Rambler's Top100
Все новости Новости отрасли
Николай НОСОВ 26 апреля 2017

Папа римский не верит в MDM

Стоит ли мириться с тем, что кибершпионаж становится нормой жизни? 

Отказаться от концепции BYOD, использовать доверенные мобильные платформы и безопасные мобильные устройства -- так можно сформулировать предложения докладчиков форума БИТ-Урал 2017, который прошел 12-13 апреля в Екатеринбурге. В центре внимания были угрозы, которые несут мобильные устройства.

Кибершпионаж – это нормально

Президент Правления АРСИБ Виктор Минин

Переполненный темный зал. Звучит музыкальная заставка к фильмам о Джеймсе Бонде. Вспыхивает прожектор, и мы видим самого агента 007. В черном смокинге на сцену выходит Президент Правления АРСИБ Виктор Минин, ведущий форума «Безопасность информационных технологий» (БИТ).

Современному шпиону не надо быть суперменом, бегающим по наклоненной под 45 градусов стреле башенного крана. Вполне достаточно подключенного к Интернету компьютера. Всю нужную ему информацию вы принесете сами. «Кибершпионаж – норма нашего времени», – считает Виктор Минин. Он идет как на межгосударственном уровне, так и на уровне отдельных корпораций. Как на уровне мобильных операторов, так и на уровне интернет-провайдеров. WikiLeaks сообщает о слежке ЦРУ за электронными системами французских партий, Эдвард Сноуден – о прослушивании АНБ канцлера Германии Ангелы Меркель, в конгрессе США проводят расследования по делу о вмешательстве «русских хакеров» в американскую избирательную кампанию. Государства серьезно занялись вопросами информационной безопасности. Киберпреступления вышли на первые полосы газет.

Facebook не доверяет своим MDM

Выступает Павел Эйгед

У нас в стране мобильными устройствами пользуются чуть более 100 млн человек. Из них 75 млн человек имеют смартфоны. «Вы постоянно носите с собой контролируемое средство утечки любой информации о вас и вашей организации. WikiLeaks – эпитафия по BYOD»,– считает Павел Эйгес из компании «Открытая мобильная платформа». Он подверг критике модную сейчас концепцию BYOD (Bring Your Own Device), согласно которой сотрудники могут пользоваться на работе своими личными устройствами.

Это тенденция приобрела катастрофический масштаб. Разнообразные мобильные устройства с бэкдорами и багами подключают к корпоративным сервисам, значительно повышая риски несанкционированного проникновения в систему и утечек важной для функционирования компаний информации.

Не спасают дорогостоящие системы безопасности мобильных устройств MDM (Mobile Device Management). «Совещание еще не кончилось, а решение Правления уже появляется в Твиттере. У Фейсбука есть свои системы MDM и DLP. Но мы видели фотографию Марка Цукенберга, у которого на смартфоне заклеены глазок видеокамеры и микрофон», – привел примеры Павел Эйгес.

На стенде компании

MDM система совсем не дешева. Дело не только в количестве лицензий, но и в железе, требуемых вычислительных мощностях и системах мониторинга, которые фактически должны работать в режиме реального времени и поддерживать весь «зоопарк» мобильных устройств и операционных систем. В итоге экономия на смартфонах для сотрудников выливается в дорогие разработки систем MDM.

При этом, по мнению докладчика, MDM в реальности не позволяет защитить данные от взлома, а пользователя от слежки. Наши граждане носят у себя в карманах анализаторы поведения, большинство из которых отправляет информацию в облако компании Google (74%), остальные – в Apple (20%) и Microsoft (2%). Причем, этими устройствами пользуются и государственные служащие, а наше государство никак не контролирует цифровую территорию.

Альтернатива BYOD – доверенная мобильная платформа, включающая доверенную и безопасную среду, доверенные устройства, доверенные приложения и защищенные каналы связи. Причем нет смысла разворачивать систему защиты мобильных устройств компании, если при этом все данные о разговорах отправляются в облако за рубежом. Нужна отечественная доверенная мобильная платформа и в ее качестве может выступить система Sailfish Mobilе OS RUS, предлагаемая докладчиком.

Система внесена в Единый реестр отечественного ПО, имеет встроенное СКЗИ с поддержкой ГОСТ, сертификат ФСБ АК1/KC1. Просто взять мобильное устройство и поставить на него Sailfish Mobilе OS RUS нельзя. Под каждое железо делается уникальная прошивка. Сейчас на рынке доступны для заказа несколько телефонов: Jolla C, Intex Aqua Fish, Touring и российский INOI. 

У крупных заказчиков облачные сервисы располагаются внутри контура информационной системы и не соединены с внешними дата-центрами. То есть заказчик получает замкнутую безопасную мобильную инфраструктуру. 

Счастливая обладательница защищенного смартфона

Табельное оружие сдаем. На охоту –  со своим ружьем

Такая система на нашем рынке не единственная. В октябре 2015 года была зарегистрирована Ассоциация «Тайзен.Ру», перед которой была поставлена задача создания российской версии операционной системы Tizen для мобильных устройств, обменивающихся конфиденциальной информацией. В первую очередь для органов власти, государственных структур, руководителей корпораций. В целом подход к построению доверенной мобильной платформы, использующей решения компании Samsung, схож – никаких BYOD. На работе нужно использовать корпоративное доверенное мобильное устройство, а дома свое, не имеющее связи с корпоративными системами.

