Rambler's Top100
Статьи ИКС № 11 2013
Виктория НОСОВА  11 ноября 2013

Мобильная защита для начинающих

Перед любой компанией рано или поздно встает вопрос: не пора ли организовать мобильный удаленный доступ к корпоративным ресурсам? Но как это сделать, не поставив под угрозу бизнес-интересы предприятия?

Виктория НОСОВА, консультант по безопасности, Check Point Software TechnologiesПричины, по которым компании организуют удаленный доступ к своим информационным ресурсам, могут быть разными. В одних компаниях много сотрудников, которые постоянно находятся вне офиса, но должны читать почту и обращаться к определенным данным. Другие открывают доступ к внутренним ресурсам своим системным администраторам. У третьих в штате есть сотрудники, работающие на дому.

Немалое число крупных коммерческих компаний уже предоставляют удаленное подключение своим работникам. Найти подходящее для себя решение удается и банкам, хотя требования к такой системе у них значительно более строгие. Компании сектора SMB тоже могут выбрать недорогое и подходящее по производительности устройство, на котором, помимо брандмауэра и системы обнаружения и предотвращения атак, будет активирована возможность защищенного удаленного доступа. Сложнее с государственными компаниями: применяемые ими решения должны соответствовать требованиям регуляторов.

Личное или корпоративное

Возможность следовать принципу BYOD (Bring Your Own Device, «принеси свое устройство») зависит как от специфики предприятия, так и от типа мобильного устройства. Если компания решилась подключить к своим корпоративным ресурсам смартфоны, то при применении защищенного контейнера особой разницы между личными и корпоративными устройствами нет. В обоих случаях корпоративные данные изолируются от личных, и можно не опасаться утечки или компрометации конфиденциальной информации. Однако госструктуры могут столкнуться с трудностями при описании доверенной среды на смартфоне работника (как, впрочем, и на ноутбуке). Тем не менее в некоторых российских государственных компаниях доступ к корпоративным данным с личных смартфонов уже разрешен. Использование личных смартфонов в финансовых организациях тоже пока ограничено, поскольку утечка хранящихся у них данных может иметь достаточно серьезные последствия.

Если речь идет о ноутбуке, то обеспечить должный уровень защиты несколько сложнее. Существуют решения, поддерживающие разные политики в зависимости от того, к какой сети подключен ноутбук – домашней или корпоративной. Также можно настроить проверку актуальности баз сигнатур антивирусного ПО, установленного на ноутбуке. Если базы не прошли проверку, то с помощью персонального брандмауэра ко всем ресурсам, кроме ресурса, с которого можно загрузить новые базы, доступ блокируется. После обновления доступ будет открыт. Конечно, на ноутбуке должен быть установлен централизованно управляемый агент, который имеет встроенный персональный брандмауэр, антивирус, функционал шифрования жестких дисков и контроля портов, а не только VPN-клиент для создания защищенного туннеля до VPN-шлюза компании. Если же вы хотите, чтобы на мобильном компьютере сотрудника не оставалось корпоративных файлов, можно воспользоваться зашифрованными USB-носителями, которые запускают защищенный рабочий стол, запрещая перемещение файлов между этим столом и хостом. Для многих компаний такие продукты решают задачу. В финансовых и государственных организациях использование личных ноутбуков сильно ограничено.

5  п р а в и л   в н е д р е н и я 

1. Подойдите к задаче комплексно. Не стоит сначала выбирать решение для подключения смартфонов, внедрять его и настраивать, а потом думать, как защищать удаленный доступ. Неудивительно, если в таком случае получится зоопарк из продуктов, которые работают друг с другом с трудом.

2. Изучите все актуальные на данный момент технологии, взвесьте все за и против. Возможно, вам и не нужно все из того, что есть на рынке.

3. Проанализируйте предлагаемые решения. Возможно, вместо пяти продуктов от разных вендоров вы найдете два-три решения, покрывающие ваши задачи. А может быть, вам повезет, и все ваши потребности удастся охватить одним продуктом.

4. Определитесь с поддерживаемыми операционными системами мобильных устройств. Допустим, у вас 64% смартфонов с операционной системой A, 32% с операционной системой В и всего 4% с операционной системой С (дабы не обидеть вендоров, назовем их так). Если вы можете выбрать одно решение, обеспечивающее подключение и защиту доступа к корпоративным ресурсам с мобильных устройств, которые работают под А и В, то, может быть, просто отказаться от поддержки смартфонов с операционной системой С? Сложно найти решение, которое удобно и полноценно управляло бы любыми мобильными устройствами.

