Мобильные устройства и вредоносные программы

Безопасность мобильных устройств – оптимальные методы и технологии

Мобильные устройства, такие как смартфоны, карманные компьютеры и ноутбуки открывают для современных предприятий неисчислимые преимущества в плане производительности. По достоинству оцениваются гибкость и удобство использования портативных помощников, в то время как именно их мобильность ставит перед IT-администраторами сложные задачи управления данными и сетями компаний при сохранении их защищенности, в особенности по мере того, как мобильные устройства и сети все более усложняются и становятся повсеместными. IT-менеджерам необходимо серьезно проанализировать способы доступа к корпоративным данным через мобильные устройства, равно как и способы сохранения данных в этих устройствах, чтобы они не создавали риска для безопасности. В данной статье рассматриваются некоторые из основных проблем безопасности, связанных с мобильными устройствами, и предлагаются пути решения подобных проблем.

Повышение риска для безопасности конфиденциальных данных
Как показал недавний опрос, проведенный InsightExpress, коммерческие пользователи применяют смартфоны не только в целях, непосредственно связанных с деятельностью их компаний, но и для отправки электронной почты, мгновенного обмена сообщениями, просмотра веб-страниц, загрузки файлов из Интернета или их совместного использования, а также для проверки финансовых счетов. Исследователи пришли к выводу, что большинство пользователей смартфонов (55,7%) хранят на своих устройствах как свои личные конфиденциальные данные, так и данные о компании или ее клиентах. Более 54% владельцев смартфонов используют эти устройства для отсылки и получения электронных сообщений, содержащих конфиденциальные личные данные; 40% при помощи смартфонов работают с банковскими счетами; и почти одна треть опрошенных использует устройства для получения доступа к счетам своих кредитных карт.

Представьте, какие последствия для компании будут иметь утеря или кража смартфона, ноутбука или КПК ее работника, сопровождающиеся раскрытием таких конфиденциальных данных о работнике или клиенте, как контактная информация, детали кредитных карт, данные о социальном страховании или сведения о кредитных операциях. Такие инциденты могут не только подорвать репутацию компании в глазах общественности, но и привести к нарушению законов и постановлений. Стоит задуматься и над возможностью потенциальных судебных исков в отношении акционерной компании, сведения о работниках которой, отчеты о продажах или планы слияний/поглощений попали в чужие руки.

Помимо того, что мобильные устройства могут быть утеряны или украдены, они, по мнению специалистов по безопасности, становятся мишенями для растущего числа вирусов, червей и «троянов». Хотя ни одна из новых атак в реальной жизни пока не нанесла ощутимого ущерба, многие специалисты считают, что рано или поздно такое может произойти. В последние месяцы имели место несколько случаев, когда вредоносные программы, такие как черви, вирусы и трояны, «вышли на волю», атакуя мобильные устройства.

На быстро растущих рынках смартфонов и КПК тремя доминирующими программными платформами являются Symbian, Palm и Windows Mobile. Как констатирует аналитическая фирма Canalys, занимающаяся анализом рынка мобильных устройств, в 2004 году рыночная доля лидирующей операционной системы Symbian достигла 53%, в то время как в 2003 году она составляла 38%. По причине своей широкой популярности смартфоны на базе Symbian становятся излюбленной мишенью создателей вредоносных программ.

Хотя число «гуляющих на воле» вредоносных программ для мобильных устройств является все еще относительно небольшим, типы создаваемых угроз демонстрируют некоторые усовершенствованные характеристики портативной техники. Вполне вероятно, что по мере все большего распространения мобильных устройств, а также их усовершенствования будут открываться новые пути для атак злоумышленников.

Сценарий распространения угрозы
Очевидно, что для менеджеров IT-отделов одной из причин для беспокойства остается неумышленное заражение корпоративной сети червем или вирусом, занесенным вполне благонадежным «странствующим рыцарем» (сотрудником, который постоянно бывает в разъездах). Представьте себе сценарий, в котором действующим лицом является зарегистрированный пользователь, имеющий в своем распоряжении смартфон или карманный компьютер и обладающий правом входа в сеть посредством безопасного соединения VPN. Если перед тем, как пользователь установил VPN-соединение, смартфон или КПК был заражен вирусом, он сможет обойти корпоративный брандмауэр и попасть в сеть.

Именно ввиду возможности подобных сценариев все большее число предприятий, имеющих мобильный характер работы, осознают необходимость распространения правил безопасности и администрирования на все удаленные рабочие места, включая ноутбуки, смартфоны и карманные компьютеры. Они нуждаются в системах дистанционного контроля, которые способны установить, зарегистрировано ли устройство, запрашивающее соединение с сетью. Им также необходимы средства для опроса устройств на предмет их соответствия настройкам брандмауэра, последним антивирусным обновлениям и программным патчам. Эти меры безопасности представляют сущность политики, направленной на снижение риска, обеспечение непрерывности бизнес-процесса, соблюдение правил и предписаний и т.д. Это должно стать частью политики компании независимо от наличия фактических угроз, так как это вопрос управления рисками в отношении ключевых активов предприятия, его процессов и секретов.

