Сегодня широта применения мобильных устройств в корпоративной среде уже никого не удивляет. Именно защите таких устройств и управлению ими посвящена данная статья. Для начала определимся с терминологией. В этой статье под мобильными устройствами мы будем понимать те, которые:
- работают под управлением мобильной операционной системы Android, iOS, Windows Phone;
- могут быть подключены к Интернету.
Таким образом, планшеты Microsoft Surface не могут быть в данном случае названы мобильными устройствами, так как они работают под управлением операционной системы Microsoft Windows RT/8. Аудиоплеер iPod можно подключить через Wi-Fi к Интернету, следовательно, его приходится защищать как обычный iPhone, хотя позвонить с него нельзя.
С каждым днем компьютеры становятся все меньше и тоньше. Но с точки зрения безопасности это значения не имеет. Важно другое:
- Современное мобильное устройство вполне способно стать хорошей заменой компьютеру. Его можно использовать для выполнения многих рабочих задач: читать и отправлять корпоративную почту, редактировать документы MS Office. Соответственно, на таком мобильном устройстве может храниться конфиденциальная информация. Значит, ее нужно защищать, в том числе от вирусов.
- Современное мобильное устройство намного проще украсть, в отличие от ноутбука и тем более рабочей станции. Таким образом, для смартфона также важно иметь надежную защиту от несанкционированного доступа.
Политика BYOD
Мы уже привыкли, что практически у каждого из нас есть личный смартфон или планшет. Некоторые компании не хотят или не могут централизованно закупать корпоративные устройства. Тогда для них имеет смысл разрешить сотрудникам использовать свои персональные смартфоны для доступа к корпоративной почте. Ведь в этом случае они смогут продолжать работать и вне офиса, а компания не будет нести дополнительные расходы. Такая политика называется «принеси свое устройство», Bring Your Own Device (BYOD), и она имеет как положительные, так и отрицательные стороны.
К плюсам такого подхода можно отнести отсутствие необходимости решать технические проблемы (сотрудники будут сами обращаться в сервисные центры производителей) и затраты на обновление парка (сотрудники сами будут покупать новые телефоны).
Вместе с тем существуют и очевидные минусы, например отсутствие проверки установленных программ и всего устройства в целом. Пользователь остается владельцем смартфона и имеет право делать с ним все, что захочет: подарить или продать, установить на него игры, может даже потерять устройство и не сообщить об этом компании.
Таким образом, при принятии компанией политики BYOD задача администратора сводится к защите корпоративных данных. Что будет происходить при этом с самим устройством — личное дело владельца.
Защита ресурсов
Когда речь заходит о мобильных устройствах, под корпоративными ресурсами в первую очередь подразумевают корпоративную почту. В большинстве случаев имеется в виду, что корпоративная почта базируется на сервере Microsoft Exchange. Кроме самих писем это расписание встреч, задачи и список контактов. Еще один распространенный пример — внутренний сервер с подробной структурой компании, контактами сотрудников, должностными инструкциями, стратегиями развития, финансовыми отчетами и т. д.
Кроме того, у компании могут быть специфические бизнес-ресурсы: внутренние аналитические документы, досье на конкурентов, проектная документация, истории болезней пациентов или характеристики студентов колледжа. В идеале эти документы должны храниться строго внутри организации. Однако реально часто бывает выгоднее предоставить сотрудникам возможность работать вне офиса. Вместе с тем данные нуждаются в защите. Но как их защищать в случае реализации политики BYOD? Что может сделать администратор, если у него нет прав для контроля устройства?
На самом деле он может контролировать доступ к корпоративным данным. Как это сделать? Например, выделить корпоративные приложения и разрешить доступ к корпоративным ресурсам только некоторым из них. При этом желательно:
- Запретить обмен данными между корпоративными программами и всеми остальными, установленными на устройстве.
- Ввести дополнительную аутентификацию пользователя при запуске корпоративных приложений.
- Автоматически шифровать при сохранении на устройстве все данные, полученные по корпоративным каналам.
