|
Мобильная безопасность: сделано в России
Главная /
Архив номеров / 2012 / Выпуск №5 (23) / Мобильная безопасность: сделано в России
Рубрика:
Тема номера /
Парад решений
Facebook
Мой мир
Вконтакте
Одноклассники
Google+
Андрей Бирюков, специалист по информационной безопасности. Работает в крупном системном интеграторе. Занимается внедрением решений по защите корпоративных ресурсов
Мобильная безопасность:
сделано в России
В 2012 году отечественные разработчики средств информационной безопасности представили немало новых решений. Рассмотрим новинки в области защиты мобильных устройств
Стремительно развивающийся рынок мобильных устройств обогнал рынок персональных компьютеров. Благодаря этому, а также росту вычислительной мощности и возможностей мобильных устройств, возникают новые вопросы и проблемы в области обеспечения информационной безопасности.
Эволюция мобильных устройств
Еще несколько лет назад мобильные устройства, прежде всего мобильные телефоны и карманные компьютеры, были достаточно ограничены в своих функциях. Телефоны, помимо собственно возможности голосового общения, представляли весьма скудный функционал по работе в Интернете (WAP, электронная почта) и мультимедиа (музыка, слабая камера). Но сегодня смартфоны и планшеты содержат в себе вполне серьезный функционал, аналогичный персональным компьютерам. Это удаленное администрирование, поддержка VPN, браузеры с flash и java-script, синхронизация почты, заметок, обмен файлами и многое другое.
Неудивительно, что широкий функционал личных мобильных устройств все чаще используется не только для развлечений, но и для работы. Это явление получило название BYOD – Bring Your Own Device (свое собственное устройство).
Рассмотрим, что именно можно украсть с мобильного устройства.
Что у нас есть?
Типичный набор информации, хранящейся на мобильном устройстве, которая может представлять интерес для злоумышленников. Вот краткий список.
- Доступ к электронной почте. Так как абсолютное большинство пользователей сохраняют учетные данные своих аккаунтов в настройках клиента, получив каким-либо образом доступ к устройству, злоумышленники имеют доступ ко всей переписке, а также ко всем сервисам, привязанным к данному почтовому ящику. Так как многие пользователи подключают корпоративную почту к своим мобильным устройствам, эта угроза актуальна для бизнеса.
- Интернет-пейджеры. Skype, Icq, социальные сети доступны современным мобильным устройствам, в результате чего вся переписка конкретного человека и его контакт-листы могут быть под угрозой. Skype, кстати, часто используют для рабочих звонков.
- Документы, файлы. Современные мобильные устройства располагают достаточно большим объемом памяти, порядка нескольких гигабайт. Зачастую сотрудники хранят на личных устройствах корпоративную информацию, которая может быть интересна злоумышленникам.
- Адресная книга. Корпоративные адреса электронной почты традиционно представляют интерес для спамеров и приложений, рассылающих вирусы. Однако ФИО людей, их почта и телефоны являются персональными данными, и защищать их требует закон. Иногда сведения об определенных людях стоят очень дорого.
- Средства удаленного доступа. Использование смартфона или планшета для удаленного доступа к рабочему месту с помощью средств удаленного администрирования уже не редкость. Так же как и доступ к корпоративной сети через VPN. Скомпрометировав свое устройство, сотрудник может скомпрометировать всю «защищенную» сеть предприятия.
- Мобильный банкинг. Мобильные платежи, как и мобильные устройства, получили широкое распространение в последние годы. Причем не только в частном, но и в корпоративном секторе. Крупные суммы с помощью мобильного банкинга перевести незаметно не удастся, а вот украсть 10-15 тыс. рублей через планшет бухгалтера злоумышленникам вполне под силу.
Как реализовать?
Основными путями компрометации информации с мобильных устройств является их пропажа или хищение. Сообщения о громадных финансовых потерях организаций из-за пропажи ноутбуков мы получаем регулярно, однако потеря бухгалтерского планшета с актуальной финансовой информацией тоже может доставить немало хлопот.
Еще одной проблемой являются вирусы. Если года два назад вредоносное ПО для мобильных устройств было экзотикой, сегодня вирусы под Android стали нормой.
