четверг, 3 февраля 2011 г.

Мобильная безопасность

В настоящее время мобильные устройства набирают популярность и становятся необходимыми для широкого круга пользователей. Многие компании приветствуют свободный подход к трудовому распорядку в течение рабочего дня, отдавая приоритет эффективности своих сотрудников. Вспоминается фраза «бойтесь эффективных менеджеров».
Популярность новых мобильных устройств с операционной системой Android стремительно набирает обороты. Основа ОС - Linux с ядром 2.6. В настоящее время ОС Android купила Google и продолжает его развивать. ОС Android стала популярной, прежде всего благодаря удобству использования. Вообще в мире свободного ПО, особенно среди ОС Linux, вопросы удобства всегда оставались на втором, если не на третьем плане. Это связано с тем, что данное ПО использовали лишь «продвинутые» пользователи, а они уж рано или поздно точно разберутся и найдут способ настроить свой компьютер.
ОС Android имеет много разных приложений,  как платных, так и бесплатных, доступных как для покупки, так и просто для скачивания. Имеются инструменты для разработки собственных приложений. На рынке уже присутствует достаточное количество ноутбуков, нетбуков,  коммуникаторов, планшетов, работающих под управлением ОС Android.
Что нужно мобильным пользователям? Доступ в сеть Интернет, доступ к корпоративной почте, доступ к корпоративным ресурсам, где бы они ни находились. На разных приложениях/играх/прочем я останавливаться не буду, так как это не предмет данного рассмотрения.
Что нужно корпорациям? Получение прибыли. Эффективность работы персонала. Некоторым нужна информационная безопасность.

Риски ИБ
Расширение горизонта атак. Мобильные пользователи часто имеют доступ к корпоративным ресурсам, а значит, имеют возможность хранить на них конфиденциальную информацию.
Возможное распространение конфиденциальной информации, так как эти устройства почти всегда подключены к сети Интернет, часто подключаются к другим сетям, например домашним.
Возможная утечка конфиденциальной информации, например в случае кражи устройства.
По мере становления популярности будут возрастать риски антивирусного заражения ОС и данных.
По мере становления популярности будут возрастать риски атак на саму операционную систему.

Методы ИБ
Удаленный доступ. На рынке присутствуют несколько решений для создания безопасных VPN подключения. Есть поддержка L2TP, L2TP/IPSec в следующих продуктах: 1 VPN, 5 VPN, Cisco VPN Android. По некоторым данным, российская компания Инфотекс ведет разработку клиента VipNet Client под ОС Android.
Антивирус. На рынке уже присутствуют бесплатные версии Anti-Virus Free, Dr.Web, Lookout Antivirus, Norton Mobile Security Super Security. Я считаю, что бесплатность антивирусов явление временное.
Шифрование данных. На рынке присутствуют специальные программы, позволяющие создавать защищенные области для хранения данных – криптоконтейнеры. Примерами таких программ являются: B-Folders 2, gbaSafe, Keeper Password & Data Vault. Все эти программы поддерживают американский стандарт симметричного шифрования AES.
Стандартные меры: регулярное обновление ОС и приложений, работа без административных прав (root), предотвращение несанкционированного использования устройства.

Компрометация устройства
Компрометацией, в общем случае, называется ситуация, при которой данные могли куда-нибудь утечь или данные остались без присмотра хоть на какое-то время. Самым понятным для конечного пользователя случаем компрометации является кража оборудования. Что можно сделать в данной ситуации? Варианты мне видятся следующие:
  • ничего не делать. Данные и так хранятся в зашифрованном виде в криптоконтейнере, ключ к которому защищен паролем.
  • удалить находившиеся данные. Это можно сделать при помощи специального кода, специального электронного письма, специальной SMS.
Как правило, штатный функционал по дистанционному удалению данных вряд ли найдется, для этой цели лучше всего написать скрипт, благо ОС Android поддерживает скриптовые языки программирования.
Хочу заметить, что удалять все данные из устройства вовсе не обязательно, достаточно затереть ключ шифрования.


Комментариев нет:

Отправить комментарий