Мобильность — необходимый атрибут современного бизнеса. Технологические достижения позволяют сотрудникам компаний свободно перемещаться за пределами офиса, оставаясь при этом подключенными к корпоративной сети: принимать корпоративную почту, получать телефонные звонки, работать с накопленными в компании данными. Все это расширяет возможности по ведению бизнеса, однако также увеличивает риски в области информационной безопасности.
Модель угроз
Валерий Боронин, руководитель лаборатории защиты информации от внутренних угроз «Лаборатории Касперского», отмечает: «По прогнозам популярность мобильных устройств в будущем будет только расти. Отдавая дань моде, производители стараются следовать предпочтениям массового пользователя, и в результате новинки оказываются доступными на потребительском рынке раньше, чем на корпоративном».
Для компаний такая ситуация опасна потерей контроля над информационными потоками. Попытаемся разобраться, чем именно мобильные технологии угрожают корпоративным информационным ресурсам.
Для построения модели угроз, которым могут подвергнуться компании при наличии мобильных пользователей, рассмотрим, из каких элементов состоит система удаленного доступа в корпоративную сеть. Мобильный пользователь, как правило, имеет собственное устройство (клиент) — переносной компьютер или смартфон, который подключается по общедоступным каналам к специальному корпоративному шлюзу.
Атаки на само мобильное устройство часто имеют целью установить на него вредоносное программное обеспечение и подключить его к «зомби-сети». Кроме того, на атакованный компьютер может быть внедрена программа-шпион, которая будет перехватывать передаваемую на него конфиденциальную информацию. К этому же типу угроз стоит отнести утерю или кражу устройства, данные с которого могут представлять ценность для сторонних компаний.
Клиент устанавливает связь с корпоративной сетью через специальный шлюз, который обеспечивает аутентификацию мобильных пользователей и предоставляет им доступ к корпоративным ресурсам. Атакуя шлюз, злоумышленник пытается обмануть его системы аутентификации или получить неавторизованный доступ к корпоративным ресурсам.
Следует отметить, что оба типа нападений взаимосвязаны: атака на клиентское устройство может привести к дальнейшему нападению на сам шлюз. Например, если злоумышленнику удалось установить на мобильный компьютер программу-шпион, которая перехватила пароль для доступа к корпоративной базе данных, то дальше злоумышленник может атаковать саму базу данных, чтобы получить из нее более подробные сведения. Это означает, что системы клиентской защиты и шлюза должны эффективно взаимодействовать.
Виктор Яблоков, руководитель направления разработки для мобильных устройств «Лаборатории Касперского», рекомендует компаниям уделять особое внимание защите как данных, так и каналов их передачи с использованием современных технологий шифрования, защиты от внешних и внутренних вторжений с возможностью их централизованной настройки и администрирования через единую консоль управления всеми мобильными устройствами. Правда, пока ни один производитель не предложил подобных средств защиты корпоративного уровня с поддержкой всех типов мобильных устройств.
Отметим, что есть два типа клиентов: мобильные компьютеры, работающие под управлением обычной Microsoft Windows, и смартфоны, которые работают под «мобильными» операционными системами, такими как iOS, Android, Symbian и Windows Mobile/Phone 7. Устройства первого типа защищаются традиционными средствами, а для вторых еще окончательно не сложились ни методы нападения, ни методы защиты. Пока для смартфонов основные методы нападения основаны на социальной инженерии, направленной на отключение штатных механизмов защиты самой операционной системы.
«В случае использования личных устройств, не авторизованных службами ИТ и ИБ предприятия, риски значительно возрастают, поскольку, в отличие от ПК и нетбуков, современные смартфоны сейчас практически ничем не защищаются», — замечает Боронин.
Смартфоны
Большинство разработчиков средств защиты выпустили антивирусные продукты, которые работают на той или иной платформе для смартфонов. При этом проверяют они файлы мобильных устройств на предмет поиска всех типов вредоносных программ, которые могут быть для данной платформы неактуальны. Это связано с тем, что смартфоны имеют на текущий момент достаточно много внутренней памяти и могут использоваться для переноса вредоносных программ.
В то же время вредоносных программ, которые устанавливались бы автоматически на сами смартфоны, практически нет. Есть только троянцы, которые «притворяются» полезной программой — для их установки обычно сам пользователь должен выполнить определенные действия. В последнее время в платформе Android найдены некоторые уязвимости, позволяющие ставить дополнительные программы вместе с полезными, однако пока злоумышленники не пользуются данной уязвимостью.
Отдельная тема — конфиденциальные данные. Николай Романов, технический консультант российского представительства Trend Micro, отмечает, что множество способов кражи данных посредством вредоносных приложений, вовлеченных в «зомби-сети», могут создать проблему даже в случае хорошо отлаженных корпоративных политик для мобильных компьютеров. Если такие риски можно свести к минимуму, например жестко ограничив работу с данными за пределами корпоративной сети во избежание их компрометации, то остается самый банальный риск — кража или потеря самого мобильного устройства.
