Уже который год подряд наибольшей проблемой для системы безопасности на предприятии является небрежность его сотрудников. Сегодня же ситуация осложняется тем, что сотрудники работают с многочисленными устройствами, да еще и используют коммерческие «облачные» приложения вне офиса. В отчете за 2015 год компании Ponemon Institute сообщается о том, что сегодня 73% респондентов применяют коммерческие «облачные» приложения, 69% используют собственные устройства на работе и 63% сотрудников работают вне офисов, и в частности дома. Но самое примечательное, что, как утверждают 68% опрошенных, ИТ-отделы компаний не поспевают за требованиями сотрудников в отношении большей поддержки мобильных устройств.

В этой ситуации мы можем выделить следующие риски:

1. Основной и, пожалуй, самый большой риск — это небрежные, недоученные сотрудники. Основная причина большинства происшествий в компаниях на сегодня — небрежные сотрудники, которые игнорируют политику безопасности. При этом надо учесть, что увеличивается число персональных устройств, применяемых в корпоративной среде и соединяемых с корпоративной сетью, возрастает степень использования сотрудниками коммерческих «облачных» приложений на рабочем месте, растет численность персонала и т. д.

2. Мобильные устройства становятся мишенью вредоносного программного обеспечения. Представители 71% опрошенных предприятий заявили, что защита конечных мобильных устройств стала гораздо сложнее. 75% респондентов (по сравнению с 68% в прошлом году) полагают, что за последние 12 месяцев мобильные устройства пользователей не раз становились мишенью атак вредоносного программного обеспечения.

3. С учетом растущего риска защита конечных устройств становится все более сложной. Это отметили 68% опрошенных.

4. Участились атаки вредоносного программного обеспечения на корпоративные сети. Более 80% респондентов утверждают, что выросло число атак, особенно целенаправленных высокотехнологичных атак и комплексов скрытого проникновения.

5. Определенные приложения увеличивают риски для ИТ-систем предприятия:

  • Adobe Acrobat, Flash Player, Reader — 62%;
  • Java Oracle JRE — 54%;
  • сторонние приложения, основанные на «облачных» технологиях.

6. Самый большой риск несет использование мобильных устройств. С умными телефонами сопряжен самый большой риск. Это отметили 80% респондентов. При этом 69% выделяют риски, связанные с уязвимыми местами сторонних приложений, 42% — с мобильными удаленными сотрудниками. Одновременно отмечается рост числа неоправданно беспечных сотрудников.

Вместе с тем, по данным отчета Cisco 2014 Annual Security Report, еще две современные тенденции способствуют усилиям злоумышленников. Во?первых, это широкое распространение мобильных платформ, а во?вторых, рост использования мобильных приложений. Особенно важно, что многие пользователи устанавливают мобильные приложения, совершенно не задумываясь о безопасности. Мало того, тенденция применения собственных устройств сотрудников только усложняет все меры защиты. Ведь очень нелегко управлять всем этим «зоопарком» оборудования, особенно в условиях ограниченного бюджета.

Мобильность предполагает возникновение новых путей к данным, которые в свою очередь открывают все новые угрозы. Беспроводные каналы создают вероятность «прослушки» и получения доступа к данным. Соответственно мобильность порождает для организаций целый ряд проблем, связанных с безопасностью, включая угрозы потери интеллектуальной собственности и уязвимых данных, особенно если устройство сотрудника утеряно или украдено и при этом не было защищено.

7. Беспечность сотрудников. Согласно исследованию за 2014 год, проведенному «Лабораторией Касперского» совместно с B2B International, сотрудники российских компаний, использующие для работы смартфоны, стали менее оперативно сообщать о потере своих устройств. Лишь немногим больше половины служащих, а именно 56%, заявляют об этом в день пропажи — для сравнения, в 2013 году этот показатель составлял почти 70%.

Примечательно, что почти в четыре раза выросла доля тех, кто уведомляет отдел безопасности своей компании только через 3-5 дней после утраты смартфона: в 2014 году так поступили 11% опрошенных. При этом очевидна закономерность: чем меньше организация, тем спокойнее ее сотрудники относятся к инциденту. В очень маленьких компаниях о пропаже оперативно сообщают 44% работников, а в крупных корпорациях — 63%.