5. Проведите пилотный проект. Создайте тестовую зону, максимально приближенную к «боевой», и протестируйте выбранные решения вместе. Проверьте работу тестируемых решений с уже имеющимися у вас системами – с Active Directory, веб-порталами, серверами электронной почты и т.п. Привлеките к пилотным проектам специалистов вендора или компаний-интеграторов, имеющих опыт внедрения выбранных продуктов.

В любом случае разумный и взвешенный подход поможет вам создать интегрированную систему защиты мобильной среды с централизованным управлением, которая задействует небольшое количество ресурсов.  

Как защитить корпоративную информацию

Наиболее эффективный механизм защиты корпоративной информации на мобильных устройствах – выделение корпоративных данных в защищенный контейнер, обеспечивающий изоляцию корпоративных данных от остальных данных и программ. Пользователь не сможет размещать корпоративные файлы на различных веб-сервисах, таких как Evernote, или в облачных хранилищах данных, например iСloud или Dropbox. Изюминка такого подхода состоит в том, что эти ограничения не действуют в отношении личных файлов. Пользователь волен делать со своими документами или фотографиями все что угодно, запускать на своем устройстве любые программы. Этим-то и отличается защищенный контейнер от решений класса Mobile Device Management, которые устанавливают ограничения в рамках всего устройства, не делая различий между корпоративными и личными данными. Такая политика, как правило, приводит к тому, что пользователи начинают изощряться в попытках обмануть систему. Применение же защищенного контейнера снижает риск возникновения подобной инициативы, поскольку для своих личных файлов пользователь может в полной мере задействовать функции, ради которых он приобретал данное мобильное устройство.

Для доступа к самим корпоративным ресурсам необходима двухфакторная аутентификация – сложный пароль (удобнее всего использовать пароль от учетной записи в Active Directory) и сертификат. Сертификат должен быть привязан не только к устройству, но и к пользователю, чтобы с данного устройства мог подключиться к корпоративным ресурсам только тот пользователь, для которого генерировался сертификат.

Достаточно часто пользователи не ставят пароль на все устройство. Чтобы в случае утери такого устройства с корпоративными данными ничего страшного не произошло, всякий раз, когда пользователь открывает защищенный контейнер, устройство должно запрашивать некий PIN-код. Причем весьма желательно, чтобы он был не короче шести символов и состоял не только из цифр. Если злоумышленник найдет такой незащищенный телефон, то прежде чем он сможет получить доступ к корпоративным данным, ему нужно будет подобрать PIN на вход в защищенный контейнер, а пока он это делает, пользователь сообщит администратору о потере своего устройства, тот в два клика отзовет сертификат устройства и прочитать корпоративную почту будет невозможно даже после подбора PIN-кода. Сегодня такой подход должен являться «классикой жанра».

Остальные механизмы, конечно, также могут применяться, но не стоит забывать о том, что необходимо выбрать тот уровень защиты, при котором затраты, угроза взлома и размер возможного ущерба будут приемлемыми.

Человеческий фактор

К сожалению, приходится признать, что уровень осведомленности пользователей корпоративных приложений о безопасности мобильных устройств низкий. Многие до сих пор считают, что для смартфонов нет вирусов и других вредоносных программ; при утере смартфона их больше волнует замена устройства, чем возможная уязвимость корпоративных данных. Пользователи продолжают размещать в облачном хранилище данных файлы с пометкой «конфиденциально» для того, чтобы перекинуть их с корпоративного компьютера или телефона на домашнее устройство, и при этом они думают, что ничего непозволительного не совершают, поскольку этот файл никому, кроме них, не нужен.

Тем не менее никто, как правило, не информирует сотрудников о том, какие корпоративные данные являются конфиденциальными. Однако глупо скрывать от сотрудников вашу политику безопасности – ведь они должны ей следовать. Пользователи должны понимать, разглашение каких данных может поставить бизнес компании под угрозу. Поэтому каждый сотрудник должен знать, для чего на его мобильном устройстве установлены те или иные приложения и как ими правильно пользоваться. ИТ-служба должна не просто ограничить доступ к «интересным» ресурсам, а еще и объяснить, почему доступ к данным ресурсам запрещен, чем они опасны для компании.

Проще всего доводить такую информацию до сотрудников посредством внутренних собраний или тренингов. А еще лучше не давать доступа к конфиденциальной информации, пока пользователь не пройдет некий тест. Успешное прохождение теста должно подтверждать, что пользователь усвоил политику безопасности, принятую в компании, и понимает, какие корпоративные данные надо беречь как зеницу ока, а также то, что не все приложения одинаково полезны.    

Заметили неточность или опечатку в тексте? Выделите её мышкой и нажмите: Ctrl + Enter. Спасибо!