Как защитить мобильную инфраструктуру от внешних угроз
Трудно представить современное предприятие, где бы не использовались в том или ином качестве мобильные устройства. Видение корпоративной сети как совокупности соединенных между собой ПК уже безвозвратно устарело. Спектр распространения мобильных устройств на современном предприятии широк, как никогда. Начиная с применения личных смартфонов для взаимодействия с внутренними информационными системами и общения с партерами и заказчиками и заканчивая эксплуатацией мобильных устройств в штатных бизнес-процессах компании. Во всех подобных ситуациях существуют различные аспекты информационной безопасности, которые требуют особого внимания, поскольку типового решения у этой задачи нет.
Разумеется, что обсуждение вопросов контроля за мобильными устройствами необходимо начать со специализированных решений, которые получили название Mobile Device Management (MDM), хотя в настоящий момент чаще можно услышать термин Unified Enterprise Mobility (UEM). Подобные гибридные системы помогают собрать воедино все разнообразие пользовательских устройств и эффективно управлять им вне зависимости от операционных систем.
Мы составили список главных угроз для современной мобильной инфраструктуры компании и дали краткие рекомендации, как предотвратить или нивелировать эти угрозы.
Главные угрозы «мобилизации»
С точки зрения информационной безопасности мобильная инфраструктура — это сознательное жертвование уровнем ИБ, благодаря чему развитие компании становится динамичнее, а бизнес-процессы реализуются более гибко. Большое количество мобильных устройств используется для хранения, доступа и обработки конфиденциальной информации о компании. Как следствие, растет число случаев утечки информации и разглашения коммерческой тайны. Есть четыре ключевые проблемы, с которыми столкнется каждый, кто сегодня решит заняться безопасностью мобильной инфраструктуры в компании.
1. Вредоносные мобильные приложения
Речь о программах, загружаемых и устанавливаемых самим пользователем. Особенно опасны приложения, взятые из неофициальных сторонних магазинов или пиринговых сетей. Наибольшую угрозу представляют приложения, которые работают так, как предполагает пользователь, параллельно собирая информацию с телефона или добавляя на устройство данные — от нежелательной рекламы до вредоносного ПО. Например, игра Super Mario Run после установки направляла пользователей на сайты для взрослых и самостоятельно скачивала сомнительные приложения.
Для нивелирования такой угрозы необходимо развернуть на мобильных устройствах защитное ПО — оно позволяет перед установкой определить репутацию очередной игры или приложения. Централизованное управление поможет отслеживать в реальном времени списки установленных программ и блокировать потенциально опасные операции. Также большую помощь окажут средства сетевой защиты, способные сигнализировать появление в сети предприятия трафика, свидетельствующего о наличии угрозы.
2. Фишинг
Сегодня компании уже внедрили и активно используют решения класса Secure Web Gateway (SWG), обеспечивающие в том числе и защиту от посещения подложных сайтов, которые злоумышленники создают для получения конфиденциальной информации, которую доверчивый пользователь готов ввести на внешне знакомом ему сайте. Для защиты мобильных устройств этого недостаточно, поскольку они способны выходить в Интернет через мобильные сети, то есть в обход веб-шлюза компании, где развернуто решение SWG. В результате злоумышленники могут пытаться получить доступ к личным и корпоративным данным работников, атакуя их через персональные смартфоны. Подобные атаки очень эффективны, потому что сотрудники могут принять вредоносную электронную почту или сообщения за обычную рассылку.
Для того чтобы не стать жертвой фишинга, необходимо в первую очередь заняться обучением пользователей: они должны научиться выявлять подобные атаки и знать правильную последовательность действий в случае, если пришло подозрительное сообщение. Также компаниям следует внедрить решения, которые обеспечат защитой веб-трафик мобильных устройств сотрудников. Традиционные SWG-решения тут не помогут. Требуются облачные сервисы, способные предотвратить угрозу при любом канале доступа в Интернет.
