Снова я решил затронуть вопрос безопасности мобильных устройств и сегодня хотелось бы поговорить непосредственно о средствах защиты, существующих на рынке.
Исходя из того, что я писал уже ранее по этой теме, для мобильных устройств в контексте имеющихся рисков в первую очередь актуально внедрение следующих защитных механизмов:
И вот тут сразу же первое огорчение. В настоящий момент еще не существует технологий, позволяющих централизованно установить на мобильное устройство (здесь и далее я понимаю под таковым планшет или смартфон) какое-либо программное обеспечение. Вы можете разослать всем своим пользователям ссылку на программу, находящуюся в App Store или Google Play, и попросить ее установить, но не сможете это сделать за них, как это уже стало привычным для обычных десктопов или ноутбуков. Так что вопросы установки каких-либо агентов, вопросы принудительного обновления программного обеспечения и пр., пока придется выполнять вручную.
Идем дальше. Контроль доступа. И Android и iOS (и, как я предполагаю, Windows 8) содержат функционал блокировки устройства с помощью пароля произвольной длины. Вопрос можно ли этим как-то управлять ? Можно, для этих целей служат системы класса MDM (Mobile Device Management). Такие системы позволяют централизовано управлять параметрами работы мобильных устройств, которые к ней подключены (посредством установки агента на мобильное устройство), и в т.ч. определять необходимость использования и длину пароля.
Шифрование устройства. Эта функция также по-умолчанию присутствует в iOS и Android (начиная с версии 2.3.4). Централизованно включить принудительное шифрование устройства можно также за счет использования MDM системы.
Шифрование каналов связи (VPN). И Android и iOS обладают встроенными VPN-клиентами. Помимо этого есть и сторонние клиенты, например, от компании Cisco. С ГОСТовым шифрованием дела обстоят хуже. Компания Инфотекс выпустила VPN-клиент, но для этого потребуется сделать на устройстве jailbreak, что далеко не всегда приемлемо. С точки зрения централизованного управления, то здесь также в политики MDM системы можно внести параметры VPN-соединений и они автоматически будут применены на всех управляемых устройствах.
Средства антивирусной защиты. Здесь дела пока обстоят несколько хуже. Да, большинство крупных производителей средств антивирусной защиты уже выпустили версии своих продуктов для различных мобильных платформ, НО пока эти продукты ориентированы на конечных потребителей, а не на корпоративных Заказчиков. Т.е. в настоящий момент не существует возможности централизованно устанавливать параметры работы антивирусов, проводить принудительное сканирование, обновление и другие задачи, ставшие уже привычными для администраторов сети.
Средства контроля за обращением с информацией (DLP, IRM и т.п.). В настоящий момент мне известно только 2 продукта, которые могут помочь в борьбе с утечкой конфиденциальной информации через мобильные устройства. Это система DLP от компании Symantec (Symantec Data Loss Prevention for Mobile) и продукт компании Cortado (Cortado Corporate Server), который позволяет ограничить доступ к файлам исключительно на просмотр и исключить возможность пападания файлов с конфиденциальной информацией на мобильное устройство.
Основной проблемой, которую называют производители систем класса DLP, является то, что постоянная работа DLP-агента будет неминуемо сажать батарею устройства и серьезно влиять на время его работы. Решить эту проблему судя по всему пока не получается. Вот, например, как ее сейчас решает компания Symantec:
Т.е. по сути задача сводится к тому, чтобы весь трафик с мобильного устройства пропускать через корпоративную сеть и на уровне сети уже мониторить трафик и боротья с утечкой.
Вот такая вот картинка, коллеги. Несмотря на бурный рост рынка мобильных устройств, с точки зрения безопасности остается ряд неразрешенных моментов. Пока можно сказать, что начинать решать вопрос обеспечения безопасности мобильных устройств рекомендуется с внедрения системы управления (MDM). Об этих системах и поговорим более подробно в следующий раз.
Исходя из того, что я писал уже ранее по этой теме, для мобильных устройств в контексте имеющихся рисков в первую очередь актуально внедрение следующих защитных механизмов:
- средства контроля доступа
- средства шифрования устройства
- средства шифрования каналов связи (VPN)
- средства антивирусной защиты
- средства контроля за обращением с информацией (DLP, IRM и т.п.)
