Мобилна безопасност: Защита на мобилните устройства в корпоративна среда

Мобилна безопасност: Защита на мобилните устройства в корпоративна среда

// Antivirusni.BG // През тази година пазара на мобилни устройства за първи път надмина пазара на персонални компютри. Това значимо събитие, а също и стремителния ръст на изчислителната мощност и възможностите на мобилните устройства поставят пред нас нови въпроси и проблеми в областта на осигуряването на информационната безопасност.
Съвременните смартфони и таблети съдържат в себе си напълно зряла функционалност, аналогична на тази в своите «старши роднини». Дистанционна администрация, поддръжка на VPN, браузери с flash и java-script, синхронизация на поща, бележки, обмен на файлове. Всичко това е много удобно, но пазара на средствата за защита за подобни устройства е все още слабо развит. Добър пример за корпоративен стандарт е BlackBerry, смартфон с поддръжка на централизирано управление през сървър, шифроване, възможности за дистанционно унищожаване на данни на устройството. Но неговия пазарен дял не е много голям. Съществуват и куп устройства на база Windows Mobile, Android, iOS, Symbian, които са защитени значително по-слабо. Основните проблеми в безопасността са свързани с това, че многообразието на ОС за мобилни устройства е доста голямо, както и броя на самите версии в отделните операционни системи.
Тестването и търсенето на уязвимости в тях става не толкова интензивно както за ОС за компютри, същото се касае и за мобилните приложения. Съвременните мобилни браузери вече практически догониха десктоп аналозите, но разширяването на функционала влече със себе си голяма сложност и малко защитеност. Далеч не всички производители пускат обновявания, коригиращи критичните уязвимости за своите устройства — проблема е в маркетинга и в сроковете на живот на конкретния апарат. Предлагам да разгледаме типичните данни, съхранявани на смартфона, които могат да бъдат полезни за злоумишленика.

1. Достъп до пощата и пощенската кутия
Като правило, достъпа до пощенските услуги и синхронизацията на поща се настройват на мобилното устройство веднъж, и в случай на загуба или кражба на апарата злоумишлениците получават достъп до цялата кореспонденция, а също и до всички услуги, привързани към конкретната пощенска кутия.

2. Интернет-месинджъри
Skype, Icq, Jabber — всичко това не е чуждо на съвременните мобилни устройства, в резултат на което и цялата кореспонденция на този конкретен човек, и неговия контакт-лист могат да бъдат под заплаха.

3. Документи, бележки
DropBox за мобилните устройства напълно може да стане източник за компрометиране на някакви документи, както и различни бележки и събития в календара. Вместимостта на съвременните устройства е достатъчно голяма, за да могат да заменят флаш паметите, а документите и файловете от тях са напълно способни да зарадват престъпниците. Често в смартфоните се среща използването на бележките като универсален справочник за пароли, разпространени са и приложения за съхранение на пароли, защитени с мастер-ключ. Трябва да се отчита това, че в такъв случай сигурността на всички пароли е равна на издръжливостта на този ключ и грамотността на реализацията на приложението.

4. Адресна книга
Понякога сведенията за определени хора струват много скъпо.

5. Мрежови средства
Използването на смартфона или таблета за дистанционен достъп до работното място чрез VNC, TeamViewer и други средства за дистанционно администриране вече не са рядкост. Тъй както е и достъпа до корпоративната мрежа през VPN. Компрометирайки своето устройство, сътрудника може да компрометира цялата «защитеност» на мрежата на предприятието.

6. Мобилно банкиране

Представете си, че Ваш сътрудник използва на свое мобилно устройство система за банкиране — съвременните браузери напълно позволяват да се извършва подобен вид дейност, и това същото мобилно устройство е свързано към банката за получаване на sms-пароли и оповестявания. Не е сложно да се досетите, че цялата система за банкиране може да бъде компрометирана чрез загубата на едно устройство.
Основните пътища за компрометиране на информация от мобилни устройства е тяхната загуба или кражба. Съобщения за огромни финансови загуби в организации заради загубване на ноутбуци получаваме редовно, но изгубването на счетоводен таблет с актуална финансова информация също може да докара доста грижи. Зловредния софтуер за смартфони и таблети в днешно време е по-скоро страшен мит и средство за маркетинг, но не трябва да се губи бдителността - този пазар се развива с бесни темпове. Да разгледаме, какви са и как са направени средствата за защита в съвременните мобилни ОС.

Средства за защита на мобилни ОС (операционни системи)
Съвременните ОС за мобилни устройства имат нелош набор от вградени средства за защита, но често едни или други функции не се използват или се изключват.

