Подходы к обеспечению безопасности в концепции BYOD

Подходы к обеспечению безопасности в концепции BYOD

В статье рассматривается популярная концепция BYOD (Bring Your Own Device – "принеси на работу свой гаджет") - её идеология, преимущества и потенциальные риски с точки зрения общепринятых принципов информационной безопасности. Также рассмотрены различные методы, направленные на разрешение проблем, связанных c применением концепции BYOD, включая решение, предлагаемое компанией Fortinet.

 

 

1. Введение

2. Обзор задач, требующих решения при принятии концепции BYOD

3. Новые подходы для обеспечения безопасности BYOD

4. Решение Fortinet для обеспечения безопасности BYOD

 

Введение

Популярная сегодня концепция BYOD (Bring Your Own Device – "принеси на работу свой гаджет") стала очередным предметом для горячих споров в ИТ-индустрии между сторонниками двух различных точек зрения: приверженцами традиционного подхода в обеспечении информационной безопасности и теми, кто считает целесообразным дать возможность всему коллективу компании: от директоров до рядовых сотрудников, никогда не расставаться с любимыми устройствами: дома и на работе, в дороге и на отдыхе. Это стало возможным благодаря тенденции последних лет, когда ИТ-службы стали уступать свои позиции как организации, устанавливающей корпоративные стандарты. И сами компании, желая сэкономить средства на приобретение персональных мобильных устройств, начали всё больше использовать стремление сотрудников использовать свои личные мобильные устройства в профессиональных целях, зачастую даже более производительные, чем те, что может предложить корпоративная политика компании.

Например, согласно исследованию компании Fortinet, 74% респондентов регулярно используют личные гаджеты в производственных целях. Более того, 55% из опрошенных считают такое использование личных гаджетов своим правом, а не привилегией.

А, по данным исследования компании Microsoft, наиболее лояльно к концепции BYOD относятся китайские компании (86%) и наименее лояльно — японские (30%). На рисунке 1 представлено распределение уровня лояльности компаний в разных странах к концепции BYOD.

 

Рисунок 1. Распределение уровня лояльности компаний в разных странах к концепции BYOD

 

Синий: Концепция BYOD разрешена и приветствуется
Голубой: Концепция BYOD разрешена, но не приветствуется
Оранжевый: Концепция BYOD запрещена
Коричневый: Концепция BYOD не регулируется

 

Обратная сторона медали - вопрос информационной безопасности. Концепция BYOD, открывая возможности увеличения производительности труда и повышения удовлетворения сотрудников ИT-инфраструктурой компании, породила целый ряд сложностей, связанных с защитой сети предприятия, а также хранением и передачей информации. Это ведёт к необходимости появления новых методов и подходов к решению этих проблем.

 


Обзор задач, требующих решения при принятии концепции BYOD

Конечно, использование BYOD на работе несёт для компании целый ряд неоспоримых преимуществ, среди которых: увеличение производительности труда, снижение затрат на пользовательские мобильные устройства, но если взглянуть на потенциальные проблемы, их, на первый взгляд, кажется не меньше, и сделать вывод о целесообразности принятия концепции становится непросто. Рассмотрим основные задачи требующие решения:

  • Во многих организациях, политики ограничения использования доступной полосы пропускания рассчитаны на корпоративные компьютеры и установленные на них приложения, однако, зачастую не на мобильные устройства. Обнаружив этот факт, пользователи переключаются на использование своих мобильных устройств для доступа к тяжёлым по использованию доступной полосы пропускания приложениям (например, просмотр видеороликов), что не ведёт к увеличению производительности труда, а, наоборот, открывает возможность нецелевого использования ИT-ресурсов.

  • Мобильность устройств сама по себе порождает проблему их использования за пределами хорошо защищённой IT инфраструктуры. Из-за бесконтрольного использования гаджетов за пределами офиса значительно возрастает риск кражи, утери самих устройств, утечки конфиденциальной информации через использование несанкционированных точек беспроводного доступа (Rogue AP).

