Обеспечение информационной безопасности при использовании на
предприятии концепции Bring Your Own Device
Введение
Bring Your Own Device (BYOD) – новая глобальная концепция, технология, растущая высокими темпами и предполагающая возможность использования сотрудниками компании собственных мобильных устройств в рабочем процессе. Для частного бизнеса мобильная связь становится все более эффективным инструментом работы, позволяя повысить производительность сотрудников компании благодаря возможности выйти на связь и лично пообщаться с коллегами практически с любого устройства, улучшить обслуживание заказчиков и укрепить партнерские взаимоотношения.
Во многих секторах бизнеса наблюдается сдерживание реализации этой концепции, вызванное главным образом обеспокоенностью вопросами защиты корпоративных данных и идентификационной информации пользователей на устройствах, а также безопасности приложений. Организации, практикующие BYOD, имеют такие преимущества, как сокращение ИТ-затрат и повышение эффективности работы пользователей, в сравнении с организациями, которые отказываются от этой концепции. В настоящее время существуют решения, предлагающие передовые средства контроля безопасности для корпоративных и персональных устройств и упрощающие работу пользователей. Организации могут гибко определять права доступа к корпоративной информации с пользовательских устройств и поддерживать более детальный контроль благодаря изоляции корпоративных и персональных данных, обеспечивая защищенный доступ к корпоративным приложениям и надежное управление данными.
Основные угрозы при внедрении BYOD
Появление BYOD в компании приводит к вынужденному столкновению с рядом новых задач и рисков. Среди них: использование не одобренных политиками безопасности приложений и сервисов, необходимость разработать меры безопасности на случай похищения устройства или увольнения сотрудника, разработать новые политики безопасности либо сделать ряд исключений, решить, как безопасно подключить к нужным ресурсам и не дать доступ к данным, которые наиболее критично сохранить внутри защищенного периметра.
Основная угроза политики BYOD – потеря компаниями уверенности в безопасности корпоративных данных. Во-первых, сотрудник может потерять устройство или быть обворованным. Как следствие, вся информация, хранящаяся в смартфоне или планшете, станет доступной сторонним лицам. Но даже если кражи или утери не случится, человек может дать попользоваться мобильным устройством кому-то из домочадцев. Случаи, когда важная информация пересылалась кому-то по ошибке, не редки.
Во-вторых, устройство само по себе может представлять угрозу для сохранности корпоративных данных. Некоторые мобильные устройства по умолчанию передают данные в облако. Это только повышает риски компаний в отношении политики конфиденциальности.
Компаниям следует учитывать и риски со стороны вредоносного программного обеспечения, распространение которого отмечается позитивной динамикой. В 2013 г. большая часть вредоносных программ была нацелена на мобильные устройства, а не на персональные компьютеры. За последние два года число вредоносного программного обеспечения, атакующего преимущественно ОС Android, возросло на 33%. Эта тенденция сохранится и в 2014 г. Специалисты ожидают большей активности со стороны программ-вымогателей, которые блокируют данные на мобильном устройстве, пока жертва не заплатит «выкуп». Если раньше преступников сдерживали правоохранительные органы, защищавшие платежные системы от использования их в мошеннических целях, то с развитием электронных денег случаи вымогательства существенно возрастут.
Увеличится и статистика атак с использованием программ, вносящих изменения в приложения на мобильном устройстве с целью получения доступа к данным.
В 2014 г. во многих новых атаках на персональные компьютеры будут использоваться уязвимости стандарта HTML5, на основе которого многие компании создают корпоративные приложения.
Задачи информационной безопасности в концепции BYOD
Задача обеспечения защиты мобильных сотрудников складывается из создания политики обеспечения безопасности при удалённом доступе и обработке данных, а также проверки на их основе мобильного устройства, принесённого в корпоративную сеть. Такой подход для компании выстраивается в комплексную стратегию защиты мобильных сотрудников.
Компании неизбежно сталкиваются с вопросом, а что конкретно надо защищать и как это можно сделать. Выделяют три разных уровня защиты в зависимости от того какие устройства используются в компании:
1) Защиту устройств (для корпоративных устройств)
· внедрение технологии управления устройствами (MDM);
· внедрение строгих политик безопасности для устройств;
· локальное шифрование данных на устройстве;
· создание защищённых разделов (контейнеров) на устройствах;
2) Защиту приложений (для разнородной среды с большим парком решений)
· тесная связь с разработчиками приложений на предмет безопасности;
· безопасное распространение и обновление приложений;
· мультиплатформенная или одноплатформенная ориентированность;
· построение процесса безопасного развития информационных систем компании;
3) Защиту данных (для личных мобильных устройств)
· контроль слепков устройств;
· шифрование канала передачи данных;
· виртуализация и удалённый рабочий стол;
· обеспечение целостности данных (контроль жизненного цикла данных).
Основные средства защиты информации
Виртуализация
Виртуальные рабочие места, основанные на серверных решениях, представляют собой пользовательские приложения или целые операционные системы, работающие в виртуальной среде, под управлением супервизора, функционирующего на централизованном сервере. Один физический сервер, на котором развёрнута виртуальная среда, может одновременно работать с множеством виртуальных пользовательских рабочих мест, развёрнутых в его виртуальных машинах. Число одновременно поддерживаемых виртуальных машин зависит от количества памяти и вычислительных ресурсов физического сервера. Такой подход очень удобен, так как обеспечивает централизованное администрирование и хранение данных, позволяет постепенно наращивать инфраструктуру, и, по мере необходимости, создавать, или удалять рабочие места, а также легко переносить их с одного сервера на другой. Достоинством применения таких виртуальных рабочих мест является высокая защита корпоративных данных в виртуальной среде, предоставляя, при этом, пользователю высокую свободу действий, открывая доступ к корпоративным IT ресурсам через защищённое окно, предотвращающее утечку конфиденциальных данных на пользовательское устройство.
