SOT

SOT

SOAR
Security Orchestration, Automation and Response

Автоматизация реагирования на инциденты информационной безопасности при помощи динамических плейбуков с применением СЗИ, выстраиванием цепочки атаки и объектно-ориентированным подходом

NG SOAR
Next Generation SOAR

Автоматизация реагирования на инциденты ИБ со встроенной базовой корреляцией, сбором сырых событий непосредственно с СЗИ, динамическими плейбуками, выстраиванием цепочки атаки и объектно-ориентированным подходом

AM
Asset Management

Описание ИТ-ландшафта, обнаружение новых объектов в сети, категорирование активов, инвентаризации и управления жизненным циклом оборудования и ПО на АРМ и серверах организаций

VM
Vulnerability Management

Выстраивание процесса обнаружения и устранения технических уязвимостей, сбор информации с имеющихся сканеров защищённости, платформ управления обновлениями, экспертных внешних сервисов и других решений

ГосСОПКА
Государственная Система Обнаружения Предупреждения и Ликвидации Последствий Компьютерных Атак

Двустороннее взаимодействие с Национальным координационным центром по компьютерным инцидентам (НКЦКИ), а именно передача информации об инцидентах и получение оперативных уведомлений/бюллетеней от регулятора

FinCERT
Financial Computer Emergency Response Team

Двустороннее взаимодействие с Центральным Банком (ЦБ РФ, ЦБ РБ и др.), а именно передача информации об инцидентах и получение оперативных уведомлений/бюллетеней от регулятора

Напишите нам на sales@securityvision.ru или закажите демонстрацию

GRC

GRC

КИИ
Критическая Информационная Инфраструктура

Аудит и исполнение требований ФЗ-187 «О безопасности критической информационной инфраструктуры Российской Федерации» и других нормативных документов

RM
Risks Management

Формирование реестра рисков, угроз, мер защиты и других параметров контроля, оценка по выбранной методике, формирование перечня дополнительных мер для изменения уровня риска, контроль исполнения, периодическая переоценка

ORM
Operational Risks Management

Учёт и фиксация событий операционных рисков (СОР), мониторинг ключевых индикаторов рисков (КИР) и проведение самооценки /контроля согласно положению №716-П ЦБ РФ

CM
Compliance Management

Аудит соответствия и комплаенса различным методологиям и стандартам (проектный)

BCP
Business Continuity Plan

Автоматизация процесса обеспечения непрерывности и восстановления деятельности (ОНиВД) после наступления чрезвычайных ситуаций

Напишите нам на sales@securityvision.ru или закажите демонстрацию

Обзор публикации NIST SP 1800-22 (Draft) "Mobile Device Security: Bring Your Own Device (BYOD)"

Обзор публикации NIST SP 1800-22 (Draft) "Mobile Device Security: Bring Your Own Device (BYOD)"
09.03.2022

  |  Слушать на Google Podcasts  |   Слушать на Mave  |   Слушать на Яндекс Музыке  |   



Руслан Рахметов, Security Vision


Массовый переход сотрудников на удаленную работу во время пандемии сопровождался беспрецедентным ростом количества личных устройств (смартфонов, ноутбуков), подключенных к корпоративным сетям. Действительно, далеко не все компании заранее озаботились закупкой резервных устройств, которые можно было бы оперативно выдать сотрудникам для удаленной работы. При таком подходе, когда личные и зачастую неконтролируемые устройства подключаются к корпоративным ресурсам (таким как VPN-шлюзы, веб-сервисы, электронная почта и т.д.), киберриски возрастают многократно.


