Пошаговое руководство по защите мобильного доступа

Лукацкий Алексей, консультант по безопасности

Реализация мобильного доступа начинается с политики

Мне нужно, чтобы пользователи и

устройства получали адекватный доступ к

сетевым сервисам(dACL, Qos, и т. п.)

Мне требуется разрешить

гостевой доступ к сети

Я хочу разрешить работу

в моей сети только «нужных»

пользователей и устройств

Мне требуется уверенность, что мои оконечные устройства не станут источником

атаки

Мне требуется разрешить/запретить доступ с iPAD в мою

сеть(BYOD)

Сервисы авторизации

Управление жизненным циклом гостевого доступа

Сервисы профилирования

Сервисы аутентификации

Сервисы оценки состояния

Шаг 1. Вы вообще будете применять мобильные устройства

Мобильника

97%

Интернет

84%

Автомобиля

64%

Партнера

43%

Запретить невозможно!

Шаг 2. Определитесь с моделью угроз

Направления атаки

Сотовые сети

Bluetooth

Интернет (WLAN/3G)

Синхронизация

Камера (QR-коды)

Другая периферия

Какие данные вы будете защищать?

Журнал вызовов и SMS-сообщения

Почта (голос и e-mail)

Контакты и календарь

Архив кэша клавиатуры

(включая пароли)

Фотографии и журнал просмотра

Web

Геолокационные данные Удаленные данные

Конфиденциальные файлы (включая SD)

Приложения

Кто и от чего хочет защищаться?

ИБ

• Спам / фишинг / смишинг

• Вредоносный код• Утечки• Перехват данных• Посещение

ненужных сайтов• Несоответствие

регуляторике• Отслеживание

перемещения (privacy)

ИТ

• Установка пиратского ПО

• Кража легитимного ПО

• Вывод устройств из строя

Финансы

• Высокие затраты на Интернет

• Звонки на платные номера и платные SMS

• Кража / потеря устройства

Шаг 3. Определитесь с отношением к BYOD

Где золотая середина?

Чего хотят пользователи

Доступ из любого места и в любое время

Независимость от устройств

Личные данные / приложения

Гибкие конфигурации

Чего хотят сотрудники ИТ и служб безопасности

Контролируемый сетевой доступ

Предсказуемые конфигурации

Безопасность данных

Блокировка пользователей

"Вы тормозитеменя!"

"Вы тормозитеменя!"

"Прекратите протестоватьи соблюдайте правила!"

"Прекратите протестоватьи соблюдайте правила!"

Сценарии использования BYOD Сценарий Ограниченный Базовый Расширенный Передовой

Бизнес политика

Блокировать доступДоступ по ролям изнутри сети

Гранулир. доступ внутри и снаружи

Полноценное мобильное рабочее место

ИТ-требования

Технологии

• Знать “кто” и “что” включено в сеть

• Давать доступ только корпоративным устройствам

• Предоставлять персональным и гостевым устройствам доступ в Интернет и ограниченному числу внутренних ресурсов

• Гранулированный доступ изнутри сети

• Гранулированный удаленный доступ к ресурсам через Интернет

• Использование VDI

• Обеспечение родных приложений для мобильных устройств

• Управление мобильными устройствами (MDM)

Коммутаторы, маршрутизаторы, точки беспроводного доступаСетевая

инфраструктура

Управление

Идентификация и политики

Удаленный доступ и

безопасность

Приложения

LAN Management –

MDM

IAM, NAC, Guest, Policy

МСЭ/Web SecurityЗащитный клиентОблачная безопасность

Корпоративные приложения и VDI

Шаг 4. Определитесь с разрешенными мобильными платформами

• Пользователи хотят выбиратьмобильные устройства самостоятельно (BYOD)

• Спектр выбираемых устройств оченьширок– ОС: iPhone, Windows Mobile, Symbian,

BlackBerry, WebOS, FireOS, ChroneOS– Платформа: iPhone, Nokia, HTC, LG,

Samsung, BlackBerry, Palm• Проблема выбора не только средств защиты,

но и самой мобильной платформы• Функционал одной системы защиты может

меняться на разных платформах

Шаг 5. Определитесь с доступом изнутри локальной сети

Доступ своих к чужим

Доступ своих к своим

Доступ чужих к своим

Доступ своих к своим

• Какова политика доступа с мобильного устройства к корпоративным ресурсам изнутри корпоративной сети?

