Top menu

5 мифов о безопасности BYOD

Содержание

Введение
Миф 1: Решения класса Mobile Device Management (MDM) – полное решение проблем BYOD
Миф 2: Корпоративные данные ограниченного доступа могут безопасно храниться на BYOD-устройствах
Миф 3: Корпоративные данные ограниченного доступа могут безопасно создаваться на BYOD
Миф 4: Приложения BYOD должны иметь доступ к конфиденциальным данным
Миф 5: MDM-системы равносильны DLP-системам
Решение: Комплексная стратегия безопасности BYOD
Заключение


Как обеспечить безопасность в стратегии BYOD

Введение

Активное распространение стратегии Bring Your Own Device (BYOD, Использование персональных устройств в рабочих целях) по всем секторам экономики существенно ускоряет темпы «мобилизации» бизнес-процессов, и это значит, что многие компании поставлены перед необходимостью искать баланс между мобильностью сотрудников и информационной безопасностью бизнеса, решая ряд новых задач, связанных с эффективностью управления персональными устройствами и обеспечением безопасности их применения.

  • Как лучше обеспечить безопасность персональных устройств?
  • Как действенно и эффективно реализовать и поддерживать программные решения в условиях множества различных технологий, операционных систем и прочих факторов, свойственных для персональных устройств?
  • Как эффективно отслеживать эти устройства, учитывая их частую замену и доступную цену?
  • Как отслеживать использование сотрудниками корпоративных ресурсов и данных?
  • Как убедиться, что личные данные сотрудников защищены так же хорошо, как важные корпоративные данные?
  • Как убедиться, что сотрудники не используют персональные устройства для отправки/хранения конфиденциальной информации в общедоступных облачных хранилищах?
  • Как удостовериться, что уволенные сотрудники сохраняют персональную информацию, но не покидают компанию с конфиденциальными корпоративными данными, сохраненными на персональных устройствах?
  • Как убедиться, что программы обеспечения безопасности для BYOD не противоречат правам на неприкосновенность личных данных сотрудников, при этом защищается право компании на контроль и защиту корпоративной информации, а также выполняются требования регуляторов по защите разных видов данных?

Для преодоления этих трудностей рынку было предложено множество самых разных «BYOD-стратегий», но вследствие ложного маркетингового «шума», генерируемого конкурирующими производителями, многие BYOD-стратегии, представляемые рынку как наиболее эффективные, таковыми не являются. В частности, в области BYOD-управления был популяризован целый ряд мифов и заблуждений относительно того, что делает программу внедрения BYOD устройств в бизнес-практику предприятия безопасной и успешной.

Данная статья описывает пять наиболее распространенных мифов, связанных с массовым восприятием задач управления инициативами BYOD:

  • 1. Решения класса Mobile Device Management (MDM) – полное решение проблем BYOD.
  • 2. Важные корпоративные данные могут безопасно храниться в памяти персональных устройств.
  • 3. Важные корпоративные данные могут безопасно создаваться непосредственно на персональных устройствах.
  • 4. Приложения, основанные на концепции BYOD, должны иметь доступ к важным корпоративным данным.
  • 5. Решения класса Mobile Device Management (MDM) равноценны решениям класса Data Leak Prevention (DLP).

Данная статья посвящена «развенчанию мифов», а также содержит рекомендации от ряда разработчиков, предлагающих решения, действительно пригодные уже сегодня для достижения эффективности и безопасности применения стратегии BYOD в организациях.

Миф 1: Решения класса Mobile Device Management (MDM) – полное решение проблем BYOD

Системы класса Mobile Device Management (MDM) позволяют удаленно (централизованно) управлять множеством мобильных устройств, будь то устройства, предоставленные сотрудникам компанией или собственные устройства сотрудников (как «your own» часть в аббревиатуре BYOD). Управление мобильными устройствами обычно включает в себя такие функции, как удаленное обновление политик безопасности (без подключения к корпоративной сети), распространение приложений и данных, а также управление конфигурацией для обеспечения всех устройств необходимыми ресурсами.

Почему это утверждение – миф?

Вышеперечисленные функции необходимы любой BYOD-программе, но при этом не являются панацеей безопасности BYOD-устройств, не гарантируют ни сохранность данных на устройствах, ни выполнение требований регуляторов.

