Как защитить корпоративные мобильные устройства
Как и в других странах, повсеместное проникновение мобильных технологий уже давно не новость и в России. У каждого из нас есть личное устройство, и любому человеку было бы удобно иметь возможность исполнять на нем хотя бы часть должностных обязанностей. Однако, как и любая другая техника, использующаяся для работы с корпоративными данными, смартфоны и планшеты тоже могут подвергнуться атакам. Для защиты от них используются решения класса Mobile Device Management (MDM). В этой статье я расскажу, каким рискам могут подвергнуться мобильные устройства сотрудников, как защитить их с помощью MDM, и каких «подводных камней» стоит опасаться при работе с ними.
При работе с любыми данными проблема утечек и способы ее решения зависят от того, как информация хранится и обрабатывается. Исторически сложилось, что корпоративные сети принадлежат к закрытому типу, и для их защиты используются продукты класса Data Loss Prevention (DLP), разработанные для отслеживания потоков передачи информации внутри компании и при взаимодействии с внешними контрагентами. За годы эти системы развились в надежные и высокоточные инструменты распознавания утечек всех видов информации, включая электронные письма, текстовые документы, графическую информацию, а также распознавание видео и фото с помощью технологий OCR.
В случае с мобильными устройствами все несколько сложнее. Во-первых, далеко не все компании позволяют обрабатывать на них корпоративную информацию, а те, которые дают такую возможность, зачастую не уделяют должного внимания вопросу контроля такой работы. Во-вторых, ситуация осложняется тем, что в большинстве случаев мобильные устройства сотрудников не принадлежат компании так же, как, например, ноутбуки, которые сотрудникам выдают при трудоустройстве, т.к. пользователям гораздо удобнее использовать в командировках или дома личные устройства. В-третьих, мобильное устройство большую часть времени находится за пределами корпоративной сети, и компания не может использовать инструменты для централизованного сбора или контроля трафика. Это вызывает необходимость определенной адаптации процессов защиты данных со стороны ИБ-департамента.
Зачем такие сложности?
Отвечу на возникший у вас закономерный вопрос: «не проще ли тогда выдавать сотрудникам корпоративные устройства?» Рассмотрим самый простой случай, когда мы имеем дело с компанией, которая может себе это позволить и чье руководство приняло решение о выдаче девайсов сотрудникам, в первую очередь тем, кто много рабочего времени проводит в разъездах. Таким сотрудникам могут понадобиться устройства с мощными камерами для фотографирования объектов, с большими экранами для обработки текста, а также с надежной связью для коммуникации.
Выдаваемые устройства контролируются компанией, и сотрудники не имеют полных привилегий для управления ими. Такие девайсы готовятся заранее, например, на них устанавливается агент, который будет контролировать всю работу, с максимальными привилегиями, и отключать ненужные функции. Как именно подготовить устройство, и какой функциональностью его наделить, определяет руководство. В итоге подготовленный девайс выдается сотруднику. Казалось бы, решение найдено и риски минимальны. Но они все равно есть.
Главный из них – потеря устройства или его попадание в руки злоумышленников, т.к. вместе с ним они получат и доступ к информации, на нем хранящейся. В таком случае есть несколько способов защиты. Самый радикальный – сброс устройства до заводских настроек. Но есть также и множество функций для защиты данных в случае кражи, например, смартфон при попытке разблокировки может издавать громкие звуки для отпугивания злоумышленника, или делать серию снимков со всех камер и передавать их на серверы управления, чтобы помочь найти себя.
Есть и другие риски: например, корпоративную информацию все равно можно передать через различные шины передачи данных, например, кабель подключения к ПК или Bluetooth. Чтобы предотвратить утечки, все эти шины передачи данных нужно блокировать.
Наконец, самый банальный риск, который частично можно предотвратить в корпоративных сетях – фотографирование какой-либо информации с экрана телефона, что может вызвать утечку. Стоит отметить, что такая утечка возможна и при простом запоминании информации сотрудником. Здесь, как и в случае с DLP, мы с коллегами часто сталкиваемся с вопросом: «а что будет, если сотрудник запомнит информацию о клиенте из базы и передаст ее куда не следует?» Ответ один: нужно осознавать, что подобные системы созданы для распознавания массовых утечек, когда кто-то пытается, например, «слить» всю базу клиентов. Небольшую утечку проконтролировать практически невозможно. Нельзя просто взять и запретить сотруднику запоминать информацию, которая нужна ему для исполнения должностных обязанностей.