• Какова политика доступа с мобильного устройства к корпоративным ресурсам извне корпоративной сети?– Только VPN? Применяется NAC/TrustSec? Доступ только к

отдельным приложениям?– Необходимо ли пропускать мультимедиа-трафик (VoIP, ВКС)?

Через VPN?• Какова политика доступа с мобильного устройства к ресурсам

Интернет?– Изнутри корпоративной сети? А извне корпоративной сети?– А межсетевой экран нужен?

• Доступ к облачным вычислениям (если внедрены в организации)• А может лучше терминальный доступ (VDI)?

Примеры простой политики BYOD

Интернет

“Сотрудники могут получать доступ ко всем ресурсам с личных и корпоративных

устройств. Доступ внешних пользователей блокируется.”

“Сотрудники должны использовать корпоративные устройства. Личные

устройства запрещены, гостевой доступ не предусмотрен.”

Внутренние ресурсы

“Сотрудники могут получать доступ к любым ресурсам с корпоративных

устройств. Сотрудникам, использующим личные устройства,

и партнерам предоставляется ограниченный доступ.”

Сеть комплекса зданий

Ограниченныйнабор ресурсов

Сервисы политики

Это важно!

Реальный пример

Тип МестоUser Статус Время Метод Свои

Новости Электроннаяпочта

Социальные сети КорпоративнаяSaaS-система

Фильтрация контента

Corporate AD

МСЭ/IPSЗащита

Интернет-доступа в сети предприятия

Облачная безопасность

Шаг 6. Определитесь с доступом извне

Шаг 7. Определитесь с управлением уязвимостями

• Возможно ли сканирование мобильных устройств?– Агентское или дистанционное?

• Как часто сканируются мобильные устройства?• Каков процесс устранения уязвимостей?• Как устанавливаются патчи?• Отношение к Jailbrake?

Обнаружение Jailbreak

Шаг 8. Определитесь с приложениями

• Есть ограничения на используемые приложения?• Собственная разработка?• Процедура тестирования для внешних приложений и исходного

кода?• Контроль магазинов приложений? Собственные корпоративные

магазины приложений?• Процедура установки приложений?

– Доверяем ли мы неподписанным приложениям?• Существуют ли приложения третьих фирм при оказании сервиса?• Используемые меры защиты приложений?

– Права приложений

Какие приложения нужны

Безопасность приложений

“Приложения регулярно шлют

информацию маркетинговым

компаниям, которые составляют досье на

мобильных пользователей”

Source: http://blogs.wsj.com/wtk-mobile/

Безопасность приложений

Откуда берутся приложения?

Корпоративные магазины приложений

Шаг 9. Как вы будете бороться с кражей устройства

• Как искать украденное/потерянное устройство?– А надо ли?

• Как дистанционно заблокировать устройство или удалить данные?

• Как защититься при смене SIM-карты?• Контроль местонахождения устройства?

– GPS, Глонасс, «Найди iPhone»?• Рекомендации вернуть устройство владельцу?

Что делать при потере устройства?

Что делать при смене SIM-карты?

Шаг 10. Определитесь с шифрованием на устройстве

Шаг 11. Определитесь с удаленным управлением и контролем

• Как организовать?• Централизованно или через пользователя?

– А насколько высока из квалификация?• Как отключать некоторые аппаратные элементы (камера,

диктофон, Bluetooth и т.д.)? Надо ли?• Как контролировать настройки?• Как контролировать наличие «чужих» программ?• Как удаленно «снять» конфигурацию?• Как провести инвентаризацию?• Как проводить troubleshooting?• Как организовать доступ администратора к устройству?