MDM-системы устанавливают на КПК, смартфоны, планшеты и другие устройства агентское программное обеспечение, работающее на уровне приложений (“app”) и позволяющее реализовать удаленное управление с централизованной консоли MDM-системы. Это означает, что системы MDM принципиально ограничены возможностями, предоставляемыми API операционной системы производителя персонального устройства (если таковой API предоставляется вообще), и в частности – на уровне контролируемых коммуникаций для контроля или хотя бы мониторинга перемещения данных с оконечного устройства.

Некоторые MDM решения содержат встроенную «мину» – способность самоуничтожения всего программного обеспечения и данных с мобильного устройства в случае злонамеренного неавторизованного удаления с него MDM-приложения. Однако до того момента, пока на BYOD-устройствах не появятся полностью независимые операционные среды (бизнес, персональная, среда производителя и т.п.), сегментированные на физическом уровне и снабженные низкоуровневыми интерфейсами для доступа СЗИ независимых производителей, ограниченность возможностей MDM решений по контролю исходящих потоков данных на мобильных устройствах останется принципиальной проблемой, обсуждения которой MDM-вендоры старательно избегают, а для имитации решения проблемы используют «заплатки» типа вышеупомянутых встроенных «мин».

Для дальнейшего объяснения сложившейся «мифологии» рассмотрим те основные возможности по обеспечению безопасности в BYOD, в которых обычно преуспевают MDM-решения:

  • Надежность парольной защиты;
  • Управляемое удаление данных с устройства в случае потери или кражи;
  • Шифрование встроенной памяти и карт хранения данных, либо виртуальная «контейнеризация» данных приложений.

Безусловно, все эти функции являются сильной стороной MDM-решений. Однако же современные MDM-системы способны реализовать по крайней мере одну функцию (позволяющую обеспечить удаленное стирание данных на устройстве) только при условии, что устройство появится в Сети. Можно полагать, что данные в безопасности (т.е. сработают функции шифрования и парольной защиты), только если устройство утеряно так, что никто не найдет, либо физически уничтожено без возможности восстановления данных, либо досталось неквалифицированному в таких вопросах человеку – т.е. остается выдавать желаемое за действительное. Другими словами, часть условий, требуемых для реализации возможностей MDM-решений, основаны не на реальной безопасности, а на удаче.

Следует также иметь в виду, что существуют специальные технические решения, обеспечивающие восстановление данных с устройств (причем чаще всего такие решения разрабатываются по заказу государства для выполнения судебных экспертиз, следственных мероприятий, либо создаются хакерами) и способные взломать пароли на устройствах под управлением iOS и BlackBerry устройств, а также зашифрованные различными способами данные - особенно при наличии «защищенных» резервных копий.

Наконец, MDM-системы абсолютно не учитывают сценарий инсайдерской угрозы, когда утечки данных происходят случайно или преднамеренно с устройств недовольных или увольняющихся сотрудников.

Как следствие, для лиц, решивших посредством BYOD-устройств завладеть корпоративными данными, системы MDM всего лишь создают незначительное препятствие.

Миф 2: Корпоративные данные ограниченного доступа могут безопасно храниться на BYOD-устройствах

Рассматривая миф о безопасности хранения и создания данных на BYOD-устройствах, стоит помнить, что задача обеспечения безопасности корпоративных данных на персональных устройствах стоит не только в связи с коммерческой необходимостью защиты корпоративных наработок, сведений, персональных данных сотрудников и т.п. – но и в силу требований различных законодательных и нормативных актов. Таким образом, методы создания, хранения и обработки данных имеют первостепенное значение. На первый взгляд, MDM-системы решают эту проблему в ситуациях, когда сотрудники предпочитают хранить корпоративные данные на собственных устройствах. Однако же это порождает ложное чувство безопасности.

Почему это утверждение – миф?

В реальности уже сама практика хранения данных на BYOD-устройствах порождает риск утечки данных, независимо от наличия на устройстве агента MDM-системы.

