|
|
Обозрение подготовлено
В последние годы рынок мобильных устройств переживает настоящий бум. Стремительно совершенствуясь, мобильные телефоны по уровню «интеллектуальной» начинки догоняют карманные компьютеры (КПК), а те, в свою очередь, развивают коммуникационные возможности. Однако, как обычно бывает в жизни, удобства в одной области приносят проблемы в другой. С точки зрения безопасности смартфон, КПК или ноутбук представляют собой рабочую станцию пользователя, содержащую конфиденциальную информацию и зачастую подключенную к глобальной сети без средств защиты, определенных политикой безопасности. А флеш-накопитель или MP3-плеер — это удобные носители для утечки конфиденциальной корпоративной информации.
Мобильные рабочие места на основе ноутбуков достаточно широко распространены, а в некоторых компаниях количество лэптопов превышает количество стандартных настольных компьютеров. Однако применение ноутбуков требует учитывать в рамках корпоративной системы управления информационной безопасностью (СУИБ) ряд угроз. В том числе — высокую вероятность потери или кражи устройства и всей находящейся на нем информации; а также широкое использование внешних каналов связи (сети заказчиков, внешние ISP, WIFI, GPRS и т.д.) для получения доступа к корпоративным ресурсам и ресурсам сети Internet. Кроме того, высока вероятность того, что конфигурации ноутбуков не соответствуют требованиям корпоративной политики информационной безопасности (отключение антивирусных систем, отсутствие актуальных обновлений безопасности и т.д.). А также мобильные устройства могут использоваться в качестве средства для организации утечек корпоративной информации.
Для снижения рисков, связанных с возможной утерей устройств, кроме элементарных средств физической защиты — таких, как кабели безопасности, необходимо применять средства шифрования данных. Сейчас на рынке широко представлены подобные решения, позволяющие зашифровывать как отдельные файлы и разделы, так и жесткие диски целиком. Средства шифрования могут быть реализованы как в качестве встроенного механизма операционной системы (Encrypting File System и BitLocker в Microsoft Windows), так и в виде дополнительного продукта. Ключи шифрования могут генерироваться на основе пароля или сохраняться на внешних носителях, например, смарт-картах.
Для противодействия угрозам, связанным с использованием недостоверных каналов связи, применяются механизмы шифрования трафика в рамках протоколов VPN, а также персональные средства сетевой безопасности. Тенденциями развития этих классов продуктов является переход от традиционных «тяжелых» механизмов организации VPN канального и сетевого уровня (IPSec, PPTP) к более удобным методам защиты сессионного и прикладного уровня (SSL-VPN, WEB-VPN). В мире средств персональной защиты наблюдается интеграция различных защитных механизмов (антивирус, МСЭ, IPS) в рамках одного продукта, а также развитие механизмов проактивной защиты. Подобные решения существуют, например, у многих производителей антивирусного ПО и др.
К сожалению, «заставить» мобильного пользователя следовать политике безопасности практически невозможно. В большинстве случаев сотрудники имеют привилегии администратора, что позволяет им модифицировать любые параметры системы и, например, отключать антивирусную систему, «мешающую» установить на компьютер троянского коня. В этом случае можно использовать средства контроля соответствия политике информационной безопасности (compliance management), а также механизм карантина при доступе к сети. Зачастую подобные решения могут работать совместно. Средство контроля соответствия осуществляет проверку подключающихся к сети клиентов и, в случае обнаружения проблем, дает команду механизмам карантина на блокирование доступа устройства к сети.
Предотвращение утечек информации с помощью ноутбуков является непростой задачей. В большинстве случаев сотрудник использует ноутбук для работы с корпоративной информацией, и отследить, какие данные были скопированы из сети, достаточно сложно. Одним из превентивных механизмов, позволяющих ограничить возможность копирования конфиденциальной информации, являются терминальные серверы. При их использовании сотрудник сохраняет возможность работать с приложениями, но крайне ограничен в копировании информации на жесткий диск.
Беспроводные технологии прочно вошли в современный бизнес. Большинство мобильных устройств (ноутбуки, смартфоны, КПК, коммуникаторы) оснащены модулями мобильной связи. Центральные города страны постепенно покрываются сетями беспроводного доступа. Зачастую WIFI используется мобильными сотрудниками для организации домашних сетей.
Удобство использования, избавление от проводов, возможность постоянно быть online — все это положительные стороны использования WIFI. Однако существует и ряд негативных моментов. Например, возникновение «дыр» в периметре сетевой безопасности из-за несанкционированного использования беспроводных технологий. Затем, обход корпоративных средств защиты с помощью WIFI, а также возникновение новых, специфичных для беспроводных технологий угроз.
