Тема использования мобильных устройств сейчас волнует многих корпоративных пользователей. Причем все понимают, что от этого никуда не деться; что это уже все используют; что ситуация будет только усугубляться; и что с этим надо что-то делать. Немного цифр и статистики по использованию мобильных устройств есть тут и тут.
Недавно, на спонсируемой нами конференции Лаборатории Касперского, я делал доклад на тему "Анализ рынка безопасности мобильных устройств". Да и до этого уже не раз обращался к теме мобильной безопасности. Одной из рекомендаций было создание стратегии защищенного мобильного доступа, которая станет основополагающим документом в области формирования политики использования мобильных устройств в бизнесе, и их защиты.
Что должна включать в себя такая стратегия? Я постарался описать ключевые разделы данного документа:
- Общий подход - применяете или нет?
- даже если вы решили не использовать мобильные устройства, это лучше зафиксировать, указав причины такого решения.
- Анализ рисков и модель угроз
- От чего защищаемся? Только ли от вредоносного кода? Или проникновения на мобильное устройство? Отношение к утечкам данных? Будем ли контролировать доступ к сайтам, ненужным для работы?
- Отношение к BYOD
- BYOD - Byu Your Own Device - программа, подразумевающая использование сотрудников собственноручно купленных мобильных устройств. Если нет, то почему. Если да, то какие требования должны соблюдаться пользователями таких устройств при нахождении в офисе (например, сдавать их в камеру хранения при входе) или подключении их в корпоративную сеть.
- Используемые мобильные платформы
- Любые или из ограниченного списка? Большинство компаний ограничивает применение iOS, BlackBerry и Android, но встречаются и Windows Phone 7, Symbian, webOS и т.д.
- Доступ изнутри сети
- Принципы защиты и контроля доступа мобильных устройств внутри корпоративной сети (сертификаты и т.д.).
- Доступ извне сети
- аналогично предыдущему, но для доступа извне. Например, доступ только через VPN и никак иначе. Применение средств контроля доступа NAC на периметре. Использование отдельной точки входа для таких устройств. Вариантов может быть масса.
- В этом же разделе должны быть описаны приложения и сервисы, к которым имеют доступ сотрудники извне. Например, только к почте и адресной книге. А может еще и к календарю, бизнес-приложениям.
- Отношение к Jailbrake
- Непростой вопрос. Хотя по статистике число взломанных устройств очень незначительно - около 8-10%, их нельзя сбрасывать со счетов. Ведь взломанное устройство - это потенциальная угроза для установки уязвимых приложений.
- Приложения
- Есть ли ограничения на используемые приложения? Планируется ли собственная разработка?
- Магазины приложений - новый канал проникновения вредоносных программ на мобильное устройство. Есть ли ограничения на установку приложений с Интернет-магазинов? Какова процедура установки? Напрямую с Интернет или только через ПК, где приложение можно проверить на вирусы?
- Функция "антивор"
- Как искать украденное или потерянное устройство (например, в iPhone/iPad эта функция является встроенной)? Как дистанционного удалить данные на устройстве? Как дистанционно заблокировать устройство? Как защититься при смене SIM-карты?
- Шифрование данных на устройстве
- Встроенное шифрование или внешняя система? Шифровать все или только отдельные разделы устройства?
- Удаленное управление и контроль
- Как организовать удаленное управление и контроль использования? Делается ли это централизованно или отдается на откуп пользователям? Необходимо ли отключать удаленно отдельные аппаратные компоненты - Wi-Fi, камера, Bluetooth, диктофон и т.д.?
- Compliance
- Надо ли обеспечить соответствие регулятивным требованиям (того же ФЗ-152, СТР-К и т.д.) или этот риск принимается как неактуальный или несущественный?