Неуправляемое и не принадлежащее компании устройство может быть случайно или намеренно заражено вредоносным ПО, не получать своевременные обновления для системного и прикладного софта, также личным устройством могут не поддерживаться корректные настройки безопасности (длина пароля для разблокировки, шифрование данных, подключение к открытым беспроводным сетям, настройки конфиденциальности и т.д.). Одним из решений данных сложностей является концепция BYOD (Bring Your Own Device, принеси свое собственное устройство), представляющая собой структурированный систематический подход к выбору, настройке, предоставлению защищенного доступа личным устройствам сотрудников к корпоративным ресурсам. Рекомендациям по внедрению BYOD-концепции для смартфонов под управлением ОС Android и Apple iOS посвящен документ NIST SP 1800-22 (Draft) "Mobile Device Security: Bring Your Own Device (BYOD)" («Безопасность мобильных устройств: принеси свое собственное устройство»), который мы рассмотрим в настоящей публикации.


Итак, документ NIST SP 1800-22 предлагает рекомендации по использованию BYOD-концепции для обеспечения:

- защиты конфиденциальных корпоративных данных от несанкционированного доступа при утере или краже устройств (смартфонов под управлением ОС Android и Apple iOS);
- снижения риска нарушения конфиденциальности персональных данных сотрудников при использовании смартфонов;
- повышения кибербезопасности мобильных устройств и приложений путем применения специализированных технологий;
- снижения киберриска несанкционированного доступа к корпоративным данным путем разделения личной и рабочей информации;
- улучшения контроля состояния устройств для выявления компрометации конфиденциальных данных и самого устройства, а также своевременного уведомления пользователя о таких фактах;
- использования лучших международных практик и технологий для повышения безопасности и конфиденциальности данных и устройств.

В документе также отмечаются возможные сложности при внедрении BYOD, такие как:

- разнообразие версий ОС и «оболочек» для них (актуально в основном для устройств на базе ОС Android);
- разнообразие моделей Android-смартфонов от различных производителей;
- разнообразие функциональных (программных и аппаратных) возможностей портативных устройств, требующих анализа и защиты;
- сложности в применении классических СЗИ для мобильных устройств и, как следствие, необходимость выбора, закупки, эксплуатации, поддержки специализированных защитных решений;
- отсутствие встроенных в мобильные ОС функций безопасности, применение которых является обязательным для обеспечения кибербезопасности и заданного компанией уровня киберрисков;
- возможность непреднамеренной установки пользователем вредоносного ПО (например, под видом игр), передачи устройства в другие руки, а также возможная утеря, кража, продажа смартфона с конфиденциальной информацией;
- необходимость обеспечения приватности личной информации пользователя, хранящейся на его мобильном устройстве с установленным BYOD-решением.

Внедрение BYOD рассмотрено в документе NIST SP 1800-22 на примере типовой организации, целями которой при использовании концепции использования личного устройства для служебных нужд могут быть:

- отделение личной информации от рабочей путем разграничения информационных потоков между рабочими и личными приложениями;
- шифрование данных при передаче через потенциально небезопасные сети путем построения VPN-туннеля и аутентификации по сертификатам;
- выявление уязвимых приложений, установленных пользователем, с последующей временной блокировки доступа к корпоративным ресурсам до удаления или обновления таких приложений;
- выявление вредоносного программного обеспечения, случайно установленного пользователем, с последующим удалением;
- обеспечение доверенного доступа устройства и пользователя к корпоративным ресурсам посредством двухфакторной аутентификации, включающей в себя пароль и цифровой сертификат;
- контроль и ограничение сбора информации об устройстве и его использовании сотрудником со стороны BYOD-системы.

Реализовать данные цели предлагается путем применения следующих технологий и подходов:


1. Среда доверенного выполнения (Trusted Execution Environment, TEE)

Среда доверенного выполнения - это среда обработки и выполнения команд, защищенная от несанкционированного изменения и подмены, гарантирующая подлинность исполняемого кода, целостность состояния исполнения (runtime state) процессора, регистров, памяти, устройств ввода-вывода, а также конфиденциальность данных, команд и состояний исполнения в постоянной памяти. Данная среда защищает устройства от выполнения кода с ошибками целостности (т.е., вероятно, несанкционированно модифицированного или подмененного), что помогает обеспечить информационную безопасность при запуске пользователем произвольных приложений.


