Обзор публикации NIST SP 800-124 Rev. 2 (Draft) "Guidelines for Managing the Security of Mobile Devices in the Enterprise"

Руслан Рахметов, Security Vision

Использование мобильных устройств (смартфонов, планшетов) в корпоративной среде стало обыденностью уже 5-10 лет назад, но с момента начала пандемии применение таких устройств стало всеобъемлющим. До этого момента лишь продвинутые в техническом плане компании давали возможность использования корпоративных или личных устройств для решения бизнес-задач и обработки конфиденциальной служебной информации. Использование смартфонов и планшетов не только повышает эффективность работы сотрудников, но и привносит специфические киберриски, уровень которых существенно возрос в последнее время (уязвимости в мобильных ОС и приложениях, в аппаратном обеспечении, в сетях и протоколах передачи данных, а также вредоносное и шпионское ПО для мобильных устройств). В данной публикации рассматривается предварительная версия (драфт) документа NIST SP 800-124 Rev. 2 (Draft) "Guidelines for Managing the Security of Mobile Devices in the Enterprise" («Рекомендации по управлению безопасностью мобильных устройств на предприятии»), который предлагает рекомендации по обеспечению безопасности мобильных устройств с описанием возможных стратегий и технологий защиты на протяжении всего жизненного цикла их использования. В одной из предыдущих статей мы рассмотрели нюансы использования BYOD-концепции при работе с личными устройствами в рабочих целях, что дополняет рассматриваемую сегодня тему и может использоваться совместно при построении процесса безопасной эксплуатации мобильных устройств в компании.

В документе NIST SP 800-124 подчеркивается, что мобильные устройства отличаются компактностью и распространенностью среди пользователей и частым использованием за пределами корпоративной инфраструктуры, что обуславливает дополнительные специфические угрозы, такие как утеря, кража, повреждение, сбой в результате некорректного обновления, вредоносное воздействие вирусов, нарушение конфиденциальности обрабатываемой информации в результате работы приложений или пользовательских действий.

В специальной публикации NIST SP 800-124 перечислены актуальные угрозы мобильным устройствам и технологиям, включая следующие:

1. Киберугрозы использования мобильных устройств для корпоративных пользователей:

1.1. Эксплуатация уязвимостей в мобильных устройствах, количество которых увеличивается с разнообразием моделей и производителей устройств, прошивок, приложений.

1.2. Утеря или хищение устройств, что объясняется использованием смартфонов и планшетов в дороге, командировках, отелях, в различных локациях.

1.3. Доступ к информационным ресурсам компании с небезопасно настроенного устройства или с применением непроверенных приложений, установленных пользователем намеренно, случайно или в результате хакерской атаки.

1.4. Кража учетных данных в рамках фишинговой атаки (ввод логина и пароля на контролируемом злоумышленником веб-ресурсе, ссылку на который присылают через текстовое сообщение, мессенджер или через email).

1.5. Установка поддельных цифровых сертификатов в результате фишинга, физического воздействия, случайного или намеренного принятия поддельного профиля безопасности, что может привести к ложному подтверждению безопасности вредоносного веб-ресурса или приложения.

1.6. Использование недоверенных устройств, например, личных или купленных по неофициальным каналам, которые могут быть "рутированы", перепрошиты или содержать программные и аппаратные закладки, понижающие уровень безопасности устройств и позволяющие реализовать несанкционированное воздействие на корпоративные ресурсы.

1.7. Перехват данных, передающихся по беспроводным каналам между устройством и информационными системами компании (атаки вида Man-in-the-Middle, MitM).

1.8. Вредоносное мобильное ПО, которое может быть установлено пользователем намеренно, случайно или в результате хакерской атаки. Любое приложение, установленное не из корпоративного магазина приложений, должно считаться недоверенным по умолчанию.

1.9. Утечка информации из-за некорректно сконфигурированной блокировки экрана устройства (слабый пин-код или пароль разблокировки либо их отсутствие), отображение уведомлений на заблокированном экране, выполнение действий без необходимости разблокировки устройства.

1.10. Нарушение конфиденциальности персональных данных сотрудников путем сбора чувствительной информации (геолокация, поисковые запросы, доступ к микрофону и камере и т.д.) через корпоративные приложения, а также через приложения сторонних разработчиков. В случае сбора и обработки персональных данных сотрудников через корпоративные устройства, следует выполнить все требования законодательства, регламентирующие подобные действия.

1.11. Утечка данных в результате синхронизации данных корпоративного мобильного устройства со сторонним облачным сервисом (например, Apple iCloud, Google Drive, Яндекс-Диск и т.д.) или с недоверенным физическим устройством (например, личным ноутбуком).

1.12. Риски «теневого ИТ»: самостоятельное использование сотрудниками информационных систем или сервисов, предварительно не согласованных Департаментами ИТ/ИБ, как следствие невозможности согласовать использование необходимых систем или как следствие большего субъективного удобства сторонних решений.

2. Киберугрозы системам корпоративного управления мобильными устройствами (решения класса EMM - Enterprise Mobility Management):

2.1. Эксплуатация уязвимостей EMM-платформ, которые работают на стандартном программном и аппаратном обеспечении, потенциально содержащем ошибки и уязвимости.

