Основные опасения при использовании мобильных устройств в бизнесе связаны с угрозами краж конфиденциальных данных и иными видами злонамеренного доступа к корпоративным ИТ. Проникновения через мобильные устройства осуществляются в том числе с использованием вредоносных кодов, физических краж мобильных устройств и пр.

Опрошенные нами эксперты оказались единодушны: мобильные системы в плане обеспечения информационной безопасности немногим отличаются от традиционных ПК и ноутбуков удаленных и мобильных сотрудников, и все меры ИБ, которые обычно предпринимаются в отношении ПК, нужно применять и для защиты мобильных устройств: учитывать, что устройства, за немногим исключением, используются не только для работы, но и для личных целей, к тому же необходимо организовывать удаленную поддержку и обновление мобильных систем, обеспечивающих информационную безопасность.

Определенная специфика, конечно, тоже имеется. В первую очередь это более частое и, как правило, беспорядочное использование незащищенных каналов связи (публичных точек доступа Wi-Fi), более высокие риски утраты устройства (кражи или утери) и многоплатформенность (приходится защищать устройства на различных версиях iOS и клонах Android, иногда также на Windows Phone или BlackBerry).

В целом защита мобильных устройств от атак злоумышленников оставляет желать лучшего. Так, по данным исследования, проведенного «Лабораторией Касперского» совместно с компанией B2B International, почти половина мобильных устройств в России, а именно 46% смартфонов и 41% планшетов Android, не защищены никакой антивирусной программой, а 26% смартфонов и 18% планшетов не защищены даже паролем.

 

Риски атак через мобильные устройства

Так ли велики реальные риски, связанные с несанкционированным доступом к корпоративным ИТ через мобильные устройства сотрудников?

Аркадий Попов, ИТ-менеджер DHL Express, считает, что риски эти точно такие же, как и для обычных компьютеров и ноутбуков, причем наиболее серьезные — это несанкционированный доступ к конфиденциальной информации компании и сотрудников, а также репутационные риски.

По мнению Владимира Наймарка, старшего менеджера по ИБ в PricewaterhouseCoopers, отвечающего за информационную безопасность сотрудников и систем в российском офисе компании, проблема заключается в том, что в организациях существует разная степень доверия к мобильным устройствам сотрудников: «В одних организациях через защищенный “контейнер” на устройстве возможен доступ только к конкретному набору документов, а в других — устройства получают полный доступ к корпоративной сети. Поэтому трудно говорить о каком-то среднем уровне риска. Можно утверждать, что при слабом контроле содержимого устройств и их доступа к корпоративной сети риски велики. В худшем случае компания позволяет подключить личный полнофункциональный компьютер в свою внутреннюю сеть без существенного контроля содержимого и действий этого компьютера». И если этот подключенный к корпоративной сети по каналу VPN компьютер на базе Android будет взломан или заражен вирусом, то сам пользователь или внешний злоумышленник сможет эффективно атаковать внутренние ресурсы компании.

«Наши тесты на проникновение систем управления мобильными устройствами (Mobile Device Management, MDM) показали, что в большинстве случаев существует реальная возможность обойти примененные на уровне устройства ограничения (в первую очередь политики безопасности) и осуществить упомянутые атаки, — поясняет Наймарк. — Это означает, что риск вторжения может быть высоким, даже если формально контроль производится».

Виктор Яблоков, руководитель управления мобильных решений «Лаборатории Касперского», тоже считает, что современные мобильные устройства не уступают ПК по функциям и возможностям, в том числе с точки зрения ИБ: «Мобильность подразумевает возможность пребывания устройства вне пределов компании, что повышает риски несанкционированного доступа к нему. Кроме того, мобильные гаджеты часто подключаются к недоверенным сетям. Наконец, более остро встает вопрос аутентификации пользователя при доступе в корпоративную среду извне».

По оценкам Алексея Александрова, руководителя направления по работе с технологическими партнерами компании «Аладдин Р.Д.», риски атак через мобильные устройства действительно велики, поскольку мобильное устройство может выступать и как хранилище информации, и как инструмент для доступа к корпоративной ИТ-инфраструктуре. Поэтому, если злоумышленник получит доступ к мобильному устройству, он сможет получить доступ к конфиденциальной информации. Защититься можно, если шифровать локальные данные и использовать механизмы строгой аутентификации как на самом мобильном устройстве, так и при подключении с его помощью к информационным системам.

