Защита мобильных устройств

Мобильные устройства давно и прочно вошли в жизнь каждого из нас. Сейчас трудно найти человека, который не обладал бы как минимум одним из них. Свое место они завоевали и в корпоративной среде. Для многих компаний мобильный телефон – это не только средство коммуникации, но и один из основных рабочих инструментов, который заметно облегчает множество бизнес-процессов и не привязывает сотрудника к рабочему месту.

Защита корпоративных данных – личное дело каждого?

В силу все большего перехода к мобильности, многие пользователи имеют доступ к корпоративной почте, приложениям и документам прямо со своего телефона, а само устройство уже стало частью корпоративного периметра. Но в отличие от отношения к безопасности корпоративной сети, у организаций другое отношение к проблемам, которые могут возникнуть, если телефон сотрудника будет, например, взломан; а вера в честность и добросовестность коллег и подчиненных окажется губительной для конфиденциальных документов, будь они переданы конкурентам, либо же случайно отправлены не тому получателю.

Соответственно, проблема защиты мобильных устройств лежит в двух плоскостях. Первая, сугубо прикладная – техническая защита. Ни для кого не секрет, что количество инцидентов, связанных именно с заражением устройств, за последние годы существенно возросло.

• Вредоносное ПО CopyCat, которое транслировало фальшивые рекламные ролики, заразило более 14 миллионов устройств по всему миру, принеся злоумышленникам около 1 500 000$ только за два месяца.
• Всемирно известная группа Lazarus, возможно, причастна к заражению мобильных телефонов Samsung через закладки в мобильных приложениях.
• По статистике, приведенной аналитиками компании Check Point, 89% организаций стали жертвами как минимум одной атаки типа Man-in-the-Middle по сетям Wi-Fi.

Может показаться, что защита личных устройств – персональное дело каждого владельца, но только до того момента, пока смартфон не послужит причиной заражения машин в сети через корпоративный Wi-Fi, либо же не произойдет кража данных с самого устройства. При этом важно понимать, что такие устройства являются частью сети организации, поэтому, как и любые другие ее структурные элементы, их необходимо защищать должным образом. Задача заметно усложняется тем, что они не могут постоянно находиться за межсетевым экраном, поэтому, как бы он ни был хорош, как бы гранулярно на нем ни были отстроены политики, распространить их действие на устройство, которое периодически покидает корпоративную сеть, без дополнительного решения просто невозможно.

Второй аспект – защита корпоративной информации, которую может содержать мобильное устройство. В силу того, что в таком устройстве крайне сложно разделить личную информацию пользователя, посягательство на которую порицается с точки зрения законодательства, и информацию корпоративную, которую необходимо защитить с целью предотвращения ущерба, требуется крайне аккуратный подход к защите такой информации.

Идеальным было бы такое решение, которое позволяет ограничить доступ к корпоративным приложениям и документам, при этом не затрагивая чувствительную и персональную информацию, принадлежащую пользователю. На наш взгляд, только такой подход, именуемый за рубежом Bring Your Own Device (BYOD), не вызывает отторжения у сотрудников и не влечет за собой негативную реакцию с их стороны, при этом сохраняя активы компании в безопасности.

Как мы видим, использование мобильных устройств сотрудниками для решения бизнес-задач несет дополнительные риски для безопасности как периметра, так и конфиденциальной информации, распространение которой было бы нежелательно или вовсе несет ущерб для организации. Зачастую многие специалисты просто закрывают глаза на возможные осложнения, связанные с игнорированием вышеозначенных проблем. Мы же постараемся найти для каждой из них решение, а, желательно, еще и комплексное, решающее обе проблемы сразу, тем более, что компания Softline уже имеет подобный опыт и с радостью поделится им с вами. В рамках данной статьи рассмотрим комплекс решений от компании Check Point, позволяющий максимально эффективно справиться с обеими задачами.

Capsule Workspace для защиты корпоративных данных

Начнем со второй проблемы – защищенности корпоративных данных на мобильных устройствах. Специально для того, чтобы защитить корпоративные данные и приложения, при этом не нарушая частную жизнь сотрудников, использующих мобильные устройства в рабочих целях, компания Check Point разработала продукт Capsule Workspace.

Это отдельное приложение представляет собой изолированную от остальной операционной среды мобильного устройства защищенную и зашифрованную область, внутри которой уже развернуты почта, календарь, хранилище файлов, браузер и др. Такая архитектура позволяет получить доступ к корпоративным приложениям и ресурсам (например, почте, календарю, PIM, Intranet) изнутри среды, защищенной PIN-кодом либо отпечатком пальца.

