Константин Воронков Лаборатории Касперского
КОНСТАНТИН ВОРОНКОВ: «Мы готовим серию новых продуктов для управления инфраструктурой предприятия, куда войдет и Kaspersky Security для мобильных устройств»

Подключение к корпоративному облаку все чаще выполняется с мобильных устройств, поэтому злоумышленники атакуют не облако напрямую, а клиентов — с целью получения данных для обмана системы аутентификации. О возможных вариантах противодействия атакам на мобильные устройства рассказал Константин Воронков, руководитель группы развития систем управления, продуктов для мобильных платформ и виртуальных сред «Лаборатории Касперского».

Что можно сделать для защиты мобильного устройства?

Получив доступ к гаджету, злоумышленник часто получает доступ и ко всем приложениям, почтовой учетной записи, клиентам CRM-систем и другим корпоративным сервисам, используемым пользователем на этом устройстве. Можно настроить устройство так, чтобы оно было защищено паролем, все данные были зашифрованы, а пароль был достаточно стойким. Также можно настроить VPN, политики по использованию беспроводных точек доступа. В частности, наше новое решение Kaspersky Security для мобильных устройств предлагает агент, защищающий устройства от вредоносных программ, включая защиту от программ-шпионов и троянцев. Согласно корпоративной политике, можно отслеживать и запрещать доступ к корпоративным приложениям и данным, к почте для взломанных устройств.

А если агент удален с устройства?

Периодически агент сообщает в центр управления Kaspersky Security Center сведения о своем состоянии: соответствует ли устройство требованиям корпоративной политики, обновлены ли антивирусные базы (для Android), включена ли защита и другие статусы. Если эти сведения не приходят, значит, что-то случилось с устройством. Администратор увидит подробную информацию об устройстве и может принять решение об отзыве сертификата, запрете доступа или наложении других ограничений, вплоть до удаления корпоративных данных с гаджета.

Но если устройство попало в руки злоумышленника, то он может с его помощью войти в корпоративную систему. Что с этим можно сделать?

Да, злоумышленнику нетрудно подобрать четырехсимвольный PIN-код. И тогда полное шифрование диска можно обойти — открывается доступ ко всем данным приложений. Для решения этой проблемы мы разработали технологию контейнеризации, суть которой состоит в том, что операции приложений перехватываются на низком уровне, доступ к файловой системе, сетевые операции контролируются. Администратор может потребовать дополнительную аутентификацию для доступа к контейнеру и зашифровать данные такого приложения. Устройство с такой защитой можно использовать в семье, давать друзьям, поскольку доступ к корпоративным приложениям и данным не будет возможен без дополнительной авторизации. Эту технологию можно использовать для защиты таких данных, как, например, кэш почтовых клиентов, CRM-систем, локальной копии документов организации.

А если на устройство установлена троянская программа, то пользователь этого может даже не заметить?

Для iOS и Android используется технология веб-фильтрации, которая включает в себя компонент антифишинга. Если в устройстве установлен троянец или пользователь заходит на какой-нибудь фиктивный сайт, то ему поступает предупреждение, что в трафике найден зловредный код или сам сайт считается ненадежным. Доступ к небезопасным сайтам блокируется, а информация о произошедших инцидентах посылается администратору. Компонент веб-защиты обеспечивает дополнительный уровень безопасности веб-приложений — банковских, CRM и других. Скрипты, адреса сайтов проверяются с помощью базы сигнатур и облачного компонента защиты Kaspersky Security Network.

В целом защита от вредоносного программного кода — вопрос комплексный, есть целый ряд мер, уменьшающих вероятность успешных атак. Речь идет не только об антивирусной защите: нужно проверить правильность конфигурации устройства, является ли устройство взломанным, обеспечена ли защита веб-трафика, предусмотрено ли шифрование данных и приняты ли другие меры.

В любом случае использование двухфакторной аутентификации значительно улучшает защиту. Пароль действует только ограниченное время, поэтому злоумышленник стремится получить к нему доступ как можно скорее, чтобы успеть им воспользоваться. Такие схемы в принципе легче проследить, зафиксировать и в дальнейшем расследовать. Если для перехвата простых паролей хакеры используют сервер, который задействуется лишь иногда, чтобы через третий сервер выкачать из него данные, то при перехвате одноразового пароля взломщик часто обнаруживает себя — ему нужно будет постоянно поддерживать связь со своим сервером, которую, по идее, можно проследить.

Не безопаснее ли использовать для получения одноразовых паролей и уведомлений специальный телефон, на котором нет операционной системы?

Это, конечно, лучше. Если у вас есть незаражаемое устройство, которое ничего не умеет, кроме как посылать и принимать SMS, то это повышает надежность системы. Сейчас уже начали выпускать специальные устройства, хранящие в себе сертификаты и другую секретную информацию. Но сложность в том, чтобы заставить человека носить с собой дополнительное устройство. Разумеется, и такое устройство теоретически можно атаковать, но стоимость атаки при этом станет выше.