Чтобы и овцы остались целы, и волки сыты — подобного рода задачи снова и снова приходится решать службам ИТ и ИБ, реализуя подход BYOD. Это действительно непросто — обеспечить защиту корпоративных данных и ИТ-ресурсов, давая доступ к ним сотрудникам с принадлежащих им мобильных устройств так, чтобы, выполняя свою работу с достаточной производительностью, то есть без больших помех, они не смогли нанести серьезный ущерб своей организации.
«Хотя с появлением мобильных платформ и возник новый спектр угроз, BYOD делает актуальными самые простые риски — такие как утечка данных и неавторизованный доступ к ним. Ведь то, что достаточно просто решается в традиционных информационных средах, стало отдельной непростой задачей после прихода новых концепций», — отмечает Михаил Кондрашин, технический директор московского представительства компании Trend Micro.
Поскольку большинство мобильных платформ не рассчитаны на использование в корпоративной инфраструктуре, многие механизмы, которые могли бы оказаться полезными для реализации политик информационной безопасности, принесены в жертву ради удобства пользователей. Отсюда и ключевые риски, связанные с BYOD, считает Максим Чирков, руководитель направления развития сервисов электронной подписи компании «Аладдин Р.Д.». Один из ключевых, на его взгляд, — риск несанкционированного доступа, он может возникнуть как вследствие перехвата аутентификационной информации, так и в результате банальной утраты устройства. Еще одна серьезная угроза — угроза конфиденциальности в широком смысле: ей подвержены как отдельные документы, к которым получает доступ пользователь, так и все, что касается его коммуникаций с компанией посредством устройства, слабо отслеживаемого в рамках политик ИБ. Третья серьезная группа — риски использования злоумышленниками уязвимостей мобильных приложений.
Андрей Арефьев, менеджер компании InfoWatch по развитию направления Mobile Security Management, отмечает также риск использования мобильного устройства для получения копий документов, которые сотрудник не может сделать легитимно. «Я имею в виду фотографирование документов — как напечатанных, так и просто открытых на компьютере», — поясняет Арефьев. По его мнению, отвести эту угрозу можно, если в организации используется DLP-система, причем не только на ПК, но и на мобильных устройствах.
«При подходе BYOD риски ИБ связаны с теми функциями, которые выполняют мобильные устройства. В первую очередь они обеспечивают доступ к корпоративной информации, следовательно, и риски ИБ связаны именно с атаками на каналы связи, — считает Михаил Альперович, директор лаборатории защищенной мобильности компании Digital Design. — К таким угрозам можно отнести атаки типа «человек посередине», приводящие к ошибочному переходу клиента на вредоносный сервер. Следующий опасный момент возникает при передаче данных по каналу связи, и в этом случае риск связан с нарушением целостности передаваемой информации. Также нужно учитывать характер данных, передаваемых с мобильных устройств на сервер, и позаботиться о защите периметра сети».
Принципиальная защита
Минимальные требования к защите мобильной системы, с точки зрения Арефьева, таковы: защита устройства посредством пароля («это обременительно, но необходимо»), а также возможность удаления всех данных на мобильном устройстве в случае его кражи или утери. Эти функции реализуются с помощью решений для управления мобильными устройствами (Mobile Device Management, MDM).
Чирков рекомендует четко определить бизнес-процессы, которые необходимо выполнять посредством личных устройств. «Выполнение прочих не рассматривать и полностью запретить доступ к поддерживающим их системам с мобильных устройств, — добавляет Чирков. — Главным должен стать принцип разумной достаточности». Чтобы найти золотую середину между безопасностью и удобством, он предлагает использовать следующее: организовать подключение через каналы VPN всех устройств; блокировать устройства надежными паролями; шифровать данные на конечных устройствах; использовать антивирусное ПО; реализовать контроль доступа к ресурсам с настройкой оповещения о подозрительной деятельности. Также разумно взять на вооружение системы MDM и системы управления мобильными приложениями (Mobile Application Management, MAM); установить ограничения на прошивку устройств, на скачивание и установку сторонних приложений.