Шаг 12. Определитесь с важностью вопросов соответствия требованиям регуляторов

• Подчиняется ли мобильное устройство обязательным нормативным требованиям? Каким?

• Необходимо ли проводить внешний аудит соответствия мобильных устройств?– ISO 27001– PCI DSS– СТО БР ИББС– 382-П– Аттестация по ФСТЭК– ФЗ-152– Приказ ФСТЭК №17 по защите ГИС– Приказ ФСТЭК №21 по защите ПДн– Приказ ФСТЭК №31 по защите АСУ ТП

Шаг 13. Определитесь с соответствием политикам ИТ и ИБ

• На какие категории сотрудников распространяется ?• Какая процедура подключения новых устройств (орг. и техн.)?• Какие сервисы предоставляются (почта, UC, VDI …)?• Какие затраты оплачиваются (мобильный интернет, звонки …)?

4 направления защиты

Мобильная безопасность

Безопасность контента

Сетевая безопасность

Управление безопасностью

Разные измерения защиты

Контроль мобильного устройства при

доступе к корпоративным

ресурсамЗащита самого

мобильного устройства

Шаг 14. Решите вопросы с аутентификацией

• Как проводится аутентификация пользователя на мобильном устройстве?– PIN? Логин/пароль? Графические шаблоны? Одноразовые

пароли? Аппаратные токены? Сертификаты?• Возможна ли интеграция с моим каталогом учетных записей?

Как?• Поддерживается ли SSO? Какой стандарт?• Поддерживается ли федеративная система аутентификации?

Какой стандарт?• Нужна ли аутентификация к локальным ресурсам и устройствам?• Необходим ли многопользовательский доступ к мобильному

устройству?– А зачем?

Многопользовательский доступ на мобильном устройстве

Шаг 15. Решите вопросы с антивирусом

• Антивирус– Проверка в реальном

времени– Проверка по требованию– Проверка по расписанию– Автоматическое обновление

• Межсетевой экран– Блокирование

подозрительных соединений– Разные предопределенные

уровни защиты

Особенности антивирусной защиты

Межсетевой экран для мобильного устройства

Шаг 16. Решите вопросы с персональной защитой

• Черные списки телефонов?• Скрытие от посторонних глаз SMS/номеров?

– Отдельные контакты помечаются как «личные» и вся связанная с ними информация (SMS, звонки, контакты) будет скрыта от посторонних глаз

• Шифрование важной информации– Специальные «секретные» папки для документов и файлов– Динамический виртуальный шифрованный диск– Поддержка карт памяти

• Антивирус• Нужен ли вам персональный межсетевой экран?

Шаг 17. Решите вопросы с контентной фильтрацией

• Устройству не хватает мощностей ;-(

• Защита в зависимости от местонахождения– Перенаправление на

периметр или в облако• Гранулированный контроль

доступа к сайтам• Доступ в ближайшее облако

через SSO• Контроль утечек информации

в Web или e-mail трафике

WSA VPN

Corporate DC

Premise Based Cloud Based

Защита контента на самом устройстве

Шаг 18. Решите вопросы с защитой устройства

Встроенная

Локальная

Централизованная

Базовой безопасности хватает при небольшом числе устройств

Рынок средств мобильной безопасности

• Встроенный функционал в мобильные устройства– Например, идентификация

местоположения устройства в iPad или встроенный VPN-клиент в Nokia e61i на Symbian

• Функционал мобильных приложений– Например, функция удаления данных

в Good или Exchange ActiveSync• Отдельные решения для мобильных

устройств– В рамках портфолио – Cisco,

Лаборатория Касперского, Sybase– Специализированные игроки -

MobileIron, Mobile Active Defense, AirWatch, Zenprise и т.д.

