Повсюдне використання стратегії Bring Your Own Device (BYOD, використання персональних пристроїв у робочих цілях) у всіх сферах діяльності дозволяє прискорити бізнес-процеси, практично миттєво отримувати актуальну інформацію і спростити комунікацію з колегами. При видимій зручності використання і мобільністю співробітників виникає безліч проблем і ризиків інформаційної безпеки, про які і піде мова в цій статті.
Багато сучасних компаній поставлені перед необхідністю шукати баланс між мобільністю співробітників та інформаційною безпекою бізнесу, вирішуючи ряд нових завдань, пов'язаних з ефективністю управління персональними пристроями та забезпеченням безпеки їх застосування.
Особисті ноутбуки
Використання особистих ноутбуків в робочих цілях, або в якості допоміжного пристрою - досить поширена практика. Проте це один з основних головних болів співробітників ІТ/ІБ підрозділів: пристрій може містити критичні дані, або реквізити доступу до ресурсів корпоративної мережі, електронної пошти тощо. Зі зрозумілих причин контролювати вміст таких пристроїв і забезпечувати їх повноцінний захист вкрай скрутно і носить швидше рекомендаційний характер. Так, існую компанії, в яких політикою безпеки суворо прописані правила використання особистої техніки, вірніше сказати заборону на їх використання, але, тим не менш, на догоду зручності багато хто нехтує цими радами, незважаючи на адміністративні чи інші заходи. Особисті пристрої можуть бути найбільш вразливими для цільових атак. Зловмисникам набагато простіше атакувати «самотній» ноутбук, використовуючи ті чи інші атаки або методи впливу, ніж пристрій, що знаходиться під контролем фахівців, налаштований і підтримуваний з належними заходами безпеки.
Ще однією проблемою «домашніх» пристроїв - у більшості випадків сучасні користувачі працюють з правами локального адміністратора, що спрощує можливість доставки на ці пристрої шкідливого коду, наприклад за допомогою соціотехнічних атак.
Про регулярне резервне копіювання даних чули всі, але на практиці все досить сумно: якщо немає контролюючого ці процеси нормативу або регламенту - користувач пристрою замислюється про це дуже рідко, а робить ще рідше.
Типовим кошмаром для ІТ-відділу є і незахищена інформація, що зберігається на особистому ноутбуці, який можна втратити в аеропорту або в таксі. Дуже багато людей вважають, що пароль «на вхід» забезпечує належні заходи безпеки і відносяться до шифрування даних, як до чого то з області шпигунських фільмів.
Смартфони
Сучасні смартфони і планшети все менше відрізняються від ПК з точки зору зберігаються на них корпоративних даних. Доступ до електронної пошти, корпоративних документів, спеціалізованих сервісів, ділові контакти і календарі, замітки, плани і графіки робіт - це і багато іншого може отримати зловмисник, заволодівши таким пристроєм, або отримавши до нього доступ.
Величезним фактором ризику в разі втрати або крадіжки пристрою є неможливість миттєво повідомити відповідальних осіб, або заблокувати доступ до пристрою.
Також, смартфони і планшети більшою мірою схильні до атак класу Man-in-the-Middle, оскільки контроль за ефіром в зоні пересування власника смартфона здійснити дуже складно, а змусити підключиться мобільний пристрій до «відомої» точки доступу досить легко. Після підключення до точки доступу, в більшості випадків без відома і бажання власника можна здійснювати перехоплення і підміну трафіку, а то і безпосередньо атакувати пристрій (у випадку з Android можна скористатися спеціальними модулями Metasploit Framework).
Також, у випадку Android-пристроїв велика ймовірність зараження тією чи іншою шкідливою програмою. Це обумовлено не тільки тим, що таких пристроїв використовується найбільше, але і значним побоювання зростанням числа вразливостей у пристроях під управлінням даної ОС.