В том же опросе отмечается, что в 35% российских компаний мобильные устройства используются для передачи конфиденциальных данных — с большой долей вероятности часть этих данных остается на смартфонах. И хотя представители более половины организаций уверены, что передача такой информации с мобильных устройств менее безопасна по сравнению с рабочими станциями, прогрессирующая безответственность их сотрудников говорит о недостаточных просветительских мерах внутри компаний.

Ситуация на сегодня

В настоящее время существует целый ряд угроз, связанных с использованием мобильных устройств, особенно принадлежащих сотрудникам. Эти угрозы могут быть как сложными в реализации, вроде направленной атаки вредоносного программного обеспечения, организованной для слежки за сотрудниками, так и достаточно простыми, такими как потеря или кража смартфона.

В связи с этим предприятия вынуждены разрабатывать новые политики безопасности для снижения рисков. Поэтому на первом этапе важно понять, что именно угрожает вашему предприятию и как можно понизить уровень возможных рисков.

Jailbreaking (или джейлбрейк, от англ. jailbreak — «побег из тюрьмы») iPhone/iPod Touch/iPad/ — официально не поддерживаемая корпорацией Apple операция, которая позволяет получить доступ к файловой системе устройств iPhone, iPod или iPad. Это позволяет расширить функциональность аппарата, например сделать возможными поддержку тем оформления и установку приложений из независимых источников (не из магазина App Store). Джейлбрейк открывает полный доступ к файловой системе iPhone, iPod или iPad. При этом лицензионное соглашение нарушается, и владелец устройства Apple лишается права на техническую поддержку и гарантийные обязательства.

Наверняка в вашей компании есть сотрудники, которые требуют для себя самых современных технологий. При этом они могут быть достаточно опытными и умеют самостоятельно настраивать свои устройства, получая полный доступ к ним на уровне системы.

Jailbreaking снимает ограничения, наложенные производителем оборудования. При этом очень часто устраняются ограничения, разработанные для повышения безопасности, а между тем владелец получает полномочия на уровне администратора устройства. Он вправе установить и запустить приложения, которые могли быть потенциально опасными. Не стоит забывать, что jailbreaking привносит как преимущества, так и риски. Начнем с положительного влияния.

• Компенсация неудобств, связанных с политикой Apple, таких как:

  • отсутствие ряда стандартных для коммуникаторов функций (например доступа к файловой системе со стороны пользователя) или других приложений;
  • отсутствие возможности воспроизведения контента с внешнего диска (USB-накопителя, карты памяти) без необходимости избыточного копирования на устройство;
  • отсутствие возможности создания «черного списка» абонентов (до iOS 7);
  • невозможность установить свой файл в качестве мелодии звонка;
  • привязка к App Store;
  • невозможность использования сторонних источников приложений;
  • негибкие возможности настройки интерфейса.

Теперь перечислим риски.

• Программное обеспечение, доступное в магазине Cydia, в отличие от App Store, не проверяется на надежность и безопасность и может нанести ущерб данным на устройстве или стать причиной их кражи.

• Не стоит забывать о том, что вредоносные программы, выполняемые на аппаратах с jailbreaking, также будут выполняться с правами администратора. К чему это приведет, надеюсь, пояснять не нужно.

Рутинг (англ. rooting) — процесс получения прав суперпользователя root на устройствах под управлением операционной системы Android. Основными целями рутинга являются снятие ограничений производителя либо оператора связи, управление системными приложениями и возможность запуска приложений, требующих прав администратора. Устройство, прошедшее процесс рутинга, называют рутованным. Аналогичный процесс для устройств на базе Apple iOS называется jailbreak, а для устройств на базе Windows Phone — HardSPL.

Все приложения Android исполняются в изолированной среде и обычно не имеют доступа к другим компонентам платформы и их данным. Разделы, содержащие системные файлы, монтируются в режиме «только для чтения». Эти ограничения призваны защитить систему от вредоносных программ и потенциально опасной модификации системных настроек, а также предотвратить незаконное копирование платных приложений.

Пользователь root имеет неограниченный доступ к любому файлу системы независимо от выставленных ограничений прав доступа. Соответственно приложение, исполняемое от имени root, также имеет неограниченные права. Перечислим преимущества и недостатки рутинга.

