| Слушать на Google Podcasts | Слушать на Mave | Слушать на Яндекс Музыке |
Руслан Рахметов, Security Vision
Массовый переход сотрудников на удаленную работу во время пандемии сопровождался беспрецедентным ростом количества личных устройств (смартфонов, ноутбуков), подключенных к корпоративным сетям. Действительно, далеко не все компании заранее озаботились закупкой резервных устройств, которые можно было бы оперативно выдать сотрудникам для удаленной работы. При таком подходе, когда личные и зачастую неконтролируемые устройства подключаются к корпоративным ресурсам (таким как VPN-шлюзы, веб-сервисы, электронная почта и т.д.), киберриски возрастают многократно.
Неуправляемое и не принадлежащее компании устройство может быть случайно или намеренно заражено вредоносным ПО, не получать своевременные обновления для системного и прикладного софта, также личным устройством могут не поддерживаться корректные настройки безопасности (длина пароля для разблокировки, шифрование данных, подключение к открытым беспроводным сетям, настройки конфиденциальности и т.д.). Одним из решений данных сложностей является концепция BYOD (Bring Your Own Device, принеси свое собственное устройство), представляющая собой структурированный систематический подход к выбору, настройке, предоставлению защищенного доступа личным устройствам сотрудников к корпоративным ресурсам. Рекомендациям по внедрению BYOD-концепции для смартфонов под управлением ОС Android и Apple iOS посвящен документ NIST SP 1800-22 (Draft) "Mobile Device Security: Bring Your Own Device (BYOD)" («Безопасность мобильных устройств: принеси свое собственное устройство»), который мы рассмотрим в настоящей публикации.
Итак, документ NIST SP 1800-22 предлагает рекомендации по использованию BYOD-концепции для обеспечения:
- защиты конфиденциальных корпоративных данных от несанкционированного доступа при утере или краже устройств (смартфонов под управлением ОС Android и Apple iOS);
- снижения риска нарушения конфиденциальности персональных данных сотрудников при использовании смартфонов;
- повышения кибербезопасности мобильных устройств и приложений путем применения специализированных технологий;
- снижения киберриска несанкционированного доступа к корпоративным данным путем разделения личной и рабочей информации;
- улучшения контроля состояния устройств для выявления компрометации конфиденциальных данных и самого устройства, а также своевременного уведомления пользователя о таких фактах;
- использования лучших международных практик и технологий для повышения безопасности и конфиденциальности данных и устройств.
В документе также отмечаются возможные сложности при внедрении BYOD, такие как:
- разнообразие версий ОС и «оболочек» для них (актуально в основном для устройств на базе ОС Android);
- разнообразие моделей Android-смартфонов от различных производителей;
- разнообразие функциональных (программных и аппаратных) возможностей портативных устройств, требующих анализа и защиты;
- сложности в применении классических СЗИ для мобильных устройств и, как следствие, необходимость выбора, закупки, эксплуатации, поддержки специализированных защитных решений;
- отсутствие встроенных в мобильные ОС функций безопасности, применение которых является обязательным для обеспечения кибербезопасности и заданного компанией уровня киберрисков;
- возможность непреднамеренной установки пользователем вредоносного ПО (например, под видом игр), передачи устройства в другие руки, а также возможная утеря, кража, продажа смартфона с конфиденциальной информацией;
- необходимость обеспечения приватности личной информации пользователя, хранящейся на его мобильном устройстве с установленным BYOD-решением.
Внедрение BYOD рассмотрено в документе NIST SP 1800-22 на примере типовой организации, целями которой при использовании концепции использования личного устройства для служебных нужд могут быть:
- отделение личной информации от рабочей путем разграничения информационных потоков между рабочими и личными приложениями;
- шифрование данных при передаче через потенциально небезопасные сети путем построения VPN-туннеля и аутентификации по сертификатам;
- выявление уязвимых приложений, установленных пользователем, с последующей временной блокировки доступа к корпоративным ресурсам до удаления или обновления таких приложений;
- выявление вредоносного программного обеспечения, случайно установленного пользователем, с последующим удалением;
- обеспечение доверенного доступа устройства и пользователя к корпоративным ресурсам посредством двухфакторной аутентификации, включающей в себя пароль и цифровой сертификат;
- контроль и ограничение сбора информации об устройстве и его использовании сотрудником со стороны BYOD-системы.