Часто при проведении аудитов безопасности и тестов на проникновение обнаруживается, что к корпоративной сети подключена одна или несколько самостийных точек доступа, принесенных сотрудниками из дома в целях тестирования или упрощения работы. В большинстве случаев эти точки доступа не используют механизмы защиты, или, в лучшем случае, применяют WEP, на взлом которого уходит несколько минут. В этом случае произвольный злоумышленник имеет возможность подключиться к беспроводной сети. Не лучше ситуация обстоит и с клиентами WIFI. В большинстве сетей профили беспроводных подключений содержат записи о незащищенных сетях, что позволяет злоумышленникам развернуть ложную точку доступа и подключиться к станции.
Не так уж редка ситуация, когда сотрудники используют для доступа к интернету не корпоративный шлюз, а расположенную неподалеку бесплатную точку беспроводного доступа (например, распространенную в Москве сеть «КомСтар»). В этом случае злоумышленник получает не только возможность несанкционированного подключения к рабочей станции, но и может перехватывать весь Internet-трафик клиента.
Кроме того, мобильные системы привносят специфичные угрозы, например, уязвимости драйверов беспроводных адаптеров. Многие драйверы WIFI-карт, включая наиболее распространенные чипсеты Intel, содержат уязвимости, которые могут быть использованы для получения доступа к рабочей станции с правами администратора. Зачастую драйверы беспроводных адаптеров выпадают из процесса управления обновлениями, что создает дополнительные бреши в периметре.
Для отслеживания несанкциониованных точек доступа и ошибок в настройке беспроводных клиентов могут использоваться системы обнаружения беспроводных атак. Подобные системы реализуются как в качестве внешних решений, так и в виде дополнительного функционала точек доступа.
В этих же целях применяются системы контроля соответствия политике безопасности и сетевые сканеры, позволяющие обнаруживать сетевые устройства, проверять профили беспроводных клиентов и актуальность обновлений драйверов беспроводных адаптеров. Для предотвращения несанкционированного подключения точек доступа к корпоративной сети могут использоваться механизмы карантина и разграничения доступа к сети (например, 802.1x).
Коммуникаторы и смартфоны постепенно вытесняют обычные сотовые телефоны, и в большинстве случаев разнообразные коммуникационные возможности устройств используются для доступа к корпоративным данным, почте, приложениям. С точки зрения СУИБ это равнозначно появлению нового типа рабочего места, которое требует специфичных средств и методов защиты. Т.е. требуется решить задачи инвентаризации, управления обновлениями и контроля конфигураций мобильных устройств. Решить эти задачи можно с помощью средств управления конфигурацией, а также с помощью средств контроля соответствия политике безопасности, имеющих возможность работы с КПК и коммуникаторами.
Мобильные устройства также могут быть использованы в качестве канала утечки информации из корпоративной сети. Объемы сменных карт памяти уже давно измеряются в гигабайтах, а их стоимость постоянно падает. К счастью, большинство средств управления доступом к внешним носителям поддерживает контроль и теневое копирование обмена данными между настольным компьютером и КПК.
Вероятность утери или кражи мобильного устройства гораздо выше, чем вероятность кражи ноутбука. В связи с этим, актуальны средства шифрования данных в памяти устройства и на картах памяти. Для решения этой задачи могут быть использованы как встроенные возможности ОС (например Windows Mobile 6), так и продукты третьих фирм.
Периодически возникает информация о появлении нового вируса для Windows Mobile или Symbian, однако на настоящий момент количество подобных инцидентов достаточно мало. Несмотря на это, некоторые производители уже выпустили антивирусные продукты для мобильных устройств.
Решения по защите мобильных устройств
Задачи | Продукт | Производитель |
Механизмы разграничения доступа к сети и механизмы карантина | ||
Контроль безопасности беспроводных устройств Контроль безопасности ноутбуков |
Технология 802.1x | Встроенная возможность ОС Windows Встроенные возможности сетевого оборудования Cisco и других производителей |
Network Assess Protection | Microsoft | |
Network Admission Control | Cisco | |
Технология карантина | Microsoft | |
Сканеры уязвимостей и средства контроля соответствия политике безопасности | ||
Контроль безопасности ноутбуков Контроль безопасности мобильных устройств Контроль безопасности беспроводных устройств |
XSpider 7.5 | Positive Technologies |
MaxPatrol 8.0 | Positive Technologies | |
Internet Scanner 7.0 | IBM-ISS | |
Symantec Control Compliance Suite | Symantec | |
Средства управления доступом к внешним носителям | ||
Контроль утечек через мобильные устройства Контроль беспроводных интерфейсов |
DeviceLock | SmatrLine |
Zlock | SecurIT | |
Net Monitor | InfoWatch | |
Системы обнаружения беспроводных атак | ||
Контроль несанкционированного использования беспроводных технологий | AirMagnet | AirMagnet |
Контроль несанкционированного использования беспроводных технологий | Cisco Wireless Control System | Cisco |
Сергей Гордейчик, MCSE, MCT, CWNA, MVP. Windows: Security, CISSP