От каких угроз мы защищаем рабочие смартфоны и какие мобильные операционные системы позволяют добиться большей безопасности? Как подходы к борьбе с угрозами зависят от выбранной политики (BYOD, CYOD, служебные устройства)? Какие инструменты и методы актуальны сегодня в сегменте Mobile Security — контейнеры, мобильные антивирусы, политика Zero Trust или другие средства? Насколько эффективны специализированные решения класса Mobile Threat Defense?
- Введение
- Сфера применения мобильных устройств в корпоративном секторе
- Ландшафт угроз в сфере корпоративных мобильных устройств
- Методы и средства Mobile Security
- Расследование инцидентов на мобильных устройствах
- Выводы
Введение
В новом выпуске онлайн-конференции AM Live, проекта посвящённого актуальным вопросам информационной безопасности, мы решили поговорить о защите рабочих мобильных устройств. В студии Anti-Malware.ru ведущие эксперты рынка рассказали о том, какие решения необходимо выбирать для этой насущной на сегодняшний день задачи; обсудили, достаточно ли встроенной защиты мобильных устройств или для этой цели необходимо использовать накладные средства; поделились мнением о том, какие механизмы защиты смартфонов и планшетов сегодня являются наиболее эффективными.
В дискуссии приняли участие:
- Алексей Белоглазов, технический эксперт по защите от кибератак компании Check Point Software Technologies;
- Сергей Макарьин, директор департамента WorksPad ГК «Астра»;
- Владимир Старков, ведущий технический эксперт компании «ОЛЛИ Дистрибуция».
Ведущий прямого эфира и модератор беседы — Алексей Лукацкий, бизнес-консультант по безопасности Cisco.
Сфера применения мобильных устройств в корпоративном секторе
В начале беседы ведущий предложил гостям рассказать аудитории о том, для чего они сами используют мобильные устройства в деловой сфере. Ограничиваются ли эксперты только чтением почты и перепиской в корпоративном мессенджере или же подключаются с телефона или планшета к каким-либо бизнес-системам?
Алексей Белоглазов:
— В нашей компании принята концепция Bring Your Own Device (BYOD), то есть сотрудники используют в работе свои собственные устройства: обмениваются почтой и документами, работают с календарями, общаются в мессенджерах. Через мобильные устройства циркулируют достаточно серьёзные с точки зрения бизнеса данные, в том числе и конфиденциальные. Кроме того, при помощи телефонов и планшетов осуществляются коммуникации и со внешними, открытыми сервисами — например, соцсетями.
Сергей Макарьин:
— Мой рабочий день увеличился как минимум на три часа исключительно за счёт мобильных устройств. Полчаса или час вечером я работаю с планшета, а в течение дня не менее двух часов решаю деловые задачи при помощи телефона. Около половины этого времени уходит на коммуникации, а остальное забирает работа с информацией. Я активно использую электронную почту, много работаю с документами, включая их редактирование и аннотирование. При помощи бота я работаю на телефоне с учётной системой, согласовывая заявки на закупку или другие сделки. Плюс в дороге я читаю материалы на корпоративных порталах и другие документы.
Владимир Старков:
— Мобильные устройства сейчас являются частью нашей жизни, помогая отслеживать различные события — через уведомления из календарей, мессенджеров и других программ. Благодаря современным решениям можно использовать телефон или планшет для полноценного создания контента. Безусловно, какие-то задачи удобнее решать на компьютере, однако у меня есть опыт работы исключительно на мобильном устройстве и, несмотря на преимущественно технический характер задач, мне его было достаточно. Тем не менее, когда требуется большее пространство на экране, я предпочитаю использовать ноутбук или компьютер.
По результатам опроса зрителей онлайн-конференции выяснилось, что в большинстве компаний мобильные устройства используются для доступа к электронной почте, адресной книге и календарю — такой вариант выбрали 57 % респондентов. Работают через телефон или планшет с корпоративными приложениями внутри корпоративной инфраструктуры 15 % участников опроса, а пользуются облачными сервисами — 4 %. Используют мобильные устройства для доступа к любым корпоративным ресурсам 24 % опрошенных.
Рисунок 1. Для каких целей у вас в компании используются мобильные устройства?
Ландшафт угроз в сфере корпоративных мобильных устройств
Прежде чем выстраивать защиту, необходимо понять, от чего защищаться. Модератор дискуссии предложил поговорить об угрозах, которые актуальны для мобильных устройств. Насколько они отличаются или, наоборот, совпадают с векторами атак стационарных рабочих станций и ноутбуков?
Как отметили наши эксперты, внешние угрозы для устройств на базе Android и iOS в первую очередь связаны с возможностью эксплуатации уязвимостей в операционных системах. Ещё один вектор — мобильные приложения, содержащие вредоносный код. Такие можно найти даже в официальных репозиториях обеих ОС, а в случае Android — ещё и загрузить самостоятельно.