Кражи устройств
Другой серьезной проблемой для IT-менеджеров является то, что свойственная карманным компьютерам и смартфонам компактность еще более повышает вероятность их утери или кражи. На аппаратах многих пользователей хранятся такие важные данные, как электронные письма, адресные книги, записи, сделанные на совещаниях, и информация о назначенных встречах. Кроме этого, многие платформы предусматривают простую программную схему входа в систему, позволяющую конфигурировать пароль для защиты доступа к устройству. Такие механизмы легко обойти, напрямую считывая память аппарата без запуска операционной системы.

Более того, по мере того, как эти устройства становятся более мощными, увеличивается и вероятность сохранения на них конфиденциальной информации. Например, в начале этого года ноутбук с такими данными, как имена и номера социального страхования 16500 работающих и уволившихся сотрудников крупной телекоммуникационной фирмы, был украден из машины работника этой компании в Колорадо. У президента одной из ведущих технологических компаний ноутбук был украден прямо с подиума в конференц-зале отеля, где он только что выступил с речью в рамках встречи Американского общества редакторов и авторов бизнес-изданий. Он находился на расстоянии 9 метров, беседуя с представителями прессы, перед тем как обнаружил, что ноутбук исчез.

С другой стороны, утеря критичных данных является не единственным поводом для тревоги. Как сообщила The Washington Post, “В некоторых компаниях такие инциденты вызывают только замешательство. Однако для публичных компаний или финансовых фирм утеря устройства может означать нарушение закона Сарбейнса-Оксли (Sarbanes-Oxley Act), требующего строго контроля за разглашением финансовых данных. Утеря данных клиентов врачами или медицинскими учреждениями означает нарушение конфиденциальности пациентов, защита которой предусмотрена «Законом о переносе медицинского страхования (при смене места работы) и об ответственности за разглашение личных данных».” (Статья “Потеряли карманный компьютер? Утерянные данные могут открыть брешь в системе защиты” опубликована в номере за 25 июля 2005 года.)

Организация защиты операционных систем
Большинство операционных систем для карманных компьютеров и смартфонов разрабатывалось практически с нуля в течение последнего десятилетия, при этом безопасность являлась одним из важных критериев. Поначалу решающими факторами на этапе проектирования служили низкий объем памяти, малый размер пространства, занимаемого ОС, непрерывность работы и поддержка специальных аппаратных средств, таких как маломощные чипсеты и миниатюрные экраны. В связи с тем, что IT-индустрией сейчас признается потребность в более защищенных моделях компьютеров, стали предусматриваться дополнительные функции обеспечения безопасности, такие как VPN, SSL, криптографические модули, пароли зарегистрированных пользователей и цифровые подписи. В частности, Microsoft и Symbian значительно усовершенствовали свои мобильные операционные системы. Symbian 9, к примеру, оснащена усовершенствованными модулями защиты, концепциями надежных вычислений, экранированием данных, разграничением прав приложений и т.д.

Одновременно, эти операционные системы продолжают пополняться новыми функциями. Удовлетворяя ожидания рынка и пользователей, разработчики ОС и изготовители устройств идут на добавление все новых и новых функциональных возможностей, что привносит дополнительную сложность в программное обеспечение. А так как каждая новая строка в программе может послужить причиной появления дополнительной уязвимости, то и риск возникновения новых угроз для безопасности возрастает по мере наращивания функциональных возможностей. В дополнение ко всему перечисленному мобильные устройства теперь могут подключаться не только через телекоммуникационную сеть, но и многими другими способами; они уже не работают в закрытой среде (например, используются Bluetooth, WiFi, ИК-порты, корпоративные сети).

Знайте свои возможности
Несмотря на большое число пропавших мобильных устройств, создается впечатление, что компании не уделяют должного внимания обучению своих работников на предмет защиты своей портативной техники. Данная проблема не является характерной исключительно для Соединенных Штатов – недавнее исследование, проведенное в Великобритании, показало, что почти две трети британских коммерческих пользователей не применяют пароль при входе в системы своих ноутбуков, а из тех, кто пользуется паролем, 15% употребляют в качестве пароля собственное имя, а 10% сообщают свой пароль коллегам. Одна треть опрошенных ни разу не меняла пароль на протяжении прошедшего года.

