Заметки о мобильной безопасности
Информационная безопасность Информационная безопасность

Нам часто задают вопрос: Можете вы предложить что-то для защиты от утечек через мобильные устройства? Да, конечно, можем.

Главная>Информационная безопасность>Заметки о мобильной безопасности
Информационная безопасность Тема номера

Заметки о мобильной безопасности

Дата публикации:
19.09.2012
Посетителей:
84
Просмотров:
63
Время просмотра:
2.3

Авторы

Автор
Дмитрий Михеев В прошлом - эксперт Центра информационной безопасности компании «Инфосистемы Джет»
Нам часто задают вопрос: «Можете вы предложить что-то для защиты от утечек через мобильные устройства?» Да, конечно, можем. Причем несколько совершенно разных по подходам решений, отличающихся задачами, средствами и философией. Но сперва нужно разобраться с нюансами ситуации, в которой оказался бизнес за последние несколько лет в части использования гаджетов. Итак, какие проблемы контроля мобильных устройств существуют сегодня?

 

 

«Мобильность» как угроза

 

Во-первых, это широкое распространение гаджетов среди сотрудников компаний и де-факто зависимость эффективности их деятельности от возможности нормально работать с данными на этих устройствах.

 

Во-вторых, просто бешеная изменчивость этого рынка, выражающаяся во всё увеличивающемся количестве вариантов ПО и аппаратных платформ гаджетов. Поднебесная империя и другие более мелкие страны-производители совершенно не дают спокойно жить. Выпускаются новые модели (анонсируются, минимум, 2 новых поколения устройств каждый год), версии ОС и варианты средств взаимодействия с окружающим миром – каналов связи (вспомним Near Field Communication чипы, доступные с недавнего времени), новые протоколы взаимодействия, версии ITunes и других программ для работы с документами, музыкой и т.д.

В-третьих, наблюдается постоянная сетевая активность, используются внешние ресурсы. Пользователи гаджетов могут и используют всевозможное ПО для обмена информацией. Корпоративные ограничения некоторых компаний по работе с файлами через USB-подключение привели к тому, что каждое уважающее себя приложение содержит модуль обмена данными (в том числе документами) через беспроводную сеть. Dropbox, File.net, Yandex.disk, Google Drive, SkyDrive, RetroShare – всё это конкурирующие платформы обмена и синхронизации данных между несколькими точками: одной такой точкой может быть корпоративное рабочее место, а другой – мобильное устройство.

 

Но и это еще не всё. Сотрудники пользуются и корпоративной, и домашней почтой с одного устройства, причем средств надежного разделения в рамках гаджета, как правило, нет. Отметим, что практически любое действие на самой популярной платформе на сегодняшний день – Android – приводит к обмену данными с серверами Google. Потенциально это уже утечка: например, поисковые фразы от точно идентифицированного пользователя могут представлять достаточно большой интерес для внешнего наблюдателя. Интриги добавляет и тот факт, что специальные средства обмена сообщениями (например, WhatsApp) позволяют обходить контроль средств безопасности за счет отсутствия клиентов под стандартные ОС и сложного шифрования. Все общение происходит за пределами периметра безопасности и контроля технических средств.

 

Появились и новые каналы утечки: кроме сетевых взаимодействий и подключения в качестве USB-накопителя, устройства дают возможность использовать специализированные ПО или протоколы обмена данными и синхронизации, такие как MTP (Media Transfer Protocol), Apple ITunes, Samsung Kies. В определенный момент такой функционал появляется на подавляющем большинстве корпоративных устройств в ходе цикла обновлений, и мы уже не можем контролировать их, т.к. они сменили канал взаимодействия. Это несколько усложняет работу тех средств, которые доступны на обычных платформах (Windows и DLP-система).

 

И последнее, но не менее важное: поскольку гаджеты запускают приложения в безопасном экранированном окружении, реализуемые средства защиты по большей части оказываются отрезаны от данных всех остальных приложений. Приходится констатировать, что на текущий момент разумных средств для организации контроля именно данных приложений не реализовано. Думаем, что в будущем ситуация изменится: из игрушек миллионов гаджеты превращаются в основу экономического благосостояния компаний, которую необходимо защищать на должном уровне.

 

Без доступа к внешним сервисам, будь то файлообменники, соцсети, поисковые системы или почта, мобильное устройство теряет большую часть своей привлекательности. Остается дорогая коробочка, которая греется, требует электричества, денег и дает возможность «кидаться птичками» в популярной игре. В то же время с доступом в сеть каждое устройство является потенциальной дырой в безопасности компании.

 

Залатать дыры

 

Когда мы разобрались с источниками и нюансами угроз, можно говорить и о способах их нивелирования. Уже сегодня средства контроля позволяют управлять некоторыми из рисков, которые предъявляют мобильные устройства, такими как потеря гаджета и offline извлечение данных, а также удаленная очистка почты и контактов. При этом соответствующее решение может быть внедрено в самой компании или предоставляться в виде услуги его производителем. Здесь мы можем говорить о технологиях Sybase Afaria и MobileIron, поскольку реализовали несколько пилотов с их использованием.

 

К сожалению, в настоящий момент контроль содержимого самих данных на устройстве невозможен, что ограничивает модель безопасности популярных мобильных платформ. Но при этом есть возможность контролировать профили безопасности, накладывать ограничения на использование программ или организовывать корпоративный магазин проверенных приложений для снижения рисков. В ряде случаев можно контролировать факт получения root, а также реализовывать принудительное шифрованное соединение с сетью через корпоративный VPN- шлюз.