К традиционным угрозам, связанным с электронной почтой и посещением веб-страниц, в мобильных устройствах добавляются атаки через мессенджеры, SMS, QR-коды, а также манипулирование жертвой во время голосовых коммуникаций. Стоит отметить, что телефон и планшет не всегда являются конечной целью злоумышленников. Нередко мобильное устройство — это лишь промежуточный этап, необходимый, например, для получения кода многофакторной аутентификации. Нельзя также пренебрегать угрозами по каналам беспроводной связи, которые в мобильных устройствах используются шире, чем в стационарных системах, а также особенностями использования геолокации.
В то же время, как отметили спикеры AM Live, модели угроз для мобильных устройств и стационарных систем во многом совпадают, хотя реализация методов защиты будет различной. Однако не следует забывать, что в современных реалиях мобильное устройство стало в некотором роде идентификатором, к которому привязано множество сервисов и приложений. В этом телефоны отличаются от ноутбуков и рабочих станций и требуют дополнительной защиты.
Как показал проведённый нами опрос зрителей, 20 % из них вообще не описывали модель угроз для мобильных устройств. Сфокусированы в первую очередь на внешней угрозе 18 % респондентов. Более всего обращают внимание на слив данных, кражу устройств и другие внутренние угрозы 7 % участников опроса. В равной степени ориентированы на внутренние и внешние угрозы 55 % опрошенных.
Рисунок 2. Вокруг чего фокусируется ваша модель угроз для мобильных устройств?
Какие организационные подходы к обеспечению безопасности мобильных устройств существуют? Гости студии отметили следующие модели:
- Выдать сотруднику второе устройство, соответствующее требованиям безопасности, для решения определённых бизнес-задач — своего рода «киоск», не предназначенный для обычного, пользовательского применения.
- Обеспечить персонал полноценными устройствами, при помощи которых можно решать в том числе и личные задачи. Так компания сможет контролировать большее число векторов атак.
- Использовать личные устройства сотрудников и попытаться защитить их при помощи накладных средств безопасности.
В большинстве компаний, чьи представители наблюдали за прямым эфиром, разрешается работать с любого устройства. Об этом нам рассказали 69 % участников опроса, проведённого параллельно с онлайн-конференцией. Ещё 21 % респондентов сообщил, что получил предварительно настроенный корпоративный телефон или планшет. Вообще не допускается использование мобильных устройств в 10 % организаций. Вариант «Можно купить устройство из списка поддерживаемых» не выбрал никто.
Рисунок 3. Как в вашей организации регламентируется работа с мобильных устройств?
Методы и средства Mobile Security
Какие существуют подходы к защите мобильных устройств? Какими средствами располагает компания для обеспечения безопасности смартфонов и планшетов — антивирусы, концепция Zero Trust, контейнеризация? Оправданно ли с точки зрения безопасности использование Virtual Desktop Infrastructure (VDI) на мобильных устройствах?
Эксперты отметили, что одним из базовых методов защиты на мобильных устройствах является контейнеризация — механизм, который поможет предоставить доступ к корпоративным данным и сервисам без влияния на конфиденциальность телефона или планшета. При этом метод организации криптоконтейнера необходимо выбирать в зависимости от конкретной задачи. Это может быть капсулированное приложение, в которое упакованы все функции, которые необходимы сотруднику для выполнения рабочих обязанностей. Такое решение хорошо накладывается на концепцию BYOD, когда сотрудники работают на собственных устройствах. Другой вариант — использовать MDM (Mobile Device Management, управление мобильными устройствами), при помощи которого «обёртывать» контейнером стандартные приложения.
Но даже при наличии криптоконтейнера мобильную операционную систему всё равно необходимо защищать. Для этого существуют системы класса Mobile Threat Defense, которые дают возможность удостовериться, что операционная система устройства в порядке, и обеспечивают защиту от всех видов атак. Такие инструменты могут интегрироваться с другими средствами защиты и, например, давать команды MDM-серверу «закрыть» контейнер, если телефон находится под атакой или скомпрометирован. При этом некоторые разработчики ИБ-продуктов предлагают многофункциональные «комбайны», которые сочетают в себе функции всех или нескольких средств защиты.
Как показал опрос зрителей онлайн-конференции, 40 % из них используют для защиты мобильных устройств VPN-клиент. Ещё 24 % надеются на встроенные механизмы безопасности смартфона или планшета, а 16 % отдают предпочтение мобильному антивирусу. Применяют защищённые контейнеры 10 % респондентов. Используют системы класса MDM 8 %, а специальные офисные приложения со встроенной защитой — 2 %. Ни один из опрошенных нами зрителей не выбрал вариант MTD (Mobile Threat Defense).
Рисунок 4. Что вы используете для защиты мобильных пользователей и устройств в своей компании?