Как упоминалось ранее, MDM подход к шифрованию данных в сочетании с функцией удаленного уничтожения данных обеспечивает весьма низкий уровень защиты. Более того, с точки зрения реальной безопасности данных этого уровня недостаточно – поскольку, попав в руки квалифицированного злоумышленника, данные ограниченного доступа могут быть попросту отправлены по сетевым каналам или украдены с устройства иным способом. Все возможные способы перемещения или передачи корпоративных данных на/с BYOD, в том числе через канал локальной синхронизации данных при подключении к рабочим станциям (по протоколам ITunes, ActiveSync, MTP и др.) должны контролироваться или хотя бы блокироваться либо отражаться в теневых копиях.

Рассмотрим следующий сценарий:

Компания разрешает сотрудникам подключать личные мобильные устройства к корпоративным ноутбукам, настольным ПК и серверам. После подключения эти устройства могут легко передавать персональные данные или корпоративную информацию компании в огромных количествах по сверхвысоким скоростям. Такая передача данных происходит внутри периметра и, будучи невидимой для корпоративного брандмауэра, происходит совершенно беспрепятственно, без контроля и ограничений.

Далее сотрудник берет устройство с собой за пределы офиса и находится полностью в «свободном плавании». Если это устройство потеряется или его украдут,- все данные, переданные на устройство ранее в офисе, могут быть получены новым обладателем устройства, будь оно зашифровано или нет.

Миф 3: Корпоративные данные ограниченного доступа могут безопасно создаваться на BYOD

Не секрет, что персональные устройства в настоящее время применяются гораздо шире, нежели только как средство коммуникаций. Стремясь повысить свою производительность, сотрудники также создают новый контент и на личных устройствах. Как следствие, возникает дилемма «производительность против безопасности» – рост производительности сотрудников является благом, вызывают определенную озабоченность безопасностью и целостностью данных.

Почему это утверждение – миф?

Рассматриваемая проблема во многом повторяет особенности второго мифа, рассмотренного ранее в данной статье, но следует обратить внимание и на другую задачу – резервное копирование корпоративных данных. Если новые документы и данные создаются на персональном устройстве, организация вынуждена полагаться на сознательность сотрудника, надеясь, что он самостоятельно позаботится о создании резервных копий или своевременно проведет синхронизацию устройства с рабочим компьютером в офисе для обеспечения резервного копирования надлежащим образом на корпоративном уровне. И снова мы сталкиваемся с условиями, когда стратегия использования личных устройств для повышения производительности сотрудников полагается на разумность и сознательность сотрудников, т.е. по сути на удачу, - но не на реальную технику безопасности.

Попросту говоря, если до создания резервной копии устройство потеряется, его украдут, либо данные на нем будут уничтожены (например, удаленно MDM-системой) – можно считать, что новых наработок никогда и не было.

Миф 4: Приложения BYOD должны иметь доступ к конфиденциальным данным

Существует множество различных приложений, в том числе для мобильных платформ, способных решать различные задачи пользователей.

Однако, если даже мобильное устройство позволяет сотруднику эффективно выполнять свои обязанности и бизнес-функции, использование мобильных устройств для доступа и работы с корпоративными данными не являются лучшим решением.

Почему это утверждение – миф?

Если ваша организация не является разработчиком приложения для мобильного устройства, скорее всего вы не можете достоверно знать, как именно такое приложение работает с данными на устройстве, и не можете контролировать процесс обработки данных приложением. Чаще всего, когда пользователи скачивают и устанавливают сторонние приложения на своих устройствах либо используют приложение впервые, они должны согласиться с тем, что приложение получит доступ к данным на устройстве. Такой доступ обычно предоставляется пользователями не задумываясь, более того, как правило, люди даже не читают условия лицензионного соглашения.

Для мобильных устройств, работающих под управлением операционных систем Android от Google или iOS от Apple, есть и другие проблемы, расширяющие профиль угроз:

  • пользователи мобильных устройств Android / iOS имеют тенденцию устанавливать больше приложений третьих сторон, нежели те, которые пользуются компьютерами на базе Windows. Чем больше приложений используется на мобильном устройстве, тем выше вероятность, что по крайней мере одно из них окажется вредоносным или будет иметь существенные уязвимости в системе безопасности.
  • утечка данных может быть злонамеренно инициирована самими пользователями, умышленно копирующими корпоративную информацию ограниченного доступа со своих ПК на флэш-носители и другие компактные носители данных.