Однако, для защиты от малых утечек можно воспользоваться, например, водяными знаками, помещая их на конфиденциальных документах или материалах, содержащих коммерческую тайну. Так делают во многих сферах, например, в госорганах, финансовых организациях, кинопроизводстве и разработке игр, помечая специальными водяными знаками конфиденциальные материалы, предназначенные только для ознакомления, а не для передачи третьим лицам.
Возвращаясь к вопросу выдачи корпоративных устройств, этот способ хорошо подходит для разъездных сотрудников, которые в силу должностных обязанностей посещают мероприятия клиентов, например, или совершают обходы оборудования, фотографируя его состояние. Еще один пример — представьте себе банк, у которого нет классических отделений, а карточки выдаются разъездными сотрудниками, которые вносят данные клиентов в базу данных, в том числе и их фото. Здесь же и демонстрация описанных выше рисков утечки данных – эти фотографии могут попасть во внутренние чаты банка, не относящиеся к рабочим вопросам, и быть использованы не по назначению. Предотвращать такие случаи и призваны решения класса Mobile Device Management (MDM).
Отвечая на вопрос, не проще ли выдать корпоративные устройства, скажу — нет, не проще. Помимо описанных выше рисков, далеко не каждая компания может позволить себе содержать парк девайсов, особенно учитывая современные темпы устаревания мобильных устройств, в отличие от ноутбуков или рабочих станций, с которыми можно работать десятилетиями, модернизируя их время от времени. Также мобильное устройство нужно постоянно держать при себе и далеко не всем понравится идея иметь 2 смартфона и постоянно переключаться между ними.
От чего именно защищаться?
Разобравшись с вводными, поговорим об основных угрозах для мобильных устройств. Самая главная из них — утечка данных. Помимо нее все популярнее становятся как атаки на мобильные приложения, так и программы с замаскированными функциями. Последние пытаются либо считать лишние данные и отправить их той или иной заинтересованной компании для монетизации посредством рекламы, либо получить контроль над памятью телефона и совершить какие-либо вредоносные действия.
Также, вопреки расхожему мнению, вирусы и трояны для мобильных устройств тоже существуют, и не так давно сотрудники одной из крупнейших ИБ-компаний России подверглись атаке одного из таких. Поэтому никто не застрахован от подобного проникновения, и чем выше тот или иной пользователь по должности, чем более важными доступами он обладает и, тем вероятнее, что его смартфон станет целью злоумышленников.
Чем защищаться?
Помимо того, о чем я уже сказал выше, есть несколько вариантов защиты. Чтобы работать с мобильного устройства с корпоративными данными, которые хранятся на файловом сервере, требуется установить VPN-клиент. Современная MDM-система способна сделать это автоматически и частично настроить его таким образом, чтобы пользователю не требовалось вводить адрес подключения или данные учетной записи, как это часто делается на ноутбуках при работе вне офиса.
При этом VPN должен соответствовать ряду требований. Во-первых, к этому защищенному каналу связи до внутренней инфраструктуры должны иметь доступ только доверенные приложения. Конкретный их список зависит от потребностей и предпочтений каждого конкретного клиента. Во-вторых, сам тип доступа приложений зависит от того, с какой мобильной операционной системой (ОС) компания имеет дело. Если это Android, то достаточно просто выделить защищенную область памяти или «защищенный контейнер», в котором и устанавливаются доверенные приложения. К таким могут относиться веб-браузер с зашитыми в него закладками, почтовая система, подключающаяся к конкретному серверу компании, средство обработки документов, или «Проводник», который подключается к файловому хранилищу, а также приложения, через которые пользователю разрешено по политике безопасности работать с внутренними данными. Эти приложения установлены в контейнере и не имеют доступа к внешней среде, в то время как приложения извне не имеют доступа ни к контейнеру, ни внутрь организации по VPN.
С iOS ситуация чуть сложнее: там нужно задействовать такой механизм, как Per App VPN. При установке VPN требуется создавать VPN-туннели отдельно для каждого приложения. Таким образом пользователь не может установить аналогичное по функциональности приложение для обхода настроенных политик безопасности, например, для почты, и воспользоваться установленным VPN-соединением. Однако, такой подход требует наличия специального шлюза на стороне инфраструктуры, который сможет не только принять VPN-соединение на себя, но и отличить доверенное приложение от недоверенного. Пока на российском рынке таких продуктов немного, а точнее всего одно – от иностранного вендора CheckPoint.