Деловые люди обычно на смартфонах по меньшей мере устанавливают корпоративную базу контактов, которая может предоставлять интерес для конкурентов.
«Одной из основных проблем мобильной работы является вынос за пределы офиса конфиденциальной информации, которую командированные сотрудники вынуждены брать с собой на мобильных компьютерах и съемных накопителях», — отмечает Александр Ковалев, директор по маркетингу компании SecurIT.
Часто информация на мобильных устройствах не зашифрована, то есть в случае потери или кражи устройства доступ к ней сможет получить кто угодно, в том числе и нашедший его злоумышленник. При этом большая часть корпоративных компьютеров до сих пор не оснащена системами контроля утечек, и командированные сотрудники зачастую сами становятся источником разглашения конфиденциальных данных.
Сейчас разработаны приложения, которые позволяют со смартфонов получить доступ к корпоративным приложениям, но имена и пароли пользователей для подобных систем хранятся на самих смартфонах или передаются через них. Секретные данные могут быть перехвачены и в дальнейшем использованы для прямого нападения на корпоративный шлюз.
К безусловно необходимым антивирусам и межсетевым экранам Ковалев рекомендует добавить два важных защитных механизма. Во-первых, принудительное шифрование критичных данных. Во-вторых, систему защиты от утечек (DLP) или ее упрощенный аналог в виде контроля использования подключаемых устройств и печати. Впрочем, последние средства защиты устанавливаются не на сами мобильные устройства, а на корпоративный компьютер, с которым такое устройство синхронизируется.
Таким образом, для смартфонов должны быть предприняты меры по защите конфиденциальной информации, однако пока таких решений практически нет. Это при том, что данные в памяти смартфона иногда можно восстановить, даже если пользователь удалил из нее всю конфиденциальную информацию. Поэтому нужно предусмотреть не только защиту конфиденциальных данных, но и их своевременное уничтожение при краже устройства или его легальной продаже. Единственное, что сейчас делают производители антивирусов для смартфонов, — это системы антивор, которые уничтожают всю конфиденциальную информацию, если настоящий владелец телефона пошлет на номер мобильного специальное сообщение SMS.
Мобильные ПК и шлюзы
Для защиты платформы Windows и традиционных мобильных компьютеров или нетбуков сейчас имеется широкий набор продуктов, объединенных в класс Endpoint Protection. Они фактически являются продолжением корпоративной сети, поскольку состояние их защиты централизованно контролируется администратором системы безопасности компании.
Важным элементом защиты ноутбуков, по мнению Павла Мельниченко, менеджера по продуктам компании «Аладдин Р.Д.», является шифрование: «При работе с корпоративной информацией на мобильных компьютерах, а также в процессе ее передачи или хранения на съемных носителях самым подходящим способом повышения уровня безопасности является защита средствами прозрачного шифрования данных на дисках — как на съемных носителях, так и на жестких дисках нетбуков».
Подключение мобильных пользователей к корпоративной сети обычно организуется через специальные шлюзы, установленные на ее периметре.
«В современных условиях без средств защиты границ сети обойтись практически невозможно, — считает Мельниченко. — В любом случае корпоративная инфраструктура должна быть отделена периметром безопасности, который как раз и строится такими средствами. В периметре должен оставаться «контрольно-пропускной пункт», позволяющий правомерно войти мобильному пользователю в защищаемую зону, а средства защиты на этом КПП должны предоставлять адекватный современным угрозам уровень безопасности: строгая аутентификация, защита каналов, реагирование на инциденты и прочее».
Важным компонентом всей системы защиты мобильных пользователей являются так называемые нетехнические механизмы защиты, которые в основном связаны с обучением пользователей мобильных технологий. Романов отмечает следующее: «Что касается нетехнических вариантов решения задач защиты мобильной работы, то они давно существуют, но нечасто используются. Это, прежде всего, повышение осведомленности сотрудников относительно угроз и рисков, связанных с работой в глобальных сетях. Если, например, домашнего пользователя в такой ситуации проинструктировать некому, то на предприятии можно проводить периодические тренинги по этим вопросам».
Еще более жесткую позицию по вопросу защиты мобильных сотрудников занимает руководитель отдела антивирусных разработок и исследований компании «Доктор Веб» Сергей Комаров: «Первое и главное средство защиты мобильных устройств — это повышение компьютерной грамотности мобильных пользователей. Подавляющее большинство вредоносного ПО для мобильных устройств основано на методах социальной инженерии, так как самым слабым звеном защиты современных компьютерных систем остается их пользователь».