Безопасность мобильных устройств — рынок растущий. Практически все производители программного обеспечения для борьбы с вредоносным программным обеспечением, прежде всего Trend Micro, Symantec, McAfee и Avira, предлагают решения для сотовых телефонов, смартфонов и КПК. Но эти продукты существенно различаются с точки зрения их пригодности для использования с мобильными конечными устройствами в корпоративной среде: так, особое внимание следует уделять максимально широкой поддержке различных платформ.
При выборе продуктов по обеспечению безопасности мобильных устройств доступа важно выяснить, позволяет ли их функциональность защитить все текущие и планируемые деловые процессы. К тому же, всестороннее управление безопасностью мобильных устройств предполагает их централизованное администрирование.
Первая задача управления безопасностью — защита мобильных устройств от вредоносных программ (Malware), в том числе защита сети при синхронизации. Аналогично решениям для настольных компьютеров, с этой целью применяются механизмы сканирования на базе шаблонов. Сканирование в реальном времени всех данных на устройстве и внешних картах памяти является одним из основных требований, равно как и проверка сжатых форматов данных. Если приложения не удается однозначно идентифицировать как «разрешенные» или «шпионские», то у пользователей должна быть возможность их блокировки или удаления. Со спамом в виде SMS проще всего бороться с помощью «белых» и «черных» спис-ков отправителей или блокировкой неизвестных источников SMS.
Все большее количество мобильных устройств поддерживает Wi-Fi, поэтому им требуется брандмауэр для отражения сканирования портов и общего контроля трафика данных. В сочетании с системами обнаружения вторжений (Intrusion Detection System, IDS) таким образом обес-печивается защита от хакерских атак или атак с целью вызвать отказ в обслуживании (Denial of Service, DoS).
Однако гораздо чаще приходится сталкиваться с утратой устройства или его кражей, поэтому к аутентификации и кодированию должны предъявляться чрезвычайно высокие требования. Запрос пароля при включении питания здесь может быть также полезен, как и возможность централизованного управления паролями для всех устройств. С помощью таких глобальных правил можно, к примеру, целенаправленно реагировать на атаки методом подбора пароля (Brute Force Password): неудачная попытка авторизации может приводить к повторному запуску устройства с запросом пароля, к блокировке устройства до принудительного введения пароля администратора или даже к полному удалению всех данных с самого устройства и накопителей информации, а также восстановлению заводских настроек. Некоторые решения по обеспечению безопасности позволяют осуществлять эти действия с помощью клиента в соответствии с предустановленными параметрами, так что устройство будет защищено даже в том случае, если оно окажется вне досягаемости администратора.
Крайне важно обеспечить шифрование данных, находящихся в устройстве и на картах памяти. Шифрование должно распространяться не только на электронную почту, но и на список контактов, календарь и сохраненные файлы. Задача администратора заключается в том, чтобы выбрать данные, которые необходимо шифровать, а также наиболее подходящий алгоритм. Сначала следует сделать выбор между алгоритмами шифрования с помощью открытых (Public Key) или секретных ключей (Secret Key). Открытые ключи обеспечивают как шифрование, так и аутентификацию, тогда как секретные ключи работают на мобильных устройствах во много раз быстрее. Если аутентификация пользователей осуществляется иным способом, то, как правило, применяются алгоритмы секретных ключей. Среди них наиболее распространенными являются старый стандарт 3DES, а также AES с длиной ключа в 128, 192 и 256 бит. Более длинным ключам необходимо много ресурсов, что сокращает период работы от аккумулятора, поэтому администратору следует выбирать такой алгоритм, который соответствует требованиям предприятия и законодательства, но не превышает их.
То же самое касается шифруемых данных: полное шифрование возможно, но требуется лишь в некоторых случаях, ведь даже на самых новых устройствах это приводит к большой нагрузке на процессор, память и аккумуляторы. Гораздо важнее применять шифрование данных «на месте» (In Place) в реальном времени вместо контейнерного шифрования. При последнем методе велик риск того, что пользователи будут сохранять важные данные за пределами шифруемого контейнера.
