Стратегия безопасности мобильных устройств

Тема использования мобильных устройств сейчас волнует многих корпоративных пользователей. Причем все понимают, что от этого никуда не деться; что это уже все используют; что ситуация будет только усугубляться; и что с этим надо что-то делать. Немного цифр и статистики по использованию мобильных устройств есть тут и тут.
Недавно, на спонсируемой нами конференции Лаборатории Касперского, я делал доклад на тему «Анализ рынка безопасности мобильных устройств». Да и до этого уже не раз обращался к теме мобильной безопасности. Одной из рекомендаций было создание стратегии защищенного мобильного доступа, которая станет основополагающим документом в области формирования политики использования мобильных устройств в бизнесе, и их защиты.
Что должна включать в себя такая стратегия? Я постарался описать ключевые разделы данного документа:
  1. Общий подход — применяете или нет?
    • даже если вы решили не использовать мобильные устройства, это лучше зафиксировать, указав причины такого решения.
  2. Анализ рисков и модель угроз
    • От чего защищаемся? Только ли от вредоносного кода? Или проникновения на мобильное устройство? Отношение к утечкам данных? Будем ли контролировать доступ к сайтам, ненужным для работы?
  3. Отношение к BYOD
    • BYOD — Byu Your Own Device — программа, подразумевающая использование сотрудников собственноручно купленных мобильных устройств. Если нет, то почему. Если да, то какие требования должны соблюдаться пользователями таких устройств при нахождении в офисе (например, сдавать их в камеру хранения при входе) или подключении их в корпоративную сеть.
  4. Используемые мобильные платформы
    • Любые или из ограниченного списка? Большинство компаний ограничивает применение iOS, BlackBerry и Android, но встречаются и Windows Phone 7, Symbian, webOS и т.д.
  5. Доступ изнутри сети
    • Принципы защиты и контроля доступа мобильных устройств внутри корпоративной сети (сертификаты и т.д.).
  6. Доступ извне сети
    • аналогично предыдущему, но для доступа извне. Например, доступ только через VPN и никак иначе. Применение средств контроля доступа NAC на периметре. Использование отдельной точки входа для таких устройств. Вариантов может быть масса.
    • В этом же разделе должны быть описаны приложения и сервисы, к которым имеют доступ сотрудники извне. Например, только к почте и адресной книге. А может еще и к календарю, бизнес-приложениям.
  7. Отношение к Jailbrake
    • Непростой вопрос. Хотя по статистике число взломанных устройств очень незначительно — около 8-10%, их нельзя сбрасывать со счетов. Ведь взломанное устройство — это потенциальная угроза для установки уязвимых приложений.
  8. Приложения
    • Есть ли ограничения на используемые приложения? Планируется ли собственная разработка?
    • Магазины приложений — новый канал проникновения вредоносных программ на мобильное устройство. Есть ли ограничения на установку приложений с Интернет-магазинов? Какова процедура установки? Напрямую с Интернет или только через ПК, где приложение можно проверить на вирусы?
  9. Функция «антивор»
    • Как искать украденное или потерянное устройство (например, в iPhone/iPad эта функция является встроенной)? Как дистанционного удалить данные на устройстве? Как дистанционно заблокировать устройство? Как защититься при смене SIM-карты?
  10. Шифрование данных на устройстве
    • Встроенное шифрование или внешняя система? Шифровать все или только отдельные разделы устройства?
  11. Удаленное управление и контроль
    • Как организовать удаленное управление и контроль использования? Делается ли это централизованно или отдается на откуп пользователям? Необходимо ли отключать удаленно отдельные аппаратные компоненты — Wi-Fi, камера, Bluetooth, диктофон и т.д.?
  12. Compliance
    • Надо ли обеспечить соответствие регулятивным требованиям (того же ФЗ-152, СТР-К и т.д.) или этот риск принимается как неактуальный или несущественный?
  13. Соответствие политикам ИТ и ИБ
    • Как контролируется установка патчей? Как обеспечить наличие нужных локальных настроек? Как проверяется наличие нужных программ на мобильном устройстве? Как снять конфигурацию удаленно? Как «накатить» новую конфигурацию на устройство? Как провести инвентаризацию устройства?
  14. Аутентификация
    • Локальная аутентификация на устройстве (правила выбора PIN-кода). Аутентификация при доступе к корпоративным ресурсам. Аутентификация при доступе к локальным приложениям (например, к почте). Возможен ли удаленный доступ администратора к пользовательскому устройству? А если оно принадлежит не компании?
  15. Антивирус
  16. Личная защита
    • Ведение черного списка номеров (включая и для защиты от SMS-спама). Скрытие от посторонних глаз любой информации по отдельным абонентам (включая SMS, почту и т.д.).
  17. Контентная фильтрация
    • Перенаправление всего трафика на корпоративные средства контентной фильтрации. Использование облачных технологий защиты Web-доступа (например, Cisco ScanSafe). Как контролировать утечки информации по e-mail и другим каналам? Защита от спама (включая SMS-спам).
  18. Используемые механизмы защиты
    • Ориентация на встроенные механизмы (например, ActiveSync) или внешние средства защиты.
  19. Слежение за устройствами
    • Будем ли контролировать местонахождение устройства? Как? Геолокация?
  20. Защищенный VPN-доступ
  21. Восстановление и резервное копирование
  22. Управление инцидентами
    • Как осуществляется расследование? Как собираются доказательства на мобильных платформах? Управление журналами регистрации событий.
  23. Управление
    • Как управляются мобильные устройства с точки зрения вышеперечисленных задач? Как осуществляется troubleshooting?