Все корпоративные данные хранятся внутри Capsule и не могут быть скопированы, например, на флэш-память телефона. Кроме того, весь трафик из приложений Capsule (почта, интернет) передается по VPN-каналу и тоже недоступен для злоумышленника. Контакты, календарь – все изолировано, и доступ контролируется администратором безопасности компании. В случае утери телефона доступ к капсуле блокируется. Если сотрудник, например, покинул компанию, то доступ к Capsule Workspace также блокируется, при этом личные данные пользователя не только не затрагиваются, но и не видны администратору.

Такой подход позволяет четко отделить личные данные пользователя от корпоративных, и при этом совершенно отсутствует вмешательство в частную жизнь хозяина, что, в отличие от решений класса EMM и MDM, не вызывает негативной реакции со стороны сотрудника.

Capsule Workspace содержит в себе почтовый клиент с поддержкой MS Exchange, встроенные редакторы офисных документов, позволяет опубликовать веб-ресурсы, файловые сервисы, удаленные рабочие столы, а также «обернуть» самописные корпоративные приложения, чтобы пользователь имел все необходимые рабочие инструменты в замкнутой среде без возможности утечки данных через другие приложения на устройстве.

SandBlast Mobile как инструмент защиты от угроз

Вторая проблема – это безопасность самого мобильного устройства, которое может быть скомпрометировано злоумышленником или подвержено сетевым атакам с прослушкой (Man-in-the-Middle). В таком случае, даже при разграничении корпоративной среды от личных данных пользователя, злоумышленник может использовать мобильное устройство как точку входа в корпоративную сеть, вести слежку за пользователем, использовать его контакты, данные календаря, личную почту, фотографии и прочее для целевого фишинга или вымогательства.

В качестве ответа на указанные угрозы рассмотрим еще один продукт в портфеле решений компании CheckPoint – SandBlast Mobile. Данное специализированное мобильное приложение предназначено для защиты носимых устройств как на базе операционных систем iOS (от 8 версии до 11), так и Android (с 4.х версии до 8.х). Основная задача этого решения в своевременном обнаружении угроз как известных, так и ранее неизученных.

SandBlast Mobile позволяет инспектировать приложения, установленные на мобильном устройстве, чтобы обезопасить устройство от зараженных инсталяционных комплектов, которые могут быть замаскированы под легитимные приложения.

Мониторинг сетевой активности на предмет аномалий со стороны процессов, которые ее инициировали, позволит обнаружить уже установленное на мобильном устройстве вредоносное ПО, а проверка входящих SMS для поиска потенциально опасных URL-ссылок поможет защитить устройство от фишинга.

Как это работает

Для защиты мобильных устройств от вредоносного ПО, в том числе и неизвестного, в CheckPoint SandBlast Mobile применяются следующие технологии: эмуляция угроз, расширенный статический анализ кода, включая reverse engineering, система репутации приложений и машинное обучение.

Для централизованного управления устройствами используется облачная консоль, доступная для администраторов из любой точки земного шара. Есть возможность интеграции в части выгрузки логов с SIEM-системами (например, ArcSight). Поддерживается 17 различных ролей для администраторов. А для наиболее комфортного администрирования предусмотрена возможность создания профилей приложений на основе белого и черного списков, сбора результатов анализа приложений на предмет наличия в них угроз и рисков от их использования, а консоль администратора предоставляет информацию о рисках для выбранного устройства.

В целях конфиденциальности данных пользователей и интеграции с корпоративными системами, такими как MS AD и Exchange, на площадке клиента может быть установлен UDM-сервер (Users and Device Management), который будет локально хранить и отображать в интерфейсе управления SandBlast Mobile имена и номера телефонов пользователей, тогда как в облачной консоли будет применяться обфускация.

Превентивная составляющая SandBlast Mobile реализуется следующим образом: если устройство пользователя атаковано или скомпрометировано, то Capsule Workspace запретит доступ к корпоративным данным в своем криптоконтейнере и уведомит пользователя о причине блокировки. Если угрозу устранить, то блокировка доступа автоматически снимается.

Аналогичный функционал (категоризация устройства и автоматическое ограничение доступа к корпоративным данным) возможен и за счет интеграции с большинством решений ведущих EMM- и MDM-вендоров (VMware, MobileIron Citrix, IMB, Good, Blackberry и др.).

Таким образом, внедрение данного комплекса решений позволяет решить оба проблематичных аспекта использования мобильных устройств в рабочих целях, при этом полностью соблюдая приватность данных пользователей, но одновременно закрывая существенную брешь в корпоративном периметре. Подобная система будет проста во внедрении и администрировании, и имеет ряд преимуществ перед классическими EMM- и MDM-решениями.

За подробной информацией обращайтесь к Денису Чигину, руководителю направления сетевой безопасности: Denis.Chigin@softline.com