Во многих случаях использование мобильных устройств сотрудниками — это удобный для злоумышленников способ получить доступ к критически важным или конфиденциальным данным, считает Павел Эйгес, генеральный директор Intel Security в России и странах СНГ: «Основной риск — это утечки данных. Они могут стоить компаниям целого состояния. Например, произошедшие в прошлом году в США утечки в крупных ретейловых сетях Target и Home Depot привели к многомиллионным убыткам, и компании до сих пор не могут оправиться от последствий».

Эйгес также отмечает, что риски, связанные с BYOD, усугубляет отношение сотрудников. Очень часто они не считают нужным защищать мобильные устройства так же тщательно, как и компьютеры: такие беспечные сотрудники — это основная причина утечек данных. «Не так давно Intel Security провела опрос и выяснила, что из 2500 опрошенных сотрудников различных компаний 61% респондентов выполняют задачи, связанные с высокой степенью конфиденциальности, но при этом 65% считают, что защита персональных данных на рабочем устройстве — это не их дело, а забота ИТ-отдела; 77% уверены, что в компании уже сделано все для предотвращения утечек, — рассказывает Эйгес. — Другими словами, основная угроза для ИТ-отделов, вынужденных мириться с BYOD, — это банальный “человеческий фактор”».

Оценивая риск кражи информации, Георгий Гарбузов, руководитель отдела консалтинга центра информационной безопасности компании «Инфосистемы Джет», отмечает, что его определяет комбинация ряда факторов. Один из них — ценность информации. Если она высока (предприятие хранит важные результаты интеллектуальной деятельности, клиентские базы и пр.), то и риск кражи достаточно велик. Также имеет значение мотивация нарушителя — сотрудника или злоумышленника, использующего гаджет легитимного сотрудника в своих интересах без ведома его владельца. Очень важно, чтобы сотрудник был предупрежден о возможных рисках и лоялен организации. Особняком стоят целевые атаки с использованием мобильных устройств. По мнению Гарбузова, риски здесь настолько велики, что даже рассматривать их в единой шкале некорректно: «В целом для инновационного производства с периодически обновляющимся кадровым составом этот риск гораздо выше, чем для торгового предприятия с продуманной кадровой политикой».

Направления краж и вторжений

Рассказывая об основных возможностях, которые злоумышленники могут использовать для доступа к корпоративным данным и приложениям через мобильные устройства сотрудников, Попов особо выделяет следующие пути атак: уязвимости «нулевого дня», несвоевременное обновление операционной системы и приложений, отсутствие антивирусов или нерегулярное обновление их баз данных, установка ПО с несанкционированных сайтов, зараженное ПО на официальных сайтах, а также уязвимости и методы, известные только узкому кругу специалистов.

«Поскольку современные мобильные устройства с точки зрения возможностей для хакерских техник ничем не уступают обычным компьютерам, такие атаки, как перехват сетевого трафика, обнаружение и эксплуатация уязвимостей на серверах, подбор паролей, социальная инженерия, легко осуществимы с мобильных устройств, — добавляет Наймарк. — Стоит отметить, что планшет с инструментарием для подобных целей давно стал обязательным элементом лаборатории этичного (и не очень) хакера».

Самая банальная и часто используемая возможность для краж данных и атак на корпоративные ИТ — это физический доступ, считает Яблоков: «Украсть компактный мобильный телефон, находящийся вне периметра компании, не так сложно — значительная часть телефонов не имеют даже простейшего пин-кода для защиты доступа, да и данные на них обычно хранятся в нешифрованном виде». Вторая очевидная возможность — использование вредоносных программ. Третья — использование канала (например, атаки типа «человек посередине») в открытых сетях Wi-Fi. Есть и более изощренные способы — скажем, перехват авторизационных данных и доступ в корпоративную сеть с «клонированных» устройств.

Среди прочих возможностей для атак Гарбузов отмечает неподконтрольность устройств и отсутствие квалифицированной поддержки, из-за чего пользователи вынуждены самостоятельно устранять неполадки и устанавливать ПО со всеми вытекающими отсюда последствиями: «Эти факторы создают благоприятнейшие условия для заражения таких устройств. Причем сделано это может быть в том числе в рамках целевой атаки на конкретного работника или организацию». Также он отмечает отсутствие или низкое качество реализации политик безопасности: разграничения доступа, минимизации привилегий, использования мобильных устройств (включая BYOD) и др. Ну и конечно, возможны кражи устройств и использование методов социальной инженерии.

