Повсеместное использование стратегии Bring Your Own Device (BYOD, использование персональных устройств в рабочих целях) во всех сферах деятельности позволяет ускорить бизнес-процессы, практически мгновенно получать актуальную информацию и упростить коммуникацию с коллегами. При видимом удобстве использования и мобильностью сотрудников возникает множество проблем и рисков информационной безопасности, о которых и пойдет речь в этой статье.
Многие современные компании поставлены перед необходимостью искать баланс между мобильностью сотрудников и информационной безопасностью бизнеса, решая ряд новых задач, связанных с эффективностью управления персональными устройствами и обеспечением безопасности их применения.
Личные ноутбуки
Использование личных ноутбуков в рабочих целях, либо в качестве вспомогательного устройства — довольно распространённая практика. Тем не менее это одна из основных головных болей сотрудников ИТ/ИБ подразделений: устройство может содержать критичные данные, либо реквизиты доступа к ресурсам корпоративной сети, электронной почте и т.д. По понятным причинам контролировать содержимое таких устройств и обеспечивать их полноценную защиту крайне затруднительно и носит скорее рекомендательный характер. Да, существую компании, в которых политикой безопасности строго прописаны правила использования личной техники, вернее сказать запрет на их использование, но, тем не менее, в угоду удобству многие пренебрегают этими советами, несмотря на административные или иные меры. Личные устройства могут быть наиболее уязвимыми для целевых атак. Злоумышленникам гораздо проще атаковать «одинокий» ноутбук, используя те или иные атаки или методы воздействия, нежели устройство, находящееся под контролем специалистов, настроенное и поддерживаемое с должными мерами безопасности.
Еще одно проблемой «домашних» устройств — в большинстве случаев современные пользователи работают с правами локального администратора, что упрощает возможность доставки на эти устройства вредоносного кода, например с помощью социотехнических атак.
Про регулярное резервное копирование данных слышали все, но на практике все довольно печально: если нет контролирующего эти процессы норматива или регламента — пользователь устройства задумывается об этом очень редко, а делает еще реже.
Типичным кошмаром для ИТ-отдела является и незащищенная информация, хранящаяся на личном ноутбуке, который можно потерять в аэропорту или в такси. Очень многие люди считают что пароль «на вход» обеспечивает надлежащие меры безопасности и относятся к шифрованию данных, как к чему то из области шпионских фильмов.
Смартфоны
Современные смартфоны и планшеты все меньше отличаются от ПК с точки зрения хранящихся на них корпоративных данных. Доступ к электронной почте, корпоративным документам, специализированным сервисам, деловые контакты и календари, заметки, планы и графики работ — это и многое другое может получить злоумышленник, завладев таким устройством, либо получив к нему доступ.
Огромным фактором риска в случае утери или кражи устройства является невозможность мгновенно уведомить ответственных лиц, либо заблокировать доступ к устройству.
Также, смартфоны и планшеты в большей степени подвержены атакам класса Man-in-the-Middle, т.к. контроль за эфиром в зоне передвижения владельца смартфона осуществить очень сложно, а заставить подключится мобильное устройство к «известной» точке доступа довольно легко. После подключения к точке доступа, в большинстве случаев без ведома и желания владельца можно совершать перехват и подмену трафика, а то и напрямую атаковать устройство (в случае с Android можно воспользоваться специальными модулями Metasploit Framework).
Также, в случае Adnroid-устройств велика вероятность заражения той или иной вредоносной программой. Это обусловлено не только тем, что таких устройств используется больше всего, но и внушающим опасения ростом числа уязвимостей в устройствах под управлением данной ОС.
В случае рутованных/джейлбрекнутых устройств риск утери или кражи данных возрастает еще выше: это и установка приложения из неизвестных источников, неограниченные и слабоконтролируемые права — большинство пользователей не читает предупреждений и подтверждает практически любые запросы от приложений.
Облачные хранилища
Облачные технологии предлагают больше возможностей и удобства для доступа к корпоративным данным, но и одновременно с этим увеличивают риски утечки или кражи данных.
Это обусловлено нерегулируемым доступом к сети, довольно слабой парольной политикой большинства пользователей, слабой подготовке к угрозам целевых атак, с применением социотехнических векторов.
Более того, нативные облачные хранилища (gmail, icloud, onedrive и т.д.) личных мобильных устройств находятся вне сферы контроля ИТ/ИБ подразделений и с высокой долей вероятности могут быть скомпрометированы злоумышленниками.
Решения по обеспечению безопасности
Если нет возможности отказаться от использования личных мобильных устройств — необходимо включить эти устройства в политики безопасности компании:
- установить зоны ответственности за резервное копирование и техническое обслуживание устройств;
- использование VPN-соединений при использовании в публичных точках доступа;
- контроль установленных приложений, черные и белые списки;
- обеспечения контроля хранимых на устройстве критичных данных или сведений для доступа к ним;
- уведомление технического персонала о любых подозрительных случаях или инцидентах;
- регламентные проверки устройства;
- обеспечение осведомленности пользователей о текущих мобильных угрозах.
Внедрение MDM
Если носимое устройство принадлежит компании, его проще и эффективнее защищать используя общепринятые мировые практики защиты BYOD. В корпоративных мобильных устройствах доля смешивания личных и профессиональных данных мала, поэтому некоторые ограничения свободы действий пользователя оправданы и целесообразны. В этом случае баланс смещен в сторону защиты данных, нежели удобства использования. Для этих целей можно использовать как специализированные устройства (Blackberry), так и специальные превентивные меры по предотвращению утечек.
Необходим план безопасности устройств, включающий в себя следующие шаги:
- Определить угрозы и элементы риска использования той или иной информации на носимом устройстве.
- Необходимо составить политику доступа к корпоративным данным вне периметра компании.
- Обеспечить дополнительные меры безопасности облачного хранения.
- Установить контроль приложений.
- Обеспечение надлежащей парольной политики.
- Установка и поддержание в актуализированным состоянии средств защиты.
- Реализовать меры по шифрованию данных.
- Установить возможность удаленного управления устройством.
- Обеспечить меры уничтожения информации в случае утери или кражи устройства.
- Меры по утилизации устройства или возврата в случае увольнения сотрудника.
- Внедрение административных мер нарушения политики BYOD.
Все вышеперечисленные меры можно применять с использованием систем класса Mobile Device Management (MDM), которые позволяют удаленно (централизованно) управлять множеством мобильных устройств, будь то устройства, предоставленные сотрудникам компанией или собственные устройства сотрудников. Управление мобильными устройствами обычно включает в себя такие функции, как удаленное обновление политик безопасности (без подключения к корпоративной сети), распространение приложений и данных, а также управление конфигурацией для обеспечения всех устройств необходимыми ресурсами. MDM-решения — одно из средств реализации политики ИБ организации и, как любой другой инструмент, эффективны при условии использования по назначению и правильной настройки.
Однако и это решение не является панацеей от всех угроз — возможность удаленного управления устройством только при наличии сети делает устройства уязвимыми к физическим атакам (при отключенной сети передачи данных или копированию памяти) — клонированию данных для анализа в специализированных средах или извлечения и возможной дешифровке данных, поэтому только соблюдение контроля доступа и состава данных на носимом устройстве может снизить риски утечки или кражи критичных данных или доступа к ним.
Автор: Pentestit