Особенности защиты мобильных устройств
На современное мобильное устройство можно устанавливать программы, значит, можно установить и вредоносную программу. Устройство можно подключить к Интернету и зайти на фишинговый сайт. В этом отношении мобильные устройства похожи на рабочие станции и соответственно их нужно аналогичным образом защищать.
Угрозы в контексте мобильных устройств вытекают из их главного отличия — меньших размеров. Поэтому мобильный телефон или планшет легче потерять, следовательно, важной частью их защиты должна быть более строгая аутентификация пользователя, затрудняющая несанкционированное использование, и инструменты для поиска устройства. Кроме того, мобильные телефоны в среднем по-прежнему проигрывают рабочим станциям в производительности. Соответственно, защита и проверка файлов не может быть такой же, как для обычных компьютеров. Но, с другой стороны, вирусов для мобильных платформ все еще тоже меньше.
Направления защиты мобильных устройств делятся на четыре группы.
- Защита при утрате устройства (оно может быть похищено или забыто) с помощью систем класса Mobile Device Management (MDM).
- Защита от программных угроз.
- Управление программами посредством систем Mobile Application Management (MAM).
- Управление данными с помощью систем Mobile Content Management (MCM).
Устройство потеряно
В этом случае самое простое решение — удаленно очистить потерянный смартфон. Тогда, даже если устройство попадет к злоумышленнику, утечки корпоративных данных все равно не произойдет. Особенно если телефон был предварительно зашифрован. С другой стороны, восстановить системные настройки, если владелец не забыл предварительно включить синхронизацию личных данных с «облачной» службой, достаточно просто. В итоге потери будут равны стоимости нового устройства плюс время восстановления. Если устройство было личным, пользователю придется просто купить себе новое.
С другой стороны, пользователь мог где-то забыть свое устройство. И оно лежит в безопасном месте и ожидает своего владельца, значит его нужно найти. Можно попытаться получить его GPS-координаты или фотографию места, где оно находится.
Защита от программных угроз
Увы, количество вирусов для мобильных платформ растет экспоненциально. И хотя их пока меньше, чем для компьютеров с Windows, но они есть и их уже очень много. Кроме того, ваш зараженный смартфон будет использовать для вредоносной рассылки не только адресную книгу со списком адресов электронной почты, а всю вашу телефонную книгу, включая телефоны родителей и друзей.
Защита корпоративных данных
Для любой организации на мобильном устройстве главное — корпоративные данные. Они могут быть интересны злоумышленнику, а могут нанести вред компании, если будут разглашены случайно. Фактически если мы говорим о BYOD, то у администратора нет прав на все устройство, да ему и безразлично, как в целом оно используется. Ему важно, что произойдет с корпоративными данными. А все остальное — проблемы владельца. И значит, для разделения личных и корпоративных данных имеет смысл выделить список проверенных приложений и разрешить пользователям получать доступ к корпоративным ресурсам только используя одно из них. Такие доверенные приложения по возможности должны:
- Иметь дополнительную аутентификацию на случай, если пользователь забудет где-то телефон в разблокированном виде.
- Шифровать все загружаемые данные, чтобы, получив доступ к файловой системе украденного телефона, злоумышленник все равно не смог их прочитать.
- Позволять администратору удаленно очистить все сохраненные данные на смартфоне уволившегося сотрудника.
В качестве примера мы рассмотрим решение описанных задач с помощью продукта Kaspersky Endpoint Security for Mobile.
Схема и принципы работы
Данное решение позволяет защитить и удаленно управлять мобильными устройствами под управлением:
- Apple iOS 7.0 и выше;
- Google Android 4.1 и выше;
- Microsoft Windows Phone 8.0 и выше.
Для централизованного управления используется продукт Kaspersky Security Center 10 Service Pack 1.
Перечислим компоненты Kaspersky Endpoint Security for Mobile:
- Клиентская часть, устанавливаемая на мобильные устройства. Фактически это аналог KES для рабочих станций Windows, но для соответствующих мобильных платформ. Необходимо понимать, что это разные приложения для разных операционных систем: MDM-профиль + Safe Browser for iOS; KESM for Android; Safe Browser for Windows Phone.