«Также не стоит забывать, что мобильные устройства могут быть использованы в качестве средств аутентификации в корпоративных ресурсах — например, на них могут приходить SMS-подтверждения или оповещения, — добавляет Михаил Башлыков, руководитель направления информационной безопасности компании “Крок”. — В этом случае особенно важны мгновенная реакция и блокирование соответствующего доступа, если устройство утеряно».

Защита от мобильных угроз оставляет желать лучшего

Как рассказал Павел Эйгес, генеральный директор Intel Security в России и странах СНГ, в феврале нынешнего года McAfee Labs опубликовала результаты очередного квартального исследования угроз, в котором основное внимание уделялось как раз мобильным угрозам. Выяснилось, что на личных устройствах у пользователей установлено огромное количество приложений с весьма слабым уровнем защиты от угроз. Зачастую они становятся точкой входа для зловредов и эксплойтов. И виноваты в этом не всегда сами пользователи, известно о многих случаях недобросовестного отношения разработчиков к безопасности приложений.

Исследователи обнаружили, что разработчики приложений недостаточно оперативно предоставляют «заплатки» для мобильных приложений. Например, до сих пор не закрыта базовая SSL-уязвимость, связанная с ошибкой проверки цифрового сертификата. В сентябре 2014 года Центр реагирования на инциденты (Computer Emergency Response Team, CERT) представил список мобильных приложений, в которых была обнаружена брешь (совокупное количество их загрузок составляет сотни миллионов). В январе в McAfee Labs протестировали 25 самых популярных приложений из списка программ, где CERT нашел уязвимость, из-за которой учетные данные отправлялись на сервер по небезопасному соединению. Как выяснилось, 18 из них не были исправлены производителями систем, несмотря на то что информация о бреши была раскрыта, а разработчик уведомлен; кроме того, для некоторых из них было выпущено несколько уведомлений — и ни в одном уязвимость закрыта не была. Исследователи смоделировали атаку «человек посередине» и успешно перехватили информацию, передаваемую по SSL-соединению, на поверку оказавшемуся незащищенным.

Аналитики McAfee Labs также отмечают резкий рост количества вредоносных ссылок: на конец 2014 года их число достигло 30 млн. Это объясняется растущей популярностью коротких ссылок, за адресом которых легко замаскировать вредоносный сайт. Число фишинговых сайтов из-за этого тоже резко увеличилось. Короткие ссылки стали излюбленным инструментом хакеров, те все чаще используют их с целью обмануть сотрудников. По статистике, 18% пользователей открывают полученное фишинговое сообщение и переходят на вредоносную ссылку, поэтому возросшая частота применения коротких URL-адресов — повод для беспокойства. Все эти ссылки попадают к потенциальной жертве через фишинговые сообщения. Если учесть, что две трети всего мирового трафика электронной почты — это спам, сотрудникам компаний и самим работодателям нужно быть начеку и учиться противостоять методам, применяемым фишерами.

Ввиду развития техник социальной инженерии и многочисленных угроз, связанных с применением мобильных устройств на работе, организации должны разработать меры контроля технологий, процессов и людей, чтобы снизить свои риски, считают Эйгес и его коллеги.

Защита от мобильных атак

Как обезопасить корпоративные данные и технологические комплексы от несанкционированного доступа через мобильные устройства сотрудников?

Для этого, считает Попов, к мобильным устройствам должны применяться все те требования, что применяются к обычным компьютерам компании.

Наймарк рекомендует выделить четыре направления контроля действий устройств и их пользователей, а также передаваемой информации: ограничение доступа мобильных устройств и их пользователей к ресурсам компании на сетевом уровне, уровне приложений и данных; контроль содержимого устройств, состояния их операционных систем, установленных приложений и примененных настроек безопасности; контроль защищенности передаваемой к и от устройств информации от перехвата и несанкционированного изменения; практический контроль эффективности примененных контролей безопасности — регулярное тестирование на проникновение. Такой подход позволит выявлять возникающие риски даже с изменением технологий и рабочей среды.

