Сергей Солдатов ООО «РН-Информ» О БЕЗОПАСНОСТИ МОБИЛЬНЫХ УСТРОЙСТВ
Сергей Солдатов
ООО «РН-Информ»
О БЕЗОПАСНОСТИ МОБИЛЬНЫХ
УСТРОЙСТВ
ИНТРО
• Мое личное мнение – предмет обсуждения…
• … но я использую его в работе
• Не являюсь экспертом конкретно по безопасности мобильных
устройств…
• … но по безопасности вообще
• Для меня это один из множества ИТ-проектов с участием безопасности
• … но он знаковый, так как «заметен» высшему руководству
• Я не юрист
ПОЗИЦИЯ ИНФОРМАЦИОННОЙ
БЕЗОПАСНОСТИ
• Основана на анализе рисков
• Обречены учитывать только текущие векторы атак
• Безопасность – это компромисс
• Бизнес вправе выбирать….
• …. но мы должны объяснить
О «PRIVACY» И ПЕРСОНАЛИЗАЦИИ
• Устройства – собственность Компании
• Допускается использование исключительно в
производственных целях
• Приравнивается к корпоративному ПК
• Обрабатываемая информация – собственность Компании
ЦЕЛИ БИЗНЕСА
• Ускорение процесса принятия решений за счет повышения
мобильности своих сотрудников пользователь чувствует
себя как «в офисе»
• С минимально возможными рисками безопасности попав
на устройство информация не ухудшила свои свойства
(«КЦД»)
Практически любая технология так или иначе ослабляет ИБ,
поэтому любое внедрение должно иметь объективную бизнес-
потребность
ОБ АНАЛИЗЕ РИСКОВ (НЕМНОГО ТЕОРИИ)
ЧТО ЗАЩИЩАЕМ?
• Данные на устройстве
• Данные в информационной системе
• Инфраструктуру (?)
ЦЕЛИ ЗАЩИТЫ (О «КЦД») ?
• Конфиденциальность – обеспечить, что передаваемые и
хранимые данные не могут быть прочитаны
неавторизованным
• Целостность – обнаруживать любые изменения в
передаваемые и хранимые данные
• Доступность – обеспечить, что пользователи могут
получать доступ к данным
КОГО/ЧЕГО БОИМСЯ (МОДЕЛЬ НАРУШИТЕЛЯ) ?
• Пользователь устройства:
• Умышленная компрометация данных на устройстве
Вероятность Низкая
• Неумышленная --- // --- Вероятность Высокая
• Внутренний пользователь:
• Сетевая атака на ИС Вероятность Средняя
• Внешний «хакер»:
• Сетевая атака на ИС Вероятность Высокая
• Сетевая атака на устройство Вероятность Средняя
• Атака на устройство (exfiltration) Вероятность Высокая
ПОЧЕМУ БОИМСЯ? • Беда с физической безопасностью
Утрата устройства
• Работа в «агрессивных средах»
Сетевая атака на устройство
• Возможность установки небезопасных приложений
Компрометация данных через недоверенное приложение
• Интеграция с другими системами
Компрометация данных через передачу в недоверенную систему
• Использование недоверенного контента
… почти как про приложения
• Определение местоположения
Могут выследить
КОНТРОЛИ БЕЗОПАСНОСТИ (ТЕХНИЧЕСКИЕ)
• Беда с физической безопасностью
Пароль; Автоблокировка; Шифрование; Удаленная чистка (?)
• Работа в «агрессивных средах»
Контроль приложений
• Возможность установки небезопасных приложений
Контроль приложений
• Интеграция с другими системами
Запрет Облаков
• Использование недоверенного контента
Контроль приложений
• Определение местоположения
Выключить
КОНТРОЛИ БЕЗОПАСНОСТИ (ПРОЧИЕ)
• Использование только авторизованными пользователями
• Использование только авторизованных устройств
• Показывать на устройство не больше, чем нужно
• Обучение пользователей (инструктаж, памятка)
• Круглосуточная «горячая линия» для сообщения об утере
• Доступ к ресурсам только с контролируемого устройства
• Шифрованный и взаимно аутентифицированный канал от устройства до Системы (VPN)
• Харденинг серверов, доступных для подключения из Интернет:
• Лишнее выключить,
• То, что включено, настроить безопасно.