- Соответствие политикам ИТ и ИБ
- Как контролируется установка патчей? Как обеспечить наличие нужных локальных настроек? Как проверяется наличие нужных программ на мобильном устройстве? Как снять конфигурацию удаленно? Как "накатить" новую конфигурацию на устройство? Как провести инвентаризацию устройства?
- Аутентификация
- Локальная аутентификация на устройстве (правила выбора PIN-кода). Аутентификация при доступе к корпоративным ресурсам. Аутентификация при доступе к локальным приложениям (например, к почте). Возможен ли удаленный доступ администратора к пользовательскому устройству? А если оно принадлежит не компании?
- Антивирус
- Личная защита
- Ведение черного списка номеров (включая и для защиты от SMS-спама). Скрытие от посторонних глаз любой информации по отдельным абонентам (включая SMS, почту и т.д.).
- Контентная фильтрация
- Перенаправление всего трафика на корпоративные средства контентной фильтрации. Использование облачных технологий защиты Web-доступа (например, Cisco ScanSafe). Как контролировать утечки информации по e-mail и другим каналам? Защита от спама (включая SMS-спам).
- Используемые механизмы защиты
- Ориентация на встроенные механизмы (например, ActiveSync) или внешние средства защиты.
- Слежение за устройствами
- Будем ли контролировать местонахождение устройства? Как? Геолокация?
- Защищенный VPN-доступ
- Восстановление и резервное копирование
- Управление инцидентами
- Как осуществляется расследование? Как собираются доказательства на мобильных платформах? Управление журналами регистрации событий.
- Управление
- Как управляются мобильные устройства с точки зрения вышеперечисленных задач? Как осуществляется troubleshooting?
Этот комментарий был удален автором.
ОтветитьУдалитьАлексей, приятно видеть просветление в головах ИБ-шников - мобильное окружение УЖО вот оно со всеми вытекающими:-) А ведь три года назад я именно про это жужжал - сертификацию приложений на мобильнике, помните?
ОтветитьУдалитьПо делу:
- вот увесистый обзор по живой теме - мобильник как аутентификатор - http://www.researchandmarkets.com/product/0808ea79/the_mobile_phone_as_an_authentication_device - для нас, утомленных всякими глупостями по ААА - это путь по крайней мере на всякие там порталы госулуг и пр
- нами реализуется масштабный проект - "мобильная квалифицированная подпись" на основе token-on-SIM + HSM и все по нашим родным ГОСТам, которые уже международные стандарты:-)
Кому интересно - пишите...
- позабавиться по околомобидьной безопасности можно тут - http://mobilephonesecuritychallenge.ning.com/
Успехов всем нам!
С почтением
ВП
> Кому интересно - пишите...
ОтветитьУдалитьМне ОЧЕНЬ интересно - куда писать-то?
Василий, мы говорим о разных вещах ;-) Вы о использовании телефона в качестве идентификатора преимущественно ФИЗИКАМИ. Я пишу о корпоративном применении ;-)
ОтветитьУдалить> Я пишу о корпоративном применении ;-)
ОтветитьУдалитьТехнология token-on-SIM + HSM - очень даже корпоративна :)
HSM на мобильном устройстве?
ОтветитьУдалитьАга. Оно и интересно :)
ОтветитьУдалитьХороший пост, спасибо.
ОтветитьУдалитьЕдинственное, если речь идет о стратегии, то там должно быть описание не только технической стороны вопроса, но и административных мер по работе с пользователями. В этом разделе можно описать как происходит обучение сотрудников и разъяснение почему все сделано именно так. В отечественных компаниях очень часто совершают ошибку, когда система внедряется и некий сервис предоставляется пользователям без должной их подготовки, что выливается в недовольство в массах сотрудников и постоянное давление на службу технической поддержки.
mdmanagement: Да, моя ошибка. Забыл упомянуть
ОтветитьУдалитьАлексею: А сувать их куда?