Гарбузов отмечает, что для защиты от мобильных атак необходмы как организационные, так и технические меры. Среди организационных — обучение работников и, конечно, ограничение (а иногда и запрет) использовать гаджеты в бизнес-процессах. Однако, как показывает практика, если такая мера не подкреплена механизмами защиты, то она работает чрезвычайно плохо. Широкое распространение получили именно технические меры, от простейших (вроде отключения портов и ограничения доступа к информационным ресурсам) до инфраструктурных (например, использования виртуальной инфраструктуры) или более сложных — контролирующих потоки информации (с применением DLP) или сами мобильные устройства. В последнем случае в числе прочего обеспечиваются управление и контроль использования мобильного устройства даже в случае его утраты.

Среди технических мер защиты, которые рекомендует применять Башлыков, — системы контроля за перемещением данных и внешними подключениями, разграничение прав доступа к различным типам корпоративных ресурсов, управление устройствами с возможностью удаленного уничтожения корпоративной информации, DLP-решения, шифрование данных на мобильных устройствах и пр.

При работе с конфиденциальной информацией с мобильных устройств Александров советует использовать механизмы строгой двухфакторной аутентификации с отчуждаемым персональным модулем безопасности: аутентификацию в приложении на мобильном устройстве при подключении к информационной системе или облачному сервису следует выполнять с использованием электронной подписи, которая формируется на подключенном к устройству токене или смарт-карте.

Впрочем, по мнению Яблокова, единственный действенный способ защититься от атак на мобильные устройства и через них — обеспечить контроль и защиту с помощью внедрения в компании специализированного решения для управления мобильными устройствами (Enterprise Mobile Management, EMM), позволяющего разделять персональные и корпоративные данные и обеспечивать контроль последних.

С ним не согласен Эйгес, он уверен, что для борьбы с утечками и несанкционированным доступом одних только технологий недостаточно: «Надо воспитать в сотрудниках ответственность по отношению к корпоративным данным. Например, компании могут проводить тренинги для всех групп персонала». Кроме того, на устройствах должны проводиться регулярные обновления ПО — в них могут содержаться важные исправления изъянов безопасности. Также необходимо принять четкую политику BYOD: определить, для каких задач можно использовать устройство на работе и дома, какие сотрудники могут использовать свои гаджеты, какие типы устройств разрешены на рабочем месте, какие сайты и облачные сервисы можно использовать. «В целях борьбы с утечками данных из-за кражи или утери устройств нужно иметь наработанные методики, снижающие риск, — например, использование шифрованных каналов коммуникации, шифрование хранящихся на устройстве данных, удаленное стирание информации, — продолжает Эйгес. — Рост нагрузки, вызванный многообразием устройств и платформ, помогут снизить “черные” и “белые” списки приложений, а также единая система управления безопасностью терминальных устройств. Сотрудники компании тоже не должны оставаться в стороне: им нужно знать о рисках беспечного отношения к корпоративным данным и неосторожного использования устройств, а также четко следовать рекомендациям отдела безопасности».

Повысят ли безопасность корпоративных ИТ отказ от BYOD и выдача сотрудникам узкого перечня «казенных» устройств с последующим их обслуживанием силами компании-работодателя (подход Company Owned Personally Enabled, COPE)? Эксперты практически единодушны: нет, сам по себе такой подход не защитит от мобильных атак. «Не так важно, кто является владельцем устройства, гораздо важнее эффективность контроля над корпоративной мобильностью, — отмечает, в частности, Наймарк. — В чем COPE может помочь, так это в стандартизации и, соответственно, уменьшении расходов на обеспечение нужного уровня безопасности и упрощении процедур контроля, а также в решении ряда юридических и этических проблем, связанных с ограничениями, налагаемыми компанией на личные устройства сотрудников».

Попов добавляет: «С точки зрения информационной безопасности на BYOD-устройства должны налагаться те же ограничения, что и на устройства COPE». Наиболее существенное отличие, по его мнению, в том, что, как правило, COPE-устройство защищается целиком, тогда как в устройстве, используемом в рамках BYOD, защищается только контейнер, содержащий бизнес-информацию (примеры — Samsung KNOX, Good.com и пр.).

Можно предположить, что количество атак, реализуемых с применением мобильных устройств и направленных на доступ к корпоративной информации или ИТ-ресурсам, в ближайшее время будет резко расти. И неважно, будут ли устройства приобретаться за деньги сотрудников или их работодателей. Важно, что защититься от таких атак и связанных с ними рисков удастся, только применяя как организационные, так и технологические меры. Полумеры тут не помогут, скорее, наоборот, навредят — вселят уверенность в защищенности, которая на деле окажется лишь иллюзией.