Концепция безопасности BYOD в корпоративной среде

Как правило в больших компаниях с распределенной сетью офисов, представительств и филиалов, где работают сотни, а то и тысячи человек стала актуальна концепция BYOD (Bring Your Own Device) основанная на использовании персональных гаджетов для работы внутри корпоративной сети компании. Безусловно, это эффективно и весьма комфортно для сотрудников. Однако, обратной стороной медали становится вопрос обеспечения безопасности корпоративного периметра.

В сегодняшней публикации мы рассмотрим в целом концепцию BYOD, основные риски иcпользования персональных устройств в корпоративной сети, а так общую стратегию обеспечения защиты.

Идеология BYOD

И так, несколько слов о том, что такое BYOD.

Аббревиатура BYOD расшифровывается как Bring Your Own Device, что значит "Принеси своей устройство с собой". В корпоративном понимании это принцип корпоративной мобильности. Он подразумевает, что сотрудники компании используют в служебных целях свои личные электронные устройства – ноутбуки, планшеты, смартфоны и вообще любые другие гаджеты. Главное здесь подчеркнем - личные устройства и для рабочих целей. Таким образом сотрудники получают больше гибкости при выполнении своих должностных обязанностей, повышается уровень удовлетворенности трудом, а ИТ департамент компании снижает свои издержки.

Так по статистике растет применение мобильных технологий и устройств мобильного доступа. В США 78% офисных работников используют устройства мобильного доступа в рабочих целях. 65% офисных работников используют мобильную связь для выполнения работы. По заключениям экспертов, в 2014 г. на каждого работника умственного труда в среднем приходиться 3,3 подключенных устройства (в 2012 г. этот показатель составил 2,8 единицы).

Любопытно и отношение работодателей к использовании BYOD. Из тех же исследований стало известно, что:

• 95% организаций разрешают своим сотрудникам так или иначе использовать собственные устройства на рабочих местах. 
• 84% респондентов не только позволяют сотрудникам использовать их собственные устройства, но и оказывают определенную поддержку этому. 
• 36% опрошенных предприятий предоставляют полную поддержку устройств сотрудников. Другими словами, они предоставляют поддержку любых устройств (смартфонов, планшетов, ноутбуков и т.п.), используемых сотрудниками на рабочих местах. 

Проблемы BYOD с точки зрения ИБ

1. Личные ноутбуки

Использование личных ноутбуков в рабочих целях, либо в качестве вспомогательного устройства — довольно распространённая практика. Тем не менее это одна из основных головных болей сотрудников ИТ/ИБ подразделений: 

устройство может содержать критичные данные, либо реквизиты доступа к ресурсам корпоративной сети, электронной почте и т.д. 

По понятным причинам контролировать содержимое таких устройств и обеспечивать их полноценную защиту крайне затруднительно и носит скорее рекомендательный характер. Да, существую компании, в которых политикой безопасности строго прописаны правила использования личной техники, вернее сказать запрет на их использование, но, тем не менее, в угоду удобству многие пренебрегают этими советами, несмотря на административные или иные меры. 

Таким образом, личные устройства могут быть наиболее уязвимыми для целевых атак (APT). 

Еще одно проблемой «домашних» устройств — в большинстве случаев современные пользователи работают с правами локального администратора, что упрощает возможность доставки на эти устройства вредоносного кода, например с помощью  атак использующих социальную инженерию. 

Типичным кошмаром для ИБ  является и незащищенная информация, хранящаяся на личном ноутбуке, который можно потерять в аэропорту или в такси. 

2. Смартфоны и планшеты

Современные смартфоны и планшеты все меньше отличаются от ПК с точки зрения хранящихся на них корпоративных данных. Доступ к электронной почте, корпоративным документам, специализированным сервисам, деловые контакты и календари, заметки, планы и графики работ — это и многое другое может получить злоумышленник, завладев таким устройством, либо получив к нему доступ. 

Огромным фактором риска в случае утери или кражи устройства является невозможность мгновенно уведомить ответственных лиц, либо заблокировать доступ к устройству. 

Также, смартфоны и планшеты в большей степени подвержены атакам класса Man-in-the-Middle, т.к. контроль за эфиром в зоне передвижения владельца смартфона осуществить очень сложно, а заставить подключится мобильное устройство к «известной» точке доступа довольно легко. После подключения к точке доступа, в большинстве случаев без ведома и желания владельца можно совершать перехват и подмену трафика, а то и напрямую атаковать устройство (в случае с Android можно воспользоваться специальными модулями Metasploit Framework).