Примерно так. Может я что-то и забыл, но ключевые моменты указал. Надеюсь, данная информация будет полезна при составлении собственной политики работы с мобильными устройствами. При этом помните, что если вы что-то не планируете использовать в настояший момент (например, контроль местонахождения устройств или реагирование на инциденты на мобильном устройстве), то это не значит, что данный раздел не стоит включать в итоговый документ. Просто в нем будет написано, что в настоящий момент данная задача не стоит перед предприятием. Это нужно, чтобы не забыть что-то учесть, когда вы будете пересматривать данную политику.

    Оцените статью
    Бизнес без опасности
    Есть что добавить? Добавьте!

    Нажимая кнопку "Отправить", я даю свое согласие на обработку персональных данных (если вдруг они указаны в комментарии) в соответствие с политикой конфиденциальности. Также я соглашаюсь с тем, что в своем комментарии не раскрываю никаких сведений, составляющих государственную тайну, а также никакой иной информации, охраняемой законом (для этого используйте иные способы :-) ), если это не разрешено ее владельцем.

    1. Ригель

      Этот комментарий был удален автором.

      Ответить
    2. СВП

      Алексей, приятно видеть просветление в головах ИБ-шников — мобильное окружение УЖО вот оно со всеми вытекающими:-) А ведь три года назад я именно про это жужжал — сертификацию приложений на мобильнике, помните?

      По делу:
      — вот увесистый обзор по живой теме — мобильник как аутентификатор — http://www.researchandmarkets.com/product/0808ea79/the_mobile_phone_as_an_authentication_device — для нас, утомленных всякими глупостями по ААА — это путь по крайней мере на всякие там порталы госулуг и пр

      — нами реализуется масштабный проект — "мобильная квалифицированная подпись" на основе token-on-SIM + HSM и все по нашим родным ГОСТам, которые уже международные стандарты:-)
      Кому интересно — пишите…

      — позабавиться по околомобидьной безопасности можно тут — http://mobilephonesecuritychallenge.ning.com/

      Успехов всем нам!
      С почтением
      ВП

      Ответить
    3. Unknown

      > Кому интересно — пишите…

      Мне ОЧЕНЬ интересно — куда писать-то?

      Ответить
    4. Алексей Лукацкий

      Василий, мы говорим о разных вещах 😉 Вы о использовании телефона в качестве идентификатора преимущественно ФИЗИКАМИ. Я пишу о корпоративном применении 😉

      Ответить
    5. Unknown

      > Я пишу о корпоративном применении 😉

      Технология token-on-SIM + HSM — очень даже корпоративна 🙂

      Ответить
    6. Алексей Лукацкий

      HSM на мобильном устройстве?

      Ответить
    7. Unknown

      Ага. Оно и интересно 🙂

      Ответить
    8. Анонимный

      Хороший пост, спасибо.
      Единственное, если речь идет о стратегии, то там должно быть описание не только технической стороны вопроса, но и административных мер по работе с пользователями. В этом разделе можно описать как происходит обучение сотрудников и разъяснение почему все сделано именно так. В отечественных компаниях очень часто совершают ошибку, когда система внедряется и некий сервис предоставляется пользователям без должной их подготовки, что выливается в недовольство в массах сотрудников и постоянное давление на службу технической поддержки.

