SOT

SOT

SOAR
Security Orchestration, Automation and Response

Автоматизация реагирования на инциденты информационной безопасности при помощи динамических плейбуков с применением СЗИ, выстраиванием цепочки атаки и объектно-ориентированным подходом

NG SOAR
Next Generation SOAR

Автоматизация реагирования на инциденты ИБ со встроенной базовой корреляцией, сбором сырых событий непосредственно с СЗИ, динамическими плейбуками, выстраиванием цепочки атаки и объектно-ориентированным подходом

AM
Asset Management

Описание ИТ-ландшафта, обнаружение новых объектов в сети, категорирование активов, инвентаризации и управления жизненным циклом оборудования и ПО на АРМ и серверах организаций

VM
Vulnerability Management

Выстраивание процесса обнаружения и устранения технических уязвимостей, сбор информации с имеющихся сканеров защищённости, платформ управления обновлениями, экспертных внешних сервисов и других решений

ГосСОПКА
Государственная Система Обнаружения Предупреждения и Ликвидации Последствий Компьютерных Атак

Двустороннее взаимодействие с Национальным координационным центром по компьютерным инцидентам (НКЦКИ), а именно передача информации об инцидентах и получение оперативных уведомлений/бюллетеней от регулятора

FinCERT
Financial Computer Emergency Response Team

Двустороннее взаимодействие с Центральным Банком (ЦБ РФ, ЦБ РБ и др.), а именно передача информации об инцидентах и получение оперативных уведомлений/бюллетеней от регулятора

Напишите нам на sales@securityvision.ru или закажите демонстрацию

GRC

GRC

КИИ
Критическая Информационная Инфраструктура

Аудит и исполнение требований ФЗ-187 «О безопасности критической информационной инфраструктуры Российской Федерации» и других нормативных документов

RM
Risk Management

Формирование реестра рисков, угроз, мер защиты и других параметров контроля, оценка по выбранной методике, формирование перечня дополнительных мер для изменения уровня риска, контроль исполнения, периодическая переоценка

ORM
Operational Risk Management

Учёт и фиксация событий операционных рисков (СОР), мониторинг ключевых индикаторов рисков (КИР) и проведение самооценки /контроля согласно положению №716-П ЦБ РФ

CM
Compliance Management

Аудит соответствия и комплаенса различным методологиям и стандартам

BCP
Business Continuity Plan

Автоматизация процесса обеспечения непрерывности и восстановления деятельности (ОНиВД) после наступления чрезвычайных ситуаций

Напишите нам на sales@securityvision.ru или закажите демонстрацию

Обзор публикации NIST SP 1800-22 (Draft) "Mobile Device Security: Bring Your Own Device (BYOD)"

Обзор публикации NIST SP 1800-22 (Draft) "Mobile Device Security: Bring Your Own Device (BYOD)"
09.03.2022

  |  Слушать на Google Podcasts  |   Слушать на Mave  |   Слушать на Яндекс Музыке  |   



Руслан Рахметов, Security Vision


Массовый переход сотрудников на удаленную работу во время пандемии сопровождался беспрецедентным ростом количества личных устройств (смартфонов, ноутбуков), подключенных к корпоративным сетям. Действительно, далеко не все компании заранее озаботились закупкой резервных устройств, которые можно было бы оперативно выдать сотрудникам для удаленной работы. При таком подходе, когда личные и зачастую неконтролируемые устройства подключаются к корпоративным ресурсам (таким как VPN-шлюзы, веб-сервисы, электронная почта и т.д.), киберриски возрастают многократно.


Неуправляемое и не принадлежащее компании устройство может быть случайно или намеренно заражено вредоносным ПО, не получать своевременные обновления для системного и прикладного софта, также личным устройством могут не поддерживаться корректные настройки безопасности (длина пароля для разблокировки, шифрование данных, подключение к открытым беспроводным сетям, настройки конфиденциальности и т.д.). Одним из решений данных сложностей является концепция BYOD (Bring Your Own Device, принеси свое собственное устройство), представляющая собой структурированный систематический подход к выбору, настройке, предоставлению защищенного доступа личным устройствам сотрудников к корпоративным ресурсам. Рекомендациям по внедрению BYOD-концепции для смартфонов под управлением ОС Android и Apple iOS посвящен документ NIST SP 1800-22 (Draft) "Mobile Device Security: Bring Your Own Device (BYOD)" («Безопасность мобильных устройств: принеси свое собственное устройство»), который мы рассмотрим в настоящей публикации.