Сохранность данных при передаче обеспечивается посредством протокола защищенных сокетов (Secure Sockets Layer, SSL) или виртуальных частных сетей (Virtual Private Network, VPN). Решения VPN очень надежны, но из-за необходимости установки клиента VPN на мобильном устройстве им требуются дополнительные ресурсы процессора, а следовательно, и аккумулятора. Если на предприятии уже имеются централизованные компоненты VPN от Cisco, Check Point/Nokia и т.д., то при подключении мобильных устройств, к примеру, с помощью Nokia Intellisync Device Management, не возникает никаких дополнительных расходов. В иных случаях придется приобретать новые продукты. Протокол SSL, напротив, не предполагает никаких клиентов и быстро внедряется. Тем не менее, использование VPN более соответствует современным требованиям.
Решения обеспечения безопаснос-ти от ведущих разработчиков позволяют осуществлять всеобъемлющую, а главное, централизованную защиту мобильных устройств, однако настройка конкретных устройств, к примеру, блокировка камер или интерфейсов, не предусматривается. Такие функции обеспечивают только специализированные решения для управления устройствами, например, Nokia Intellisync Device Management. При рассмотрении какого-либо решения нужно обращать внимание на то, чтобы оно не только обеспечивало поддержку существующего оборудования, но и давало возможность поэтапного внедрения открытого стандарта управления устройствами (Open Mobile Alliance Device Management, OMA DM). OMA DM использует для обмена данными XML, а коммуникация может инициироваться с сервера посредством технологии WAP Push, SMS, а также GSM, CDMA, IrDA или Bluetooth. Устройства с поддержкой OMA, в частности, новое поколение устройств на базе платформ Microsoft и Symbian, однократно интегрируются в корпоративную среду при их предоставлении пользователю (точно так же это происходит при регистрации ПК в домене), что позволяет блокировать потерянные или украденные устройства на расстоянии, даже если нашедшему известен PIN-код.
BLACKBERRY – НЕСТАНДАРТНО, НЕСМОТРЯ НА JAVA
Лишь система администрирования устройств позволяет осуществлять консолидированное управление активами и инвентаризацию, которые, в свою очередь, предоставляют важную информацию для планирования деятельности по обеспечению безопасности и делают возможной эффективную удаленную поддержку. Так, развертывание приложений и обновлений может производиться в соответствии с определенными параметрами, такими как группа пользователей, тип устройства, доступная память или установленное ПО. Это касается также развертывания клиента и профиля программного обеспечения для безопасности — они создаются с помощью решения для управления безопасностью, но их установка эффективнее всего реализуется с помощью функции распространения приложений системы управления устройствами. Администратор может централизованно контролировать эксплуатационный период, автоматические процессы обновления, набор номеров, VPN и другие важные настройки.
На предприятиях преобладают устройства, оснащенные операционными системами Windows Mobile и Symbian. Несмотря на это, базирующееся на Java устройство Blackberry от компании Research in Motion смогло завоевать свою нишу. Использование Java наводит на мысль, что речь идет об открытой системе, однако, по крайней мере в области управления безопасностью, все обстоит как раз наоборот: никто из крупных производителей продуктов безопасности не предлагает специализированные решения для Blackberry, поскольку RIM не раскрыла используемые интерфейсы в достаточной мере. Сегодня в межплатформенную систему администрирования устройств могут быть включены только базовые функции. Более широкое управление безопасностью и устройствами должно осуществляться посредством Blackberry Enterprise Server.
RIM ссылается на брандмауэр Blackberry, 256-разрядное шифрование AES посредством Blackberry Enterprise Server, a также на возможность утверждения приложений администратором или полного запрета на установку приложений пользователями. Время покажет, оправдана ли такая позиция.
Дирк Шефер — управляющий директор 7P Mobile.
© AWi Verlag