BYOD или не BYOD
До прошлого года российский бизнес старательно противился использованию сотрудниками мобильных устройств на работе. Причины просты – это личное устройство пользователя, поэтому компания не может ограничить его права, запретить использование каких-либо программ, обязать поставить антивирус.
На практике это выражалось в том, что системные администраторы по указанию руководства и службы безопасности не давали пользователям доступ к корпоративной беспроводной сети, электронной почте и другим ресурсам. Однако, когда планшетами обзавелся топ-менеджмент крупных компаний, «безопасники» стали отступать. Хотя проблемы остались прежними. Это частная собственность пользователя, и компания не может его контролировать так, как корпоративный ПК. Однако начали появляться различные средства защиты информации и варианты безопасного использования планшетов и смартфонов, о которых мы поговорим далее.
Российская специфика
Рынок средств защиты для подобных устройств в России еще только набирает обороты.
Пожалуй, основной причиной этого можно назвать жесткую привязку средств защиты информации к требованиям различных государственных органов. Например, необходимость наличия сертификата ФСТЭК для антивирусов и ФСБ для средств защиты каналов связи. Конечно, никто не требует устанавливать сертифицированные средства на мобильные устройства, используемые исключительно в личных целях. Но вот если вы обрабатываете базу ФИО клиентов с контактами на своем любимом планшете, то такая деятельность уже будет являться обработкой персональных данных, и в соответствии с требованиями регуляторов должны использоваться определенные сертифицированные средства защиты.
Поэтому, говоря о средствах защиты, я буду делать основной упор на сертифицированные регуляторами решения либо продукты, находящиеся на момент написания статьи на сертификации. Хотя некоторые из описанных решений не обладают сертификатами.
Защита удаленного доступа
Основным преимуществом работы с мобильных устройств является то, что их можно использовать вне офиса. Например, читать почту, сидя в кафе. Для того чтобы такое сетевое взаимодействие было безопасным, необходимо защитить передаваемые по беспроводной сети данные от прослушивания. Для этого нужно установить VPN- соединение с корпоративной сетью. Также нужно обеспечить защиту устройства с помощью межсетевого экрана и антивируса.
Начнем с рассмотрения защиты удаленного доступа и файрвола. Среди российских разработчиков имеются две компании, предложившие сертифицированные средства сетевой защиты для мобильных устройств. Это «Код Безопасности» и «Инфотекс».
ViPNet Client
Компания «Инфотекс» представила два решения по защите сетевого взаимодействия – под iOS и Android, которые входят в семейство продуктов ViPNet. На момент написания статьи на сайте «Инфотекса» было заявлено о завершении сертификации клиента для iOS: ViPNet Client iOS получил сертификат ФСБ России на соответствие требованиям к средствам криптографической защиты информации по классу КС1. Клиент для Android в настоящее время находится на сертификации.
ViPNet Client iOS работает под управлением операционной системы Apple iOS и предназначен для защиты iPad и iPhone от сетевых атак. Также данный клиент позволяет обеспечить доступ посредством защищенного VPN-туннеля к ресурсам корпоративной сети.
ViPNet Client iOS после установки на устройства iPad и iPhone перехватывает любой IP-трафик, обеспечивая его прозрачное шифрование. После активации защитных функций ViPNet Client iOS путь к открытым ресурсам Интернета возможен только с использованием защищенных корпоративных proxy-серверов, доступных через VPN-туннель. Этим обеспечивается эффективная многоуровневая защита мобильного устройства – антивирусная защита и контентная фильтрация. Причем без установки дополнительного программного обеспечения на каждое мобильное устройство, что немаловажно, учитывая ограниченные возможности автономной работы мобильных устройств. Для управления функциями ViPNet Client iOS используется графический интерфейс, дизайн которого выполнен в стандартах операционной системы iOS.
