05.07.2011

Стратегия безопасности мобильных устройств

Тема использования мобильных устройств сейчас волнует многих корпоративных пользователей. Причем все понимают, что от этого никуда не деться; что это уже все используют; что ситуация будет только усугубляться; и что с этим надо что-то делать. Немного цифр и статистики по использованию мобильных устройств есть тут и тут.

Недавно, на спонсируемой нами конференции Лаборатории Касперского, я делал доклад на тему "Анализ рынка безопасности мобильных устройств". Да и до этого уже не раз обращался к теме мобильной безопасности. Одной из рекомендаций было создание стратегии защищенного мобильного доступа, которая станет основополагающим документом в области формирования политики использования мобильных устройств в бизнесе, и их защиты.

Что должна включать в себя такая стратегия? Я постарался описать ключевые разделы данного документа:
  1. Общий подход - применяете или нет?
    • даже если вы решили не использовать мобильные устройства, это лучше зафиксировать, указав причины такого решения.
  2. Анализ рисков и модель угроз
    • От чего защищаемся? Только ли от вредоносного кода? Или проникновения на мобильное устройство? Отношение к утечкам данных? Будем ли контролировать доступ к сайтам, ненужным для работы?
  3. Отношение к BYOD
    • BYOD - Byu Your Own Device - программа, подразумевающая использование сотрудников собственноручно купленных мобильных устройств. Если нет, то почему. Если да, то какие требования должны соблюдаться пользователями таких устройств при нахождении в офисе (например, сдавать их в камеру хранения при входе) или подключении их в корпоративную сеть.
  4. Используемые мобильные платформы
    • Любые или из ограниченного списка? Большинство компаний ограничивает применение iOS, BlackBerry и Android, но встречаются и Windows Phone 7, Symbian, webOS и т.д.
  5. Доступ изнутри сети
    • Принципы защиты и контроля доступа мобильных устройств внутри корпоративной сети (сертификаты и т.д.).
  6. Доступ извне сети
    • аналогично предыдущему, но для доступа извне. Например, доступ только через VPN и никак иначе. Применение средств контроля доступа NAC на периметре. Использование отдельной точки входа для таких устройств. Вариантов может быть масса.
    • В этом же разделе должны быть описаны приложения и сервисы, к которым имеют доступ сотрудники извне. Например, только к почте и адресной книге. А может еще и к календарю, бизнес-приложениям.
  7. Отношение к Jailbrake
    • Непростой вопрос. Хотя по статистике число взломанных устройств очень незначительно - около 8-10%, их нельзя сбрасывать со счетов. Ведь взломанное устройство - это потенциальная угроза для установки уязвимых приложений.
  8. Приложения
    • Есть ли ограничения на используемые приложения? Планируется ли собственная разработка?
    • Магазины приложений - новый канал проникновения вредоносных программ на мобильное устройство. Есть ли ограничения на установку приложений с Интернет-магазинов? Какова процедура установки? Напрямую с Интернет или только через ПК, где приложение можно проверить на вирусы?
  9. Функция "антивор"
    • Как искать украденное или потерянное устройство (например, в iPhone/iPad эта функция является встроенной)? Как дистанционного удалить данные на устройстве? Как дистанционно заблокировать устройство? Как защититься при смене SIM-карты?
  10. Шифрование данных на устройстве
    • Встроенное шифрование или внешняя система? Шифровать все или только отдельные разделы устройства?
  11. Удаленное управление и контроль
    • Как организовать удаленное управление и контроль использования? Делается ли это централизованно или отдается на откуп пользователям? Необходимо ли отключать удаленно отдельные аппаратные компоненты - Wi-Fi, камера, Bluetooth, диктофон и т.д.?
  12. Compliance
    • Надо ли обеспечить соответствие регулятивным требованиям (того же ФЗ-152, СТР-К и т.д.) или этот риск принимается как неактуальный или несущественный?
  13. Соответствие политикам ИТ и ИБ
    • Как контролируется установка патчей? Как обеспечить наличие нужных локальных настроек? Как проверяется наличие нужных программ на мобильном устройстве? Как снять конфигурацию удаленно? Как "накатить" новую конфигурацию на устройство? Как провести инвентаризацию устройства?
  14. Аутентификация
    • Локальная аутентификация на устройстве (правила выбора PIN-кода). Аутентификация при доступе к корпоративным ресурсам. Аутентификация при доступе к локальным приложениям (например, к почте). Возможен ли удаленный доступ администратора к пользовательскому устройству? А если оно принадлежит не компании?
  15. Антивирус
  16. Личная защита
    • Ведение черного списка номеров (включая и для защиты от SMS-спама). Скрытие от посторонних глаз любой информации по отдельным абонентам (включая SMS, почту и т.д.).
  17. Контентная фильтрация
    • Перенаправление всего трафика на корпоративные средства контентной фильтрации. Использование облачных технологий защиты Web-доступа (например, Cisco ScanSafe). Как контролировать утечки информации по e-mail и другим каналам? Защита от спама (включая SMS-спам).
  18. Используемые механизмы защиты
    • Ориентация на встроенные механизмы (например, ActiveSync) или внешние средства защиты.
  19. Слежение за устройствами
    • Будем ли контролировать местонахождение устройства? Как? Геолокация?
  20. Защищенный VPN-доступ
  21. Восстановление и резервное копирование
  22. Управление инцидентами
    • Как осуществляется расследование? Как собираются доказательства на мобильных платформах? Управление журналами регистрации событий.
  23. Управление
    • Как управляются мобильные устройства с точки зрения вышеперечисленных задач? Как осуществляется troubleshooting?
Примерно так. Может я что-то и забыл, но ключевые моменты указал. Надеюсь, данная информация будет полезна при составлении собственной политики работы с мобильными устройствами. При этом помните, что если вы что-то не планируете использовать в настояший момент (например, контроль местонахождения устройств или реагирование на инциденты на мобильном устройстве), то это не значит, что данный раздел не стоит включать в итоговый документ. Просто в нем будет написано, что в настоящий момент данная задача не стоит перед предприятием. Это нужно, чтобы не забыть что-то учесть, когда вы будете пересматривать данную политику.

