Алексей Лукацкий (Cisco) - Пошаговое руководство по защите мобильного доступа.

1. Пошаговое руководство по защите
мобильного доступа
Лукацкий Алексей, консультант по безопасности

2. Реализация мобильного доступа начинается с политики
Я хочу разрешить работу
в моей сети только
«нужных» пользователей
и устройств
Мне нужно, чтобы
пользователи и
устройства получали
адекватный доступ к
сетевым сервисам
(dACL, Qos, и т. п.)
Мне требуется разрешить
гостевой доступ к сети
Мне требуется
разрешить/запретить
доступ с iPAD в мою
сеть(BYOD)
Мне требуется
уверенность, что мои
оконечные устройства не
станут источником атаки
Сервисы
аутентификации
Сервисы
авторизации
Управление
жизненным циклом
гостевого доступа
Сервисы
профилирования
Сервисы оценки
состояния

3. Шаг 1. Вы вообще будете применять мобильные
устройства
Мобильника
97%
Интернет
84%
Автомобиля
64%
Партнера
43%

4. Шаг 2. Определитесь с моделью угроз
Сотовые сети
Направления атаки
Bluetooth
Интернет
(WLAN/3G)
Синхронизация
Другая
периферия
Камера (QR-
коды)

5. Какие данные вы будете защищать?
Журнал вызовов и
SMS-сообщения
Почта (голос и e-mail)
Контакты и
календарь
Геолокационные
данные
Фотографии и
журнал просмотра
Web
Архив кэша
клавиатуры
(включая пароли)
Удаленные данные
Конфиденциальные
файлы (включая SD)
Приложения

6. Кто и от чего хочет защищаться?
ИБ
• Спам / фишинг /
смишинг
• Вредоносный код
• Утечки
• Перехват данных
• Посещение
ненужных сайтов
• Несоответствие
регуляторике
• Отслеживание
перемещения
(privacy)
ИТ
• Установка
пиратского ПО
• Кража
легитимного ПО
• Вывод устройств
из строя
Финансы
• Высокие затраты
на Интернет
• Звонки на
платные номера
и платные SMS
• Кража / потеря
устройства

7. Шаг 3. Определитесь с отношением к BYOD
"Прекратите протестовать
и соблюдайте правила!"
Чего хотят пользователи
Доступ из любого места и в любое
время
Независимость от устройств
Личные данные / приложения
Гибкие конфигурации
Где золотая середина?
Чего хотят сотрудники ИТ и
служб безопасности
Контролируемый сетевой доступ 
Предсказуемые конфигурации 
Безопасность данных 
Блокировка
пользователей 
"Вы тормозите
меня!"

8. Сценарии использования BYOD
Сценарий Ограниченный Базовый Расширенный Передовой
Бизнес
политика
Блокировать доступ
Доступ по ролям
изнутри сети
Гранулир. доступ
внутри и снаружи
Полноценное
мобильное рабочее
место
ИТ-
требования
Технологии
• Знать “кто” и “что”
включено в сеть
• Давать доступ
только
корпоративным
устройствам
• Предоставлять
персональным и
гостевым
устройствам
доступ в
Интернет и
ограниченному
числу внутренних
ресурсов
• Гранулированный
доступ изнутри
сети
• Гранулированный
удаленный
доступ к
ресурсам через
Интернет
• Использование
VDI
• Обеспечение
родных
приложений для
мобильных
устройств
• Управление
мобильными
устройствами
(MDM)
Коммутаторы, маршрутизаторы, точки беспроводного доступа
Сетевая
инфраструктура
Управление
Идентификац
ия и политики
Удаленный
доступ и
безопасность
Приложения
LAN Management –
MDM
IAM, NAC, Guest, Policy
МСЭ/Web Security
Защитный клиент
Облачная безопасность
Корпоративные приложения и VDI

9. Шаг 4. Определитесь с разрешенными мобильными
платформами
• Пользователи хотят выбирать
мобильные устройства самостоятельно
(BYOD)
• Спектр выбираемых устройств очень
широк
– ОС: iPhone, Windows Mobile, Symbian,
BlackBerry, WebOS, FireOS, ChroneOS
– Платформа: iPhone, Nokia, HTC, LG,
Samsung, BlackBerry, Palm
• Проблема выбора не только средств защиты,
но и самой мобильной платформы
• Функционал одной системы защиты может
меняться на разных платформах