WindowsMobile
Една от най-старите ОС на пазара. Софтуера за версии 5.0 и 6.х е съвместим, и заради това за тях съществува голям брой средства за защита. Започвайки от версия 6.0 се поддържа шифроване на картите памет. ОС няма средства за предотвратяване на инсталация на приложения от външни непроверени източници,затова е подложена на заразяване с вредоносно програмно осигуряване (ПО). Освен концептуални има и ред реални вредоносни програми за тази платформа. Корпоративни решения са представени от множество компании (Kaspersky Endpoint Security for Smartphone, Dr.Web Enterprise Security Suite, McAfee Mobile Security for Enterprise, Symantec Mobile Security Suite for Windows Mobile, ESET NOD32 Mobile Security, GuardianEdge Smartphone Protection).
Тези решения предлагат не само антивирусна защита, но и средства за филтрация на трафика през всички канали за връзка с мобилното устройство, средства за шифроване, централизирано разгръщане и управление. Решението от GuardianEdge включва в себе си елементи на DLP-система. Средствата на ОС с помощта на ActiveSync и Exchange Server разрешават дистанционно унищожаване на данни на устройството. С помощта на Exchange Server може да се настройват политики по безопасност на устройствата, като използване на блокиране на екрана, дължина на пин-кода и други.
Излизането на нови обновявания, съдържащи отстраняване на уязвимостите, зависи от производителя на устройствата, но обикновено става изключително рядко. Случаите на повишаване на версията на ОС са също крайно редки.
Windows Phone 7 (WP7) бе публикувана наскоро, за корпоративни решения за защита на тази ОС за момента не е споменавано.

SymbianOS
Независимо от скорошния преход на Nokia в прегръдките на WP7, Symbian все още преобладава на пазара на мобилни ОС. Приложенията за Nokia се разпространяват във вид на sis-пакети с цифров подпис на разработчика. Подпис със подправен сертификат е възможен, то това налага ограничения върху възможностити на софтуера. Така, самата система е добре защитена от верояте малуер. Java-аплетите и sis-приложенията питат ползващите за потвърждаване при изпълнение на едни или други действия (свързване към мрежа, изпращане на sms), но, както се разбира, злоумишленика не се спира от това – много ползващи са склонни да се съгласяват със всички предложени от ОС предложения, без да вникват особено в същността им.
Симбиан също така съдържа средства за шифроване на картите памет, възможно е използване на блокиране с устойчиви пароли, поддържат се Exchange ActiveSync (EAS) policies, позволяващи дистанционно унищожаване на данни на устройството. Съществуват множество решения за защита на информацията, представени от водещи производители (Symantec Mobile Security for Symbian, Kaspersky Endpoint Security for Smartphone, ESET NOD32 Mobile Security), които по функционал са близки до Windows Mobile версиите.
Независимо от всичко изброено, съществуват редица начини за получаване на пълен достъп с подмяна на файла «installserver», извършващ проверка на подписите и разрешаване на инсталирането на софтуер. Като правило, ползващите го прилагат за да инсталират кракнат софтуер, който, естествено, губи подписа си след кракване. В този случай и добрата, като цяло система за защита на ОС може да бъде компрометирана. Ъпдейти за своите устройства Nokia пуска редовно, особено за новите продукти. Средния срок на живот на апарата е 2-2,5 години, в този период може да се очаква излекуване на "детските болести" на апаратите и поправка на критичните уязвимости.

iOS
Операционната система на Apple. За устройствата от трето поколение (3gs и повече) се поддържа хардуерно шифроване на данни със средствата на системата. ОС поддържа EAS политики, позволява да се извършва отдалечено управление и конфигуриране през Apple Push Notification Service, включително се поддържа и отдалечено изтриване на данни.
Затвореността на платформата и ориентираността към използване на Apple Store осигуряват висока защита срещу вредоносен софтуер. Корпоративни средства за защита са представени от по-малко компании (GuardianEdge Smartphone Protection, Panda Antivirus for Mac, Sophos Mobile Control). При това решението от Panda е антивирус за десктопа, което може да сканира и iOS-устройства, свързвани към Mac. Решението на Sophos е заявено, но е в разработка (в момента на написване на статията, март 2011 – б. р.). Но, както и в случая на Symbian, системата може да бъде компрометирана заради направен Jailbreak. Обновяването с патчове и премахване на уязвимости се извършва редовно за устройствата на Apple.

