|
|
Обзор Защита информации и бизнеса от инсайдеров подготовлен Арсенал: Как защитить мобильные устройстваМобильные устройства сегодня являютсячуть ли не главным источником утечек информации. Если запретить их использование не представляется возможным, необходимо хотя бы задуматься о защите. Соответствующих решений на рынке, правда, не так много, но даже им пока не уделяют достаточного внимания. После одной из утечек информации в Министерстве Энергетики США были запрещены все работы на компьютерах до тех пор, пока не будет обеспечен необходимый уровень безопасности для всех мобильных и переносных устройств… Прошли те времена, когда наличие смартфона или даже лэптопа считалось признаком принадлежности к высшему обществу. Сегодня эти мобильные и портативные «чуда техники» имеются у многих, также как и КПК, USB- или FireWire-накопители, «флэшки», цифровые фотоаппараты и видеокамеры, MP3-плееры и диктофоны и т.д. Несмотря на технические различия, все они имеют несколько схожих черт: удобны и позволяют решить насущные задачи наиболее эффективным способом, а также выгодны, если брать в расчет соотношение цена/качество, модны и престижны - что зачастую даже перевешивает все остальные преимущества. Используют их для различных целей — от органайзера до просмотра видео и «бродяжничества» по интернету. В последнее время пользователи все чаще используют цифровые гаджеты в качестве PAN (Personal Area Network), т.е. собственного персонального хранилища данных, которое в отличие от LAN или WAN-хранилищ всегда под рукой. И храниться в таких хранилищах может электронная почта, корпоративные документы, интеллектуальная собственность, финансовая информация (своя и работодателя), пароли, учетные записи, информация о структуре корпоративной сети (имена и адреса VPN-шлюзов, корпоративных серверов и т.д.). Запретить эти гаджеты также невозможно, как и остановить развитие информационных технологий. Поэтому надо принимать их такими, какие они есть, со всеми достоинствами и недостатками, хотя последних хоть отбавляй - особенно, с точки зрения безопасности. Не вдаваясь в детали, можно выделить 2 основных угрозы с гаджетами, которые можно описать двумя буквами «М» - мобильность и миниатюризация. Это приводит к тому, что они могут стать как источником утечки конфиденциальной информации, так и источником проникновения в корпоративную сеть в обход корпоративных средств защиты — межсетевых экранов, сетевых систем предотвращения атак и т.п. А учитывая их малый размер, контролировать это очень и очень сложно. Мы не можем закрыть глаза на незащищенность портативных и мобильных устройств и вынуждены уделять этому вопросу самое пристальное внимание. Рынок средств защиты не остался в стороне от данной проблемы — здесь мгновенно появился ряд компаний-startup’ов, которые предложили пользователям целый ряд программных решений. Среди них — Altiris, Pointsec Mobile Technologies, Information Security Corporation, Credant Technologies, Ensure Technologies, ArticSoft, Mobile Armor, Asynchrony, Bluefire Security System и т.д. Однако эти решения являются точечными и не «покрывают» весь спектр задач по безопасности цифровых гаджетов. Более того, многие их типы вообще «неподвластны» средствам защиты. Речь идет о «флэшках», фотокамерах, диктофонах, плейрах и т.д. Установить на них средства защиты невозможно. Некоторые попытки делают разработчики «флэшек», выпуская специальные модели с встроенной системой шифрования (например, Kingston USB DataTraveler), но пока это скорее исключение, чем правило. Все это позволило компании Gartner в своем отчете «Mobile Security Exposures, Trends and Remedies» сделать неутешительный вывод: «До 2007 года компании не будут иметь единого решения по защите персональных информационных пространств». Что нужно делать прямо сейчас? Однако не стоит расстраиваться и сидеть, сложа руки. Начать действовать можно и нужно уже сейчас. Рекомендации достаточно просты. Во-первых, не стоит недооценивать данную проблему, она требует включения в политику безопасности. Последняя не обязательно должна быть большой, например, опыт компании Cisco показывает, что все необходимые моменты (включая рекомендации и раздел об ответственности) можно уложить всего в 6 тысяч знаков. Во-вторых, надо запретить неконтролируемое использование сотрудниками портативных и мобильных устройств (особенно собственных). Третья рекомендация проста и сложна одновременно. Чтобы не возлагать решение вопросов безопасности на пользователя, решите их сами, приобретя за счет компании «правильные» гаджеты и оснастите их средствами защиты. Разумеется, делать это надо не поголовно, а только для тех, кому такие устройства действительно нужны для выполнения рабочих обязанностей. При этом не стоит ограничивать выбор устройств всего одной моделью — человек так