Отвечу на вопрос, зачем тогда вообще работать с iOS, если там все сложнее, и нужных решений на рынке сейчас практически нет? Одна из причин – устройства на iOS все-таки есть у большой доли сотрудников, в том числе работающих удаленно. Другая – подавляющее большинство топ-менеджеров компаний пользуются именно «яблочными» девайсами. Они могут часто быть в разъездах, и предпочитают в спокойной обстановке работать со своего устройства в любое время, в любом месте. Эти пользователи ценят удобство работы, и не хотят тратить время на ввод паролей.
Еще один класс решений для защиты мобильных устройств – SuperApp. Это специальное MDM-приложение, которое не создает как таковой защищенной области памяти, а хранит все данные внутри себя самого, в защищенном состоянии. При входе в SuperApp пользователь получает широкий спектр возможностей по редактированию документов, их отправке, работе с почтой, камерой и т.п., то есть это приложение умеет все понемногу. Оно само связывается с командным центром, выступает и в качестве шлюза для электронной почты, и в качестве средства для обработки документов и т.д. При наличии такого приложения, VPN уже не требуется. Минус в том, что пользователям будет доступно меньше функций, чем у специализированных приложений, которым SuperApp’ы проигрывают, т.к. последние зачастую предоставляют лишь базовые возможности работы с текстами, изображениями, почтой и т.п.
Важно то, что внутри
Посмотрим теперь на то, из чего MDM состоит, и без чего невозможна такая система. MDM-решения похожи на другие средства защиты информации и ИТ-системы, которые занимаются управлением конечных точек. Они включают в себя центральный сервер, центр управления, систему управления базами данных, шлюзы соединения, которые устанавливаются в DMZ-шлюзы и могут извне подключаться по незащищенным каналам интернета, и, разумеется, агент, который устанавливается на само мобильное устройство. Он везде выглядит по-разному, но везде, так или иначе, присутствует.
Как выбрать правильное решение
Важно определить, какая MDM-система нужна именно вашей организации. Практическая необходимость зависит не от типа компании или направления ее коммерческой деятельности, а от типа сотрудников. Тем, кто большую часть времени проводит в офисе, MDM большой пользы не принесет, а для разъездных, наоборот, будет необходим, особенно если мы говорим о частых зарубежных командировках, т.к. MDM избавляет от необходимости установки разных политик для разных стран. Для тех, кто по работе не покидает РФ, решение также полезно, например, для мерчандайзеров или для сотрудников промышленных организаций, например, специалистов по лесозаготовкам в отдаленных районах, как было у нас в недавнем проекте. Такие сотрудники по фото торца грузовика, который наполнен бревнами, могут с помощью специального приложения определить, сколько загружено древесины. Информация — не самая секретная, но и она защищается, притом не только на уровне приложения, но и физически, т.к. хранится на специальных противоударных телефонах, которые работают даже при экстремальных температурах и могут выдержать погружение в воду.
Другой пример – сотрудники, совершающие ежедневные обходы на заводах для проверки оборудования. Они должны фиксировать, в каком состоянии находится техника, и подтверждать все фотографиями. Им также выдаются специальные устройства, которые полностью контролируются компанией, вплоть до отслеживания геометок на самих фото, которые доказывают, что сотрудник действительно побывал на объекте, а не просто использовал поддельный снимок. Само фото тоже будет защищено, и не сможет попасть в личные чаты, или фотоархив сотрудника, а оттуда — в облако. Это фото останется только на корпоративном устройстве и в корпоративных системах.
Стоит отметить, что MDM-решение — один из самых сложных классов средств защиты, т.к. они работают с такими закрытыми системами как мобильные ОС. Все MDM-решения опираются на те библиотеки и возможности, которые предоставляют вендоры мобильных ОС Android и iOS. В последние годы стали появляться и другие ОС, например, Аврора, однако зарубежные аналоги остаются самыми популярными. Важно понимать, что, если Apple или Google не позволят проводить какие-то манипуляции с памятью устройств, на которых установлены их ОС, они также будут недоступны для MDM-решений.
Как правильно внедрить MDM
Посмотрим, что может пойти не так при внедрении МDМ. Первая проблема, которая возникает на этапе планирования и «нулевой» вопрос, на который нужно дать ответ: «какие устройства будут подключаться?» Современные MDM-системы зависят от API мобильных ОС, ведь через них проходит все взаимодействие со смартфоном, и MDM весьма чувствительны к версиям ОС и поколениям устройств. Чем они новее, тем лучше. Если говорить о корпоративных устройствах, то нужно удостовериться, что MDM поддерживает ваш парк устройств с установленными на них версиями ОС. Это один из критериев, на которые нужно опираться при выборе MDM-системы: какие самые старые версии Android и iOS она может поддерживать.
