Продолжение. Часть первая доступна здесь.
Смартфоны и планшеты
Смартфоны и планшеты не отличаются от ПК с точки зрения корпоративных данных, а них хранящихся. Доступ к электронной почте, корпоративным документам, деловые контакты — все это на них есть. Количество угроз для мобильных устройств пока меньше, чем для традиционных компьютеров, но оно быстро растет: в 2012 году ежемесячно обнаруживалось свыше 3000 новых вредоносных программ для Android. Ситуация с устройствами для Apple IOS отличается из-за их тщательно контролируемой программной среды, которая на данный момент ликвидирует угрозу распространения вредоносного ПО для этой платформы (за исключением случаев, когда программы вредоносного типа появляются в официальном App Store). Однако это не означает, что iPhone и iPad являются лучшим выбором для концепции BYOD с точки зрения безопасности. Все устройства подвержены риску потери данных в результате кражи и/или некорректного использования легального программного обеспечения, такого как облачные сервисы.
С учетом этого проблемы вредоносных программ общего типа, опасного легального ПО и потери устройств, которые мы рассматривали выше в случае с традиционными ноутбуками, относятся и к мобильным устройствам тоже. Особенно актуальной в их случае является проблема потери или кражи устройств в связи с ее гораздо большей вероятностью у смартфона и планшета, чем у ноутбука. В действительности, защита смартфона от воров не менее важна, чем защита его от вредоносных программ. К счастью, в данный момент мала вероятность целевых атак на смартфоны: киберпреступники пока не готовы использовать уязвимости в Android или IOS для кражи данных. Однако исследования «Лаборатории Касперского» показывают, что устройства на платформе Android уже подвергаются целевым атакам с использованием средств социальной инженерии и вредоносного ПО. Есть и несколько уникальных черт в том, что касается угроз для мобильных устройств в рамках концепции BYOD.
Рутинг и взлом устройств
Рутованные Android-смартфоны или взломанные айфон или айпады являются, по сути, неподконтрольными мобильными компьютерами: владелец устройства может установить, удалить или изменить любую программу или даже часть кода операционной системы. Главным образом, это означает, что все средства контроля и защиты в компании можно обойти, получив доступ к корпоративным данным. В случае заражения вредоносная программа также получит полный доступ ко всем функциям и данным устройства. Таким образом, рутованные устройства совсем не должны иметь доступа к конфиденциальным данным.
Усовершенствованная защита от краж
Так как мобильные устройства легче украсть и потерять, важно использовать дополнительные способы защиты хранящихся на них данных. Первый метод одинаков для всех устройств – это шифрование. Все корпоративные данные должны быть зашифрованы, следовательно, недоступны ворам или шпионам. Второй способ обеспечивает возможность дистанционной блокировки или очистки смартфона от всех данных в случае его потери или кражи. Сотрудник обязан как можно скорее уведомить ИТ-отдел компании об утрате устройства, после чего на него будет отправлена специальная команда для того, чтобы заблокировать смартфон или удалить с него все важные данные. Необходимо также иметь возможность определения местоположения потерянного устройства и не забывать о том, что на разных платформах реализация противоугонной функции отличается.
Выводы и советы
Основная идея поддержания должного уровня безопасности в условиях BYOD заключается в том, чтобы личные устройства отвечали тем же требованиям политики компании, что и корпоративные. Кроме того, ноутбуки и смартфоны, использующиеся за пределами периметра компании, должны быть защищены так же, как те, что находятся под опекой брандмауэров и средств сетевой защиты в офисе. Некоторые традиционные способы в таком случае уже более не применимы, например, централизованный веб-контроль только внутри корпоративной сети. ИТ-отдел должен иметь в виду, что в современном мире сотрудники будут работать с корпоративными данными из любого места и на различных устройствах. Надлежит осуществлять должный контроль за программным обеспечением и приложениями, доступом в интернет и электронной почтой, а также обеспечивать защиту от вредоносных программ и потери/кражи устройств с использованием самых современных методов. Перечислим еще раз список решений:
- Безусловное насаждение политики безопасности. Корпоративные правила не эффективны, если они просто распечатаны и подписаны сотрудниками. Работник не должен решать сам, считается ли приемлемым тот или иной софт или сайт, попадает ли он под ограничение или просто опасен. Как правило, сотрудники не являются экспертами в таком вопросе. Автоматизированный контроль программного обеспечения, устройств и интернета – единственный способ предотвратить случайную потерю данных.
- Инвентаризация. ИТ-отдел должен точно знать, каким устройствам предоставлены определенные привилегии для доступа к корпоративным данным, иметь возможность отозвать права доступа или блокировать устройство совсем.
- Помимо защиты от вредоносных программ. Когда речь идет о предотвращении угроз, внедрение эффективной антивирусной защиты от лидера индустрии является обязательным условием, но это само по себе не может гарантировать безопасность. В то время как традиционный антивирус справляется с вирусами и троянскими программами, от направленных атак помогают лишь более сложные методы защиты. Среди них есть решения, специально предназначенные для борьбы с новыми и неизвестными эксплойтами, инструменты оценки уязвимости и фреймворки, которые автоматически устанавливают и контролируют программное обеспечение, а также распространяют обновления для критически уязвимых приложений.
- Управление мобильными устройствами. Политика безопасности должна соблюдаться на всех устройствах, независимо от платформы, и традиционные наборы решений по корпоративной безопасности не способны применить правила и функции безопасности для смартфонов и планшетов. Современные мобильные платформы, такие как Android и IOS, действительно должны учитываться и управляться централизованно, как и традиционные ноутбуки.
- Дополнительная защита данных с помощью шифрования снижает вероятность утечки конфиденциальных данных даже в случае, когда личное устройство взломано или украдено.
Дополнительная информация:
- Kaspersky Security Bulletin 2012. Основная статистика за 2012 год.
- Мобильная вирусология: итоги 2012 года.
- Контроль запуска программ как залог безопасности сети. Часть 1. Описание нового подхода «Лаборатории Касперского» к обеспечению безопасности.
- File Level and Full Disk Encryption — описание технологии шифрования (англ.)
- Patch Management and Vulnerability Assessment — описание технологии управления патчами и оценки уязвимостей (англ.).