BYOD — зручність проти безпеки



Повсюдне використання стратегії Bring Your Own Device (BYOD, використання персональних пристроїв у робочих цілях) у всіх сферах діяльності дозволяє прискорити бізнес-процеси, практично миттєво отримувати актуальну інформацію і спростити комунікацію з колегами. При видимому зручність використання і мобільністю працівників виникає безліч проблем і ризиків інформаційної безпеки, про яких і піде мова в цій статті.

Багато сучасні компанії поставлені перед необхідністю шукати баланс між мобільністю працівників та інформаційною безпекою бізнесу, вирішуючи ряд нових задач, пов'язаних з ефективністю управління персональними пристроями та забезпеченням безпеки їх застосування.

Особисті ноутбуки
Використання особистих ноутбуків в робочих цілях, або в якості допоміжного пристрою — досить поширена практика. Тим не менше, це одна з основних головних болів співробітників ІТ/ІБ підрозділів: пристрій може містити критичні дані або реквізити доступу до ресурсів корпоративної мережі, електронної пошти і т. д. Зі зрозумілих причин контролювати вміст таких пристроїв і забезпечувати їх повноцінний захист вкрай важко і носить скоріше рекомендаційний характер. Так, існують компанії, в яких політикою безпеки строго прописані правила використання особистої техніки, вірніше сказати заборону на їх використання, але, тим не менш, на догоду зручності багато нехтують цими порадами, незважаючи на адміністративні чи інші заходи. Особисті пристрої можуть бути найбільш вразливими для цільових атак. Зловмисникам набагато простіше атакувати «самотній» ноутбук, використовуючи ті чи інші атаки або методи впливу, ніж пристрій, що знаходиться під контролем фахівців, налаштоване і підтримуване з належними заходами безпеки.

Ще одне проблемою «домашніх» пристроїв — в більшості випадків сучасні користувачі працюють з правами адміністратора, що спрощує можливість доставки на ці пристрої шкідливого коду, наприклад з допомогою соціотехнічних атак.

Про регулярне резервне копіювання даних чули всі, але на практиці все досить сумно: якщо немає контролюючого ці процеси нормативу або регламенту — користувач пристрою замислюється про це дуже рідко, а робить ще рідше.

Типовим кошмаром для ІТ-відділу є і незахищена інформація, що зберігається на особистому ноутбуці, який можна втратити в аеропорту або в таксі. Дуже багато людей вважають що пароль на вхід» забезпечує належні заходи безпеки і належать до шифруванню даних, як до чого то з області шпигунських фільмів.

Смартфони
Сучасні смартфони і планшети все менше відрізняються від ПК з точки зору зберігаються на них корпоративних даних. Доступ до електронної пошти, корпоративних документів, спеціалізованих сервісів, ділові контакти та календарі, нотатки, плани і графіки робіт — це і багато іншого може отримати зловмисник, заволодівши таким пристроєм, або отримавши доступ до нього.

Величезним фактором ризику у випадку втрати або крадіжки пристрою є неможливість миттєво повідомити відповідальних осіб, або заблокувати доступ до пристрою.

Також, смартфони і планшети більшою мірою схильні до атак класу Man-in-the-Middle, т. к. контроль за ефіром в зоні пересування власника смартфона здійснити дуже складно, а змусити підключити мобільний пристрій до «відомої» точці доступу досить легко. Після підключення до точки доступу, в більшості випадків без відома і бажання власника можна здійснювати перехоплення і підміну трафіку, а то й прямо атакувати пристрій (у випадку з Android можна скористатися спеціальними модулями Metasploit Framework).

Також, у разі Adnroid-пристроїв велика ймовірність зараження тієї чи іншої шкідливою програмою. Це обумовлено не тільки тим, що таких пристроїв використовується найбільше, але і вселяє побоювання зростанням числа вразливостей в пристрої під керуванням цієї ОС.

У разі рутованних/джейлбрекнутых пристроїв ризик втрати або крадіжки даних зростає ще вище: це і установка програми з невідомих джерел, необмежені і слабоконтролируемые права — більшість користувачів не читає попереджень та підтверджує практично будь-які запити від додатків.