Также, в случае Android-устройств велика вероятность заражения той или иной вредоносной программой. Это обусловлено не только тем, что таких устройств используется больше всего, но и внушающим опасения ростом числа уязвимостей в устройствах под управлением данной ОС.

В случае рутованных/джейлбрекнутых устройств риск утери или кражи данных возрастает еще выше: это и установка приложения из неизвестных источников, неограниченные и слабоконтролируемые права — большинство пользователей не читает предупреждений и подтверждает практически любые запросы от приложений.

3. Облачные хранилища

Облачные технологии предлагают больше возможностей и удобства для доступа к корпоративным данным, но и одновременно с этим увеличивают риски утечки или кражи данных.

Это обусловлено нерегулируемым доступом к сети, довольно слабой парольной политикой большинства пользователей, слабой подготовке к угрозам целевых атак, с применением социальной инженерии.

Более того, нативные облачные хранилища (gmail, icloud, onedrive и т.д.) личных мобильных устройств находятся вне сферы контроля ИТ/ИБ подразделений и с высокой долей вероятности могут быть скомпрометированы злоумышленниками.

Итого, подведя итоги, мы получаем следующее:

Существует три основных проблемы BYOD безопасности:

• Плохо защищенные мобильные ОС (iOS, Android), не предоставляющие многих традиционных функций безопасности и соответствующих интерфейсов для их реализации
• BYOD-устройства находятся в полном владении пользователей, что ограничивает возможности их контроля
• На BYOD-устройствах конфиденциальные корпоративные данные перемешаны 
• с персональными данными и трудноотделимы от них

Подходы к обеспечению безопасности BYOD

Одним из самых надежных решений по обеспечению безопасности BYOD считается удаленное подключение BYOD-устройств через терминальные сессии к виртуальным Windows-средам, которые в свою очередь защищены хостовой DLP-системой, обеспечивающей предотвращение утечек информации с виртуальных машин. Это называется Virtual Data Leak Prevention (vDLP). 

Технология Virtual DLP, реализуемая различными DLP-вендорами, предлагает контролируемое предоставление удаленного доступа к корпоративным данным в отличие от локального хранения данных на BYOD-устройствах в подходе MDM.

Основной недостаток такого решения состоит в том, что она сажает мобильных пользователей на виртуальные Windows-машины и лишает их возможности использовать удобные для них мобильные приложения своего смартфона для корпоративных нужд. Поэтому данная стратегия может быть дополнена подходом MDM, реализуемая специализированными продуктам данного класса. Идею MDM-продуктов можно уложить в рамки многоуровневой модели безопасности (Layered Security Model), предложенной компанией MobileIron. Суть данной стратегии состоит в нахождении компромисса при решении двух противоречащих друг другу задач:

• Сохранение привычной для пользователя рабочей среды смартфона. 
• Механизмы безопасности не должны оказывать влияния на процесс взаимодействия пользователя со своим смартфоном (уменьшение производительности, времени работы, установка дополнительных приложений, необходимость выполнения дополнительных действий).
• Создание доверенной среды пользовательских приложений, разрабатываемых сторонними организациями и привычными для пользователей, и предоставляющих необходимый набор сервисов.

Общая стратегия безопасности BYOD, в общем и целом, может быть выражена следующей формулой:

Безопасность BYOD = MDM + vDLP (App + VPN + VM + DLP)

• MDM – система для контроля локальных приложений на устройствах, удаленного уничтожения данных, обеспечения надежной парольной защиты устройства и шифрования данных и т.п.;
• App – приложение для удаленного подключения мобильного устройства через интернет к виртуальному хостингу приложений организации (например, Citrix Receiver).
• VPN – защищенное криптографическим протоколом SSL подключение к VPN-сети организации, используемое опубликованными приложениями, в том числе для дополнительной аутентификации пользователей.
• VM – виртуальная реализация Windows-системы на базе средств виртуализации Citrix / WTS / MS RDx / др., предоставляющая пользователям рабочую среду, в которой могут быть опубликованы и доступны необходимые для работы приложения и данные.
• DLP – система предотвращения утечек данных, интегрированная в виртуальную рабочую среду Windows, обеспечивающая контроль доступных в этой виртуальной среде каналов передачи данных (электронная почта, веб-сайты, мессенджеры, канал печати, перенаправленные в виртуальную среду локальные USB-устройства) для предотвращения утечек данных с BYOD-устройства.