В качестве корпоративного устройства предлагается телефон Samsung Z3, который работает на операционной системе Tizen. При настройке политик безопасности корпоративных устройств используются «белые списки», то есть ничего своего пользователь установить на смартфон не может. Используются только приложения, разрешенные работодателем.

Юрий Сарапеня («Самсунг Электроникс Рус Компани») выделил преимущества данного решения: открытый исходный код операционной системы, позволяющий каждому осуществить его проверку на недекларируемые возможности, и авторитет бренда компании Samsung.

Новое направление, которое анонсировал докладчик – смартфон для школьника. В этом случае в роли руководителя компании, определяющего «белые списки», будут выступать родители.

Смерть агента

Юрий Бражников и

Можно развернуть доверенную мобильную платформу, переместить облака в Россию, но это не решит всех проблем защиты данных. Более того, именно опасение за их безопасность является основным фактором, сдерживающим развитие облачных технологий в стране. На облачных конференциях специалисты пытаются развеять миф о повышенной опасности размещения данных на площадке провайдера, указывают, что, как правило, аутсорсер имеет более квалифицированных в области ИБ специалистов, больше возможностей по установке дорогостоящего оборудования по защите. Скептики указывают на новые риски. Например, на возможность атаки через гипервизор.

Эксперт облачной ассоциации RCCPA Юрий Бражников (5nine) отметил, что для облачной инфраструктуры не эффективны традиционные сетевые средства защиты информации (СЗИ). Классические антивирусные технологии нацелены в первую очередь на защиту персональных компьютеров. Они с трудом справляются с задачей приемлемого снижения их производительности в условиях постоянно растущей базы сигнатур и катастрофически снижают производительность физических серверов, на которых размещены виртуальные машины, при их одновременной проверки на наличие вирусов. Многие злоумышленники стараются блокировать работу агента в ВМ и добиваются в этом успеха. Агентные СЗИ повышают риск атаки, так как требуют дополнительного открытого порта на межсетевом экране для управления. Атаки на уровне виртуальной сети или с одной ВМ на другую не определяются аппаратными средствами обнаружения вторжений, контролирующих физическую среду.

Новые технологии требуют новых решений по защите. В данном случае, использования безагентных СЗИ, которые контролируют не отдельные машины, а весь их пул в целом на уровне хоста. При этом отпадает необходимости проверять и обновлять сигнатуры на каждой виртуальной машине – процедуры автоматически выполняются на хосте. Убирается риск антивирусных штормов, исчезает возможность отключения или блокирования агента в виртуальной машине.

Безагентные СЗИ упрощают работу администраторов, повышают отдачу от инвестиций в виртуализацию, например, путем предоставления клиентам услуги по модели «безопасность как сервис» (SECaaS).

Электронная подпись – оружие криминала

Никакие самые современные замки не помогут, если у вора будут ключи. «На сегодняшний день имеется 90 видов использования электронной подписи, которая является базовым элементом структуры доверия», – доложил Михаил Добровольский («СКБ Контур»). И год от года число ее применений растет. Растут и масштабы проблем, связанных с использованием электронных ключей.

В лихие 90-е приезжали ребята на черных джипах и отжимали бизнес. Тогда рейдеры не подозревали о возможностях электронного документооборота. Все решалось с помощью грубой физической силы. Сейчас все изменилось. Использование новых технологий позволяет сменить директора компании без размахивания бейсбольной битой и выбрасывания людей из кабинетов. Если получить по подложным документам квалифицированную электронную подпись, то не составит особого труда сменить директора компании. «И это истории, которые уже случаются очень часто», – отметил докладчик.

Другая возможность – банальная кража. Среди пользователей «СКБ-Контур» половина имеет ключ электронной подписи в реестре на своем компьютере с неизмененным пин-кодом. Получив доступ к ключу можно, подделав отчетность, подставить компанию. «На протяжении последних 3-4 месяцев мы пачками получаем такие истории, когда за компанию сдают некорректную отчетность. А компания потом втягивается в длительные разбирательства с налоговой. А если затянуть конкурента в такие разбирательства, то уже получаешь преимущества», – пояснил Михаил Добровольский.

Преступники могут использовать украденный ключ на электронных торгах. Тогда компания легко может попасть в реестр недобросовестных поставщиков, не исполнив обязательства по контракту. Есть реальные истории, когда при помощи скомпрометированного ключа принимали участие в торгах от имени ничего не подозревающей компании, нарушали обязательства и отправляли ее в черный список.

Что делать? Помочь может обычная гигиена – обеспечение конфиденциальности ключей электронной подписи. Сейчас сплошь и рядом ключ, полученный на директора, передается другому лицу, например главному бухгалтеру. Нужен контроль использования электронной подписи в компании. А с этим дела обстоят плохо. В крупном бизнесе очень мало компаний, которые реально следят кто, когда и с какими правами получил электронную подпись.