  • Вся объективная незащищённость мобильных устройств делает их замечательной мишенью для хакерских атак, распространяющихся через вредоносный код, например, как тщательно маскирующиеся популярные нелегитимные мобильные приложения для мобильных устройств.

Конечно, ничего принципиально нового в этих проблемах нет, и необходимо только внедрить в достаточной степени жёсткие политики, однако такой подход сводит на нет все возможности от использования концепции. А, значит, подходы должны быть более гибкие и, при этом, столь же эффективные. Методы решения конкретных задач не должны лишать возможности использовать мобильные устройства и приложения везде, где только возможно, при этом, не теряя контроля за передаваемыми данными и действиями пользователей.

 

Новые подходы для обеспечения безопасности BYOD

Итак, как уже было сказано ранее, для решения поставленных задач необходимо применение гибких сбалансированных методов, вместо “драконовских” мер по полному запрещению мобильных устройств в корпоративной среде.

В любом случае, решение задачи обеспечения безопасности при принятии концепции BYOD начинается с формирования простых и понятных политик. Необходимо принять решение, какими приложениями можно пользоваться только с корпоративных компьютеров, а какие будут доступны с любого устройства. Возможно также, что организация разрешит использование любых устройств при условии наличия на них специального программного обеспечения для открытия доступа к информационным ресурсам предприятия, или, наоборот, определит типы или индивидуальные политики для всех мобильных устройств, разрешённых к использованию. Конечно, единый подход, который подойдёт всем без исключения организациям, тут вряд ли возможен, но современные технические возможности программного обеспечения позволяют найти приемлемое решение для любых сценариев, используя тот или иной подход.

Использование инфраструктуры виртуальных рабочих мест VDI (Virtual Desktop Infrastructure)

Виртуальные рабочие места, основанные на серверных решениях, представляют из себя пользовательские приложения или целые операционные системы, работающие в виртуальной среде, под управлением супервизора, функционирующего на централизованном сервере. Один физический сервер, на котором развёрнута виртуальная среда, может одновременно работать со множеством виртуальных пользовательских рабочих мест, развёрнутых в его виртуальных машинах. Число одновременно поддерживаемых виртуальных машин зависит от количества памяти и вычислительных ресурсов физического сервера. Такой подход очень удобен, так как обеспечивает централизованное администрирование и хранение данных, позволяет постепенно наращивать инфраструктуру, и, по мере необходимости, создавать, или удалять рабочие места, а также легко переносить их с одного сервера на другой. Достоинством применения таких виртуальных рабочих мест является высокая защита корпоративных данных в виртуальной среде, предоставляя, при этом, пользователю высокую свободу действий, открывая доступ к корпоративным IT ресурсам через защищённое окно, предотвращающее утечку конфиденциальных данных на пользовательское устройство.

Использование приложений управления мобильными устройствами

Приложения MDM (Mobile Device Management — управление мобильными устройствами) – это программное обеспечение для работы с корпоративными системами при помощи мобильных устройств. Сегодня управление мобильными устройствами MDM становится смысловым синонимом понятия информационной безопасности в мобильной среде. Однако, MDM не может стать полным решением всех вопросов, возникающих при принятии BYOD концепции, так как, к сожалению, многие мобильные пользовательские устройства и средства управления ими не способны ответить на такие вопросы как, например, решение проблемы распространения и обновления программного обеспечения, применения корпоративных политик, полное управление инвентаризацией и сетевыми сервисами. Многообразие пользовательских устройств в значительной степени затрудняет внедрение MDM подхода, делая его применимым и эффективно используемым только к половине поддерживаемых типов устройств, открывая остальные для потенциальных атак.

Клиентское ПО безопасности

Клиентское программное обеспечение для безопасности мобильных устройств является логическим развитием и расширением возможностей антивирусных программ. Данное ПО работает как агент для мобильного устройства, управляемый из сети и обеспечивающий функции антивирусного контроля, VPN клиента и возможности настройки блокировки пользовательского трафика согласно политике безопасности предприятия.