- На стороне системы управления (серверная часть) сервер администрирования KSC — центральный элемент системы управления и база данных.
- Поддержка мобильных устройств — дополнительный компонент сервера администрирования KSC, необходимый для управления мобильными устройствами. По умолчанию не устанавливается.
- MDM for iOS — дополнительный компонент KSC. Устанавливается на отдельном сервере или локально на сервере администрирования KSC. Необходим для управления устройствами с iOS.
- Портал самообслуживания — веб-портал, на котором пользователи могут самостоятельно управлять своими устройствами: подключать новое оборудование, отправлять команды. Устанавливается на любой компьютер под управлением Windows.
Службы для уведомлений
Как отправить команду, чтобы быстро заблокировать потерянный смартфон? Ждать плановой синхронизации, увы, долго. Настроить частоту синхронизации тоже не выход. Это не оптимально. Для решения проблемы необходимо задействовать специальные службы, предоставляемые компаниями — разработчиками операционных устройств, ведь мобильные устройства не принимают UDP-пакеты и не поддерживают функцию Wake-on-LAN:
- Apple Push Notification Service (APNS) для iOS-устройств;
- Google Cloud Messaging (GCM) для Android;
- Microsoft Push Notification Service (MPNS) для Windows Phone.
Apple Push Notification Service (APNS). Данная служба позволяет сторонним поставщикам отправлять обязательные уведомления на устройства iOS, подключенные к их системам удаленного управления. Таким образом, например, отправленная администратором через консоль KSC команда «Очистить потерянный смартфон» будет выполнена практически сразу, а не только во время следующей плановой синхронизации. В решении KESM к APNS нужно подключить сервер MDM for iOS. Регистрация iOS-устройств произойдет автоматически.
Google Cloud Messaging (GCM). Это аналогичная служба для доставки обязательных уведомлений, но для Android. К GCM подключается сам сервер администрирования KSC.
Microsoft Push Notification Service (MPNS). В текущей версии не поддерживается.
Детектирование взлома устройства
С одной стороны, администратору все равно, как пользователь обращается со своим личным устройством, с другой — ни в коем случае нельзя допустить взлома соответствующих устройств. Что в данном случае имеется в виду под взломом? Для iOS это технология под названием jailbreak, для Android — rooting. Думаю, пояснять, чем опасны данные взломы, не нужно. По умолчанию iOS и Android ограничивают право пользователей на модификацию файлов.
Взлом iOS (Jailbreak). Необходимо отметить, что на взломанном iOS-устройстве у пользователя нет доступа к файловой системе, то есть он не может использовать смартфон как переносной накопитель, просто подключив его к компьютеру. Кроме того, устанавливать приложения можно только через магазин приложений AppStore. Корпорация Apple гарантирует отсутствие вредоносных и потенциально вредоносных программ в AppStore. Именно поэтому не существует антивирусов для iOS. Создать такое программное обеспечение можно, но Apple не даст опубликовать его в AppStore.
Однако самая главная угроза для смартфонов или планшетов компании Apple — сам пользователь. Сегодня существует много сайтов с подробными инструкциями, как взломать iOS любых версий. В большинстве из них пользователь просто загружает на рабочую станцию специальную утилиту, подключает свой смартфон через iTunes и способен реализовать взлом с помощью мастера. KESM не в силах предотвратить взлом, но администратор сможет узнать о нем с помощью функции Safe Browser.
Взлом Android (Rooting). Следует учесть, что, в отличие от iOS, Android не запрещает доступ к файловой системе. Пользователь может задействовать свой планшет как флешку и устанавливать программы из третьих источников. Однако все приложения запускаются в собственной изолированной среде, а системные файлы доступны только по чтению. Безусловно, это не полноценная защита от вирусов, однако вредоносная программа не может без участия пользователя похитить данные другого приложения.
После проведения процедуры rooting пользователь получает право на модификацию системных файлов и доступ к данным всех приложений. KESM, как и в случае с iOS, не может запретить rooting, однако может его зафиксировать и уведомить администратора. А затем применить настроенное администратором действие как реакцию на взлом — например, заблокировать устройство или автоматически удалить корпоративные данные.