Второй момент связан со сложными сетями, такими, как на промышленных предприятиях, где установлен не мобильный интернет в традиционном понимании, а персональная сотовая сеть от мобильного оператора, к которой пользователи подключаются с помощью специальных сим-карт, работающих только в пределах определенных сот. Из-за этого работа по внедрению MDM зачастую подразумевает тесную и постоянную коммуникацию с провайдерами, особенно в части тех данных, которые будут в этой сети передаваться, т.к. на все действуют ограничения. Это сложные сети, в которых трафик не дойдет от мобильного устройства до сервера управления без тонкой настройки, даже если он находится в DMZ. Также нужно заранее продумать, как будет строиться взаимодействие с пользователями, и чем их больше, тем это сложнее.
Пользователи зачастую неохотно ставят MDM-клиенты на личные устройства. Не все из них понимают, как с ними работать и что делать в случае возникновения неполадок, а любые проблемы они склонны приписывать новой системе, даже если дело не в ней. В связи с этим требуется четко продумать, как отвечать на неизбежные вопросы, а также подготовить максимально понятные и краткие инструкции по подключению устройства к MDM, работе с ней, и отключению от нее.
Последнее по счету, но главное по значению – защищенный контейнер и тонкая настройка политик безопасности для того, чтобы их нельзя было бы обойти, например, пересылкой информации на личную почту. Нельзя разрешать пользователям слишком много, но и запрещать все подряд тоже не стоит, т.к. это ограничит их работу. Здесь требуется баланс между функциональностью и защищенностью.
Что делать дальше?
Покончив с внедрением, разберемся с тем, что нужно для дальнейшей работы. Первым делом нужны специалисты, которые будут отвечать на вопросы пользователей, причем неважно насколько те вызваны работой самой MDM. Сотрудники с корпоративными устройствами зачастую не понимают принципов работы системы, и нужно предвосхитить все их потенциальные вопросы и подготовить к ним ответы. Сами MDM-системы не требуют больших вычислительных ресурсов, но если компании важно поддерживать бесперебойную работу, то стоит задуматься о кластеризации как самой MDM, так и базы данных.
Обновлять систему часто не потребуется, т.к. решения этого класса не так сильно зависят от регулярных обновлений, как, например, антивирус или антиспам. Однако в последнее время появляются новые MDM-вендоры, которые активно обновляют свои продукты и делают работу удобнее и для пользователей, и для поддержки, поэтому следить за новыми версиями выбранного вами продукта стоит регулярно. Обычно «апдейты» выходят примерно раз в полгода.
Как и любое ИБ-решение, MDM лучше интегрировать с другими системами. В случае с SuperApp это будут те системы, которые обрабатывают информацию, и с которыми будут работать пользователи устройств, т.е. почта, файловые хранилища, веб-сервисы, бизнес-системы, например, CRM или ERP. Если же мы говорим о классической MDM-системе, которая управляет контейнером, то здесь работа ведется с отобранными компанией доверенными приложениями, например, мобильным почтовым клиентом, защищенным браузером или собственными приложениями, при этом и они, и MDM, будут интегрированы с инфраструктурой. Для самой же MDM потребуется только стандартный набор данных. Это интеграция с доменом, сетевыми сервисами, такими как NTP и DNS, и, в случае с устройствами Apple, выпуск трастового сертификата Apple Push Notifications Services (APNS) для работы с PUSH-уведомлениями. Для Android также потребуется собственный сертификат. В PUSH-уведомлениях можно присылать какую-либо корпоративную информацию, либо выполнять принудительную, а не плановую синхронизацию приложений. Без «пушей» это невозможно, т.к. нельзя просто подключиться к смартфону через интернет и заставить его выполнить команду. Для этого требуется отправить запрос в Apple или Google, что делается как раз через PUSH-уведомления, а работать без «трастового» сертификата они не будут.
Вместо вывода
MDM – сложный класс решений, который требует баланса между безопасностью и функциональностью, а также подготовки к вопросам и возражениям со стороны пользователей. Однако эти системы позволяют сотрудникам компаний быть на связи и выполнять свою работу практически в любое время, в любом месте, без потерь в защите данных. Если вам понадобится консультация по доступным на рынке продуктам, их возможностям или демо, оставляйте заявку у нас на сайте.
Автор: Кай Михайлов, руководитель направления по информационной безопасности iTPROTECT