«Оптимальным вариантом является разделение содержащейся на устройстве информации на личную и корпоративную, — продолжает Альперович. — Защиту корпоративных данных на мобильном устройстве следует осуществлять посредством организации зашифрованной области дискового пространства в «песочнице» приложения — именно там должна храниться конфиденциальная информация. Такой подход позволит обеспечить безопасность данных даже в случае хищения устройства. Доступ к зашифрованным областям памяти должен осуществляться только по ключу пользователя, размещенному в криптографическом контейнере, а ключевые контейнеры, в свою очередь, необходимо защитить паролем или ПИН-кодом. Кроме того, в самом приложении должна быть организована обязательная аутентификация пользователей — например, посредством цифрового сертификата, статус которого обязательно нужно контролировать, периодически обращаясь к соответствующему ресурсу».
Для защиты от вредоносных кодов Альперович предлагает проверять целостность кодов корпоративных мобильных приложений, модулей защиты информации и среды их исполнения (в том числе операционной системы). «Такая проверка выполняется путем сравнения контрольных сумм кода приложения с эталонными (полученными при сборке дистрибутива приложения) при каждом запуске, а также через определенные интервалы времени в ходе работы ПО, — поясняет он. — В случае несовпадения контрольных сумм с эталонными прекращается работа программы и уничтожается вся критически важная информация, включая криптографические ключи».
По мнению Кондрашина, самой надежной защитой является предоставление удаленного доступа к корпоративным данным через защищенные каналы, что не допускает проникновения этих данных за периметр сети, но, разумеется, негативно влияет на доступность этих самых данных. «Основная работа происходит не с пользовательскими устройствами, контроль над которыми в достаточной степени ограничен, а внутри корпоративной сети, где необходимо разделить данные и ресурсы на те, которые должны быть доступны с портативных устройств, и те, доступ к которым можно получить только со своего традиционного рабочего места, — уточняет Кондрашин. — Когда «промежуточный» уровень конфиденциальности данных будет определен, необходимо реализовать технологии, делающие доступными эти данные с мобильных платформ. На самом последнем этапе правила безопасного пользования этими технологиями и будут таким регламентом».
Регламентная поддержка
Эффективность практически любой защиты заметно повышается, когда она поддерживается не только с помощью средств защиты, но и выполнением тщательно продуманных регламентов. «Чтобы регламенты соблюдались, они должны быть предельно простыми, понятными и доступными для каждого сотрудника, — уверен Чирков. — Также важно добиться понимания того, что, собственно, нужно делать и чего не делать, а этого можно достигнуть в результате обучения пользователей. Наконец, необходимо мотивировать сотрудников придерживаться регламентов. Карательные меры тоже могут быть полезны».
«Опыт показывает, что закрывать недостатки технических мер защиты административными регламентами — не очень надежная мера, так что лучше сразу продумать, каким образом можно будет выявлять нарушения регламента, что делать с нарушителями и какие принимать контрмеры», — добавляет Кондрашин.
По мнению Арефьева, лучшим средством для выполнения регламентов являются инструменты, которые делают соблюдение регламентов необходимым условием получения доступа к корпоративным данным с мобильного устройства. В частности, они принуждают пользователя установить пароль для защиты мобильного устройства и контролируют, что фиксирует пользователь с помощью мобильного устройства (на камеру или микрофон), находясь в офисе.
Достаточно эффективным средством поддержки регламентов Альперович считает использование MDM-решений: «Этот класс систем позволяет решать довольно большой спектр задач: вести учет всех устройств, централизованно наполнять их нужными программами, загружать необходимые настройки и политики. В случае нарушения регламентов эти системы предоставляют возможность удаленного уничтожения всех данных с устройства. Если ИТ-подразделение видит, что на конкретном устройстве нарушаются существующие регламенты безопасности, система позволит заблокировать гаджет, удалить с него все корпоративные данные или запретить к ним доступ. Если связь с устройством не прерывается, то возможность управлять им сохраняется. Если связь потеряна, срабатывают политики безопасности и данные уничтожатся автоматически».
Как видим, относительно неплохую безопасность мобильных систем в условиях BYOD обеспечить можно. Правда, сделать это, не имея возможности интегрировать их с системами управления мобильными устройствами и приложениями, весьма затруднительно. И конечно, не стоит пускать процесс BYOD на самотек — им следует управлять, заранее продумывая политики безопасности, регламенты, процедуры и инструменты.