2.2. Кража учетных данных администраторов EMM-платформ с возможностью несанкционированного доступа к сведениям об устройствах, отключением их от корпоративных ресурсов, удалением информации с них.

2.3. Несанкционированное использование EMM-платформ инсайдером с расширенными полномочиями, позволяющими получить данные об устройствах, разрешить использование несанкционированных приложений или устройств, снизить требования ИБ.

2.4. Установка вредоносных EMM-приложений (агентов) или EMM-профилей на устройства, что может привести к несанкционированному доступу к данным и функциям устройства со стороны злоумышленника.

Для повышения уровня кибербезопасности мобильных устройств в документе NIST SP 800-124 предлагается выполнение следующих шагов:

1. Проведение анализа и моделирования угроз ИБ для мобильных устройств и информационных систем, к которым они получают доступ. Моделирование угроз должно включать идентификацию активов, уязвимостей, мер защиты, количественную оценку вероятности успешных кибератак и их негативного влияния с дальнейшим анализом необходимости дополнительных мер защиты.

2. Внедрение технологий обеспечения кибербезопасности мобильных технологий, таких как Mobile Device Management (MDM), Enterprise Mobility Management (EMM), Mobile Threat Defense (MTD), Mobile Application Vetting (MAV), Data Loss Prevention (DLP). Системы MDM и EMM предназначены для управления мобильными устройствами (корпоративными и личными, использующимися для выполнения служебных задач), для настройки конфигураций безопасности таких устройств, контроля и предоставления доступа к корпоративным данным на основании сведений о состоянии безопасности устройства, мониторинга состояния ИБ устройства (вредоносная активность, необновленная ОС, «рутирование» устройства, безопасность подключенной беспроводной сети). Системы класса MTD позволяют зарегистрировать вредоносную активность на уровне ОС или приложений, выявить уязвимости софта или конфигураций устройства, сообщать о подключении к вредоносным веб-сервисам или небезопасным сетям. Решения класса MAV позволяют проводить аудит безопасности используемых в организации приложений и программных библиотек для выявления уязвимостей, небезопасных конфигураций, устаревших компонент с дальнейшим устранением выявленных недостатков (оповещение разработчиков, запрет на публикацию уязвимого приложения в корпоративном «магазине», удаленное отключение или деинсталляция приложения на устройствах). Системы DLP предназначены для защиты от утечки данных в том числе и с мобильных устройств, поэтому DLP-компоненты для Android и iOS являются важной составляющей корпоративной системы обеспечения кибербезопасности.

3. Контроль жизненного цикла развертывания и эксплуатации мобильных устройств, который состоит из принятия решения о модели владения устройством (корпоративное, корпоративное с возможностью использования в личных целях, BYOD-модель), выбора моделей устройств и EMM/MDM-решений, проведения оценки рисков, конфигурирования устройств и EMM/MDM-решений.

4. Проведение пилотирования выбранного решения по управлению безопасностью мобильных устройств в лабораторной или тестовой среде с небольшой группой пользователей. Следует оценивать удобность использования, защитный функционал, способы аутентификации, функциональность приложений и консолей управления, производительность и подробность журналов аудита, в сочетании с закрытием предъявляемых компанией требований по минимизации киберрисков использования мобильных устройств.

5. Защита всех новых мобильных устройств перед выдачей пользователю и предоставлением доступа к корпоративным данным. Перед передачей устройства сотруднику оно должно пройти процедуру «выпуска» (enrollment), во время которой на устройстве применяется профиль защиты (набор настроек безопасности), базовые настройки которого обычно предлагаются вендорами EMM/MDM-решений, но тонкие настройки, отвечающие специфическим ИБ-требованиям компании, следует выполнить самостоятельно. По результатам проведения оценки киберрисков мобильных устройств может быть принято решение об установке дополнительных защитных решений (MTD, MAV, DLP) на них.

6. Обновление мобильных ОС, прошивок и приложений на устройствах следует проводить проактивно, учитывая скорость разработки и применения эксплойтов для новых опасных уязвимостей (особенно классов 0-day и 0-click). Решения класса EMM/MDM позволяют проводить инвентаризацию ОС, прошивок и приложений для обеспечения процессов патч-менеджмента.

7. Поддержка состояния защищенности мобильных устройств путем проведения регулярных оценок состояния соответствия устройств применимым политикам, процессам и процедурам кибербезопасности. Оценку можно проводить пассивно (путем анализа журналов аудита EMM/MDM-систем и самих устройств) и активно (путем проведения сканирований на наличие уязвимостей и пен-тестов мобильной инфраструктуры компании). Операционные процессы включают в себя проверку и установку патчей и апгрейдов; синхронизацию времени на устройствах и в ИТ-инфраструктуре; получение, централизованный сбор и аудит логов с мобильных устройств; перенастройку систем контроля логического доступа при необходимости; выявление и логирование аномалий в работе устройств и EMM/MDM-инфраструктуры, включая несанкционированное изменение политик безопасности или конфигураций. Кроме того, важно вести инвентаризационный учет устройств и приложений, отзыв или удаление опасных приложений, удаление конфиденциальной информации при утере, краже, передаче устройства другому пользователю.