      Ответить
    9. Алексей Лукацкий

      mdmanagement: Да, моя ошибка. Забыл упомянуть

      Алексею: А сувать их куда?

      Ответить
    10. Unknown

      Блин, вот это — ваще интересно 🙂 В СИМ? :))))

      Ответить
    11. Unknown

      А по документу — надо еще раздел "инцидент манагемент" добавить и "обратная связь с целью постоянного улучшения" в разделе работы с пользователями. Тогда будет шоколад 🙂

      Ответить
    12. Алексей Лукацкий

      п.22 — управление инцидентами

      Ответить
    13. СВП

      Пару комментариев, уж коли влез в топик:
      — схема ОТР в разных формфакторах ( на СИМке или СМС) широко используется режиме удаленного корпоративного доступа в сеть
      — режим использования HSM как "единой" виртуальной корпоративной смарт-карты для хранения блобов также популярен (даже при наличии традиционной карт-карты с RFID). Тут полагаю народ видел истерики VIPов, когда те теряют карточки…так что ХСМ рулит для депонирования ключей на корпоративном уровне:-)

      Теперь по связке OTP + HSM — полная аналогия с банковскими ячейками:
      — ОТР как способ жесткого доступа к контейнеру с ключами, которые на ХСМ
      — операции все в оболочке на ХСМ

      Все просто и красиво — у нас и то и другое все по ГОСТ. Поучился виртуальный УЭК с квалифицированной подписью по 63-ФЗ, о т.н. "простой" и "усиленной" и так понятно.
      Главное — простота развертывания с минимумом крипто на клиентской стороне. В европах народ резко поумнел на эту тему — Австрия/Италия и даже Эстония…
      Спасибо Леше за поднятие темы ИБ в мобильной среде. Потом поведаем про особенности в конвергентных сетях — wfi/UMTS/WiMax
      С потчением
      (917) 579 40 16
      [email protected]

      Ответить
    14. Алексей Лукацкий

      Нет, постойте 😉 Куда суется HSM на том же iPhone или BlackBerry? Или под HSM понимается некий отдельный аппаратный носитель с неизвлекаемыми ключами и возможностью осуществлять отдельные операции, как криптографические, так и по генерации OTP?

      Ответить
    15. Unknown

      раздел 22 — пардоньте 🙂 Глаз замылен

      Ответить
    16. СВП

      Леша, ну не издевайтесь — http://en.wikipedia.org/wiki/Hardware_security_module и и тут немного — http://keon.ru/index2.php?page=66&nav=cons&redir=

      Не путайте с TPM — http://en.wikipedia.org/wiki/Trusted_Platform_Module

      Для генерации ОТР уровня защиты среды SIM/smart карты вполне достаточно.

      Ответить
    17. Анонимный

      Нет, постойте 😉 Куда суется HSM на том же iPhone или BlackBerry?

      Я так понимаю, что речь идет о таком форм-факторе — GO-TRUST ANNOUNCES ‘DONGLE-FREE’ HARDWARE SECURITY MODULE FOR TABLET PCS AND SMART PHONES

      Но в iPhone такое не запихаешь 🙁

      Ответить
    18. СВП

      ну да, не запихаешь, и не надо — поэтому все делается инвариантно относительно ОС, формфатора смартфона и его атрибутики. но на СИМ (пока она есть еще:-))

      Да, на Рускрипто же был доклад по теме —
      Смирнов / Крипто-Про/, Меньшенин / Демос/
      О реализации систем удалённого хранения ключей и формирования ЭЦП
      http://www.ruscrypto.org/netcat_files/File/ruscrypto.2011.031.zip
      там кратко, но ясно изложена идея
      Ну и, коллеги, уж не обессудьте, что я как-то сместил акцент на посте Алексея, но мне кажется ИБ должна расширять бизнес возможности…

      ВП

      Ответить
    19. Александр Бодрик

      Столько работы…хоть нанимай отдельного специалиста

      Ответить
    20. Алексей Лукацкий

      Ну если мобильных устройств много, то почему бы и нет?

      Ответить
    21. Александр Бодрик

      Емм…скорее нужно с калькулятором в руках показывать почему да. Я отлично понимаю финансистов — раз не зарежешь непонятную трату, потом второй, третий..и окажется что в компании 30 процентов трат совершенно неуправляемы (т.е. непонятно когда их можно резать или увеличивать а когда нет так как нет обоснования их целесообразности).

      Ответить