Итак, документ NIST SP 1800-22 предлагает рекомендации по использованию BYOD-концепции для обеспечения:

- защиты конфиденциальных корпоративных данных от несанкционированного доступа при утере или краже устройств (смартфонов под управлением ОС Android и Apple iOS);
- снижения риска нарушения конфиденциальности персональных данных сотрудников при использовании смартфонов;
- повышения кибербезопасности мобильных устройств и приложений путем применения специализированных технологий;
- снижения киберриска несанкционированного доступа к корпоративным данным путем разделения личной и рабочей информации;
- улучшения контроля состояния устройств для выявления компрометации конфиденциальных данных и самого устройства, а также своевременного уведомления пользователя о таких фактах;
- использования лучших международных практик и технологий для повышения безопасности и конфиденциальности данных и устройств.

В документе также отмечаются возможные сложности при внедрении BYOD, такие как:

- разнообразие версий ОС и «оболочек» для них (актуально в основном для устройств на базе ОС Android);
- разнообразие моделей Android-смартфонов от различных производителей;
- разнообразие функциональных (программных и аппаратных) возможностей портативных устройств, требующих анализа и защиты;
- сложности в применении классических СЗИ для мобильных устройств и, как следствие, необходимость выбора, закупки, эксплуатации, поддержки специализированных защитных решений;
- отсутствие встроенных в мобильные ОС функций безопасности, применение которых является обязательным для обеспечения кибербезопасности и заданного компанией уровня киберрисков;
- возможность непреднамеренной установки пользователем вредоносного ПО (например, под видом игр), передачи устройства в другие руки, а также возможная утеря, кража, продажа смартфона с конфиденциальной информацией;
- необходимость обеспечения приватности личной информации пользователя, хранящейся на его мобильном устройстве с установленным BYOD-решением.

Внедрение BYOD рассмотрено в документе NIST SP 1800-22 на примере типовой организации, целями которой при использовании концепции использования личного устройства для служебных нужд могут быть:

- отделение личной информации от рабочей путем разграничения информационных потоков между рабочими и личными приложениями;
- шифрование данных при передаче через потенциально небезопасные сети путем построения VPN-туннеля и аутентификации по сертификатам;
- выявление уязвимых приложений, установленных пользователем, с последующей временной блокировки доступа к корпоративным ресурсам до удаления или обновления таких приложений;
- выявление вредоносного программного обеспечения, случайно установленного пользователем, с последующим удалением;
- обеспечение доверенного доступа устройства и пользователя к корпоративным ресурсам посредством двухфакторной аутентификации, включающей в себя пароль и цифровой сертификат;
- контроль и ограничение сбора информации об устройстве и его использовании сотрудником со стороны BYOD-системы.

Реализовать данные цели предлагается путем применения следующих технологий и подходов:


1. Среда доверенного выполнения (Trusted Execution Environment, TEE)

Среда доверенного выполнения - это среда обработки и выполнения команд, защищенная от несанкционированного изменения и подмены, гарантирующая подлинность исполняемого кода, целостность состояния исполнения (runtime state) процессора, регистров, памяти, устройств ввода-вывода, а также конфиденциальность данных, команд и состояний исполнения в постоянной памяти. Данная среда защищает устройства от выполнения кода с ошибками целостности (т.е., вероятно, несанкционированно модифицированного или подмененного), что помогает обеспечить информационную безопасность при запуске пользователем произвольных приложений.


2. Система корпоративного управления мобильными устройствами (Enterprise Mobility Management, EMM)

EMM-решения позволяют управлять некоторыми функциями смартфонов, прошедших процедуру регистрации (англ. enrollment) в корпоративной BYOD-системе. Такие решения, как правило, содержат серверную часть с политиками и настройками, применяющимися к различным группам устройств и пользователей, а также клиентскую часть в виде агента, устанавливаемого как приложение на смартфон и взаимодействующего с EMM-сервером. EMM-решение выполняет функции управления мобильными устройствами (Mobile Device Management, MDM), включающие в себя установку на устройства конфигурационных профилей, настройку политик безопасности, контроль соответствия настроек устройства примененным политикам. Агентская часть оповещает пользователя о проблемах с безопасностью и о несоответствии устройства корпоративным политикам и настойкам, а также разделяет личные и рабочие данные (с помощью технологии контейнеризации и шифрования) и автоматически исправляет некоторые ошибки и несоответствия. На основании данных о состоянии устройства серверной частью принимается решение о допуске устройства к корпоративным сервисам и данным.