AndroidOS
Относително новия на пазара на мобилни устройства система, продукт на Google, стремително завоюва пазара. Започвайки от версия 1.6 в нея се поддържа протокола Exchange Activesync, което прави устройствата с тази ОС интересни за корпоративния сегмент. Политики EAS (но, далеч не всички) също се поддържат. Шифроване на картите памет със средствата на ОС не е предвидено. Съществуват ред корпоративни решения за защита (McAfee WaveSecure, Trend Micro Mobile Security for Android, Dr.Web за Android, заявени са решения от Kaspersky). Приложенията се разпространяват през Android Market, но нищо не пречи да се инсталират и от други източници. Вредоносен софтуер за Android съществува, но при инсталиране на ОС се показват всички действия, които са нужни за инсталираната програма, затова в този случай всичко зависи директно от ползващия (впрочем, изкарваните при инсталиране предупреждения все едно никой не чете, повечето напълно легални програми от Маркета дават куп запитвания за достъп до всякакви места на системата – б. р.).
ОС има защита срещу модификации, но, както и за Symbian и iOS е възможно получаване на пълен достъп до системата, тук това се нарича root. След получаване на root е възможен запис в системните области и даже подмяна на системни приложения. Обновяването на ядрото и повишаването на версията на ОС, поправката на грешки и уязвимости става редовно на повечето устройства.
Правейки текущ извод, може да се каже, че съвременните мобилни ОС имат нелоши средства за защита — както вградени, така и представени на пазара. Основни проблеми са несвоевременността или невъзможността за получаване на обновяване, заобикаляне на защитата от самите ползващи, липса на корпоративна политика за безопасност на мобилните устройства. Заради различието на ОС и техните версии не съществува единно корпоративно решения, което може да бъде препоръчано. Но да разгледаме, какви стъпки трябва да се предприемат за защита на устройствата и какво да се отчита при създаване на политики по информационна безопасност.

1. Блокиране на устройствата.
Представете си, че Вашия смартфон е попаднал в ръцете на външен човек. За повечето ползващи това означава, че някой е получил достъп до всичко едновременно. Трябва да се блокира устройството с парола (устойчива или с ограничен брой опити за въвеждане), след които данните на устройството се изтриват или устройството се блокира.

2. Използване на криптографски средства.
Трябва да се ползват шифроване на сменяемите носители, карти памет – всичко, към което може да получи достъп злоумишленика.

3. Забрана на съхраняване на паролите в браузера на мобилното устройство.
Не трябва да се съхраняват пароли в менажерите за пароли на браузерите, дори в мобилните. Желателно е да се постави ограничение за достъп до пощенската кореспонденция и sms, и да се ползва шифроване.

4. Забрана за ползване на менажери за пароли за корпоративни акаунти.
Съществуват много приложения, създадени за съхранение на всички пароли на мобилното устройство. Достъпа до приложението се извършва с въвеждане на мастер-ключ. Ако той не е достатъчно устойчив, цялата политика по паролите в организацията се компрометира.

5. Забрана за инсталиране на софтуер от непроверени източници, кракване на ОС.
За нещастие, средства за принудително забраняване има само за Windows Mobile устройства, в останалите случаи се налага да се доверявате на думата на ползващия. Желателно е да се ползва софтуер от големи, известни разработчици.

6. Използване на политики Exchange ActiveSync и средства за антивирусна и друга защита.
Ако е възможно - позволява да се избегнат множество заплахи (включително нови), а в случай на загуба или кражба на устройството, то да се блокира и да се унищожат данните на него.

7. В случай на предоставяне на достъп до доверена зона да се извършва щателен контрол.
За ползващи, имащи достъп до доверена зона (вътрешна мрежа по VPN, средства за отдалечено администриране), трябва още по-щателно да се следи за изпълняване на изложените по-горе правила (препоръчва се да ползват IPSEC, да не съхраняват авторизационни данни в приложенията). В случай на компрометиране на устройството е възможна заплаха за цялата вътрешна/ доверена зона, което е недопустимо.

8. Да се ограничи списъка на данни, които може да се предават към облачни услуги.
Съвременните мобилни устройства и приложения са ориентирани към използване на множество облачни услуги. Необходимо е  да се следи за това, конфиденциалните данни и данните, отнасящи се до търговски тайни случайно да не са синхронизирани или изпратени в една от тези услуги.

Заключение
В края може да се каже, че за корпоративно приложение е желателно да се използва една и съща платформа (а най-добре — еднакви устройства) с инсталиран софтуер от корпоративен клас, който може да се конфигурира и обновява централизирано. От текста на статията е очевидно, че трябва да се разработи и внедри политика на информационна безопасност по отношение на мобилните устройства, да се правят проверки за нейното изпълнение и задължително да се ползва Exchange-сървър за определяне на EAS политики. В тази статия не е разгледана BlackBerry OS, но трябва да се отбележи, че тази платформа е корпоративен стандарт в много държави по света.
Автор: Сергей Никитин
Източник: xakep.ru
Превод: Antivirusni.bg
  • Архив

    «   Април 2017   »
    Пн Вт Ср Чт Пт Сб Нд
              1 2
    3 4 5 6 7 8 9
    10 11 12 13 14 15 16
    17 18 19 20 21 22 23
    24 25 26 27 28 29 30
                 

Въведи своя e-mail и получавай

свежите намаления и новини!