устроен, что при отсутствии альтернативы, начнет роптать и обвинять руководство во всех «смертных грехах». В-четвертых, занимаясь безопасностью, не усложняйте жизнь пользователям — если от них требуются выполнить какие-то действия, то надо сделать эти действия максимально простыми и понятными. Любая сложность приведет к попытке обхода механизмов защиты. Пятая рекомендация (или, наоборот, первая) — обучите «носителя угрозы», то есть пользователя, базовым принципам безопасного использования мобильных и портативных устройств. Банальная, но по-прежнему действенная рекомендация — используйте пароли на мобильном телефоне и иных гаджетах. Эта простая мера серьезно усложнит жизнь злоумышленникам, все-таки укравшим вашу «игрушку». Шифрование также может усилить защиту портативного устройства. Главное, при внедрении этой меры, не забыть ответить себе на следующие вопросы. Если используется западное средство шифрования, то ввезено ли оно легально или в обход существующего законодательства? Шифроваться будет отдельные файлы или весь раздел/жесткий диск целиком? Существуют ли механизмы восстановления зашифрованных файлов? Интересным решением, пока не получившим должного распространения, является использование технологии DRM (Digital Rights Management), которая позволяет привязать права доступа к самому файлу, а не компьютеру, на котором он хранится. Даже в случае утечки корпоративных данных злоумышленник не сможет получить к ним доступа. Такие решения предлагают различные компании - Authentica, Liquid Machines, SealedMedia, Microsoft, однако они требуют масштабного корпоративного внедрения — точечные установки эффекта не принесут. Локализовать несанкционированно подключаемые портативные устройства можно с помощью технологии Network Access Control (называемой также Network Admission Control, Network Access Protection у Cisco и Microsoft соответственно). И, наконец, последнее, — как защитить сами компьютеры, к которым могут подключаться цифровые гаджеты? Административно запретить эти устройства практически нереально, обнаружить их без личного досмотра или установки специальных детекторов (это, кстати, еще одна защитная рекомендация) невозможно — они настолько миниатюрны, что их можно спрятать даже в дамскую сумочку. Все это привело к тому, что консалтинговая компания Gartner Group признала все эти портативные устройства одной из самых опасных на сегодняшний день угроз. Можно, конечно, попытаться отключить USB или FireWire (IEEE 1394) через BIOS, но дело это хлопотное и абсолютно не масштабируемое. Еще одно, так же трудно администрируемое решение — перенести файл \WINNT\Driver Cache\i386 в место, которое доступно только тем пользователям, которые имею право на использование внешних накопителей и других подключаемых устройств. Но последний метод не сработает для блокирования доступа к CD и дискетам, а также Bluetooth и IrDA. Да и с Unix’ом ситуация остается под вопросом. Выход новой версии операционной системы Windows механизмом Plug and Play Extensions решит эту задачу и даст возможность администраторам контролировать различные мобильные и портативные устройства, подключаемые через USB, FireWire и т.п. Но пока этого не произошло, надо искать другие решения, которые и будет контролировать доступ к USB-портам. К их числу можно отнести DeviceLock, DeviceWall, SecureWave, Cisco Security Agent и т.д. Продуктивность в ущерб безопасности СМИ пестрят рассказами об утечках конфиденциальной информации, происходящей через ее традиционные каналы — электронную почту, модемы и Web. Но есть и другая опасность, о которой обычно молчат производители средств защиты, неспособные обезопасить от нее своих клиентов. К несчастью эта опасность присуща абсолютно любому современному компьютеру — серверу, рабочей станции или лэптопу (notebook). Речь идет о так называемых внешних накопителях, которые расширяют возможности, присущие базовой комплектации ПК. К ним можно отнести CD (в т.ч. и пишущие), Zip, Ziv (и другие внешние жесткие диски) и конечно же популярные Flash-диски. Но только накопителями опасность не ограничивается. Ведь существуют MP3-плейеры, цифровые камеры и фотоаппараты с картами памяти SecureDigital (SD), MultiMedia Card (MMC) и т.п. И, наконец, не стоит сбрасывать со счетов такой анахронизм, как обычные дискеты, которые до сих пор используются в ряде организаций. Все эти гаджеты опасны тем, что они используются не только для личных целей. Очень многие компании оснащают этими устройствами своих сотрудников для повышения их продуктивности. Согласно другому отчету Gartner «Magic Quadrant for Mobile Data Protection» «К 2006 году 90% мобильных устройств корпоративных пользователей не будут иметь сколь-нибудь серьезных средств защиты, способных противостоять среднеквалифицированному злоумышленнику». Алексей Лукацкий |