Можно заблокировать высокорисковые электронные возможности. Если вы не собираетесь продавать квартиру – сходите в Росреестр и напишите заявление, что сделки с вашей недвижимостью можно совершать только в вашем личном присутствии и только на бумаге. Тогда вашу квартиру злоумышленники не продадут на электронных торгах.

Тормоза нужны, чтобы ездить быстрее

Маленькая компания может наладить учет и контроль использования ключей вручную. Но для крупных компаний это не выход. Нужны автоматизированные системы, хотя и этого недостаточно. Нужен комплексный подход, постепенное наращивание систем защиты, понижающее риски по всем направлениям.

Николай Домуховский (УЦСБ) выделил уровни развития ИБ организаций: «В 2006 году практически всем руководителям объяснили, что информационная безопасность есть. Хотя бы по части персональных данных. И руководство после пары проверок поняло, что есть требования регуляторов, которые надо выполнять». На первом уровне развития деньги на ИБ выделяются по минимуму. Организация максимально экономит на CAPEX. Зачастую такая защита является «защитой от регулятора» и сводится к формальному выпуску приказов и ведению нужных для проверки журналов.

Наиболее распространен сейчас второй уровень развития ИБ, когда руководство в целом понимает, что информационной безопасностью нужно заниматься. Что безопасность это не продукт, а процесс. И что есть такая вещь, как совокупная стоимость владения системой ИБ. И что экономия на CAPEX часто приводит к значительно большим потерям на OPEX. Хотя по-прежнему во главе угла стоит time-to-market. Бизнес сначала внедряет сервис, а потом думает об обеспечении его безопасности.

Следующий уровень – прямой диалог между ИБ и бизнесом. ИБ нужна не для того, чтобы тормозить развитие бизнес-процессов. А чтобы быстрее захватывать рынки, за счет внедрения новых и безопасных сервисов. «Для этого целесообразно использовать риск-ориентированный подход. Когда совместно с бизнесом подсчитываются будущие потери на информационную безопасность и, исходя их этого, принимаются решения об использовании тех или иных средств защиты», – считает Николай Домуховский .

На этом уровне, который многими сейчас воспринимается как «космос», развертывается система управления информационной безопасности (СУИБ) – вершина развития ИБ предприятия. Для ее внедрения нужно пройти предыдущие уровни и создать саму систему информационной безопасности (СИБ), а не перепрыгивать через ступеньки, начиная строительство дома с крыши.

В первую очередь надо выстроить оперативные процессы обеспечения ИБ. К ним относятся: обеспечение целостности, регистрация событий ИБ, контроль подключения устройств, идентификация и аутентификация субъектов доступа, обеспечение непрерывности функционирования, защита от вредоносного кода, обеспечение сетевой безопасности, криптографическая защита.

Затем перейти к обеспечению тактических процессов: контролю защищенности, управлению средствами защиты, управлению обновлениями, управлению доступом, управлению событиями. Это сделать совсем нелегко. Мало у кого есть сейчас полностью ролевая модель доступа в организации, когда администратор ИБ не участвует в вопросе назначения прав доступа к информационным ресурсам. Есть организации, которые потратили много денег на систему SIEM (Security information and event management), а используют ее как лог-сервер.

После решения этих задач можно переходить к построению СУИБ, в которую входят: управление персоналом, управление рисками ИБ, управление инцидентами ИБ, управление активами, контроль соответствия требованиям ИБ. Нужны люди, которые будут все реализовывать и документарная основа – политики информационной безопасности, журналы, инструкции, в которых расписаны все процессы. В большой организации таких бумаг будет много. Нужна современная информационно-аналитическая система, которая позволяет эти процессы автоматизировать. И такие приложения верхнеуровнего управления, которые докладчик отнес к классу Security GRC (Governance, risk management, and compliance), на рынке уже есть.

В зрительном зале

… Папа римский тоже не верит в корпоративные системы безопасности мобильных устройств. Об этом говорит его фотография с планшетом, на котором заклеен глазок камеры. И правильно делает. Вопрос информационной безопасности – не вопрос веры. Нужны знания, постоянная работа, постепенное движение вперед.

Процесс идет, хотя как в случае с BYOD и не всегда куда надо. Если направление было выбрано не правильно – нужно остановиться и исправить ошибки. Пусть будет отдельное мобильное устройство для дома, отдельное – для работы. Следует ввести жесткий контроль корпоративных мобильных устройств и ограничения на использование личных гаджетов на рабочем месте, перейти к использованию безопасной национальной мобильной платформы, осуществить защиту информации на всех уровнях, в том числе и в облаках, постепенно развивать системы информационной безопасности – сначала СИБ, а уж потом СУИБ. И тогда корпоративным мобильным устройствам можно будет доверять. 

Заметили неточность или опечатку в тексте? Выделите её мышкой и нажмите: Ctrl + Enter. Спасибо!

Оставить свой комментарий:

Для комментирования необходимо авторизоваться!

Комментарии по материалу

Данный материал еще не комментировался.