10. Шаг 5. Определитесь с доступом изнутри локальной сети
Доступ
своих к
чужим
Доступ
своих к
своим
Доступ
чужих к
своим

11. Доступ своих к своим
• Какова политика доступа с мобильного устройства к
корпоративным ресурсам изнутри корпоративной сети?
• Какова политика доступа с мобильного устройства к
корпоративным ресурсам извне корпоративной сети?
– Только VPN? Применяется NAC/TrustSec? Доступ только к
отдельным приложениям?
– Необходимо ли пропускать мультимедиа-трафик (VoIP, ВКС)?
Через VPN?
• Какова политика доступа с мобильного устройства к ресурсам
Интернет?
– Изнутри корпоративной сети? А извне корпоративной сети?
– А межсетевой экран нужен?
• Доступ к облачным вычислениям (если внедрены в организации)
• А может лучше терминальный доступ (VDI)?

12. Примеры простой политики BYOD
Интернет
“Сотрудники могут получать доступ ко всем
ресурсам с личных и корпоративных
устройств. Доступ внешних пользователей
блокируется.”
“Сотрудники должны использовать
корпоративные устройства. Личные
устройства запрещены, гостевой
доступ не предусмотрен.”
Внутренние
ресурсы
“Сотрудники могут получать доступ
к любым ресурсам с корпоративных
устройств. Сотрудникам, использующим
личные устройства,
и партнерам предоставляется
ограниченный доступ.”
Сеть комплекса
зданий
Ограниченный
набор ресурсов
Сервисы политики
Это
важно!

13. Реальный пример
User Тип Место Статус Время Метод Свои

14. Новости Электронная
почта
Социальные сети Корпоративная
SaaS-система
Шаг 6. Определитесь с доступом извне
Фильтрация
контента
Corporate AD
МСЭ/
Защита IPS
Интернет-доступа
в сети предприятия
Облачная безопасность

15. Шаг 7. Определитесь с управлением уязвимостями
• Возможно ли сканирование мобильных устройств?
– Агентское или дистанционное?
• Как часто сканируются мобильные устройства?
• Каков процесс устранения уязвимостей?
• Как устанавливаются патчи?
• Отношение к Jailbrake?

16. Обнаружение Jailbreak

17. Шаг 8. Определитесь с приложениями
• Есть ограничения на используемые приложения?
• Собственная разработка?
• Процедура тестирования для внешних приложений и исходного
кода?
• Контроль магазинов приложений? Собственные корпоративные
магазины приложений?
• Процедура установки приложений?
– Доверяем ли мы неподписанным приложениям?
• Существуют ли приложения третьих фирм при оказании сервиса?
• Используемые меры защиты приложений?
– Права приложений

18. Какие приложения нужны

19. Безопасность приложений
“Приложения
регулярно шлют
информацию
маркетинговым
компаниям, которые
составляют досье на
мобильных
пользователей”
Source:
http://blogs.wsj.com/wtk-mobile/

20. Безопасность приложений

21. Откуда берутся приложения?

22. Корпоративные магазины приложений

23. Шаг 9. Как вы будете бороться с кражей устройства
• Как искать украденное/потерянное устройство?
– А надо ли?
• Как дистанционно заблокировать устройство или удалить
данные?
• Как защититься при смене SIM-карты?
• Контроль местонахождения устройства?
– GPS, Глонасс, «Найди iPhone»?
• Рекомендации вернуть устройство владельцу?

24. Что делать при потере устройства?

25. Что делать при смене SIM-карты?

26. Шаг 10. Определитесь с шифрованием на устройстве

27. Шаг 11. Определитесь с удаленным управлением и
контролем
• Как организовать?
• Централизованно или через пользователя?
– А насколько высока из квалификация?
• Как отключать некоторые аппаратные элементы (камера,
диктофон, Bluetooth и т.д.)? Надо ли?
• Как контролировать настройки?
• Как контролировать наличие «чужих» программ?
• Как удаленно «снять» конфигурацию?
• Как провести инвентаризацию?
• Как проводить troubleshooting?
• Как организовать доступ администратора к устройству?