Блин, вот это - ваще интересно :) В СИМ? :))))
ОтветитьУдалитьА по документу - надо еще раздел "инцидент манагемент" добавить и "обратная связь с целью постоянного улучшения" в разделе работы с пользователями. Тогда будет шоколад :)
ОтветитьУдалитьп.22 - управление инцидентами
ОтветитьУдалитьПару комментариев, уж коли влез в топик:
ОтветитьУдалить- схема ОТР в разных формфакторах ( на СИМке или СМС) широко используется режиме удаленного корпоративного доступа в сеть
- режим использования HSM как "единой" виртуальной корпоративной смарт-карты для хранения блобов также популярен (даже при наличии традиционной карт-карты с RFID). Тут полагаю народ видел истерики VIPов, когда те теряют карточки...так что ХСМ рулит для депонирования ключей на корпоративном уровне:-)
Теперь по связке OTP + HSM - полная аналогия с банковскими ячейками:
- ОТР как способ жесткого доступа к контейнеру с ключами, которые на ХСМ
- операции все в оболочке на ХСМ
Все просто и красиво - у нас и то и другое все по ГОСТ. Поучился виртуальный УЭК с квалифицированной подписью по 63-ФЗ, о т.н. "простой" и "усиленной" и так понятно.
Главное - простота развертывания с минимумом крипто на клиентской стороне. В европах народ резко поумнел на эту тему - Австрия/Италия и даже Эстония...
Спасибо Леше за поднятие темы ИБ в мобильной среде. Потом поведаем про особенности в конвергентных сетях - wfi/UMTS/WiMax
С потчением
(917) 579 40 16
vsakharov@me.com
Нет, постойте ;-) Куда суется HSM на том же iPhone или BlackBerry? Или под HSM понимается некий отдельный аппаратный носитель с неизвлекаемыми ключами и возможностью осуществлять отдельные операции, как криптографические, так и по генерации OTP?
ОтветитьУдалитьраздел 22 - пардоньте :) Глаз замылен
ОтветитьУдалитьЛеша, ну не издевайтесь - http://en.wikipedia.org/wiki/Hardware_security_module и и тут немного - http://keon.ru/index2.php?page=66&nav=cons&redir=
ОтветитьУдалитьНе путайте с TPM - http://en.wikipedia.org/wiki/Trusted_Platform_Module
Для генерации ОТР уровня защиты среды SIM/smart карты вполне достаточно.
Нет, постойте ;-) Куда суется HSM на том же iPhone или BlackBerry?
ОтветитьУдалитьЯ так понимаю, что речь идет о таком форм-факторе - GO-TRUST ANNOUNCES ‘DONGLE-FREE’ HARDWARE SECURITY MODULE FOR TABLET PCS AND SMART PHONES
Но в iPhone такое не запихаешь :(
ну да, не запихаешь, и не надо - поэтому все делается инвариантно относительно ОС, формфатора смартфона и его атрибутики. но на СИМ (пока она есть еще:-))
ОтветитьУдалитьДа, на Рускрипто же был доклад по теме -
Смирнов / Крипто-Про/, Меньшенин / Демос/
О реализации систем удалённого хранения ключей и формирования ЭЦП
http://www.ruscrypto.org/netcat_files/File/ruscrypto.2011.031.zip
там кратко, но ясно изложена идея
Ну и, коллеги, уж не обессудьте, что я как-то сместил акцент на посте Алексея, но мне кажется ИБ должна расширять бизнес возможности...
ВП
Столько работы...хоть нанимай отдельного специалиста
ОтветитьУдалитьНу если мобильных устройств много, то почему бы и нет?
ОтветитьУдалитьЕмм...скорее нужно с калькулятором в руках показывать почему да. Я отлично понимаю финансистов - раз не зарежешь непонятную трату, потом второй, третий..и окажется что в компании 30 процентов трат совершенно неуправляемы (т.е. непонятно когда их можно резать или увеличивать а когда нет так как нет обоснования их целесообразности).
ОтветитьУдалить