3. VPN-туннелирование

Использование VPN-туннелей позволяет обеспечить конфиденциальность, целостность, подлинность передаваемых через незащищенные сети данных, а также предоставляет дополнительный уровень контроля подключающихся устройств в зависимости от их географического расположения, уровня киберриска конкретного устройства, соответствия корпоративным EMM-политикам. Кроме того, можно применять VPN-туннели для защиты только передаваемых определенными приложениями корпоративных данных: такой программно-ориентированный VPN-туннель будет защищать и перенаправлять на VPN-шлюз не весь трафик смартфона, а только трафик рабочих приложений, например, рабочей электронной почты, средств совместной работы, корпоративных веб-приложений.


4. Служба проверки приложений (Mobile Application Vetting Service)

Установленные пользователем приложения могут быть как целенаправленно вредоносными, так и безобидными, но содержащими уязвимости или избыточный функционал. Для контроля приложений используется клиент службы проверки приложений, который по набору статических, динамических и поведенческих показателей может сделать вывод о безопасности того или иного установленного приложения. В результате анализа устройству присваивается определенный уровень киберриска, по значению которого устройство допускается до корпоративных сервисов и данных. Например, устройство с видоизмененной прошивкой, «рутованное» или с измененным загрузчиком (bootloader), скорее всего, будет иметь очень высокий риск-балл и не сможет получить доступ к рабочим данным или установить VPN-соединение с корпоративным VPN-шлюзом.


5. Защита от мобильных угроз (Mobile Threat Defense, MTD)

Защита от мобильных угроз реализуется с помощью MTD-агента, устанавливаемого на устройстве и предоставляющего данные о состоянии безопасности устройства на основании данных об установленных приложениях, активности устройства, состоянии функций безопасности. Проверяются свойства самого устройства, такие как версия ОС, версия установленных обновлений безопасности, небезопасные конфигурации настроек смартфона, повышенные привилегии (права root), установленные профили, признаки компрометации устройства, а также защищенность подключения к беспроводной сети и признаки перехвата/дешифрования трафика.


6. Встроенные в мобильные ОС механизмы обеспечения кибербезопасности

6.1. Secure Boot (защищенная загрузка): процесс последовательной загрузки компонент ОС с проверкой целостности и подлинности загружаемого кода, начиная с загрузчика (bootloader);

6.2. Device Attestation (проверка устройства): проверка целостности и подлинности всех компонент ОС и запускаемого ПО;

6.3. MDM API: возможность использования MDM-решением встроенных в ОС функций безопасности путем обращения к ним через API с последующей настройкой, например, шифрования устройства (полнодискового или пофайлового), проверки цифровых подписей ПО или обновлений ОС, установки пароля для разблокировки устройства, настройки параметров удаленного управления и очищения устройства;

6.4. iOS App Transport Security (безопасность iOS-приложений на транспортном уровне): принудительное использование протокола TLS для защиты передаваемых приложениями данных через интернет (включено по умолчанию для iOS 9.0 и старше);

6.5. Android Network Security Configuration (конфигурация сетевой безопасности Android): запрет по умолчанию на передачу трафика в незащищенном виде (cleartext), с возможностью выбора доверенных центров сертификации и выпуском соответствующих цифровых сертификатов.

Практика ИБ Подкасты ИБ NIST Стандарты ИБ

Рекомендуем

SOC (Security Operation Center): что это такое и зачем используется? Центры мониторинга информационной безопасности
SOC (Security Operation Center): что это такое и зачем используется? Центры мониторинга информационной безопасности
КИИ - что это? Безопасность объектов критической информационной инфраструктуры
КИИ - что это? Безопасность объектов критической информационной инфраструктуры
Кейлоггер для кибербезопасности и оптимизации
Кейлоггер для кибербезопасности и оптимизации
Информационная  безопасность (ИБ) - что это такое. Виды защиты информации.
Информационная безопасность (ИБ) - что это такое. Виды защиты информации.
Что такое IRP, где используется и как внедряется
Что такое IRP, где используется и как внедряется
SIEM системы (Security Information and Event Management) - что это и зачем нужно?
SIEM системы (Security Information and Event Management) - что это и зачем нужно?
Управление рисками информационной безопасности. Часть 1. Основные понятия и методология оценки рисков
Управление рисками информационной безопасности. Часть 1. Основные понятия и методология оценки рисков
Управление рисками информационной безопасности (конспект лекции)
Управление рисками информационной безопасности (конспект лекции)
Федеральный закон № 161-ФЗ «О национальной платежной системе»
Федеральный закон № 161-ФЗ «О национальной платежной системе»
Категорирование объектов критической информационной инфраструктуры в рамках 187-ФЗ. Постановление Правительства РФ № 127
Категорирование объектов критической информационной инфраструктуры в рамках 187-ФЗ. Постановление Правительства РФ № 127
Практика ИБ. Централизованный сбор логов с Windows-устройств
Практика ИБ. Централизованный сбор логов с Windows-устройств
Обеспечение безопасности значимых объектов критической информационной инфраструктуры в рамках 187-ФЗ. Приказы ФСТЭК России №235 и 239
Обеспечение безопасности значимых объектов критической информационной инфраструктуры в рамках 187-ФЗ. Приказы ФСТЭК России №235 и 239