2. Система корпоративного управления мобильными устройствами (Enterprise Mobility Management, EMM)

EMM-решения позволяют управлять некоторыми функциями смартфонов, прошедших процедуру регистрации (англ. enrollment) в корпоративной BYOD-системе. Такие решения, как правило, содержат серверную часть с политиками и настройками, применяющимися к различным группам устройств и пользователей, а также клиентскую часть в виде агента, устанавливаемого как приложение на смартфон и взаимодействующего с EMM-сервером. EMM-решение выполняет функции управления мобильными устройствами (Mobile Device Management, MDM), включающие в себя установку на устройства конфигурационных профилей, настройку политик безопасности, контроль соответствия настроек устройства примененным политикам. Агентская часть оповещает пользователя о проблемах с безопасностью и о несоответствии устройства корпоративным политикам и настойкам, а также разделяет личные и рабочие данные (с помощью технологии контейнеризации и шифрования) и автоматически исправляет некоторые ошибки и несоответствия. На основании данных о состоянии устройства серверной частью принимается решение о допуске устройства к корпоративным сервисам и данным.


3. VPN-туннелирование

Использование VPN-туннелей позволяет обеспечить конфиденциальность, целостность, подлинность передаваемых через незащищенные сети данных, а также предоставляет дополнительный уровень контроля подключающихся устройств в зависимости от их географического расположения, уровня киберриска конкретного устройства, соответствия корпоративным EMM-политикам. Кроме того, можно применять VPN-туннели для защиты только передаваемых определенными приложениями корпоративных данных: такой программно-ориентированный VPN-туннель будет защищать и перенаправлять на VPN-шлюз не весь трафик смартфона, а только трафик рабочих приложений, например, рабочей электронной почты, средств совместной работы, корпоративных веб-приложений.


4. Служба проверки приложений (Mobile Application Vetting Service)

Установленные пользователем приложения могут быть как целенаправленно вредоносными, так и безобидными, но содержащими уязвимости или избыточный функционал. Для контроля приложений используется клиент службы проверки приложений, который по набору статических, динамических и поведенческих показателей может сделать вывод о безопасности того или иного установленного приложения. В результате анализа устройству присваивается определенный уровень киберриска, по значению которого устройство допускается до корпоративных сервисов и данных. Например, устройство с видоизмененной прошивкой, «рутованное» или с измененным загрузчиком (bootloader), скорее всего, будет иметь очень высокий риск-балл и не сможет получить доступ к рабочим данным или установить VPN-соединение с корпоративным VPN-шлюзом.


5. Защита от мобильных угроз (Mobile Threat Defense, MTD)

Защита от мобильных угроз реализуется с помощью MTD-агента, устанавливаемого на устройстве и предоставляющего данные о состоянии безопасности устройства на основании данных об установленных приложениях, активности устройства, состоянии функций безопасности. Проверяются свойства самого устройства, такие как версия ОС, версия установленных обновлений безопасности, небезопасные конфигурации настроек смартфона, повышенные привилегии (права root), установленные профили, признаки компрометации устройства, а также защищенность подключения к беспроводной сети и признаки перехвата/дешифрования трафика.


6. Встроенные в мобильные ОС механизмы обеспечения кибербезопасности

6.1. Secure Boot (защищенная загрузка): процесс последовательной загрузки компонент ОС с проверкой целостности и подлинности загружаемого кода, начиная с загрузчика (bootloader);

6.2. Device Attestation (проверка устройства): проверка целостности и подлинности всех компонент ОС и запускаемого ПО;

6.3. MDM API: возможность использования MDM-решением встроенных в ОС функций безопасности путем обращения к ним через API с последующей настройкой, например, шифрования устройства (полнодискового или пофайлового), проверки цифровых подписей ПО или обновлений ОС, установки пароля для разблокировки устройства, настройки параметров удаленного управления и очищения устройства;

6.4. iOS App Transport Security (безопасность iOS-приложений на транспортном уровне): принудительное использование протокола TLS для защиты передаваемых приложениями данных через интернет (включено по умолчанию для iOS 9.0 и старше);

6.5. Android Network Security Configuration (конфигурация сетевой безопасности Android): запрет по умолчанию на передачу трафика в незащищенном виде (cleartext), с возможностью выбора доверенных центров сертификации и выпуском соответствующих цифровых сертификатов.