Как настроить защиту
За детектирование взлома на iOS отвечает функция Safe Browser. Поэтому и для iOS, и для Android все настраивается в политике KESM. Администратор, получив уведомление о взломе, может заблокировать или сразу очистить устройство. Если же в организации применяется BYOD — удалить корпоративные данные.
Защита от фишинговых атак
Увы, стоит отметить, что фишинговые атаки на мобильные устройства гораздо более успешны. А значит, и защищать их нужно как можно тщательнее. Для безопасного просмотра информации в общедоступной сети пользователи iOS и Windows Phone должны задействовать Safe Browser, пользователи Android могут применять как родной Google Chrome, так и Safe Browser. Однако в случае корпоративных смартфонов под управлением iOS или Android защиту можно настроить таким образом, что будут блокироваться все сайты, кроме заданного списка URL, или вообще все. Кроме того, можно запретить доступ к URL по категориям, например социальные сети, игры, новости.
Однако следует понимать, что такая защита возможна только в том случае, если мобильное устройство принадлежит организации. Если же используется политика BYOD, то на помощь придет управление мобильными приложениями.
Управление мобильными приложениями
При использовании политики BYOD гораздо важнее защитить данные, а не устройство целиком. То есть нам важнее управлять мобильными приложениями. Самый очевидный способ защиты данных — разрешить доступ к ним только с помощью доверенных приложений. В этом случае администратор создает список приложений, с помощью которых он может управлять доступом к корпоративным ресурсам. Из них составляется список разрешенных или рекомендуемых приложений.
Далее можно или административно обязать пользователя ставить только разрешенные программы, или установить нужные самому, а неразрешенные запретить. Удаленно управлять приложениями через KSC можно только на iOS и Android.
Если же мобильные устройства принадлежат организации, рекомендуется настраивать Default Deny — режим, при котором на мобильном устройстве могут запускаться и устанавливаться только одобренные приложения. Вместе с тем необходимо отметить, что у данного решения есть существенный недостаток. Пользователь может сам удалить профиль системы MDM, и поделать с этим ничего нельзя.
Управление данными на мобильных устройствах
Теперь поговорим о личных устройствах под управлением iOS и Android, владельцы которых получили право доступа к корпоративным ресурсам, то есть о тех, кто использует политику BYOD. В данном случае администратор должен обеспечивать безопасность корпоративных данных. Сохранность самого устройства его не интересует, это проблемы владельца. Они не интересуют администратора до тех пор, пока это не влияет на безопасность корпоративных данных.
В таком сценарии необходимо разделить память и ресурсы между корпоративными и личными приложениями. Для этого используются так называемые контейнеры. Приложением, установленным в контейнере, администратор в какой-то мере может удаленно управлять:
- Запретить сохранять на устройство данные, полученные через приложение. Дополнительно имеет смысл также запретить копирование данных через буфер обмена, в том числе создание снимков экрана. Тогда пользователь не сможет даже скопировать данные и вручную сохранить их в другом, персональном приложении. Может быть, ему так будет удобнее работать, но за безопасность все равно отвечает администратор.
- Разрешить сохранять данные, но только в зашифрованном виде. Это компромиссный вариант. В таком случае данные будут хуже защищены, но, с одной стороны, они будут храниться локально, а с другой — для доступа к ним все же нужно авторизоваться.
- Организовать дополнительную аутентификацию на доступ к корпоративному приложению. Кроме кода PIN, пароля или отпечатка пальца на разблокировку всего устройства, имеет смысл установить защиту соединения. Это потребует подтверждения пароля на доступ к корпоративным данным каждые 10 минут в дополнение к автоблокировке всего устройства, например, каждые две минуты.
- Ограничить доступ к Интернету, звонкам, коротким сообщениям. Если корпоративное приложение умеет совершать звонки или прямо из него можно написать короткое сообщение, это можно запретить.
Таким образом, выполнив перечисленные требования, можно защитить информацию даже при использовании политики BYOD.