Реализовать данные цели предлагается путем применения следующих технологий и подходов:
1. Среда доверенного выполнения (Trusted Execution Environment, TEE)
Среда доверенного выполнения - это среда обработки и выполнения команд, защищенная от несанкционированного изменения и подмены, гарантирующая подлинность исполняемого кода, целостность состояния исполнения (runtime state) процессора, регистров, памяти, устройств ввода-вывода, а также конфиденциальность данных, команд и состояний исполнения в постоянной памяти. Данная среда защищает устройства от выполнения кода с ошибками целостности (т.е., вероятно, несанкционированно модифицированного или подмененного), что помогает обеспечить информационную безопасность при запуске пользователем произвольных приложений.
2. Система корпоративного управления мобильными устройствами (Enterprise Mobility Management, EMM)
EMM-решения позволяют управлять некоторыми функциями смартфонов, прошедших процедуру регистрации (англ. enrollment) в корпоративной BYOD-системе. Такие решения, как правило, содержат серверную часть с политиками и настройками, применяющимися к различным группам устройств и пользователей, а также клиентскую часть в виде агента, устанавливаемого как приложение на смартфон и взаимодействующего с EMM-сервером. EMM-решение выполняет функции управления мобильными устройствами (Mobile Device Management, MDM), включающие в себя установку на устройства конфигурационных профилей, настройку политик безопасности, контроль соответствия настроек устройства примененным политикам. Агентская часть оповещает пользователя о проблемах с безопасностью и о несоответствии устройства корпоративным политикам и настойкам, а также разделяет личные и рабочие данные (с помощью технологии контейнеризации и шифрования) и автоматически исправляет некоторые ошибки и несоответствия. На основании данных о состоянии устройства серверной частью принимается решение о допуске устройства к корпоративным сервисам и данным.
3. VPN-туннелирование
Использование VPN-туннелей позволяет обеспечить конфиденциальность, целостность, подлинность передаваемых через незащищенные сети данных, а также предоставляет дополнительный уровень контроля подключающихся устройств в зависимости от их географического расположения, уровня киберриска конкретного устройства, соответствия корпоративным EMM-политикам. Кроме того, можно применять VPN-туннели для защиты только передаваемых определенными приложениями корпоративных данных: такой программно-ориентированный VPN-туннель будет защищать и перенаправлять на VPN-шлюз не весь трафик смартфона, а только трафик рабочих приложений, например, рабочей электронной почты, средств совместной работы, корпоративных веб-приложений.
4. Служба проверки приложений (Mobile Application Vetting Service)
Установленные пользователем приложения могут быть как целенаправленно вредоносными, так и безобидными, но содержащими уязвимости или избыточный функционал. Для контроля приложений используется клиент службы проверки приложений, который по набору статических, динамических и поведенческих показателей может сделать вывод о безопасности того или иного установленного приложения. В результате анализа устройству присваивается определенный уровень киберриска, по значению которого устройство допускается до корпоративных сервисов и данных. Например, устройство с видоизмененной прошивкой, «рутованное» или с измененным загрузчиком (bootloader), скорее всего, будет иметь очень высокий риск-балл и не сможет получить доступ к рабочим данным или установить VPN-соединение с корпоративным VPN-шлюзом.
5. Защита от мобильных угроз (Mobile Threat Defense, MTD)
Защита от мобильных угроз реализуется с помощью MTD-агента, устанавливаемого на устройстве и предоставляющего данные о состоянии безопасности устройства на основании данных об установленных приложениях, активности устройства, состоянии функций безопасности. Проверяются свойства самого устройства, такие как версия ОС, версия установленных обновлений безопасности, небезопасные конфигурации настроек смартфона, повышенные привилегии (права root), установленные профили, признаки компрометации устройства, а также защищенность подключения к беспроводной сети и признаки перехвата/дешифрования трафика.
6. Встроенные в мобильные ОС механизмы обеспечения кибербезопасности
6.1. Secure Boot (защищенная загрузка): процесс последовательной загрузки компонент ОС с проверкой целостности и подлинности загружаемого кода, начиная с загрузчика (bootloader);
6.2. Device Attestation (проверка устройства): проверка целостности и подлинности всех компонент ОС и запускаемого ПО;
6.3. MDM API: возможность использования MDM-решением встроенных в ОС функций безопасности путем обращения к ним через API с последующей настройкой, например, шифрования устройства (полнодискового или пофайлового), проверки цифровых подписей ПО или обновлений ОС, установки пароля для разблокировки устройства, настройки параметров удаленного управления и очищения устройства;
6.4. iOS App Transport Security (безопасность iOS-приложений на транспортном уровне): принудительное использование протокола TLS для защиты передаваемых приложениями данных через интернет (включено по умолчанию для iOS 9.0 и старше);
6.5. Android Network Security Configuration (конфигурация сетевой безопасности Android): запрет по умолчанию на передачу трафика в незащищенном виде (cleartext), с возможностью выбора доверенных центров сертификации и выпуском соответствующих цифровых сертификатов.