Рекомендуем

SOC (Security Operation Center): что это такое и зачем используется? Центры мониторинга информационной безопасности
SOC (Security Operation Center): что это такое и зачем используется? Центры мониторинга информационной безопасности
КИИ - что это? Безопасность объектов критической информационной инфраструктуры
КИИ - что это? Безопасность объектов критической информационной инфраструктуры
Кейлоггер для кибербезопасности и оптимизации
Кейлоггер для кибербезопасности и оптимизации
Информационная безопасность (ИБ) - что это такое. Виды защиты информации.
Информационная  безопасность (ИБ) - что это такое. Виды защиты информации.
Что такое IRP, где используется и как внедряется
Что такое IRP, где используется и как внедряется
SIEM системы (Security Information and Event Management) - что это и зачем нужно?
SIEM системы (Security Information and Event Management) - что это и зачем нужно?
Управление рисками информационной безопасности. Часть 1. Основные понятия и методология оценки рисков
Управление рисками информационной безопасности. Часть 1. Основные понятия и методология оценки рисков
Управление рисками информационной безопасности (конспект лекции)
Управление рисками информационной безопасности (конспект лекции)
Федеральный закон № 161-ФЗ «О национальной платежной системе»
Федеральный закон № 161-ФЗ «О национальной платежной системе»
Категорирование объектов критической информационной инфраструктуры в рамках 187-ФЗ. Постановление Правительства РФ № 127
Категорирование объектов критической информационной инфраструктуры в рамках 187-ФЗ. Постановление Правительства РФ № 127
Практика ИБ. Централизованный сбор логов с Windows-устройств
Практика ИБ. Централизованный сбор логов с Windows-устройств
Обеспечение безопасности значимых объектов критической информационной инфраструктуры в рамках 187-ФЗ. Приказы ФСТЭК России №235 и 239
Обеспечение безопасности значимых объектов критической информационной инфраструктуры в рамках 187-ФЗ. Приказы ФСТЭК России №235 и 239

Похожие статьи

Польза от Pentest для постинцидента
Польза от Pentest для постинцидента
Логины, пароли и другие способы аутентификации: описание, особенности, угрозы
Логины, пароли и другие способы аутентификации: описание, особенности, угрозы
IDE для разработки средств защиты в формате no-code
IDE для разработки средств защиты в формате no-code
Взломы в информационной безопасности - что это, как они происходят и как от них защититься
Взломы в информационной безопасности - что это, как они происходят и как от них защититься
SSDL: ML для проверки кода и поведения opensource-решений
SSDL: ML для проверки кода и поведения opensource-решений
Атаки на веб-системы по методологии OWASP Top 10
Атаки на веб-системы по методологии OWASP Top 10
SSDL: Знай своего opensource-поставщика в лицо и не только
SSDL: Знай своего opensource-поставщика в лицо и не только
Технология SOAR и ее место в SOC
Технология SOAR и ее место в SOC
Живее всех живых: непрерывность бизнеса
Живее всех живых: непрерывность бизнеса

Похожие статьи

Польза от Pentest для постинцидента
Польза от Pentest для постинцидента
Логины, пароли и другие способы аутентификации: описание, особенности, угрозы
Логины, пароли и другие способы аутентификации: описание, особенности, угрозы
IDE для разработки средств защиты в формате no-code
IDE для разработки средств защиты в формате no-code
Взломы в информационной безопасности - что это, как они происходят и как от них защититься
Взломы в информационной безопасности - что это, как они происходят и как от них защититься
SSDL: ML для проверки кода и поведения opensource-решений
SSDL: ML для проверки кода и поведения opensource-решений
Атаки на веб-системы по методологии OWASP Top 10
Атаки на веб-системы по методологии OWASP Top 10
SSDL: Знай своего opensource-поставщика в лицо и не только
SSDL: Знай своего opensource-поставщика в лицо и не только
Технология SOAR и ее место в SOC
Технология SOAR и ее место в SOC
Живее всех живых: непрерывность бизнеса
Живее всех живых: непрерывность бизнеса