3. Потеря или кража устройства
Один из самых простых способов получить доступ к конфиденциальным данным — украсть их физический носитель. Впрочем, красть не обязательно — достаточно найти забытый в общественном месте смартфон. В исследованиях Trend Micro указано, что почти половина предприятий, которые дали личным устройствам сотрудников доступ к корпоративной сети, в дальнейшем сталкивались с утечкой конфиденциальных данных. Основная причина была кража или потеря устройств.
Самое правильное решение этой проблемы — полное шифрование данных на устройстве. Такой подход гарантирует, что даже если гаджет попадает в чужие руки, данные без доступа к средствам дешифрования будут недоступны. Еще один важный способ защиты — многофакторная аутентификация. Пользователи могут быть этим недовольны, но если сотрудники имеют на своих устройствах важную бизнес-информацию или средства доступа к ней, компания вправе требовать введения чуть более сложной системы распознавания, чем просто привычный четырехзначный пин-код.
4. Целенаправленные атаки
Вредоносное ПО, специально разработанное для доступа к конфиденциальным данным определенной компании, может быть замаскировано под невинные приложения (под игры, например, как семейство DressСode) и после установки давать злоумышленникам возможность проникнуть во внутренние сети, к которым подключено скомпрометированное устройство. После успешной компрометации кража данных становится делом техники. В свою очередь пользователи упрощают жизнь создателям подобного софта, отказываясь обновлять ОС, критические приложения или делая Jailbreak с root-доступом.
Защититься от целевых атак поможет программное обеспечение для управления мобильными устройствами, блокирующее вредоносные приложения и программы до их установки. На настольных компьютерах и ноутбуках следует использовать решения для защиты конечных точек с функцией мониторинга поведения, защиты от вредоносных программ и службой web reputation. Нужно составить список поддерживаемых устройств и операционных систем, которые подходят и для организации, и для сотрудников, а также проводить их аудит при подключении к корпоративной инфраструктуре. Устройства с устаревшим ПО или устройства с модифицированной пользователем ОС не стоит подключать к корпоративной сети.
Наиболее серьезным решением для отражения подобных угрозы станет внедрение специализированных средств для защиты от целенаправленных атак.
Как работать с мобильной инфраструктурой: три совета
1. Внедрите политику безопасности и обучите ей работников.
Компании склонны позволять собственным сотрудникам подключать их устройства к корпоративной сети и давать доступ к данным, не изложив правила и рекомендации и не потребовав их соблюдения. Это неверно. Более того, должна быть введена формальная программа регистрации, в рамках которой сотрудники ИТ-отдела задают политику безопасности для мобильных устройств, управляют доступом и ролями сотрудников. В таком случае доступ к электронной почте, приложениям и данным получают лишь устройства, соответствующие политике безопасности компании.
2. Предоставляйте сотрудникам доступ только к необходимой информации.
Например, отдел по работе с персоналом не должен иметь доступа, скажем, к данным отдела маркетинга. Критически важную для бизнеса информацию необходимо зашифровать и хранить на устройствах, которые используются только в помещениях компании.
3. Храните бизнес-данные и персональную информацию раздельно.
Вы можете организовать доступ к данным предприятия с помощью виртуальной мобильной операционной системы, действующей на сервере компании. Личные файлы сотрудники смогут просматривать с помощью своей операционной системы, а к данным компании будет доступ через виртуальную систему — это позволит обезопасить их в случае, если устройство будет скомпрометировано.
Выводы
C одной стороны, широкое распространение мобильных устройств сулит существенные выгоды компаниям и сотрудникам. С другой — для грамотного и безопасного внедрения подобных технологий требуется соблюдать строгие правила — причем и пользователям, и ИТ-менеджменту. Тогда при правильном подходе мобильная инфраструктура будет повышать производительность труда сотрудников и, как следствие, доход компании.
Михаил КОНДРАШИН,
технический директор Trend Micro в России и СНГ
Опубликовано 30.03.2018