    21 коммент.:

    Ригель комментирует...
    Этот комментарий был удален автором.
    СВП комментирует...

    Алексей, приятно видеть просветление в головах ИБ-шников - мобильное окружение УЖО вот оно со всеми вытекающими:-) А ведь три года назад я именно про это жужжал - сертификацию приложений на мобильнике, помните?

    По делу:
    - вот увесистый обзор по живой теме - мобильник как аутентификатор - http://www.researchandmarkets.com/product/0808ea79/the_mobile_phone_as_an_authentication_device - для нас, утомленных всякими глупостями по ААА - это путь по крайней мере на всякие там порталы госулуг и пр

    - нами реализуется масштабный проект - "мобильная квалифицированная подпись" на основе token-on-SIM + HSM и все по нашим родным ГОСТам, которые уже международные стандарты:-)
    Кому интересно - пишите...

    - позабавиться по околомобидьной безопасности можно тут - http://mobilephonesecuritychallenge.ning.com/

    Успехов всем нам!
    С почтением
    ВП

    Алексей Волков комментирует...

    > Кому интересно - пишите...

    Мне ОЧЕНЬ интересно - куда писать-то?

    Алексей Лукацкий комментирует...

    Василий, мы говорим о разных вещах ;-) Вы о использовании телефона в качестве идентификатора преимущественно ФИЗИКАМИ. Я пишу о корпоративном применении ;-)

    Алексей Волков комментирует...

    > Я пишу о корпоративном применении ;-)

    Технология token-on-SIM + HSM - очень даже корпоративна :)

    Алексей Лукацкий комментирует...

    HSM на мобильном устройстве?

    Алексей Волков комментирует...

    Ага. Оно и интересно :)

    mdmanagement комментирует...

    Хороший пост, спасибо.
    Единственное, если речь идет о стратегии, то там должно быть описание не только технической стороны вопроса, но и административных мер по работе с пользователями. В этом разделе можно описать как происходит обучение сотрудников и разъяснение почему все сделано именно так. В отечественных компаниях очень часто совершают ошибку, когда система внедряется и некий сервис предоставляется пользователям без должной их подготовки, что выливается в недовольство в массах сотрудников и постоянное давление на службу технической поддержки.

    Алексей Лукацкий комментирует...

    mdmanagement: Да, моя ошибка. Забыл упомянуть

    Алексею: А сувать их куда?