Практика ИБ Подкасты ИБ NIST Стандарты ИБ

Рекомендуем

Обзор новых возможностей платформы управления процессами информационной безопасности Security Vision 5.0
Обзор новых возможностей платформы управления процессами информационной безопасности Security Vision 5.0
Обзор публикации NIST SP 800-190 "Application Container Security Guide"
Обзор публикации NIST SP 800-190 "Application Container Security Guide"
Обзор публикации NIST SP 800-125 "Guide to Security for Full Virtualization Technologies"
Обзор публикации NIST SP 800-125 "Guide to Security for Full Virtualization Technologies"
Обзор публикации NIST SP 800-150 "Guide to Cyber Threat Information Sharing"
Обзор публикации NIST SP 800-150 "Guide to Cyber Threat Information Sharing"
Что такое фактор аутентификации, зачем нужен второй и сколько их всего
Что такое фактор аутентификации, зачем нужен второй и сколько их всего
Кейлоггер для кибербезопасности и оптимизации
Кейлоггер для кибербезопасности и оптимизации
Security Vision 5.0: швейцарский нож в информационной безопасности
Security Vision 5.0: швейцарский нож в информационной безопасности
Геймификация SOC
Геймификация SOC
Вебинары о конструкторах объектов, меню и ролей на платформе Security Vision
Вебинары о конструкторах объектов, меню и ролей на платформе Security Vision
Практическая защита персональных данных. Где компания обрабатывает ПДн?
Практическая защита персональных данных. Где компания обрабатывает ПДн?
Кибератаки. Часть 1: Технические инструменты и способы реализации
Кибератаки. Часть 1: Технические инструменты и способы реализации
Импортозамещение
Импортозамещение

Рекомендуем

Обзор новых возможностей платформы управления процессами информационной безопасности Security Vision 5.0
Обзор новых возможностей платформы управления процессами информационной безопасности Security Vision 5.0
Обзор публикации NIST SP 800-190 "Application Container Security Guide"
Обзор публикации NIST SP 800-190 "Application Container Security Guide"
Обзор публикации NIST SP 800-125 "Guide to Security for Full Virtualization Technologies"
Обзор публикации NIST SP 800-125 "Guide to Security for Full Virtualization Technologies"
Обзор публикации NIST SP 800-150 "Guide to Cyber Threat Information Sharing"
Обзор публикации NIST SP 800-150 "Guide to Cyber Threat Information Sharing"
Что такое фактор аутентификации, зачем нужен второй и сколько их всего
Что такое фактор аутентификации, зачем нужен второй и сколько их всего
Кейлоггер для кибербезопасности и оптимизации
Кейлоггер для кибербезопасности и оптимизации
Security Vision 5.0: швейцарский нож в информационной безопасности
Security Vision 5.0: швейцарский нож в информационной безопасности
Геймификация SOC
Геймификация SOC
Вебинары о конструкторах объектов, меню и ролей на платформе Security Vision
Вебинары о конструкторах объектов, меню и ролей на платформе Security Vision
Практическая защита персональных данных. Где компания обрабатывает ПДн?
Практическая защита персональных данных. Где компания обрабатывает ПДн?
Кибератаки. Часть 1: Технические инструменты и способы реализации
Кибератаки. Часть 1: Технические инструменты и способы реализации
Импортозамещение
Импортозамещение