28. Шаг 12. Определитесь с важностью вопросов
соответствия требованиям регуляторов
• Подчиняется ли мобильное устройство обязательным
нормативным требованиям? Каким?
• Необходимо ли проводить внешний аудит соответствия
мобильных устройств?
– ISO 27001
– PCI DSS
– СТО БР ИББС
– 382-П
– Аттестация по ФСТЭК
– ФЗ-152
– Приказ ФСТЭК №17 по защите ГИС
– Приказ ФСТЭК №21 по защите ПДн
– Приказ ФСТЭК №31 по защите АСУ ТП

29. Шаг 13. Определитесь с соответствием политикам ИТ и
ИБ
• На какие категории сотрудников распространяется ?
• Какая процедура подключения новых устройств (орг. и техн.)?
• Какие сервисы предоставляются (почта, UC, VDI …)?
• Какие затраты оплачиваются (мобильный интернет, звонки …)?

30. 4 направления защиты
Мобильная
безопасность
Безопасность
контента
Сетевая
безопасность
Управление
безопасностью

31. Разные измерения защиты
Контроль мобильного
устройства при
доступе к
корпоративным
ресурсам
Защита самого
мобильного устройства

32. Шаг 14. Решите вопросы с аутентификацией
• Как проводится аутентификация пользователя на мобильном
устройстве?
– PIN? Логин/пароль? Графические шаблоны? Одноразовые
пароли? Аппаратные токены? Сертификаты?
• Возможна ли интеграция с моим каталогом учетных записей?
Как?
• Поддерживается ли SSO? Какой стандарт?
• Поддерживается ли федеративная система аутентификации?
Какой стандарт?
• Нужна ли аутентификация к локальным ресурсам и устройствам?
• Необходим ли многопользовательский доступ к мобильному
устройству?
– А зачем?

33. Многопользовательский доступ на мобильном
устройстве

34. Шаг 15. Решите вопросы с антивирусом
• Антивирус
– Проверка в реальном
времени
– Проверка по требованию
– Проверка по расписанию
– Автоматическое обновление
• Межсетевой экран
– Блокирование
подозрительных соединений
– Разные предопределенные
уровни защиты

35. Особенности антивирусной защиты

36. Межсетевой экран для мобильного устройства

37. Шаг 16. Решите вопросы с персональной защитой
• Черные списки телефонов?
• Скрытие от посторонних глаз SMS/номеров?
– Отдельные контакты помечаются как «личные» и вся связанная с
ними информация (SMS, звонки, контакты) будет скрыта от
посторонних глаз
• Шифрование важной информации
– Специальные «секретные» папки для документов и файлов
– Динамический виртуальный шифрованный диск
– Поддержка карт памяти
• Антивирус
• Нужен ли вам персональный межсетевой экран?

38. Шаг 17. Решите вопросы с контентной фильтрацией
• Устройству не хватает
мощностей ;-(
• Защита в зависимости от
местонахождения
– Перенаправление на
периметр или в облако
• Гранулированный контроль
доступа к сайтам
• Доступ в ближайшее облако
через SSO
• Контроль утечек информации
в Web или e-mail трафике
Premise Based Cloud Based
Corporate DC
WSA VPN

39. Защита контента на самом устройстве

40. Шаг 18. Решите вопросы с защитой устройства
Встроенная
Локальная
Централизованная

41. Базовой безопасности хватает при небольшом числе
устройств

42. Рынок средств мобильной безопасности
• Встроенный функционал в мобильные
устройства
– Например, идентификация
местоположения устройства в iPad
или встроенный VPN-клиент в Nokia
e61i на Symbian
• Функционал мобильных приложений
– Например, функция удаления данных
в Good или Exchange ActiveSync
• Отдельные решения для мобильных
устройств
– В рамках портфолио – Cisco,
Лаборатория Касперского, Sybase
– Специализированные игроки -
MobileIron, Mobile Active Defense,
AirWatch, Zenprise и т.д.