ViPNet Client Android – это приложение, работающее под управлением операционной системы Android, предназначено для обеспечения защиты устройства посредством защищенного VPN-туннеля. Принцип использования здесь аналогичен решению под iOS. После активации защитных функций ViPNet Client Android доступ к открытым ресурсам Интернета возможен только с использованием защищенных корпоративных proxy-серверов, доступных через VPN-туннель. Обеспечивается эффективная многоуровневая защита мобильного устройства – антивирусная защита и контентная фильтрация, причем без установки дополнительного программного обеспечения на каждое, что немаловажно, учитывая ограниченные возможности автономной работы мобильных устройств.
Стоит отметить, что решение от «Инфотекса» не меняет того факта, что для iOS приходится делать jailbreak, то есть процедуру открытия приложениям полного доступа к файловой системе. Apple ревностно относится к такой процедуре, и за факт проведения снимает устройства с гарантии. К слову, в США jailbreak не является нарушением авторских прав корпорации Apple.
Решения «Кода Безопасности»
«Континент АП» – VPN-клиент от «Кода Безопасности» был анонсирован весной этого года. Было заявлено два решения – клиент под iOS и совсем недавно запущенный в разработку клиент под Android. Функционал у обоих решений был заявлен широкий, но что окажется реализованным по факту, пока неясно. Также неясно, как там дела с сертификацией.
Однако разработчик выпустил осенью 2012-го аппаратный планшет «Континент Т-10».
Планшетный компьютер работает под управлением ОС Android 4.0.3. Аппаратная конфигурация Т-10 следующая: Оперативная память: DDR3 1 Гб, Встроенная флеш- память: 16 Гб, поддержка карт памяти: Micro-SD/SDHC (до 32 Гб max).
Основное назначение планшета – организация безопасного доступа мобильных сотрудников к ресурсам корпоративной сети посредством защищенного VPN-туннеля при подключении через сети общего доступа (включая сеть Интернет). При этом обеспечивается криптографическая защита передаваемого трафика в соответствии с ГОСТ 28147–89.
«Континент Т-10», помимо удаленного доступа, обеспечивает также следующий функционал защиты:
- контроль сетевой активности мобильных сотрудников путем маршрутизации интернет- трафика на корпоративный proxy-сервер. Эта возможность аналогична предлагаемой VipNet;
- безопасное подключение мобильных сотрудников к Серверу Доступа АПКШ «Континент», установленному на периметре корпоративной сети предприятия. Здесь есть возможность организовать всю защиту сетевого взаимодействия на основании аппаратных решений от одного разработчика. Интегрированный межсетевой экран позволяет обеспечить защиту от сетевых атак;
- встроенный VPN-клиент «Континент-АП» реализован посредством интеграции на уровне ядра ОС, что позволяет обеспечить наиболее тесное взаимодействие с устройством.
Наличие двухфакторной аутентификации пользователя с помощью цифрового сертификата открытого ключа обеспечивает дополнительную защищенность при работе с планшетом. При этом хранение сертификата пользователя производится на отчуждаемом носителе. Возможна интеграция в существующую PKI-инфраструктуру заказчика.
Криптографическая защита данных осуществляется посредством с сертифицированным ФСБ алгоритмом ГОСТ 28147–89.
Также поддерживается непосредственно мультимедийный функционал – обеспечивается совместимость с любыми системами VoIP и видеоконференц-связи. Сейчас имеется сертификат на использование в распределенных ИСПДн с подключением к сетям общего пользования до К1 включительно.
Рисунок 1. Планшет «Континент Т-10»
Что лучше?
Как видно, и «Инфотекс», и «Код Безопасности» представили в этом году свои решения по защите мобильных устройств. Решение от «Инфотекса» является полностью программным. В этом есть как свои преимущества, так и недостатки. Преимуществом является тот факт, что данное приложение можно установить на пользовательское устройство. Но при этом могут возникнуть проблемы с установкой и настройкой.
Например, у сотрудника есть личный iPad, на нем уже установлено программное обеспечение. Во-первых, могут возникнуть проблемы с установкой программного VPN-клиента. Во-вторых, чтобы установить защитное ПО, необходимо сделать jailbreak – операцию, которая приводит к снятию устройства с поддержки Apple. Так что, если у пользователя впоследствии возникнут проблемы с эксплуатацией устройства, ему будет трудно добиться помощи «яблочной корпорации». Учитывая, что новые модели iPad стоят недешево, многие пользователи могут отказаться от установки ПО, требующего jailbreak.