И вот тут сразу же первое огорчение. В настоящий момент еще не существует технологий, позволяющих централизованно установить на мобильное устройство (здесь и далее я понимаю под таковым планшет или смартфон) какое-либо программное обеспечение. Вы можете разослать всем своим пользователям ссылку на программу, находящуюся в App Store или Google Play, и попросить ее установить, но не сможете это сделать за них, как это уже стало привычным для обычных десктопов или ноутбуков. Так что вопросы установки каких-либо агентов, вопросы принудительного обновления программного обеспечения и пр., пока придется выполнять вручную.
Идем дальше. Контроль доступа. И Android и iOS (и, как я предполагаю, Windows 8) содержат функционал блокировки устройства с помощью пароля произвольной длины. Вопрос можно ли этим как-то управлять ? Можно, для этих целей служат системы класса MDM (Mobile Device Management). Такие системы позволяют централизовано управлять параметрами работы мобильных устройств, которые к ней подключены (посредством установки агента на мобильное устройство), и в т.ч. определять необходимость использования и длину пароля.
Шифрование устройства. Эта функция также по-умолчанию присутствует в iOS и Android (начиная с версии 2.3.4). Централизованно включить принудительное шифрование устройства можно также за счет использования MDM системы.
Шифрование каналов связи (VPN). И Android и iOS обладают встроенными VPN-клиентами. Помимо этого есть и сторонние клиенты, например, от компании Cisco. С ГОСТовым шифрованием дела обстоят хуже. Компания Инфотекс выпустила VPN-клиент, но для этого потребуется сделать на устройстве jailbreak, что далеко не всегда приемлемо. С точки зрения централизованного управления, то здесь также в политики MDM системы можно внести параметры VPN-соединений и они автоматически будут применены на всех управляемых устройствах.
Средства антивирусной защиты. Здесь дела пока обстоят несколько хуже. Да, большинство крупных производителей средств антивирусной защиты уже выпустили версии своих продуктов для различных мобильных платформ, НО пока эти продукты ориентированы на конечных потребителей, а не на корпоративных Заказчиков. Т.е. в настоящий момент не существует возможности централизованно устанавливать параметры работы антивирусов, проводить принудительное сканирование, обновление и другие задачи, ставшие уже привычными для администраторов сети.
Средства контроля за обращением с информацией (DLP, IRM и т.п.). В настоящий момент мне известно только 2 продукта, которые могут помочь в борьбе с утечкой конфиденциальной информации через мобильные устройства. Это система DLP от компании Symantec (Symantec Data Loss Prevention for Mobile) и продукт компании Cortado (Cortado Corporate Server), который позволяет ограничить доступ к файлам исключительно на просмотр и исключить возможность пападания файлов с конфиденциальной информацией на мобильное устройство.
Основной проблемой, которую называют производители систем класса DLP, является то, что постоянная работа DLP-агента будет неминуемо сажать батарею устройства и серьезно влиять на время его работы. Решить эту проблему судя по всему пока не получается. Вот, например, как ее сейчас решает компания Symantec:
Т.е. по сути задача сводится к тому, чтобы весь трафик с мобильного устройства пропускать через корпоративную сеть и на уровне сети уже мониторить трафик и боротья с утечкой.
Вот такая вот картинка, коллеги. Несмотря на бурный рост рынка мобильных устройств, с точки зрения безопасности остается ряд неразрешенных моментов. Пока можно сказать, что начинать решать вопрос обеспечения безопасности мобильных устройств рекомендуется с внедрения системы управления (MDM). Об этих системах и поговорим более подробно в следующий раз.
Добавь еще из основных: резервное копирование; единое хранилище паролей и SSO; +к АВЗ нужно что-то типа антиспама (и письма и соцсети)
ОтветитьУдалитьИз дополнительных: определение местоположения девайса; оповещение и/или блокирование девайса после утери/кражи (хотя тут и шифрованием можно поччти полностью вопрос решить)
Мобильная DLP = Good for Enterprise
ОтветитьУдалитьМне кажется, более известна, чем Symantec или Cortado
На счет DLP надо понимать, а какая информация обрабатывается на мобильных устройствах локально?
ОтветитьУдалитьСкорее всего никакая. Так как с устройства обращаются к корпоративным сервисам, и именно на сервисы установлена система DLP.
Юридически обосновать право на контроль личного телефона гражданина почти невозможно.