Общие рекомендации по обеспечению безопасности BYOD

1. Наймите консультанта по безопасности с опытом работы в области мобильных технологий. Как показывает практика 92% брешей в безопасности обнаруживается третьими лицами. Хороший консультант сможет не только укрепить вашу безопасность, но и поможет найти решения, о которых вы даже не подозревали.
2. Установите MDM/MAM-ПО (mobile device management и mobile application management) для управления мобильными устройствами и их безопасностью. Это крайне мощное ПО, способное достаточно тонко управлять настройками безопасности. Такое ПО выпускают несколько вендоров, посоветуйтесь с представителями других компаний, выберите подходящее решение.
3. Требуйте подключения через VPN для всех устройств. Это стандартная практика. Если у вас в компании она не применяется, пора приступать. Консультант по безопасности должен быть способен помочь вам подобрать необходимое аппаратное и программное обеспечение для обеспечения работы VPN.
4. Требуйте блокировать устройства надежными паролями. Вы будете удивлены, когда узнаете, как много людей не защищает свои устройства даже простыми паролями.
5. Требуйте осуществления шифрования данных на устройствах. Чтобы получить доступ к корпоративным данным со своих устройств, сотрудники должны предварительно настроить на них шифрование. Все данные скачиваемые на пользовательское устройство должны храниться на нем в зашифрованном виде.
6. Требуйте установки антивирусного ПО. Вполне очевидная рекомендация. Нельзя использовать компьютеры без какой-либо защиты от вредоносного ПО. Вы можете требовать от сотрудников установки одобренного компанией антивирусного ПО.
7. Внедряйте листы контроля доступа и брандмауэры. Это может показаться слишком сложным, но на самом деле тут все достаточно просто. Хороший консультант по безопасности поможет вам закрыть нежелательный доступ к важным данным и файлам.
8. Контролируйте доступ к файлам. Любое обращение к ценным файлом должно быть зафиксировано и отмечено. Включая автоматические обращения со стороны сервисных процессов, таких как SFTP.
9. Настройте оповещения о подозрительной деятельности. На основе логов доступа, о которых говорится в пункте 8, настройте оповещения неавторизованных попытках получения доступа и другой подозрительной активности. Часто при атаках хакеры стараются удалять логи, отсутствие лог-файлов также должно служить причиной для поднятия тревоги.
10. Установите ограничение на скачивание и установку программ. Программы должны скачиваться и устанавливаться либо с одного проверенного ресурса, либо с собственного хранилища приложений компании. Многие сайты, распространяющие приложения не следят за наличием среди них вредоносного ПО. Сотрудники компании должны устанавливать приложения только из надежных источников. Лучший способ защиты в данном случае – собственное средство распространения ПО

Рекомендация от компании BalaBit

1. Внедряйте ИТ-политики, не позволяющие пользователям делиться логинами и паролями. Даже если пароль был изменен в кратчайшие сроки после предоставления доступа коллеге, безопасность корпоративной сети может быть скомпрометирована.
2. Если сотруднику нужно выполнить задачу от имени другого лица, необходимо провести дополнительную подготовку. Предоставьте «заместителю» временный доступ к соответствующей учетной записи или используйте цифровое хранилище данных для входа в сеть. Это позволит защитить учетные данные пользователя (пароли, частные ключи, сертификаты) при доступе к нужному серверу, даже в случае использования общих учетных данных (например, root).
3. Убедитесь, что политики компании позволяют выполнять работу в безопасном режиме, ведь усилия, затраченные на предотвращение утечек данных, будут значительно меньше, чем на минимизацию рисков для бизнеса и компенсацию последующих репутационных потерь.
4. Требуйте использования безопасного доступа (через VPN, SSL или в режиме бастиона), а также аутентификации, если вход в сеть происходит с незарегистрированного устройства.
5. Отслеживайте действия пользователей в реальном времени и устанавливайте оповещения (или блокируйте сессию) при обнаружении подозрительной активности в сети. В отличие от многослойного контроля, использование мониторинга поможет предотвратить утечки данных, выявляя нетипичные действия пользователей.

Дополнительные материалы

Если тема безопасности BYOD вас заинтересовала вы так же можете ознакомиться с интересной статье 5 мифов о безопасности BYOD от команды разработчиков отечественной DLP-системы DeviceLock