Похожие статьи

Основы риск- и бизнес-ориентированной информационной безопасности. Часть 1. Основные понятия и парадигма
Основы риск- и бизнес-ориентированной информационной безопасности. Часть 1. Основные понятия и парадигма
Нормативные документы по ИБ. Часть 2. Стандарты ГОСТ Р 57580.1-2017 и ГОСТ Р 57580.2-2018
Нормативные документы по ИБ. Часть 2. Стандарты ГОСТ Р 57580.1-2017 и ГОСТ Р 57580.2-2018
Нормативные документы по ИБ. Часть 10. Обзор российского законодательства в области защиты критической информационной инфраструктуры - окончание
Нормативные документы по ИБ. Часть 10. Обзор российского законодательства в области защиты критической информационной инфраструктуры - окончание
Основы риск- и бизнес-ориентированной информационной безопасности. Часть 6. Основные понятия и парадигма - продолжение
Основы риск- и бизнес-ориентированной информационной безопасности. Часть 6. Основные понятия и парадигма - продолжение
Практическая защита персональных данных. Что такое средства защиты информации, прошедшие в установленном порядке процедуру оценки соответствия
Практическая защита персональных данных. Что такое средства защиты информации, прошедшие в установленном порядке процедуру оценки соответствия
Автоматизация рутинной деятельности с помощью Security Vision SOAR: практика
Автоматизация рутинной деятельности с помощью Security Vision SOAR: практика
Управление рисками информационной безопасности. Часть 2. Стандарт NIST SP 800-39
Управление рисками информационной безопасности. Часть 2. Стандарт NIST SP 800-39
Обзор публикаций NIST SP 800-213 "IoT Device Cybersecurity Guidance for the Federal Government: Establishing IoT Device Cybersecurity Requirements"
Обзор публикаций NIST SP 800-213 "IoT Device Cybersecurity Guidance for the Federal Government: Establishing IoT Device Cybersecurity Requirements"
Нормативные документы по ИБ. Часть 11. Защита коммерческой тайны
Нормативные документы по ИБ. Часть 11. Защита коммерческой тайны

Похожие статьи

Основы риск- и бизнес-ориентированной информационной безопасности. Часть 1. Основные понятия и парадигма
Основы риск- и бизнес-ориентированной информационной безопасности. Часть 1. Основные понятия и парадигма
Нормативные документы по ИБ. Часть 2. Стандарты ГОСТ Р 57580.1-2017 и ГОСТ Р 57580.2-2018
Нормативные документы по ИБ. Часть 2. Стандарты ГОСТ Р 57580.1-2017 и ГОСТ Р 57580.2-2018
Нормативные документы по ИБ. Часть 10. Обзор российского законодательства в области защиты критической информационной инфраструктуры - окончание
Нормативные документы по ИБ. Часть 10. Обзор российского законодательства в области защиты критической информационной инфраструктуры - окончание
Основы риск- и бизнес-ориентированной информационной безопасности. Часть 6. Основные понятия и парадигма - продолжение
Основы риск- и бизнес-ориентированной информационной безопасности. Часть 6. Основные понятия и парадигма - продолжение
Практическая защита персональных данных. Что такое средства защиты информации, прошедшие в установленном порядке процедуру оценки соответствия
Практическая защита персональных данных. Что такое средства защиты информации, прошедшие в установленном порядке процедуру оценки соответствия
Автоматизация рутинной деятельности с помощью Security Vision SOAR: практика
Автоматизация рутинной деятельности с помощью Security Vision SOAR: практика
Управление рисками информационной безопасности. Часть 2. Стандарт NIST SP 800-39
Управление рисками информационной безопасности. Часть 2. Стандарт NIST SP 800-39
Обзор публикаций NIST SP 800-213 "IoT Device Cybersecurity Guidance for the Federal Government: Establishing IoT Device Cybersecurity Requirements"
Обзор публикаций NIST SP 800-213 "IoT Device Cybersecurity Guidance for the Federal Government: Establishing IoT Device Cybersecurity Requirements"
Нормативные документы по ИБ. Часть 11. Защита коммерческой тайны
Нормативные документы по ИБ. Часть 11. Защита коммерческой тайны