Идеальным решением было бы запрещение хранения на портативных устройствах любых конфиденциальных данных, но оно является столь же нецелесообразным, сколь и неосуществимым. Вне всякого сомнения, выработка политики и процедур компании, призванных свести к минимуму риск кражи или искажения данных на мобильных устройствах работников, должна стать первоочередной мерой предосторожности, предпринятой администраторами отделов информационных технологий или информационных систем. Перечисленные ниже меры помогут снизить риск получения посторонними доступа к конфиденциальной информации, хранящейся на утерянных или украденных мобильных устройствах:

• Проведите обучение персонала, использующего мобильные устройства. Прежде чем возложить на людей ответственность по обеспечению безопасности информации, их необходимо обучить методам ее защиты.
• Удалите все данные из неиспользуемых устройств. Имели место случаи, когда люди приобретали подержанные мобильные устройства, все еще содержащие конфиденциальные данные компаний.
• Разработайте процедуры, предусматривающие блокировку удаленного доступа с любых утерянных или похищенных устройств. На многих устройствах хранятся имена пользователей и пароли доступа к Интернет-порталам, благодаря чему похититель сможет получить доступ к еще большему объему информации, чем тот, что хранится в самом устройстве.
• Централизуйте управление мобильными устройствами. Ведите учет таким образом, чтобы было известно, кто и каким устройством пользуется.
• Не следует пренебрегать своевременным внесением исправлений в программы. Этот процесс можно упростить за счет совмещения установки патчей и синхронизации либо установки патчей во время централизованной инвентаризации базы данных.

К счастью, для большинства операционных систем мобильных устройств уже выпущены средства обеспечения безопасности, способные обнаруживать вредоносный код. Необходима также реализация технологий, способных обеспечить защиту как организации в целом, так и различных типов мобильных аппаратов. Собственная защита портативного электронного помощника, включающая легкое шифрование, простые пароли и блокирование на физическом уровне, может отпугнуть лишь некоторых хакеров, но вряд ли сможет стать преградой на пути у «целеустремленного» злоумышленника.

Важно организовать многоуровневый подход к организации защиты; ключевым моментом является обеспечение безопасности конечных точек, шлюзов и сети. Обеспечение защиты конечных точек должно сопровождаться защитой пограничных устройств и ядра корпоративной сети; они взаимно дополняют друг друга, обеспечивая защиту от различных угроз на разных точках входа. Исходя из всего вышесказанного, мобильным предприятиям необходимо серьезным образом изучить следующие решения безопасности:

• Средства обнаружения вторжения играют роль «службы безопасности» внутри периметра, обнаруживая злоумышленников, проникающих через внешнюю защиту.
• Решения, предназначенные для защиты электронной почты, фильтруют спам и другие нежелательные сообщения, а также их содержимое на уровне шлюза и являются важной составляющей системы безопасности e-mail в целом.
• Интегрированные брандмауэр/подсеть VPN, а также решения антивирусной защиты/фильтрации контента обеспечивают защиту от вредоносных кодов, распространяющихся через Интернет и заражающих настольные машины, и способны защитить данные без ущерба для производительности.
• Решения для защиты от шпионских программ обеспечивают сканирование в режиме реального времени, автоматическое обнаружение и удаление, а также интегрированные средства для исправления побочных эффектов, которые могут быть вызваны деятельностью шпионского ПО в системе пользователя.
• Решения, обеспечивающие соблюдение политики безопасности, помогут сформулировать положения такой политики и централизованно следить за их обязательным исполнением, а также исследовать уязвимости системы и предлагать средства для их исправления.
• Административные решения помогут в управлении аппаратными и программными ресурсами предприятия и обеспечат методы планирования, отслеживания и применения системных изменений.

Что касается именно смартфонов, то возможности обнаружения вируса в режиме реального времени — как автоматически, так и по запросу, — помогут защитить файлы, хранящиеся в файловой системе коммуникатора, в то время как на уровне брандмауэра должна использоваться фильтрация на базе протоколов и портов для защиты пересылаемых данных и приложений. Чтобы гарантировать защиту устройств от новых угроз, пользователи должны иметь возможность загружать обновления антивирусных программ, когда устройства подключаются к беспроводному соединению.

Заключение
Смартфоны, карманные компьютеры и ноутбуки все больше используются наравне с настольными компьютерами, рискуя стать мишенью натиска тех же угроз, которым в последние годы подвергались настольные ПК. Ввиду мобильного характера работы современных компаний, их высшим приоритетом должно стать применение эффективных средств и стратегий для противостояния растущему числу вредоносных атак, способных не только повредить мобильные устройства, но и потенциально преодолеть защиту системы безопасности предприятия, приводя к утечке ценной информации и негативно сказываясь на соблюдении правовых норм и юридических соглашений.

Автор: Сара Хикс (Sarah Hicks), Symantec Corp.