Преимущества:

  • Ограничение интернет-трафика в мобильных сетях и соответственно экономия средств.
  • Блокирование рекламы, а значит, снижение трафика и экономия.
  • Контроль действий приложений, например блокирование звонков и отправки SMS на платные номера для вредоносных программ.
  • Установка системных приложений, которым необходимы права root, например драйверы и эмуляторы.
  • Замена и удаление стандартных программ.
  • Перенос данных и создание резервных копий приложений.

Недостатки:

  • Потеря гарантии производителя (не для всех устройств).
  • Потеря обновления «по воздуху» (OTA) (не для всех прошивок).
  • Отключение системы защиты телефона от вредоносных программ и несанкционированного доступа.
  • Существует вероятность сделать устройство полностью неработоспособным.
  • Вредоносные программы, выполняющиеся на таком устройстве, также имеют права root. К чему это приводит, несложно догадаться.

Обход настроенных сетевых ограничений. Организации, в которых с помощью политики ограничен сетевой доступ определенных устройств, могут столкнуться с тем, что их сотрудники используют обходные пути. Например, некоторые мобильные приложения могут позволить сотрудникам обойти соответствующие ограничения и по крайней мере позволить владельцу устройства получить доступ к корпоративной электронной почте, календарю и контактам.

Уязвимое программное обеспечение. Нередко сотрудники могут использовать корпоративные данные на своем устройстве, но вместе с тем не в состоянии обновить на нем программное обеспечение. Как правило, процесс обновления программного обеспечения представляет большую проблему для пользователей мобильных устройств. Если Apple и Microsoft регулярно предоставляют обновления программного обеспечения своим пользователям (как iPhone, iPad, так и Windows Phone), то пользователям Android можно посочувствовать. Обновление устройств под управлением Android от Google гораздо больше зависит от поставщика услуг и производителя оборудования, и иногда в них остаются известные уязвимости, доступные атакующим в течение длительного времени.

Приведу в пример собственный планшет от Samsung. За два года эксплуатации обновление операционной системы приходило однажды, приблизительно полгода назад. И все! Кроме того, в компаниях не предусмотрено никакого контроля ошибок программного обеспечения в сторонних приложениях, работающих на устройствах сотрудников. Соответственно обновление такого программного обеспечения если и производится, то весьма нерегулярно. К чему это приводит, можно себе представить.

Точки доступа. Некоторые устройства сотрудников (например, под управлением Windows Phone 8.1) настроены таким образом, чтобы идентифицировать и попытаться соединиться с любой открытой точкой доступа для получения данных из Интернета. В то время как большинство компаний предоставляет безопасные точки доступа гостям, открывая беспроводные точки в некоторых отелях и других местах, владельцы таких устройств могут подвергнуться опасности атак «человек посередине» и других, которые позволяют злоумышленнику наблюдать за их действиями. Чтобы снизить уровень таких угроз, организации должны использовать в своих интересах технологию VPN при получении доступа к корпоративным ресурсам.

Корпоративная электронная почта. Если владелец устройства не в состоянии задать код PIN для того, чтобы заблокировать свой смартфон или планшет, который может попасть чужие руки и таким образом предоставить несанкционированный доступ к корпоративной электронной почте, некоторые организации требуют от пользователей регистрироваться в системе каждый раз при необходимости проверить свою электронную почту на устройстве.

Бесплатные рекламные и шпионские программы. Бесплатные мобильные приложения собирают много данных о владельце устройства, чтобы продавать данные рекламным сетям. Мобильное приложение считается бесплатным программным обеспечением с размещенной в нем рекламой или шпионским программным обеспечением в случае, если оно собирает данные, не запрашивая разрешения владельца. Некоторые приложения устанавливают управляемые поисковые системы на устройство, чтобы отправлять пользователя на сайты рекламодателей.

Слишком обширные полномочия. Хорошо, что у Apple, Google и Microsoft есть ограничения, которые вынуждают производителей мобильного приложения запрашивать разрешения к ресурсам устройства, таким как камера и контакты. Правда, к сожалению, большинство пользователей обычно не в состоянии читать мелкий шрифт и почти всегда предоставляют разрешение во время установки мобильных приложений.

Специалисты по безопасности утверждают, что приложения со слишком широкими полномочиями могут использоваться для хищения данных. Предоставление слишком широких полномочий может привести к тому, что ваши контакты, адреса электронной почты и данные геолокации будут передаваться злоумышленникам.