В рамках концепции BYOD и виртуализации многие разработчики привыкли позиционировать свои решения именно как виртуализация, при этом зачастую решения и функционал существенно отличаются друг от друга. Подобная неразбериха объяснима новизной подобного рынка решений и еще не устоявшейся практики применения подобных продуктов. Между тем большинство виртуальных решений для мобильных устройств можно отнести к трем основным классам — в зависимости от варианта технической реализации:
1. Виртуальный рабочий стол (VDI и подобные решения)
Почти классическая технология, принцип которой аналогичен стандартным решениям для корпоративной инфраструктуры с тонкими клиентами, когда пользователь работает с удаленным рабочим столом, не имея возможности сохранить что-то на своё локальное рабочее место. При потребности и запросе рынка данный подход сейчас интегрируют в свои MDM решения многие разработчики средств защиты как наиболее простой вариант реализации разделения личных и корпоративных данных на устройстве.
2. Облачная виртуализация
Подобный подход представляет собой облачный сервис, когда на конечном устройстве пользователя присутствуют лишь ярлыки для доступа к приложениям. При этом все данные хранятся и обрабатываются на стороне облачного хостинга, в котором происходит также разграничение доступа к приложениям и управление пользователями. Для таких решений есть два подхода в реализации:
· услуга из облачного хостинга самого разработчика решения, где компании предоставляется лишь платформа для построения политик и выбора из готового списка приложений для сотрудников;
· продукт для частной облачной инфраструктуры, позволяющий создавать не только политики для распространённых приложений, но и добавлять собственные приложения для доступа с устройств сотрудников.
3. Виртуализация на самом устройстве
Данная технология реализует прямое выполнения виртуальной среды на конечном устройстве пользователя. Именно такой подход включает в себя создание двух независимых доменов на одном устройстве с возможностью быстрого переключения между ними. При этом есть несколько принципиально разных вариантов реализации такого функционала:
· создание параллельно работающих виртуальных доменов на единой аппаратной платформе;
· создание виртуального домена внутри реальной операционной среды мобильного устройства.
Система управления мобильными устройствами
Приложения MDM (Mobile Device Management — управление мобильными устройствами) – это программное обеспечение для работы с корпоративными системами при помощи мобильных устройств.
Разработанные для управления инфраструктурой мобильных устройств MDM-решения задают настройки соответствия политикам безопасности и настройки доступа в корпоративную сеть для всех одобренных мобильных устройств. При этом с их помощью осуществляется регистрация и мониторинг устройств, а в случае потери или кражи смартфона или планшета с помощью MDM с него можно удалить корпоративные либо вообще все данные.
В решениях MDM используются встроенные механизмы обеспечения безопасности мобильных операционных систем – профили безопасности. В случае необходимости они позволяют выполнить определенные настройки, запретить доступ к определенным программам и функциям устройства.
MDM-решение представляет собой программно-аппаратный комплекс: сервер управления на стороне компании, прокси-сервер для передачи почтового трафика, клиент для мобильного устройства. Пользователь скачивает этот клиент непосредственно из магазина мобильных приложений App Store или Google Play. Установив приложение, вводит корпоративные логин и пароль, и на устройство в зависимости от прав пользователя передается пакет настроек, связанных с получением доступа к корпоративным ресурсам (например, настройки VPN или почтового клиента). Информация о регистрации поступает администратору, и устройство начинает отображаться в консоли управления.
Сегодня управление мобильными устройствами MDM становится смысловым синонимом понятия информационной безопасности в мобильной среде. Однако MDM не может стать полным решением всех вопросов, возникающих при принятии BYOD концепции, так как, к сожалению, многие мобильные пользовательские устройства и средства управления ими не способны ответить на такие вопросы как, например, решение проблемы распространения и обновления программного обеспечения, применения корпоративных политик, полное управление инвентаризацией и сетевыми сервисами. Многообразие пользовательских устройств в значительной степени затрудняет внедрение MDM подхода, делая его применимым и эффективно используемым только к половине поддерживаемых типов устройств, открывая остальные для потенциальных атак.
Клиентские приложения для защиты информации
Клиентское программное обеспечение для безопасности мобильных устройств является логическим развитием и расширением возможностей антивирусных программ. Данное ПО работает как агент для мобильного устройства, управляемый из сети и обеспечивающий функции антивирусного контроля, VPN клиента и возможности настройки блокировки пользовательского трафика согласно политике безопасности предприятия.
Заключение
Организации должны отдавать себе отчёт в том, что не существует единого универсального средства, способного решить все проблемы одновременно. Залогом успешного решения может стать системный подход, ориентированный на использование эффективных практик в области технологий защиты передаваемой информации, решений по безопасности для сетевой инфраструктуры. Важным фактором является ряд организационных мер, - создание комплекса правил и инструкций для работы с мобильными устройствами, направленных на обеспечение информационной безопасности. С таким подходом пользователь может быть уверен в том, что его приложения будут надёжно защищены, не зависимо от того, где он находится.