    Алексей Волков комментирует...

    Блин, вот это - ваще интересно :) В СИМ? :))))

    Алексей Волков комментирует...

    А по документу - надо еще раздел "инцидент манагемент" добавить и "обратная связь с целью постоянного улучшения" в разделе работы с пользователями. Тогда будет шоколад :)

    Алексей Лукацкий комментирует...

    п.22 - управление инцидентами

    СВП комментирует...

    Пару комментариев, уж коли влез в топик:
    - схема ОТР в разных формфакторах ( на СИМке или СМС) широко используется режиме удаленного корпоративного доступа в сеть
    - режим использования HSM как "единой" виртуальной корпоративной смарт-карты для хранения блобов также популярен (даже при наличии традиционной карт-карты с RFID). Тут полагаю народ видел истерики VIPов, когда те теряют карточки...так что ХСМ рулит для депонирования ключей на корпоративном уровне:-)

    Теперь по связке OTP + HSM - полная аналогия с банковскими ячейками:
    - ОТР как способ жесткого доступа к контейнеру с ключами, которые на ХСМ
    - операции все в оболочке на ХСМ

    Все просто и красиво - у нас и то и другое все по ГОСТ. Поучился виртуальный УЭК с квалифицированной подписью по 63-ФЗ, о т.н. "простой" и "усиленной" и так понятно.
    Главное - простота развертывания с минимумом крипто на клиентской стороне. В европах народ резко поумнел на эту тему - Австрия/Италия и даже Эстония...
    Спасибо Леше за поднятие темы ИБ в мобильной среде. Потом поведаем про особенности в конвергентных сетях - wfi/UMTS/WiMax
    С потчением
    (917) 579 40 16
    vsakharov@me.com

    Алексей Лукацкий комментирует...

    Нет, постойте ;-) Куда суется HSM на том же iPhone или BlackBerry? Или под HSM понимается некий отдельный аппаратный носитель с неизвлекаемыми ключами и возможностью осуществлять отдельные операции, как криптографические, так и по генерации OTP?

    Алексей Волков комментирует...

    раздел 22 - пардоньте :) Глаз замылен

    СВП комментирует...

    Леша, ну не издевайтесь - http://en.wikipedia.org/wiki/Hardware_security_module и и тут немного - http://keon.ru/index2.php?page=66&nav=cons&redir=

    Не путайте с TPM - http://en.wikipedia.org/wiki/Trusted_Platform_Module

    Для генерации ОТР уровня защиты среды SIM/smart карты вполне достаточно.

    mdmanagement комментирует...

    Нет, постойте ;-) Куда суется HSM на том же iPhone или BlackBerry?

    Я так понимаю, что речь идет о таком форм-факторе - GO-TRUST ANNOUNCES ‘DONGLE-FREE’ HARDWARE SECURITY MODULE FOR TABLET PCS AND SMART PHONES

    Но в iPhone такое не запихаешь :(

    СВП комментирует...

    ну да, не запихаешь, и не надо - поэтому все делается инвариантно относительно ОС, формфатора смартфона и его атрибутики. но на СИМ (пока она есть еще:-))

    Да, на Рускрипто же был доклад по теме -
    Смирнов / Крипто-Про/, Меньшенин / Демос/
    О реализации систем удалённого хранения ключей и формирования ЭЦП
    http://www.ruscrypto.org/netcat_files/File/ruscrypto.2011.031.zip
    там кратко, но ясно изложена идея
    Ну и, коллеги, уж не обессудьте, что я как-то сместил акцент на посте Алексея, но мне кажется ИБ должна расширять бизнес возможности...

    ВП

    Александр Бодрик комментирует...

    Столько работы...хоть нанимай отдельного специалиста

    Алексей Лукацкий комментирует...

    Ну если мобильных устройств много, то почему бы и нет?

    Александр Бодрик комментирует...

    Емм...скорее нужно с калькулятором в руках показывать почему да. Я отлично понимаю финансистов - раз не зарежешь непонятную трату, потом второй, третий..и окажется что в компании 30 процентов трат совершенно неуправляемы (т.е. непонятно когда их можно резать или увеличивать а когда нет так как нет обоснования их целесообразности).