Хотя многие владельцы смартфонов знают, что приложения иногда делятся приватной информацией с «третьей стороной», мало кто догадывается, насколько интенсивно происходит такой обмен. Устанавливая то или иное приложение, пользователи редко обращают внимание на то, какое приложение и куда требует доступ. Вспомним нашумевшую в свое время игру Angry Birds. А знаете ли вы, что эта игра весьма активно использовала данные о вашем местонахождении? Даже в то время, когда вы не использовали ее. А теперь вопрос: зачем? Более того, установить эту игру без предоставления доступа к данным геолокации было просто невозможно.

Из-за пренебрежительного отношения к запросам приложений оказывается весьма сложно узнать, какое приложение какие данные запрашивает и насколько часто. Соответственно маловероятно, что пользователи предпримут шаги для сохранения конфиденциальности.

Как показало исследование, проведенное Университетом Карнеги-Меллона, огромное количество владельцев смартфонов не понимают, какие конфиденциальные данные при этом собираются и передаются третьим лицам, а главное, как часто и для чего. Целью данного исследования было получить ответ на вопрос, можно ли сделать так, чтобы пользователи начали заботиться о своей безопасности.

В ходе исследования применялось программное обеспечение, передававшее пользователям сведения о том, к какой информации установленные на его смартфоне приложения получали доступ. Как заявил один участник исследования, его персональные данные отслеживались 4182 раза только на протяжении двух недель. В результате пользователь заявил, что очень неприятно осознавать, что за вами следит ваш собственный телефон. Более того, я бы переформулировал его ответ. Страшно осознавать, что вы добровольно носите с собой мобильного шпиона.

В исследуемой группе две дюжины пользователей Android, видевших, какие приложения и как часто получали доступ к данным, могли изменить соответствующие настройки для обеспечения конфиденциальности. В частности, за 14 дней десять приложений совместно задействовали данные геолокации 5398 раз. Такие данные используются для того, чтобы соответствующие приложения могли «угадать» желания владельца устройства, например показать целевую рекламу или ответить на вопрос, какой будет погода на следующий день.

Большинство владельцев смартфонов ничего не знают о поведении приложений. Однако, если такая информация у них появляется, они действуют достаточно быстро, изменяя настройки конфиденциальности. Так, после того как в ходе исследования люди узнавали, насколько часто используются их данные геолокации, большинство (58%) предприняло шаги для улучшения защиты конфиденциальности, изменив настройки приложений. В ходе эксперимента пользователи пересматривали полномочия приложений 69 раз и заблокировали 122 дополнительных полномочия в 47 приложениях.

К сожалению, программное обеспечение AppOps, предназначенное для отслеживания полномочий приложений, не работает на версиях Android выше 4.3, в то время как в iPhone предусмотрен «менеджер конфиденциальности».

«Облачные» хранилища. Dropbox, iCloud, OneDrive и другие «облачные» хранилища, предлагаемые пользователям мобильных платформ, могут использоваться для хищения данных. Сотрудники могут задействовать эти «облачные» хранилища, чтобы копировать туда конфиденциальные данные, если организации не в состоянии запретить их копирование или не используют механизм, ограничивающий использование мобильных «облачных» хранилищ.

Вредоносные программы Android. В последнее время наблюдается взрывоопасный рост вредоносов для мобильных устройств под управлением Android. Это обусловлено не только тем, что таких устройств используется больше всего, но и внушающим опасения увеличением числа уязвимостей в устройствах под управлением данной операционной системы.

Потерянные или украденные устройства. Потерянные или украденные устройства представляют самый большой риск для организаций, которые позволяют сотрудникам соединять свои устройства с корпоративной сетью. Некоторые предприятия реализовали возможность удаленно стереть любые корпоративные данные, например электронную почту и контакты, на потерянном устройстве. В связи с появлением сотрудников, которые не хотят давать работодателю беспрепятственный доступ к их устройству, стали применяться технологии контейнеризации. При этом корпоративные данные находятся в так называемых контейнерах. Персонал отдела ИТ может выборочно стереть корпоративные данные, если устройство потеряно или украдено либо в случае увольнения сотрудника.

Таким образом, в дальнейшем мы с вами будем наблюдать рост мобильных угроз, и компаниям стоит задуматься о необходимости скорейшего создания систем защиты от них.