку – что необходимо для эффективного управления рисками организации без ущерба для производительности
Перед тем как компании позволят сотрудникам использовать мобильные устройства и приложения, сотрудники безопасности должны узнать, с какими устройствами планируется работать, и убедиться, что при активации такой возможности будут защищены все корпоративные данные – и те, которые будут храниться на мобильных устройствах, и те, доступ к которым будет предоставляться посредством мобильных устройств.
Это требует реализации комплексной защиты, которая без отрицательного воздействия на преимущества мобильности будет осуществлять эффективную оценку уязвимостей и мобильных рисков, выявление в режиме реального времени передовых атак и их предотвращение. К тому же она должна обеспечить простоту управления и в то же время поддержку расширенных возможностей интеграции, в том числе с системой корреляции и отчетности, включая не только отображение самих событий мобильной безопасности, определенных как важные, но и возможность настройки различного рода реакций на них в режиме реального времени. Т.к. мы говорим о мобильных устройствах сотрудников, очень важными требованиями являются максимальные понятность и удобство использования.
В табл. 1 приведен контрольный перечень возможностей, которым вы можете пользоваться при оценке мобильных решений в области безопасности для понимания, позволит ли такая защита получить максимальную отдачу для компании.
Табл. 1. Перечень необходимых функций решения по защите мобильных устройств сотрудников
Функция | Описание | Ключевые сво йства | Ключевые преимущества |
Передовой механизм определения мобильных угроз | Определение угрозы в режиме реального времени: • Jailbroken/rooting приложения на устройствах • Внесение изменений в ОС, настройки и параметры устройств • Вредоносное ПО (известное и уязвимости нулевого дня) • Опасное поведение приложений • Подозрительное поведение сетевого трафика | • Возможность сопоставлять информацию об устройстве, приложении и сетевые данные для идентификации угроз • Использование многообразия методов обнаружения, включая: - продвинутый анализ репутации приложений - AV на устройстве - выявление аномалий сетевого трафика и настроек устройства • Возможность различать уровни опасности угроз (High, Medium и Low) | • Комплексное определение продвинутых угроз, включая неизвестные атаки, продвинутые постоянные угрозы (APT), вредоносные, опасные приложения и т.п. • Точная классификация угроз для корпоративных ресурсов, тем самым обеспечивается информированность специалистов о типах угроз, с которыми столкнулась сеть компании |
Адаптивное снижение рисков | Возможность применить меры системы контроля, основанные на определении уровня риска в режиме реального времени | Предоставление многообразия возможностей смягчения последствий: - На самом устройстве: предупреждение пользователей и обеспечение шагов по исправлению - Через интеграцию с существующими системами контроля доступа (например, MDM/MAM/NAC/др.) - Сетевое воздействие: динамическая активация VPN защищает подключения; блокировка трафика атаки, пока угроза не ликвидирована | • Обеспечение методов защиты, соответствующих уровням опасности угроз. • Обеспечение методов защиты, которые соответствуют целям безопасности и бизнеса |
Оценка уязвимости | Оценка в режиме реального времени уязвимостей во всех мобильных устройствах, приложениях и сетевом трафике в сети организации | Оценка уязвимостей аппаратной платформы, операционной системы и приложений | • Снижение распространения атаки • Подтверждение соответствия корпоративным политикам (приемлемое использование) |
Простота управления | Возможности, пригодные для промышленной эксплуатации и упрощающие внедрение, обслуживание и управление | • Интеграция с MDM/MAM/ NAC Systems • Интеграция с SIEM и другими решениями по безопасности • Удобная панель управления | • Динамическая политика мобильной безопасности, учитывающая в режиме реального времени уровни опасности угроз • Эффективное управление и снижение рисков • Отчеты/данные представлены в понятном виде и могут быть экспортированы |
Минимальное влияние на работу пользователя | Решение не оказывает влияния на всю работу пользователя с мобильным устройством в целом | Просто скачать и использовать: - Запуск в фоновом режиме - Нет падения производительности - Позволяет пользователю держать на устройстве личные данные и приложения без ущерба для защищенности бизнес-данных | • Усвоение/принятие системы пользователем • Обеспечение согласованной позиции по вопросам безопасности в рамках всей организации • Продолжение использования устройства, как это было до внедрения системы, без опаски, что руководство отслеживает каждый шаг |
Если выбранное решение будет отвечать вышеуказанным в таблице характеристикам, можно ожидать следующую выгоду от его внедрения:
- Предотвращение атак или смягчение их последствий позволит избежать репутационных издержек и затрат на восстановление работы бизнес-ресурсов
- Расширенный набор возможностей и удобство системы управления сократят текущие эксплуатационные расходы
- Специалисты безопасности компании получают в режиме реального времени обзор угроз, с которыми столкнулись, что гарантирует своевременное принятие мер по предотвращению или смягчению последствий атак. Понимание рисков улучшает уровень поддержки задач по обеспечению мобильной безопасности, в частности, создание более эффективных политик безопасности
- Аудиторы и менеджеры по рискам получают информацию, которая им нужна для оценки и управления рисками в области мобильности, а также данные, необходимые для прохождения аудита или проверок на соответствие различным стандартам и требованиям регуляторов
- Сотрудники получают удобное и безопасное решение, позволяющее вести бизнес из любой точки мира.