Хмарні сховища
Хмарні технології пропонують більше можливостей і зручності для доступу до корпоративних даних, але і одночасно з цим збільшують ризики витоку або крадіжки даних.

Це обумовлено нерегульованим доступом до мережі, досить слабкою захищений політикою більшості користувачів, слабкої підготовки до погроз цільових атак, із застосуванням соціотехнічних векторів.

Більш того, нативні хмарні сховища (gmail, icloud, onedrive і т. д. особистих мобільних пристроїв знаходяться поза сферою контролю ІТ/ІБ підрозділів і з високою часткою ймовірності можуть бути скомпрометовані зловмисниками.

Рішення по забезпеченню безпеки
Якщо немає можливості відмовитися від використання особистих мобільних пристроїв — необхідно включити ці пристрої політики безпеки компанії:
  • встановити зони відповідальності за резервне копіювання і технічне обслуговування пристроїв;
  • використання VPN-з'єднань при використанні в публічних точок доступу;
  • контроль встановлених додатків, чорні і білі списки;
  • забезпечення контролю збережених на пристрої критичних даних або дані для доступу до них;
  • повідомлення технічного персоналу про будь-які підозрілі випадки або інциденти;
  • регламентні перевірки пристрою;
  • забезпечення обізнаності користувачів про поточні мобільних загрози.
Впровадження MDM
Якщо переносна пристрій належить компанії, його простіше і ефективніше захищати використовуючи загальноприйняті світові практики захисту BYOD. У корпоративних мобільних пристроях частка змішування особистих і професійних даних мала, тому деякі обмеження волі дій користувача виправдані і доцільні. У цьому випадку баланс зміщений у бік захисту даних, ніж зручності використання. Для цих цілей можна використовувати як спеціалізовані пристрої (Blackberry), так і спеціальні превентивні заходи щодо запобігання витоків.

Необхідний план безпеки пристроїв, що включає в себе наступні кроки:
  • Визначити загрози та елементи ризику використання тієї чи іншої інформації на носимом пристрої.
  • Необхідно скласти політику доступу до корпоративних даних поза периметром компанії.
  • Забезпечити додаткові заходи безпеки хмарного зберігання.
  • Встановити контроль додатків.
  • Забезпечення належної парольної політики.
  • Установка і підтримка в актуалізованими стан засобів захисту.
  • Реалізувати заходи щодо шифрування даних.
  • Встановити можливість віддаленого керування пристроєм.
  • Забезпечити заходи знищення інформації у випадку втрати або крадіжки пристрою.
  • Заходи щодо утилізації пристрою або повернення в разі звільнення співробітника.
  • Впровадження адміністративних заходів порушення політики BYOD.
Всі перераховані вище заходи можна застосовувати з використанням систем класу Mobile Device Management (MDM), які дозволяють віддалено (централізовано) керувати безліччю мобільних пристроїв, будь то пристрою, надані співробітникам компанією або власні пристрої співробітників. Управління мобільними пристроями зазвичай включає в себе такі функції, як віддалене оновлення політик безпеки (без підключення до корпоративної мережі), поширення додатків і даних, а також управління конфігурацією для забезпечення всіх пристроїв необхідними ресурсами. MDM-рішення — один із засобів реалізації політики ІБ організації і, як будь-який інший інструмент, ефективні при умові використання їх за призначенням і правильного налаштування.

Однак і це рішення не є панацеєю від усіх загроз — можливість віддаленого керування пристроєм тільки при наявності мережі робить пристрою вразливими до фізичних атак (при відключеній мережі передачі даних або копіювання пам'яті) — клонування даних для аналізу в спеціалізованих середовищах або вилучення та можливої дешифрування даних, тому тільки дотримання контролю доступу і складу даних на носимом пристрої може знизити ризики витоку або крадіжки критичних даних або доступу до них.

Джерело: Хабрахабр

0 коментарів

Тільки зареєстровані та авторизовані користувачі можуть залишати коментарі.