Сетевые политики безопасности

Все вышеописанные подходы применяются совместно с набором политик, работающим на уровне сети. Данные политики обеспечивают контроль доступа пользователей в сеть и формируют профили для различных сетевых элементов для определения того, какая информация может храниться или передаваться через то или иное устройство, определяются точки контроля передаваемых данных до того как они попадут в сеть или покинут её. Данный метод даёт очень гранулярный контроль за действиями пользователей и используемыми ими приложениями.



Решение Fortinet для обеспечения безопасности BYOD

Организация должна отдавать себе отчёт в том, что не существует единого универсального средства, способного решить все проблемы одновременно. Залогом успешного решения может стать системный подход, ориентированный на использование эффективных практик в области технологий защиты передаваемой информации, решений по безопасности для сетевой инфраструктуры и клиентского программного обеспечения, поддерживающих современные мобильные технологии. С таким подходом пользователь может быть уверен в том, что его приложения будут надёжно защищены, не зависимо от того, где он находится.

Для защиты сети компания Fortinet предлагает UTM-устройства, обеспечивающие функции межсетевого экрана, реализованные аппаратно в специализированных ASIC-микросхемах, а также функции антивируса, системы противодействия прохождению различных типов вредоносного кода, системы предотвращения вторжений, способные обеспечивать защиту инфраструктуры в режиме реального времени.

Следующим компонентом по важности после сети является защита передаваемых и хранимых данных. Потери данных сегодня влекут массу различных неприятностей, выливающихся, в конечном итоге, в раскрытие конфиденциальной информации и потерю доверия клиентов. Fortinet предлагает многоуровневое гранулярное решение по защите корпоративной информации, которое включает в себя:

  • Получившие в последнее время огромную популярность приложения Web 2.0, такие как, Facebook, Twitter, Skype, VKontakte, Odnoklassniki и многие другие, постоянно увеличивают объём и разнообразие передаваемых данных, зачастую подвергая опасности пользователей различным атакам через распространяемые по сети вирусы и вредоносный код. Встроенный в продукты Fortinet модуль безопасности Application Control, использующий постоянно обновляющуюся в режиме онлайн базу данных сигнатур FortiGuard, позволяет контролировать уже более 2200 различных веб-приложений, программ, сетевых сервисов и протоколов на предмет наличия в них вредоносного трафика. Для распознаваемых сетевых приложений решение Fortinet способно контролировать все действия, предпринимаемые программным обеспечением, и создавать для этого гранулярные политики в зависимости от пользователя, группы, дня недели, времени, а также комбинации этих и ряда других параметров.

  • Другой важной функцией, входящей в комплект решения Fortinet, является функция предотвращения утечек данных – DLP (Data Loss Prevention). Данная функция имеет целый набор функций выявления в передаваемых данных утечек важной информации во внешние сети.

И, наконец, последними, но от этого не менее важными, компонентами системной защиты инфраструктуры являются контроль и защита устройств мобильных пользователей, степень важности которой возрастает, как только мобильные устройства покидают периметр защищённой корпоративной сети. Основные составляющие этого компонента:

  • Это Web-фильтрация запросов пользователей, позволяющая задавать категории сайтов разрешённые для посещения пользователям в определённое время и поддерживающая обновляемый в режиме реального времени сервис подписки на базу данных категорий веб узлов в зависимости от их содержимого. Кроме этого, поддерживается возможность создания списка безусловно запрещённых URL для определённых групп или всех пользователей корпоративной сети.

  • Безусловно, важный компонент защиты от перехвата пользовательской информации – это шифрование с применением технологий IPSEC и SSL.

  • Клиентское программное обеспечение – агент FortiClient, работающий на большинстве типов мобильных платформ и позволяющий обеспечить максимальной защитой каждое конкретное клиентское устройство. Применение этого агента обеспечивает более высокую защищённость для описанных ранее методов MDM, VDI и других, работая с ними в тесной взаимной интеграции.

     

  

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новые статьи на Anti-Malware.ru