У разі рутованих/джейлбрекнутих пристроїв ризик втрати або крадіжки даних зростає ще вище: це і встановлення програми з невідомих джерел, необмежені і слабоконтрольовані права - більшість користувачів не читає попереджень і підтверджує практично будь-які запити від додатків.
Хмарні сховища
Хмарні технології пропонують більше можливостей і зручності для доступу до корпоративних даних, але і одночасно з цим збільшують ризики витоку або крадіжки даних.
Це обумовлено нерегульованим доступом до мережі, досить слабкою парольною політикою більшості користувачів, слабкою підготовкою до погроз цільових атак, із застосуванням соціотехнічних векторів.
Більш того, нативні хмарні сховища (gmail, icloud, onedrive і т. д.) особистих мобільних пристроїв знаходяться поза сферою контролю ІТ/ІБ підрозділів і з високою часткою ймовірності можуть бути скомпрометовані зловмисниками.
Рішення щодо забезпечення безпеки
Якщо немає можливості відмовитися від використання особистих мобільних пристроїв - необхідно включити ці пристрої в політики безпеки компанії:
- встановити зони відповідальності за резервне копіювання та технічне обслуговування пристроїв;
- використання VPN-з'єднань при використанні в публічних точках доступу;
- контроль встановлених додатків, чорні та білі списки;
- забезпечення контролю зберіганих на влаштуванні критичних даних або відомостей для доступу до них;
- повідомлення технічного персоналу про будь-які підозрілі випадки або інциденти;
- регламентні перевірки пристрою;
- забезпечення обізнаності користувачів про поточні мобільні загрози.
Впровадження MDM
Якщо носимий пристрій належить компанії, його простіше і ефективніше захищати використовуючи загальноприйняті світові практики захисту BYOD. У корпоративних мобільних пристроях частка змішування особистих і професійних даних мала, тому деякі обмеження свободи дій користувача виправдані і доцільні. У цьому випадку баланс зміщений у бік захисту даних, ніж зручності використання. Для цих цілей можна використовувати як спеціалізовані пристрої (Blackberry), так і спеціальні превентивні заходи щодо запобігання витоків.
Необхідний план безпеки пристроїв, що включає в себе наступні кроки:
- Визначити загрози та елементи ризику використання тієї чи іншої інформації на носимому пристрої.
- Необхідно скласти політику доступу до корпоративних даних поза периметром компанії.
- Забезпечити додаткові заходи безпеки хмарного зберігання.
- Встановити контроль програм.
- Забезпечення належної парольної політики.
- Встановлення та підтримання в актуалізованим стані засобів захисту.
- Реалізувати заходи шифрування даних.
- Встановити можливість віддаленого керування пристроєм.
- Забезпечити заходи знищення інформації у разі втрати або крадіжки пристрою.
- Заходи з утилізації пристрою або повернення в разі звільнення співробітника.
- Впровадження адміністративних заходів порушення політики BYOD.
Всі перераховані вище заходи можна застосовувати з використанням систем класу Mobile Device Management (MDM), які дозволяють віддалено (централізовано) керувати безліччю мобільних пристроїв, будь то пристрої, надані співробітникам компанією або власні пристрої співробітників. Керування мобільними пристроями зазвичай включає такі функції, як віддалене оновлення політик безпеки (без підключення до корпоративної мережі), поширення додатків і даних, а також управління конфігурацією для забезпечення всіх пристроїв необхідними ресурсами. MDM-рішення - один із засобів реалізації політики ІБ організації і, як будь-який інший інструмент, ефективні за умови використання за призначенням і правильного налаштування.
Однак і це рішення не є панацеєю від усіх загроз - можливість віддаленого управління пристроєм тільки при наявності мережі робить пристрої вразливими до фізичних атак (при вимкненій мережі передачі даних або копіювання пам'яті) - клонування даних для аналізу в спеціалізованих середовищах або вилучення і можливого дешифрування даних, тому тільки дотримання контролю доступу і складу даних на носимому пристрої може знизити ризики витоку або крадіжки критичних даних або доступу до них.