В то время, как некоторые разработчики MDM-решений реализуют контроль мобильных приложений, разрешая пользователю загружать и устанавливать только санкционированные к применению, продукты большинства лидеров отрасли MDM переходят к использованию модели виртуального секционирования приложений. Однако, и этот подход будет оставаться, по сути, полумерой – до тех пор, пока аппаратные платформы мобильных устройств и программные интерфейсы не эволюционируют в достаточной степени, как отмечалось ранее.

Миф 5: MDM-системы равносильны DLP-системам

Некоторые разработчики систем управления мобильными устройствами (MDM) заявляют, что их решения обеспечивают полноценную защиту от утечек данных в силу наличия функций шифрования и уничтожения данных на устройстве. Но действительно ли эти функции – именно то, что требуют как внутренние нормативные акты компаний, так требования регуляторов, направленные на обеспечение безопасности конфиденциальных и важных данных?

Почему это утверждение – миф?

Рассматривать MDM-системы как DLP-системы в рамках общепринятой концепции безопасности некорректно, поскольку существуют довольно четкие и акцентированные на безопасности данных определения термина Data Leak Prevention, установленные отраслевыми аналитиками.

Исходя из общепринятого определения, DLP-решение должно быть способно анализировать данные в состояниях «Передаваемые данные» (data-in-motion), «Используемые данные» (data-in-use), и/или «Хранимые данные» (data-at-rest) по их содержимому. Указанные виды анализа данных, имеющие решающее значение для выполнения задач контроля, мониторинга и обеспечения целостности данных, попросту отсутствуют в современных MDM-системах.

Кроме того, для любой используемой MDM-системы остается актуальной проблема с недостаточностью защиты от случайных или преднамеренных утечек данных.

Наконец, следует учесть, что при том, что MDM-системы имеют доверенный доступ к устройству и хранимым на нем данным, они не способны обеспечить фильтрацию исходящих коммуникаций или подключаемых съемных носителей – ни по содержимому, ни по контексту пользователя, данных или используемого канала.

Решение: Комплексная стратегия безопасности BYOD

Что касается безопасности BYOD, любая система управления мобильными устройствами (MDM) будет эффективна только в качестве компонента в более широкой, комплексной стратегии обеспечения безопасности данных на мобильных устройствах. MDM-системы следует применять для решения задач общего управления и контроля мобильных устройств, шифрования данных – т.е. как «последнюю линию обороны».

Наиболее эффективным решением безопасности данных для устройств BYOD является предоставление доступа к информационным активам компании через удаленное подключение BYOD-устройств через терминальные сессии к виртуальным Windows-средам, которые в свою очередь защищены функционирующей на хосте DLP-системой, обеспечивающей предотвращение неконтролируемых утечек данных с хоста. Такой подход называется Virtual Data Leak Prevention (vDLP).

Производительность пользователей и Безопасность

Как правило, повышение производительности мобильных пользователей является основным обоснованием для санкционирования компанией доступа к корпоративным данным с мобильных устройств. Высокоскоростное подключение к сети и доступ к информационным активам компании через виртуальные среды не только решает проблему производительности мобильных сотрудников в стратегии BYOD, но и существенно снижает риски утечки данных. При этом обычные рабочие места, размещенные в офисе компаний, также должны быть защищены от несанкционированного использования съемных носителей и USB-устройств, позволяющих незаметно для служб информационной безопасности скачивать корпоративные данные.

Технология Virtual DLP предлагает контролируемое предоставление удаленного доступа к корпоративным данным в отличие от локального хранения данных на BYOD-устройствах в подходе MDM.

При использовании виртуальных рабочих сред сотрудники получают доступ к данным только после авторизации учетной записи в домене Active Directory (AD) или ином каталоге LDAP. Доступ предоставляется через защищенный VPN-туннель, использующий в свою очередь строгую аутентификацию пользователя и/или устройства.