 

При некоторых затратах на внедрение VPN и ограничениях работы с устройством можно добиться контроля сетевого трафика между гаджетом и внешним миром. Схема легко дополняется существующими средствами контроля SSL, сообщений в соцсетях и электронной почте. При этом ее можно реализовать с использованием уже знакомых компонентов – «Дозор-Джета», Blue Coat ProxySG, Symantec Data Loss Prevention. При грамотной организации управления доступом к данным в компании вы получите нужный результат. Конечно, есть и ограничения: контролируется только сетевой трафик устройств, весь трафик требуется пропускать через инфраструктуру компании, а требования к надежности и резервируемости решений значительно повышаются.

 

Контроль несетевого обмена реализуется агентами на рабочих станциях – средствами DLP-систем. Это отработанные технологии с давней историей применения. К сожалению, они не всегда готовы к новым протоколам синхронизации, а также предъявляют повышенные требования к рабочим местам (как минимум в части ресурсов). Кроме того, не контролируется движение данных с устройства за пределами сформированного периметра безопасности.

 

Если говорить о контроле содержимого данных, то мы видим, что он возможен только с ограничениями, накладываемыми описанными выше подходами. Гарантировать отсутствие утечки и 100%-ную информированность службы ИБ о целенаправленном выносе данных через мобильное устройство пока достаточно сложно. Мы предлагаем начинать с классификации информации и ограничения доступа к ней: если «горячие» данные гуляют в почте, лучше это прекратить. Так вы сделаете первый шаг к уменьшению рисков утечки. Можно внедрить собственный корпоративный сервис файлообмена или каким-то другим образом предоставлять доступ к данным без их сохранения на устройстве, при этом установить повышенные требования к авторизации (VDI и т.д.). Корпоративные порталы могут стать решением этой задачи, т.к. они позволяют организовать мандатный доступ к данным способом, не зависящим от того, на какой ОС работает браузер.

 

На текущий момент доступны решения, которые контролируют каналы от устройств (доступ через корпоративный VPN), позволяют управлять шифрованием для устройства (средствами его ОС) и другими настройками доступного для данной операционной системы профиля безопасности (контроль парольной защиты, требование отсутствия root, использование белого списка приложений). Существуют решения, которые предоставляют собственный защищенный контейнер для всех критичных типов данных, хотя это несколько усложняет привычную работу пользователя.

 

Есть и другой вариант обеспечения мобильной безопасности – двигаться по пути ужесточения политики использования устройств: разделять корпоративные и личные гаджеты, жестко контролировать нарушения периметра и мужественно переживать связанные с этим жалобы сотрудников. На данный момент очевидно, что окончательного ответа в этой теме не найдено.

Уведомления об обновлении тем – в вашей почте

Средства анализа в «Дозор-Джет»

Требование, которое стояло перед системами защиты от утечек на протяжении нескольких последних лет, выполнено: сегодня контролю подвергаются все или практически все каналы утечки информации. Проблема сегодняшнего дня – как в этом непрерывно растущем потоке данных найти утечку.

DLP – зачем нам это нужно

Как обосновать необходимость DLP-системы для бизнеса – наш опыт

Система мониторинга и архивирования почтовых сообщений

Еще лет 10 назад электронная почта была довольно экзотичным средством связи. Использовали ее в основном для связи с зарубежными корреспондентами, а умение пользоваться ею представлялось непосвященным техническим волшебством среднего калибра. ...

«Если у вас есть Щелкунчик, нужно начинать колоть орехи»

Точно так же и с DLP-системой: если она стоит в компании, нужно грамотно, по назначению ее использовать.

DLP как пазл, который должен сложиться

О практике использования DLP-решения беседуем с Алексеем Фроловым, руководителем Департамента по безопасности и режиму ПАО «Корпорация Иркут»

Новая версия DLP-системы Дозор-Джет - что же нового?

Какие изменения содержит в себе 28-й релиз комплекса защиты от утечек информации «Дозор-Джет»?

Архив электронной почты

Электронная почта стала важнейшим средством обмена информацией. Согласно исследованиям, проведенным Ferris Research, за последние несколько лет объем корпоративной электронной почты увеличился на 50%. Ожидается, что в ближайшем будущем ...

Внедрение системы контроля утечек информации на основе Symantec DLP в «Евразийском банке»

Евразийский банк является активным участником финансового рынка Казахстана. На начало 2009 года банк представлен во всех крупнейших городах Казахстана 18 филиалами и 50 отделениями.

Безопасность систем электронной почты

Роль электронной почты   Электронная почта – один из наиболее широко используемых видов сервиса, как в корпоративных сетях, так и в Интернет. Она является не просто способом доставки сообщений, а важнейшим средством коммуникации, ...

Спасибо!
Вы подписались на обновления наших статей
Предложить
авторский материал





    Спасибо!
    Вы подписались на обновления наших статей
    Подписаться
    на тему







      Спасибо!
      Вы подписались на обновления наших статей
      Оформить
      подписку на журнал







        Спасибо!
        Вы подписались на обновления наших статей
        Оформить
        подписку на новости







          Спасибо!
          Вы подписались на обновления наших статей
          Задать вопрос
          редактору








            Оставить заявку

            Мы всегда рады ответить на любые Ваши вопросы

            * Обязательные поля для заполнения

            Спасибо!

            Благодарим за обращение. Ваша заявка принята

            Наш специалист свяжется с Вами в течение рабочего дня