Аппаратное решение от «Кода Безопасности» – это готовое к работе устройство. Однако здесь тоже возникает проблема финансового свойства. Очевидно, что такие планшеты будут покупать только компании для выдачи их своим сотрудникам. Сами сотрудники на свои средства вряд ли будут их приобретать. Так что для использования Т-10 необходимо готовиться к дополнительным затратам.
Теперь перейдем к рассмотрению средств антивирусной защиты.
Антивирусы для Android
Так как для iOS в настоящее время отсутствуют антивирусные средства как российского, так и иностранного производства, то рассмотрим только антивирусные средства для ОС Android. Начнем с решений от компании «Доктор Веб».
Решение Dr.Web для Android обеспечивает защиту мобильных устройств под управлением Android OS 1.6/2.0/2.1/2.2/2.3/3.0/3.1/3.2/4.0. Есть две редакции данного антивирусного средства: Dr.Web для Android. Комплексная защита и Dr.Web для Android Light (только Антивирус). В первом случае использование бесплатно только для владельцев лицензий на однопользовательские продукты Dr.Web, в то время как Dr.Web для Android Light бесплатен для всех.
Антивирусная защита реализована по стандартной схеме: проверка файлов в режиме реального времени, проверка по запросу и сканирование. В версии Комплексная защита также имеется возможность фильтровать звонки и сообщения и ограничение доступа к ресурсам Интернета посредством URL-фильтра Cloud Checker.
«Лаборатория Касперского» также не осталась в стороне от защиты мобильных устройств.
Ее решение Kaspersky Mobile Security предназначено для защиты устройств под управлением Android. Однако, помимо стандартных функций антивирусной защиты, здесь еще имеются средства защиты от потери или кражи смартфона Kaspersky Mobile Security. KMS помогает определить местонахождение устройства, даже если в нем заменили SIM-карту. Также с помощью специальных команд можно удаленно стереть все личные данные или сделать и переслать фото с указанного устройства. По замыслу разработчиков, с помощью такого функционала можно сфотографировать похитителя или того, кто пользуется этим устройством на данный момент.
Из примечательных функций KMS можно отметить сокрытие личных контактов, звонков и SMS-сообщений, позволяющих защитить личные данные в случае кражи.
О наличии или планах сертификации описанных антивирусных продуктов ничего сказать не могу, так как на официальных страницах разработчиков такая информация отсутствует.
Будущее мобильной безопасности в России
Готовя материал для этой статьи и делая запросы в поисковой системе, я периодически натыкался на решения по мобильной безопасности, разработанные иностранными компаниями. Причем речь шла не только об описанных в статье направлениях сетевой безопасности и антивирусах, но и о других видах защиты, например, шифровании данных на устройстве, управлении мобильными устройствами (Mobile Device Management). На основании этого можно сделать вывод, что пока российские разработчики отстают от своих западных коллег, однако, думаю, у нас еще все впереди.
Мобильные устройства стремительно развиваются, основные игроки этого рынка регулярно выпускают новые модели. Выходят новые версии операционных систем. Так что количество пользователей тоже будет увеличиваться, а, следовательно, будет расти и потребность в средствах защиты. Следующий год должен быть еще более урожайным на мобильные средства защиты.
- Сайт семейства продуктов Vipnet – http://vipnet.ru.
- Планшет «Континент Т-10» – http://www.securitycode.ru/products/kontinent_t-10.
- Сайт Евгения Царева – http://www.tsarev.biz.
В начало⇑
Facebook
Мой мир
Вконтакте
Одноклассники
Google+
Комментарии отсутствуют
Комментарии могут отставлять только зарегистрированные пользователи
|
Сообщество цифровых управленцев «я-ИТ-ы» проводит ЗАКРЫТУЮ встречу в рамках выставки «Связь-2024»! 
Ассоциация разработчиков «Отечественный софт» отметила 15-летие 
РДТЕХ представил Технологическую карту российского ПО 2023 
RAMAX Group получила партнерский статус уровня Gold по продукту Tarantool 
_cover.jpg)