Таким образом обеспечивается выполнение трех ключевых условий безопасности:

  • Безопасная обработка данных – сотрудники не используют приложения для локальной обработки данных на устройстве BYOD при подключении к корпоративному порталу по безопасной сессии, либо возможность использования данных блокируется на контекстном уровне. Таким образом гарантируется, что корпоративные данные компании не будут распространены далее контролируемого устройства.
  • Безопасное хранение данных – защищаемые корпоративные данные могут быть доступны только в виртуальной среде, и в случае редактирования или иного изменения сохраняются только на сервере или могут быть распечатаны на принтерах в корпоративной сети – при этом не допускается или контролируется локальное сохранение данных во встроенной памяти BYOD-устройств, подключаемых съемных накопителях, печать на принтерах вне корпоративной сети. Поскольку корпоративные данные компании существуют только на серверах организации, а не на персональных устройствах, возможно обеспечить надлежащий контроль и резервное копирование на стороне организации.
  • Мониторинг данных – для каждой сессии сотрудника Virtual DLP-решение, функционирующее в виртуальной среде Windows, обеспечивает фильтрацию содержимого файлов и данных, проходящих через коммуникационные каналы (электронная почта, вебсайты, мессенджеры и т.д.), опубликованные приложения, канал печати, перенаправленные диски и сетевые файловые ресурсы, а также съемные носители, доступ к которым разрешен программным обеспечением виртуального хостинга.

Приложения и целостность данных

Мобильные сотрудники нуждаются в высокой продуктивности и созидательности, из чего следует потребность сотрудников в быстрой адаптации к модели виртуализации, поддержке различных видов виртуальных сред и исключении любых непредвиденных запросов на расширение функциональности виртуальной среды.

Это означает, что перечень размещенных в виртуальной среде приложений должен включать в себя те, которые могут качественно заменить приложения, обычно используемые для работы с данными или для коммуникаций в «локальном» режиме:

  • Браузер для работы в Internet,
  • Outlook или другой клиент электронной почты,
  • Разрешенный в организации мессенджер (IM),
  • Microsoft Office или другой продукт для работы с документами различных типов,
  • Прочие приложения, используемые в организации и необходимые для выполнения должностных обязанностей.

Важно отметить, что при использовании сценариев виртуализации рабочей среды также решается задача обеспечения защиты данных благодаря тому, что корпоративные данные хранятся только на серверах организации, которые в свою очередь обеспечены надлежащей защитой и регулярным резервным копированием. Таким образом, большая часть создаваемого на мобильных устройствах контента может быть гарантированно сохранена для организации вне зависимости от того, на каком виде BYOD-устройства были созданы или изменены документы и данные.

При использовании решения Virtual DLP все приложения, работающие с корпоративными данными, запускаются внутри виртуальной Windows-сессии, т.е. по сути существуют только на «домашнем» сервере организации. При таком подходе сотрудники могут свободно использовать опубликованные на сервере виртуализации приложения, необходимые им для работы, при этом служба информационной безопасности сохраняет полный контроль над обрабатываемыми данными, поскольку сохранение происходит не на устройстве BYOD, а на сервере.

MDM-системы – это НЕ предотвращение утечек данных (DLP)!

Безусловно, MDM-системы играют значительную роль в обеспечении безопасности стратегии BYOD, но следует вновь четко обозначить, что при этом они не выполняют задачи предотвращения утечек данных.

Для создания полноценного и эффективного решения по предотвращению утечек данных с мобильных устройств MDM-системы должны работать совместно с резидентными DLP-системами.

DeviceLock Endpoint DLP Suite для виртуальных сред расширяет возможности решений по созданию изолированной защищенной рабочей среды

Специализированные DLP-решения могут помочь организации, решающей вопросы быстрой интеграции персональных мобильных устройств в технические бизнес-процессы, в задачах выявления критически важных для бизнеса данных, определения правил работы, хранения и передачи данных за пределы компании (или внутри компании).

Персональных мобильных устройств, проникающих внутрь корпоративного сетевого периметра, становится все больше и больше – это смартфоны, планшеты, флэш-носители, цифровые камеры, и даже MP3-плееры. Активное развитие сетевых сервисов и приложений, широкое распространение и общедоступность облачных хранилищ и социальных сетей также существенно повышает риски неконтролируемых утечек данных. Для решения этой проблемы и предназначены специализированные резидентные DLP-системы.

Эффективная защита от утечек данных предполагает контроль на разных уровнях и разными методами (как основанными на контексте данных, так и на анализе содержимого файлов и данных) в сочетании с избирательностью применения технологий контроля для широчайшего спектра потенциальных каналов утечки данных.