43. Системы класса Mobile Device Management
MDM продукты Контроль доступа и защита от сетевых угроз
 Инвентаризация
 Инициализация
устройства
 Безопасность данных на
устройстве
 Безопасность приложен.
 Управление затратами
 Полная или частичная
очистка удаленного
устройства
 Аутентификация
пользователей и
устройств
 Оценка состояния
 Применение
политики доступа
 Безопасный
удаленный доступ
 Защита от угроз
 Политика
использования
Web
 Защита от утечек
информации
Политики Облако Web Sec Защитный клиент МСЭ

44. MDM ≠ мобильная безопасность
• Управление базовыми защитными
механизмами
• Включение / блокирование функций
• Управление преимущественно
функциями ИТ, а не ИБ
• Отсутствие серьезной интеграции с
системами контроля доступа
• Отсутствие серьезной интеграции с
системами экономической безопасности

45. Шаг 19. Решите вопросы со слежкой за устройством

46. Шаг 20. Решите вопросы с VPN-доступом к корпоративной
сети

47. Шаг 21. Решите вопросы с доступностью
• Какой уровень доступности в SLA необходимо обеспечить?
• Какие меры обеспечения доступности используются для защиты
от угроз и ошибок?
– Резервный оператор связи
– Подключение по Wi-Fi
• План действия на время простоя?
– Вы поставили сотрудникам «Angry Beards» ;-)
• Резервирование и восстановление
• Как соотносятся оказываемые сервисы с мобильными
устройствами с точки зрения критичности/доступности?

48. Шаг 22. Решите вопросы с управлением инцидентами
• Как осуществляется расследование?
• Как вы обеспечиваете сбор доказательств несанкционированной
деятельности?
• У вас есть доступ к логам на мобильном устройстве? Как долго
вы их храните? Возможно ли увеличение этого срока?
• Можно ли организовать хранение логов на внешнем хранилище?
Как?
• Разработан ли план реагирования на инциденты, связанные с
мобильными устройствами?

49. Шаг 23. Решите вопросы с увольнением
• Процедура завершение трудового договора предусматривает
возврат мобильного устройства или данных на нем?
• Возврат корпоративных данных на личном мобильном
устройстве? В какой форме?
• Как скоро организация/сотрудник получит свои данные обратно?
• Как будут уничтожены все резервные и иные копии моих данных?
Как скоро? Какие гарантии? Как проконтролировать?

50. Шаг 24. Решите вопросы с privacy
• Обезличивание критичных данных и предоставление к ним
доступа только авторизованному персоналу?
• Какие устройства собираются и хранятся на мобильном
устройстве?
– Как долго?
• Что включить в политику предоставления корпоративного
мобильного устройства сотруднику? А что в политику доступа к
корпоративной сети с личного мобильного устройства?
• Есть ли национальные законодательные требования по
обеспечению privacy? Как найти баланс?
• Гарантии нераскрытия информации третьим лицам и третьими
лицами?
• Как защищаются данные при передаче устройства в ремонт?

51. Пользователь должен знать свои права и обязанности

52. Целостный взгляд на мобильный доступ
SIO
Динамическая
политика
решение Облако
Управление/
развертывани
е
Доп.
Интегрир.
средства
Что?
Средства,
контент, данные
Облако/Saas
Web-сайты
Web-
приложения
Сервисы
Соц. сети
СХД
Интеллектуальная сеть
Кто?
Когда?
Как?
Wi-Fi
На работе
Защищенный, персонализированный и контекстно-зависимый доступ к данным
Прозрачный - оперативный - надежный
Место-
положение?
Устройство
?
Сотовая
3G/4G
Проводная
Дома
В дороге
Клиент на
базе VM
• Управляемое
• Неуправляемое
• Корпоративное
• Личное
СОТРУДНИК
ВРЕМ. СОТРУДНИК
ГОСТЬ
Контекст
ЦОД/VDI
Обеспечение
с учетом
контекста
Обеспечение
с учетом
контекста

53. security-request@cisco.com
Благодарю вас
за внимание
© Cisco и (или) дочерние компании, 2011 г. Все права защищены. Общедоступная BRKSEC-1065 информация Cisco 53