Сегодня на предприятиях используется все больше мобильных устройств — от смартфонов до Apple iPad и планшетов Android. Привычный компьютер не исчезнет, но будет дополнен множеством новых мобильных устройств всевозможных форм и размеров.
Благодаря появлению новых мощных устройств повышается эффективность работы сотрудников, но одновременно перед ИТ-администраторами и специалистами в области информационной защиты возникают трудноразрешимые проблемы безопасности. Заместителю директора по кадрам удобно работать в дороге со смартфоном, но, посещая профессиональную конференцию, он может забыть незаблокированное устройство BlackBerry (с электронной таблицей Microsoft Excel, содержащей сведения о зарплатах руководителей компании) на столике в буфете. Инженер может оставить в вагоне метро iPad с подробным описанием нового изделия. Кроме того, есть еще программисты-практиканты, регулярно загружающие в свои устройства Android программы не из магазина Android (в том числе зараженные вирусами).
Каждая из описанных ситуаций представляет угрозу безопасности, а ведь еще даже не заходила речь о соответствии законодательным актам и требованиях готовности к аудиту, действующих во многих компаниях. «Все эти факторы давят на ИТ-специалистов, которые вынуждены разрешать использование таких социальных инструментов, как Facebook, иметь дело с потребительскими аспектами ИТ, обеспечивать защиту и отслеживать дополнительные мобильные устройства», — комментирует Дон Деболт, директор по исследованиям угроз в компании Total Defense.
Состояние мобильной безопасности
Судя по заголовкам новостей из мира мобильной безопасности в 2011 году, рекордное количество авторов вредоносных программ проявляют интерес к мобильным устройствам, и в особенности к платформе Android. Поступает множество сообщений о вредоносных программах для Android, начиная с зараженных приложений в официальном магазине Android Market до регистраторов нажатий на клавиши, замаскированных под полезные программы.
«Android стала жертвой собственного успеха, отчасти потому, что это самая распространенная операционная система для смартфонов, — считает Кевин Махаффи, технический директор Lookout, поставщика программ для информационной защиты мобильных устройств. — Это одна из причин большей уязвимости Android по сравнению с другими мобильными операционными системами. Кроме того, данная операционная система наиболее широко распространена в таких странах, как Китай и Россия, откуда исходит большинство вредоносных программ». Махаффи также указывает на повсеместное распространение Java, что делает этот язык программирования удобным средством для злоумышленников, намеревающихся атаковать Android.
Как и Махаффи, главный исследователь компании GFI Software Эрик Сайтс тоже называет преобладающие доли рынка Windows и Android в качестве важных причин внимания авторов вирусов к этим платформам. Современный киберпреступник, как любой бизнесмен, озабочен эффективностью своих инвестиций. Почему бы не направить усилия на мобильную операционную систему с самой многочисленной армией пользователей и, следовательно, самой высокой окупаемостью затрат по подготовке вредоносных программ?
«Многие тенденции, наблюдаемые в области мобильных устройств, зеркально отражают происходящее на рынке компьютеров, — поясняет Сайтс. — 10 лет тому назад хакеры действовали ради славы или из любопытства, но теперь возникли организованные сети злоумышленников, стремящихся управлять устройствами ради более практических целей, например чтобы украсть номера кредитных карт, корпоративную информацию и получить доступ к конфиденциальным данным».
Сайтс отмечает увеличение числа кибератак, предпринимаемых группами, которые финансируются государствами. В качестве примера он приводит гипотетического производителя компонентов для аэрокосмической промышленности: государство, враждебное соединенным Штатам, стремится получить подробные характеристики деталей бомбардировщика B-2 и может провести целенаправленную атаку с использованием приемом фишинга, вредоносных программ и уязвимых мест для доступа к этой информации. Настойчивые атаки такого типа иногда называют расширенной устойчивой угрозой (Advanced Persistent Threat, APT). Сайтс утверждает, что с появлением мобильных устройств открывается еще больше возможностей для атак, от попыток завладеть чужими устройствами и использования вредоносных программ, до перенаправления электронной почты и текстовых сообщений или записи и ретрансляции голосовых переговоров.
Методы социальной инженерии
Несмотря на вложения миллиардов долларов в защиту конечных узлов (брандмауэры, антивирусные программы, решения на основе черных и белых списков и т. д.), киберпреступникам по-прежнему удается получать доступ к самой конфиденциальной информации. Их оружие — методы социальной инженерии, с помощью которых злоумышленники вводят в заблуждение людей, полагающих, что они отвечают на сообщение электронной почты или переходят по ссылке от доверенного источника.