Немалая часть каналов утечки напрямую связана с подключением различных устройств через порт USB, из чего следует обязательность использования контекстных и контентных методов контроля и фильтрации подключаемых через USB устройств везде, где это подключение персональных мобильных устройств может привести к обмену данными между устройством и рабочей станцией. Специалисты по информационной безопасности должны определять права доступа для пользователей и групп в соответствии с их функциональными обязанностями, чтобы достичь баланса между продуктивностью использования персональных устройств для работы – и снижением рисков утечек.

Вывод

Безусловно, пользователи будут утверждать, что они не всегда смогут получить достаточный доступ к данным, будут сталкиваться с нехваткой пропускной способности канала или отсутствием сетевого подключения вне офиса (например, в самолете, в странах третьего мира и т.д.), а значит, должны иметь возможность хранить корпоративные данные локально на персональных мобильных устройствах. И вполне допустимы ситуации, когда это будет оправдано. Тем не менее, для большинства организаций модель Virtual DLP окажется более компромиссной, нежели реальный риск потерять данные ограниченного доступа, и как следствие - риск падения престижа и репутации компании, срыва сделок, и наконец, крупных штрафов либо иных санкций при нарушении требований регуляторов.

Заключение

Компании и организации из всех отраслей экономики тратят массу сил и средств на обеспечение сохранности корпоративных, конфиденциальных и персональных данных, пряча их за периметром, защищенным брандмауэрами и сложными методами авторизации. Но, к сожалению, объективная реальность такова, что защиты периметра недостаточно – и тщательно охраняемые данные по-прежнему утекают сквозь пальцы. Динамичный рост уровня мобильности рабочих мест сотрудников в сочетании с все нарастающей консьюмеризацией (активным применением различных персональных устройств) порождает новые угрозы утечки данных, с которыми организации вынуждены активно бороться уже сегодня.

DeviceLock Endpoint DLP Suite обеспечивается контроль использования персональных мобильных устройств в модели BYOD, построенной на платформах виртуализации от Microsoft, Citrix, VMware и других производителей

Поскольку мобильные устройства чаще всего используются за пределами защищаемых офисных сетей, традиционные компоненты безопасности периметра не могут обеспечить надлежащие контроль и мониторинг коммуникаций с мобильных устройств. Кроме того, стоит помнить о рисках физической утери или кражи мобильных устройств.

Эффективная стратегия BYOD заключается не только в управлении, отслеживании и уничтожении данных на устройствах при необходимости – но и в предотвращении утечек данных с мобильных устройств. При этом следует использовать как контекстные, так и контентные методы контроля данных.

Технологии предотвращения утечек данных (DLP) будут крайне полезны и эффективны для организаций, решающих задачу быстрой интеграции персональных мобильных устройств в бизнес-процессы предприятия благодаря фундаментальным принципам, определяющим основы DLP-технологий. Здесь подразумевается четкое выделение критичных для организации данных и политик доступа к ним, определение политик хранения, перемещения и передачи, а также использования данных – что в совокупности образует целостную технологию защиты ценных для организации файлов и данных.

Оптимальная формула стратегии безопасности BYOD

Следующая упрощенная формула иллюстрирует всеобъемлющую и оптимальную стратегию безопасности BYOD:

Безопасность BYOD = “MDM” + “App” + “VPN” + “VM” + “DLP”

  • “MDM” – система для контроля локальных приложений на устройствах, удаленного уничтожения данных, обеспечения надежной парольной защиты устройства и шифрования данных и т.п.;
  • “App” – приложение для удаленного подключения мобильного устройства через интернет к виртуальному хостингу приложений организации (например, Citrix Receiver).
  • “VPN” – защищенное криптографическим протоколом SSL подключение к виртуальной частной сети организации (Virtual Private Network), используемое опубликованными приложениями, в том числе для дополнительной аутентификации пользователей.
  • “VM” – виртуальная реализация Windows-системы на базе средств виртуализации Citrix / WTS / MS RDx / др., предоставляющая пользователям рабочую среду, в которой могут быть опубликованы и доступны необходимые для работы приложения и данные.
  • “DLP” – система предотвращения утечек данных, интегрированная в виртуальную рабочую среду Windows, обеспечивающая контроль доступных в этой виртуальной среде каналов передачи данных (электронная почта, вебсайты, мессенджеры, канал печати, перенаправленные в виртуальную среду локальные USB-устройства) для предотвращения утечек данных с BYOD-устройства.