• Минимальный доступ из Интернет в ДМЗ и из ДМЗ в ЛВС (Сегментация)
• Контроль целостности программной среды серверов в ДМЗ
• Антивирус,
• Реальные системы контроля целостности
• Мониторинг серверов в ДМЗ
• Сетевой периметр:
• IDS\IPS
• Межсетевой экран
• Прокси
БЕЗОПАСНОСТЬ ИНФРАСТРУКТУРЫ (БАЯНЫ)
НОВОЕ ЗАБЫТОЕ СТАРОЕ – «ЗАЩИТА» ОТ ИТ
• Лемма 1. Нелояльность админа не компенсируется
техническими контролями
• Лемма 2. Чем лучше хочется «защититься», тем
меньше возможности поддержки
• Следствие. Если нужен доступ только тебе, что-то
придется делать только тебе
• Лемма 3. Превентивно – только криптография и SOD.
• Лемма 4. Детективно – масса вариантов, но может
быть поздно.
Этапы процесса
сопровождения Конфигурирование Использование
Объекты
доступа
Субъекты
доступа
Шифрованный
ключевой
контейнер
Пароль
шифрованного
ключевого
контейнера
Почтовый
ящик
пользователя
Секретный
ключ в
хранилище
устройства
Почтовый
ящик
пользователя
Группа поддержки
пользователей Нет доступа Есть доступ Нет доступа Нет доступа Нет доступа
Системные
администраторы Нет доступа Нет доступа Есть доступ Нет доступа Есть доступ*
Администраторы
удостоверяющего
центра
Есть доступ Есть доступ Нет доступа Есть доступ** Нет доступа
Необходимый
набор полномочий Есть доступ Есть доступ Есть доступ Есть доступ Есть доступ
КОНКРЕТНЫЙ ПРИМЕР – S/MIME
* По умолчанию прав нет, но, будучи системные администраторами, технически могут присвоить себе права.
** Имя доступ к шифрованному контейнеру и паролю от него, технически имеют возможность установки секретного ключа
на свое устройство
ОБ IOS
• Штатные средства безопасности:
• Шифруется при установке пароля
• Полный контроль приложений
• Изоляция приложений, нет доступа к общей
файловой системе
• Множество штатных ограничений: установка
приложений, использование камеры, сохранять скриншоты и
т.п.
• Удаленная «зачистка» (Remote wipe)
• Сетевые: SSL\TLS, IPSec, WPA\WPA2\802.11i, 802.11x, ….
• Но как это все оживить с запретом отключения?
MOBILE DEVICE MANAGEMENT
• «комплайнс» - наше все!
• Пусть не идеально, но у всех одинаково
• Управление должно быть дешевым
• Но не все риски адресованы…. IDC WW Mobile Security
УСТРОЙСТВО РЫНКА MDM В 2011 ГОДУ
• Лидеры: Good, Sybase (SAP),
AirWatch, MobileIron
• Все остальные – нишевые игроки
• Функционал MDM по мнению Gartner:
• Установка ПО
• Контроль политики
• Инвентаризация
• Управление настройками безопасности
• Управление телекоммуникационными сервисами
СЛАЙД ПРО AFARIA
Синхронизация
файлов
Afaria Консоль
управления
Удаленая
установка ПО
Отслеживание
устройств
Безопасность
устройств
Автоматизация
процессов
Help Desk Резервное
копирование
Настройка
устройств
ВЫХОД ИЗ-ПОД AFARIA
• Описание риска: пользователь iOS всегда может деинсталлировать
приложение Afaria
• Надо гарантировать получение доступа только с устройств под
Afaria
Аутентификация устройства по сертификату, установленному Afaria
• При удалении Afaria удаляются и корпоративные данные
Установка всех офисных приложений с помощью Afaria
Удаление Afaria приводит к удалению всего, что через нее установлено
… «Корпоративная заливка»….
ЧТО ЕСТЬ В ПРИРОДЕ?
• По каждой ОС есть свое руководство по
безопасности. Пример – «iOS Security».
• NIST SP 800-124 Revision 1 (DRAFT).
Guidelines for Managing and Securing
Mobile Devices in the Enterprise.
• Периодика
• Семинары и Web-касты
• Здравый смысл
ВОПРОСЫ?
Спасибо за Ваше внимание!
Сергей Солдатов, CISA, CISSP
OOO «РН-Информ»
reply-to-all.blogspot.com