Системы класса Mobile Device Management

Инвентаризация

Инициализация устройства

Безопасность данных на устройстве

Безопасность приложен.

Управление затратами

Полная или частичная очистка удаленного устройства

MDM продукты Контроль доступа и защита от сетевых угроз

Политики Защитный клиент МСЭОблако Web Sec

Аутентификация пользователей и устройств

Оценка состояния

Применение политики доступа

Безопасный удаленный доступ

Защита от угроз

Политика использования Web

Защита от утечек информации

MDM ≠ мобильная безопасность

• Управление базовыми защитными механизмами

• Включение / блокирование функций• Управление преимущественно

функциями ИТ, а не ИБ• Отсутствие серьезной интеграции с

системами контроля доступа• Отсутствие серьезной интеграции с

системами экономической безопасности

Шаг 19. Решите вопросы со слежкой за устройством

Шаг 20. Решите вопросы с VPN-доступом к корпоративной сети

Шаг 21. Решите вопросы с доступностью

• Какой уровень доступности в SLA необходимо обеспечить?• Какие меры обеспечения доступности используются для защиты

от угроз и ошибок?– Резервный оператор связи– Подключение по Wi-Fi

• План действия на время простоя?– Вы поставили сотрудникам «Angry Beards» ;-)

• Резервирование и восстановление• Как соотносятся оказываемые сервисы с мобильными

устройствами с точки зрения критичности/доступности?

Шаг 22. Решите вопросы с управлением инцидентами

• Как осуществляется расследование?• Как вы обеспечиваете сбор доказательств несанкционированной

деятельности?• У вас есть доступ к логам на мобильном устройстве? Как долго

вы их храните? Возможно ли увеличение этого срока?• Можно ли организовать хранение логов на внешнем хранилище?

Как?• Разработан ли план реагирования на инциденты, связанные с

мобильными устройствами?

Шаг 23. Решите вопросы с увольнением

• Процедура завершение трудового договора предусматривает возврат мобильного устройства или данных на нем?

• Возврат корпоративных данных на личном мобильном устройстве? В какой форме?

• Как скоро организация/сотрудник получит свои данные обратно?• Как будут уничтожены все резервные и иные копии моих данных?

Как скоро? Какие гарантии? Как проконтролировать?

Шаг 24. Решите вопросы с privacy

• Обезличивание критичных данных и предоставление к ним доступа только авторизованному персоналу?

• Какие устройства собираются и хранятся на мобильном устройстве?– Как долго?

• Что включить в политику предоставления корпоративного мобильного устройства сотруднику? А что в политику доступа к корпоративной сети с личного мобильного устройства?

• Есть ли национальные законодательные требования по обеспечению privacy? Как найти баланс?

• Гарантии нераскрытия информации третьим лицам и третьими лицами?

• Как защищаются данные при передаче устройства в ремонт?

Пользователь должен знать свои права и обязанности

Целостный взгляд на мобильный доступ

Управление/развертывание

Динамическая политика

Интегрир.средства

Доп. решение Облако

Облако/Saas

Web-сайты

Web-приложения

Сервисы

Соц. сети

СХД

Что?Средства,

контент, данные

Защищенный, персонализированный и контекстно-зависимый доступ к даннымПрозрачный - оперативный - надежный

Интеллектуальная сеть

Кто?Когда?

Как?Место-

положение?Устройство?

Сотовая3G/4G

Wi-Fi

Проводная

Дома

В дороге

На работе

Клиент на базе VM• Управляемое

• Неуправляемое• Корпоративное• Личное

СОТРУДНИК

ВРЕМ. СОТРУДНИК

ГОСТЬ

Контекст

SIO

ЦОД/VDI

Обеспечениес учетомконтекста

Обеспечениес учетомконтекста

© Cisco и (или) дочерние компании, 2011 г. Все права защищены. Общедоступная информация CiscoBRKSEC-1065 53

Благодарю вас за внимание

security-request@cisco.com