Тема социальной инженерии — слишком широкая для данной статьи, но многие специалисты считают, что методы социальной инженерии используются все чаще. Широко известная атака на компанию RSA стала возможной потому, что один из ее сотрудников открыл вложенный файл в сообщении электронной почты, присланном, по его мнению, надежным корреспондентом.
Шаги к безопасности мобильных устройств
.
- Подготовьте четкие политики безопасности. Если у компании есть особые требования к безопасности, аудиту или соответствию законодательным актам, которые необходимо учитывать при управлении мобильными устройствами, постарайтесь тщательно (и кратко) документировать корпоративную политику безопасности. На удивление много компаний не имеет четко сформулированной политики безопасности по отношению к мобильным устройствам, поэтому такой шаг будет хорошим началом.
- Организуйте обязательное обучение сотрудников. В большинстве атак на мобильные устройства применяются методы социальной инженерии, поэтому регулярные тренировки сотрудников по распознаванию мошеннических программ и сообщений электронной почты просто необходимы. Эрик Сайтс также считает, что проблемы безопасности усугубляются разработчиками приложений. «Приложения Android необходимо более тщательно тестировать на эксплуатационную пригодность, — отмечает он. — Многие из этих программ сложны для рядового пользователя, и нередко люди щелкают наугад, чтобы добиться какого-то результата».
- Постарайтесь обеспечить быстрый поиск или удаление данных из потерянных или украденных устройств. В некоторых моделях мобильных телефонов предусмотрены функции поиска потерянных устройств или дистанционного уничтожения данных. Выпускаются усовершенствованные инструменты для управления мобильными устройствами, в том числе Athena компании Odyssey Software. Программа Athena взаимодействует с Microsoft System Center Configuration Manager (SCCM) и BlackBerry Enterprise Server (BES) компании Research In Motion (RIM), чтобы упростить управление мобильными устройствами на этих платформах.
- Применяйте надежную политику паролей. Надежная политика паролей так же необходима для мобильных устройств, как и для настольных компьютеров и ноутбуков, поэтому обязательно продумайте здравую политику паролей и неуклонно проводите ее в жизнь. В грамотной политике назначается минимальная длина пароля, определенная сложность символьной строки, срок действия пароля и другие требования.
- Выясняйте свойства приложений перед загрузкой. Приучите пользователей смартфонов внимательно читать информацию о приложениях, которые они собираются установить, и разрешениях, требуемых для этих программ. Явно подозрительны мобильные приложения, которым требуется доступ к слишком большому числу функций смартфонов; чрезмерные запросы к функциональности — признак того, что приложение может оказаться не тем, чем кажется на первый взгляд. «Пользователям действительно необходимо больше читать о приложениях перед их загрузкой, не соглашаясь на первое, что попадется на глаза», — убежден Сайтс.
- Используйте решения мобильной безопасности. Некоторые поставщики продуктов безопасности, в том числе McAfee, Symantec, Lookout, ESET и Total Defense, начали выпускать программы безопасности для мобильных устройств. В них предусмотрены различные возможности и функции, поэтому рекомендуется провести исследование, чтобы выбрать оптимальный вариант для устройств и операционных систем, используемых в конкретной компании.
- Не поддавайтесь на маркетинговые уловки поставщиков. Риски, связанные с мобильными устройствами, настолько «горячая» тема (особенно уязвимость операционной системы Android), что многие поставщики продуктов безопасности явно спешат воспользоваться страхом перед вредными программами и вирусами в мобильных устройствах, чтобы стимулировать рост продаж. «Могу лишь вздохнуть при виде такой ситуации, — говорит Махаффи. — Нельзя винить эти компании в использовании чрезвычайно выгодной бизнес-модели, но мы выбрали иной подход. Мы хотим дать потребителям возможность уверенно использовать мобильные устройства, не прибегая к запугиванию». Другие поставщики программ безопасности предоставляют услуги по определению местонахождения телефона и резервному копированию файлов, уже имеющиеся в ряде смартфонов, например функции поиска телефона, дистанционного уничтожения данных и резервного копирования iCloud в устройстве Apple iPhone.
Джефф Джеймс (jjames@windowsitpro.com) — старший редактор журналов Windows IT Pro и SQL Server Magazine. Специализируется на виртуализации и терминальных службах