Гости студии также рассказали о росте количества запросов в отношении Unified Endpoint Management — концепции, которая предполагает использование одних и тех же решений для защиты и стационарных устройств, и мобильных. Такие инструменты легче и дешевле обслуживать, нежели узкоспециализированные системы, ориентированные на конкретный сегмент. Другой метод обеспечения безопасности при работе с мобильными устройствами — превращение их в тонкие клиенты. В этом случае потребность в специализированных средствах защиты также отпадает, поскольку меры безопасности принимаются на уровне среды виртуализации.
Обсуждая управление уязвимостями и управление обновлениями на мобильных устройствах, эксперты AM Live выделили следующие стратегии:
- Отказ от использования определённых устройств, в случае если уязвимость или вредоносная программа обнаружены на уровне ОС и системных утилит.
- Принятие риска некоторых уязвимостей на уровне аппаратной части.
- Оперативный патчинг и невозможность работы с корпоративными ресурсами без установки определённых обновлений операционной системы.
Спикеры подчеркнули важность эшелонированной защиты и применения накладных средств безопасности, которые помогут справиться с некоторыми уязвимостями, не закрытыми на уровне ОС.
Корпоративные политики безопасности большинства зрителей AM Live разрешают прямой доступ с мобильных устройств в интернет. Это показали результаты нашего опроса, где за такой вариант проголосовали 68 % респондентов. Пропускают весь трафик через корпоративный периметр 22 % опрошенных, а проверяют его при помощи облачной системы мониторинга — 10 %. Среди участников опроса не нашлось ни одного представителя компании, где мобильные устройства использовались бы только для доступа к корпоративным приложениям, без прямого выхода в глобальную сеть.
Рисунок 5. Вы разрешаете прямой доступ с мобильных устройств в интернет?
Расследование инцидентов на мобильных устройствах
В заключении эфира мы решили остановиться на практике расследования инцидентов, связанных с мобильными устройствами. Как собрать артефакты, особенно в таких закрытых операционных системах, как iOS? При помощи каких инструментов собрать доказательства присутствия злоумышленников и как включить этот процесс в корпоративную практику расследования инцидентов? Как отметили наши эксперты, пользователь при работе с корпоративной средой с мобильного устройства во многих случаях оставляет следы, которые могут быть подвергнуты анализу при помощи специализированных средств безопасности. Кроме того, применение зрелых средств контейнеризации включает защищённую область мобильного устройства в периметр безопасности организации, где можно использовать обычные инструменты расследования инцидентов. Спикеры также напомнили о возможности анализа проходящего через смартфон или планшет трафика — как на самом устройстве, так и средствами корпоративного периметра безопасности.
Как обычно, в конце эфира мы поинтересовались у зрителей, как изменилось их мнение относительно защиты мобильных устройств после просмотра онлайн-конференции. Результаты опроса показали, что наши эксперты были весьма убедительны — ни один из респондентов не посчитал, что участники не смогли доказать необходимость защиты мобильных устройств. Вариант «Ничего не понял, о чём вы сегодня говорили» также не набрал голосов. При этом 29 % опрошенных собираются усиливать текущие меры безопасности в этом сегменте. Заинтересовались темой защиты мобильных устройств 26 % наших зрителей, столько же участников опроса считают тему актуальной, но пока избыточной для своих организаций. Убедились в правильности своих действий 19 % опрошенных.
Рисунок 6. Каково ваше мнение относительно защиты мобильных устройств?
Выводы
Как показала дискуссия, защита корпоративных мобильных устройств требует отчасти иных подходов, нежели информационная безопасность стационарных рабочих станций. Это обусловлено самим форматом защищаемого объекта: смартфон или планшет по умолчанию легче коммуницирует со внешним миром, чаще всего является устройством «двойного назначения», используемым как для деловых задач, так и для личных, его легко потерять или украсть. Зачастую компания просто не может полностью контролировать работу с мобильными устройствами сотрудников, но при этом вынуждена интегрировать их в свои бизнес-процессы.
Наши эксперты подчеркнули важность контейнеризации в деле обеспечения безопасности корпоративных смартфонов и планшетов. Эта технология позволяет создавать защищённые анклавы на потенциально ненадёжной платформе, использовать их для решения рабочих задач отдельно от обычных пользовательских функций. Ещё одним инструментом являются всевозможные MDM-решения, позволяющие удалённо управлять безопасностью устройства. Не стоит забывать и о специализированных средствах класса Mobile Threat Defense, а также об универсальных инструментах безопасности, включающих в себя функции защиты мобильных устройств.
Новые выпуски онлайн-конференции AM Live, посвящённые наиболее актуальным вопросам корпоративной информационной безопасности, регулярно появляются на YouTube-канале аналитического центра Anti-Malware.ru. Чтобы не пропускать самые интересные дискуссии и задавать в прямом эфире вопросы нашим экспертам, не забудьте подписаться на наш аккаунт и включить уведомления о новых материалах. До встречи в эфире!